Kategorie-Archiv: apps+tools

Let’s Encrypt ohne sudo

Die Let’s-Encrypt-Initiative stellt jedem kostenlos SSL-Zertifikate bereit, die drei Monate gültig sind. Für die automatische Erneuerung wird ein Toolset bereitgestellt. Leider tut dies schon bei der Installation Dinge, die mir nicht so gefallen (z.B. sudo apt-get -y install …).Ich habe darauf hin das Projekt letsencrypt-nosudo entdeckt. Ein Python-Script, das Letsencrypt implementiert, ohne Superuser-Rechte in Anspruch zu nehmen. Leider sind viele manuelle Eingriffe nötig, die alle drei Monate für jede zu schützende Domain wiederholt werden müssen.Daher gibt es nun letsencrypt-nosudo-unattended. Es automatisiert alles was man bei letsencrypt-nosudo noch händisch machen muss und liefert zwei Bash-Scripts mit, die bei Bedarf Apache und Nginx automatisch konfigurieren. Für diese Bash-Scripte sind natürlich Superuser-Rechte nötig, der Verfizierungsprozess selbst läuft allerdings mit eingeschränkten Benutzerrechten.

Xming – X-Server für Windows

Gerade wollte ich nach langer Zeit mal wieder von einem Windows-System aus eine X-Anwendung auf einem entfernten Linux-System starten. Das war damals mit kostenlosen Lösungen sehr kompliziert (cygwin). Inzwischen hat sich aber einiges getan.Mit Xming lässt sich das ganz einfach realisieren. Einfach installieren und es findet seinen Platz im System-Tray.Nun kann PuTTY gestartet werden und in den Optionen unter Connection/SSH/X11 das X11-Forwarding aktiviert werden. Wenn man sich jetzt mit einem Rechner verbindet, auf dem ein X-Server läuft, kann man ein X-Programm starten (z.B. xcalc), das sich darauf hin in die Windows-Oberfläche einbindet.

Xming in Action

Suchmaschinen: Wolfram Alpha vs. Google

Bereits als “Google”-Killer gehandelt ist die neue Suchmaschine Wolfram|Alpha von Mathematica-Erfinder Stephen Wolfram mittlerweile in eine “closed beta”-Phase eingetreten.Doch was ist so besonders an dieser Suchmaschine, dass ihr zugetraut wird, Googles Allmacht zu trotzen und an den etablierten Engines vorbeizuziehen?In einem Blog-Eintrag erklärt der “Erfinder” selbst, welches Problem er versucht zu lösen: Die Suchmaschine soll aus der Eingabe erkennen, welches Problem der Benutzer gerade klären will und bereits voraufbereitete Daten anzeigen.

Mit Opera Link zum “überall gleich”-Browser

“Gerade gestern hatte ich die Adresse doch aufgerufen, warum finde ich sie nicht mehr in der History?”

“Ach ja, ich hab das ja am Notebook gemacht!”

Kommt das Dir bekannt vor? Also mir passiert das öfter, da ich zwei bis drei Systeme regelmäßig nutze. Laut Opera sollen diese Zeiten nun vorbei sein, dank Opera Link.

Mit Opera Link zum “überall gleich”-Browser weiterlesen

Neue Versionen von duplicity (0.5.02) und ftplicity (1.4.0b1)

Nach längerer Zeit überprüfte ich mal wieder den Status meiner Backup-Programme. Da bisher auch alles wunderbar lief war es vorher nicht unbedingt notwendig. Offensichtlich hatte sich in der Zwischenzeit so einiges getan, sodass es mal wieder einen kleinen Artikel rechtfertigt.
Neue Versionen von duplicity (0.5.02) und ftplicity (1.4.0b1) weiterlesen

duplicity 0.4.10 veröffentlich und installiert

ACHTUNG: Die in diesem Artikel besprochenen Versionen von duplicity ist bereits veraltet. Die grundsätzlichen Erklärungen sind zwar weiterhin valid, aber die Syntax oder Konfigurationsparameter könnten sich geändert haben. Bitte verwendet den Such-Tag “duplicity” bzw. den Such-Tag “ftplicity” und die Kommentare, um aktuelle Informationen zu finden.

Es wurde heute eine neue Version von duplicity veröffentlicht. Es handelt sich dabei laut Entwickler eher um ein Wartungsrelease.

Die Installation ging wieder problemlos vonstatten und ist in diesem Artikel beschrieben.

Direkter Download: Version 0.4.10

Mehr Info: duplicity

duplicity 0.4.10 veröffentlich und installiert weiterlesen

Pidgin: Kodierungsprobleme lösen

Seit meinem Umstieg von Trillian Basic, über PSI zu Pidgin habe ich das Problem gehabt, dass ich viele Sonderzeichen wie Umlaute usw. nicht richtig empfangen konnte und teilweise die Nachrichten gar nicht angezeigt werden konnten, da die Fehlermeldung:

(Es gab einen Fehler beim Empfang dieser Nachricht. Entweder haben Sie und XXX unterschiedliche Kodierungen gesetzt oder XXX hat einen fehlerhaften Client.)

Diese Nachricht erschien immer, wenn ein anderer Pidgin-User mir eine Nachricht mit Umlauten sendete – sehr nervig für beide Seiten, wenn immer auf Umlaute geachtet werden muss.

In einem Forum fand ich den Hinweis auf eine fehlerhafte GTK-Version, welche mit der aktuellen Pidgin 2.4.0 gebundelt wurde. Daher deinstallierte ich nur das GTK for Windows ( 2.12.8 Rev A ) und ersetzte es mit einer älteren Version ( 2.12.1 Rev B) von der Sourceforge-Seite von Pidgin.

Ergebnis: Umlaute werden wieder fehlerfrei angezeigt und alle sind glücklich.

Links:

PS: Vielen Dank an Elisabeth für den ersten Hinweis.

duplicity 0.4.9 installiert

ACHTUNG: Die in diesem Artikel besprochenen Versionen von duplicity ist bereits veraltet. Die grundsätzlichen Erklärungen sind zwar weiterhin valid, aber die Syntax oder Konfigurationsparameter könnten sich geändert haben. Bitte verwendet den Such-Tag “duplicity” bzw. den Such-Tag “ftplicity” und die Kommentare, um aktuelle Informationen zu finden.

Es wurde (schon vor einiger Zeit) eine neue Version von duplicity veröffentlicht.

Die Installation ging wieder problemlos vonstatten und ist in diesem Artikel beschrieben.

Direkter Download: Version 0.4.9

Mehr Info: duplicity

duplicity 0.4.9 installiert weiterlesen

MailZu – Userbasierte Spameinschätzung

Über einen Hinweis in der Postfix-Maillingliste bin ich auf MailZu gestoßen.

Es soll, wie es aussieht, einem User ermöglichen, eingegangene Mails selbst nachträglich einzuschätzen und so die Spamerkennung zu verbessern. Weiterhin wird so eine Nicht-Zustellung wegen hohem Spamverdacht (Spam-Kill-Level) vermieden. Im großen und ganzen arbeitet die Websoftware damit wie Maia Mailguard.

Letzteres hatte ich bereits vor einiger Zeit ausprobiert, konnte es aber damals nicht fehlerfrei in meine Umgebung integrieren. Mit etwas Zeit werde ich die beiden Systeme nochmal genauer untersuchen und die Effizienzsteigerungen sowie Benutzerfreundlichkeit prüfen.

Insofern ist dieser Post eher eine Erinnung an mich selbst und ein Grund zu fragen: Hat jemand bereits Erfahrungen mit einem der Systeme? 

duplicity 0.4.6 released

ACHTUNG: Die in diesem Artikel besprochenen Versionen sowohl von ftplicity als auch duplicity sind bereits veraltet. Die grundsätzlichen Erklärungen sind zwar weiterhin valid, aber die Syntax oder Konfigurationsparameter könnten sich geändert haben. Bitte verwendet den Such-Tag “duplicity” bzw. den Such-Tag “ftplicity” und die Kommentare, um aktuelle Informationen zu finden.

So, die neue Version 0.4.6 von duplicity wurde vom Team released (endlich mal kein RC) und auch umgehend von mir installiert und getestet.

Die Installation ist denkbar einfach:

  • Bitte vorher ein eventuell installiertes Distributions-Paket deinstallieren, damit es keine Konflikte mit der Paketverwaltung gibt. Eigenhändig installierte Vorversionen müssen aber nicht entfernt werden.
  • Download der Files:

    cd downloads # Beispielpfad
    wget http://savannah.nongnu.org/download/duplicity/duplicity-0.4.6.tar.gz

    Entpacken

    tar -xzf duplicity-0.4.6.tar.gz

  • In das Verzeichnis wechseln.

    cd duplicity-0.4.6

  • Version bauen und installieren

    python setup.py build
    python setup.py install

  • Fertig.

Für die Verwender von ftplicity: Wie alle duplicity-Versionen ab 0.4.4 funktioniert nur dies mit meiner angepassten Version von ftplicity.

LINK: Zum [duplicity]-changelog…

apticron+apt-listbugs: Nie mehr ein Update verpassen

Der geplagte Sysadmin hat den ganzen Tag soviel zu tun – eines davon ist, die ausstehenden Patches im Auge zu behalten. Üblicherweise werden dazu RSS-Feeds und Mailinglisten abonniert und im Falle von Debian regelmäßig

aptitude update && aptitude dist-upgrade

ausgeführt, um nach Aktualisierungen der Debian-Pakete zu suchen.

Was für selbst compilierte Software nicht so richtig geht, ist für die Debian-Pakete möglich: Die Automatisierung des Checks.

Es gibt einige Admins, denen der manuelle Updatevorgang auch noch zu müselig ist und die das Update (mit Parametern) ebenfalls via cron erledigen. Ich bin allerdings der Meinung, dass dies zu “gefährlich” ist, da es in manchen Fällen vorkommt, dass die geupdateten Dienste nicht mehr starten oder andere Fehler produzieren. Ein waches wachsames Auge des Sysadadmins kann da schon helfen.

Also suchte ich nach einer Möglichkeit zeitnah über neue Pakete und deren Bugfixes informiert zu werden und fand sie:

apticron informiert via Mail, sobald neue Pakete zur Verfügung stehen. Im Zusammenspiel mit dem Perl-Skript apt-listbugs sieht man in der Infomail (und auch bei jedem manuellem Updatevorgang) auch gleich, welche Bugs gefixt wurden und kann so nach Wichtigkeit das Update planen.

So sieht eine Beispielmail dann im Ergebnis aus:


apticron report [Sat, 01 Dec 2007 06:35:14 +0100]
========================================================================

apticron has detected that some packages need upgrading on: 

	fqdn.tld
	[ 123.123.123.123 ]

The following packages are currently pending an upgrade:

	libmysqlclient15off 5.0.32-7etch3
	mysql-client-5.0 5.0.32-7etch3
	mysql-common 5.0.32-7etch3
	mysql-server-5.0 5.0.32-7etch3

========================================================================

Package Details:
Lese Changelogs...
--- Änderungen für mysql-dfsg-5.0 (libmysqlclient15off mysql-client-5.0 mysql-common mysql-server-5.0) ---
mysql-dfsg-5.0 (5.0.32-7etch3) stable-security; urgency=high

  * SECURITY:
    Fix for CVE-2007-5925: The convert_search_mode_to_innobase function in
    ha_innodb.cc in the InnoDB engine in MySQL 5.1.23-BK and earlier allows
    remote authenticated users to cause a denial of service (database crash)
    via a certain CONTAINS operation on an indexed column, which triggers an
    assertion error. (closes: #451235)

 -- Norbert Tretkowski <nobse@debian.org>  Thu, 15 Nov 2007 18:51:30 +0100

mysql-dfsg-5.0 (5.0.32-7etch2) stable-security; urgency=high

  * Security release prepared for the security team by the Debian MySQL
    maintainers. The patches were mostly taken from the Ubuntu project.
  * CVE-2007-2583: The in_decimal::set function in item_cmpfunc.cc in MySQL
    allowed context-dependent attackers to cause a denial of service (crash)
    via a crafted IF clause that results in a divide-by-zero error and a NULL
    pointer dereference. Closes: #426353
  * CVE-2007-2691: MySQL did not require the DROP privilege for RENAME
    TABLE statements, which allows remote authenticated users to rename
    arbitrary tables. Closes: #424778
  * CVE-2007-2692: The mysql_change_db function in MySQL did not restore
    THD::db_access privileges when returning from SQL SECURITY INVOKER
    stored routines, which allowed remote authenticated users to gain
    privileges. Closes: #424778
  * CVE-2007-3780: It was discovered that MySQL could be made to overflow
    a signed char during authentication. Remote attackers could use crafted
    authentication requests to cause a denial of service.
  * CVE-2007-3782: Phil Anderton discovered that MySQL did not properly
    verify access privileges when accessing external tables. As a result,
    authenticated users could exploit this to obtain UPDATE privileges to
    external tables.

 -- Christian Hammers <ch@debian.org>  Tue,  6 Dec 2007 21:54:01 +0100

========================================================================

You can perform the upgrade by issuing the command:

	aptitude dist-upgrade

as root on fqdn.tld

It is recommended that you simulate the upgrade first to confirm that
the actions that would be taken are reasonable. The upgrade may be
simulated by issuing the command:

	aptitude -s -y dist-upgrade
--  apticron

Zu installieren sind beide Tools ganz leicht über aptitude.

Hilferuf (für pimp my mailgraph)

Hallo allerseits,

nachdem meine persönlichen Kontakte in dieser Frage leider nicht helfen konnten nun die Frage an die Allgemeinheit, also DICH:

Wenn Du einen Server mit Debian Etch betreibst und darauf Postfix mit dem amavisd-new Standard-Deb laufen hast, würde ich mich freuen, wenn Du mir mal einen Logauszug (mail.log) für folgende Fälle zusenden kannst:

  • Spam (Kill-Level)
  • Spam-Tag (Tag-Level)
  • Virus
  • Banned

Die Einträge können selbstverständlich anonymisiert sein, denn es geht mir nur um die Syntax der Einträge.

Hilferuf (für pimp my mailgraph) weiterlesen

Patch erzeugen mit diff

Es gibt Dinge, die macht man nicht oft genug, um sie sich wirklich zu merken. Daher kann ich ja mal meinen Blog als Notizzettel verwenden, wenn ihr gestattet.

Um einen Patch einer Datei zu erhalten macht man einfach folgendes:

diff -u datei.org datei.bearbeitet > datei.patch

Die Dateinamen sprechen für sich, die Option -u führt dazu, dass nicht nur die geänderte Zeile angegeben wird, sondern auch noch umgebende Zeilen. Wenn sich also durch Anwendung mehrerer Patches die Zeilennummern geändert haben, so findet man leichter die richtige Position.

Ein Beispiel dazu findet ihr unter der Quelle: DOLINUX Protokoll vom 21.11.2001

duplicity 0.4.4 und ftplicity

ACHTUNG: Die in diesem Artikel besprochenen Versionen sowohl von ftplicity als auch duplicity sind bereits veraltet. Die grundsätzlichen Erklärungen sind zwar weiterhin valid, aber die Syntax oder Konfigurationsparameter könnten sich geändert haben. Bitte verwendet den Such-Tag “duplicity” bzw. den Such-Tag “ftplicity” und die Kommentare, um aktuelle Informationen zu finden.

duplicity ist gerade in der Version 0.4.4RC4 veröffentlicht worden und dort wurde u.a. die komplette Syntax für Befehle umgebaut.

Resultat: ftplicity geht nicht mehr.

Da dies ja kein Zustand ist, habe ich meine ftplicity-Version selbst geupdatet und stelle sie hier allen Interessierten zum Download zur Verfügung.

ACHTUNG: Diese Version funktioniert dann nicht mehr mit duplicity < 0.4.4RC4!

In diesem Zuge habe ich auch gleich noch 3 Parameter in ftplicity eingeführt, die ich für sehr sinnvoll hielt. Diese werden in der main.conf eingerichtet und heißen wie folgt:

  • USESHORTNAMES : wird dieser Parameter gesetzt, werden die Volumennamen erstens kürzer und zweitens wird dabei auf Zeichen wie Doppelpunkte usw. im Dateinamen verzichtet, sodass das Backup z.B. auch auf einem Windowsrechner abgelegt werden kann.
  • SETFULLIFOLDER: wird dieser Parameter gesetzt, wird trotz Aufrufes von “ftplicity backup” (inkrementelles Backup) ein volles Backup erstellt, wenn das letzte volle älter als die angegebene Zeitspanne ist.
  • SETVOLSIZE: wird dieser Parameter gesetzt, wird die Größe der Volumen von 5MB (Standard) auf die angegebene Größe (in vollen MB) gesetzt

(zur Beispielkonfiguration für ftplicity 1.2)

Ich habe es zwar getestet, aber evtl. sind doch noch Syntaxfehler in der Datei. Bugreports sind daher willkommen.

Hier gehts zum Download: ftplicity 1.2

policyd-weight: Score-basierte Spamabwehr für Postfix

Es ist immer wieder das gleiche: Sobald man denkt, dass man das System perfekt eingerichtet hat, bekommt/ findet man gleich mehrere Hinweise, die einen daran zweifeln lässt.

Ausgangslage

Bei vielen, die sich halbwegs um einen spamgeschützten Postfix-Mailserver kümmern, wird die Konfiguration ungefähr so aussehen:


[...]
smtpd_recipient_restrictions =
permit_sasl_authenticated
permit_mynetworks
reject_invalid_hostname
reject_non_fqdn_sender
reject_non_fqdn_recipient
reject_unauth_destination
reject_unknown_sender_domain
reject_unknown_recipient_domain
reject_rbl_client dnsbl.ahbl.org
reject_rbl_client cbl.abuseat.org
reject_rbl_client sbl-xbl.spamhaus.org
reject_rbl_client dul.dnsbl.sorbs.net
reject_rbl_client bl.spamcop.net
check_policy_service inet:127.0.0.1:60000
reject_unknown_client
warn_if_reject reject_unknown_hostname
permit
[...]

Anmerkung: Diese Konfiguration hatte ich bereits hier gepostet, wurde von mir nun aber mehrfach verfeinert (siehe weiter unten).

Wie man sehen kann, sind mehrere RBL-Checks (Realtime-Blackhole-List) in der Konfiguration, welche bei jedem SMTP-Connect von anderen Mailservern überprüft werden und bei einem positiven Treffer sofort zum REJECT führen. Dies hat zwar funktioniert, birgt aber die Gefahr, dass man einen legitimen Mailserver ablehnt, weil er durch einen Fehler in einer der RBL landete.

Besser wäre es also doch, wenn man nachschauen könnte, ob der Mailserver in mehr als einer dieser RBLs steht. Mit Boardmitteln von Postfix ist dies vorerst nicht möglich.

Einführung in policyd-weight

Hier kommt policyd-weight als policy-Server ins Spiel und bietet folgende Zusatzfunktionen in der Standardkonfiguration an (Auszug von der Website):

  • Score-basierte Auswertung von RBL/RHSBL
  • Score-basierte Auswertung der Beziehung und Korrektheit von DNS-Einträgen, HELO und MAIL-FROM
  • Caching von a) DNS-Request und b) Score-Ergebnissen (= Beschleunigung und weniger Traffic)
  • eigene, schnelle DNS-Lookup.Routine
  • frei konfigurierbare Scores und RBLs (sinnvolle Standardwerte bereits enthalten)
  • keine Datenbank-Abhängigkeit
  • Einrichtung auch nur für eine Teilmenge von Mails/Mailservern nutzbar (via postfix restriction classes)

Policyd-weight arbeitet als Policy-Server mit Postfix zusammen und entgegen z.B. AMAViS noch auf der Ebene des SMTP-Connects und ist daher in der Lage, Postfix einen REJECT der Verbindung zu empfehlen und die Mail erst gar nicht anzunehmen zu lassen. (Dies ist auch im Hinblick auf die Rechtslage ein wichtiger Unterschied.)

Diese Vorteile sprechen ja deutlich für den Einsatz von policyd-weight und daher nahm ich mir auch gleich die Installation vor, welche im Folgenden beschreiben werde.

policyd-weight: Score-basierte Spamabwehr für Postfix weiterlesen

Mail-Logs im Auge behalten

Ich habe mir, nachdem ich der Postfix-Mailgruppe mehrere Hinweise las, die diversen Tools zur Logfile-Analyse angesehen und mich danach entschieden, ein paar auf regelmäßiger Basis einzusetzen.

Folgende Tools sind nun bei mir im Einsatz:

  • pflogsumm: Postfix-Logs analysieren und zusammengefasst ausgeben (englische Version / deutsche Version)
    Es läuft nächtlich als cron, analysiert den vorherigen Tag und wird mir via Mail zugesendet.
  • mailgraph: Postfix-Logs graphisch darstellen (z.B. ACCEPTs, REJECTs, BOUNCEs usw.) (Beispielausgabe)
  • queuegraph: Postfix-Queue-Belastung wird graphisch aufbereitet
  • couriergraph: Courier-Logs graphisch darstellen (z.B. LOGINs)
    Die *graph-Tools sind jeweils eine Kombination aus Perl-Script (laufen als cron (queuegraph) oder daemon (mailgraph/couriergraph)) und Web-CGI für die Ausgabe im Web.

Sämtliche Tools sind zwar als Debian-Pakete erhältlich, aber die deutsche Pflogsumm-Version kann man derzeit nur über den o.g. Download installiert werden.

Fragen? Probleme? Immer her damit, denn dafür sind die Comments da…

automysqlbackup: versionierte Sicherung von mysql-Datenbanken

Die Sicherung von Datenbanken ist immer wieder eine Aufgabe, die man schnell vergisst und, wenn man sich dann damit befasst, für Kopfschmerzen sorgen kann.

Die Gründe:

  • Während des Betriebs des Datenbankservers ist es meist nicht möglich einen konsistenten Abzug der Datendateien zu erhalten.
  • Ein Anhalten des Datenbank-Server hat aber Auswirkungen auf das gesamte System.
  • Selbst wenn man die Dateien kopieren kann, ist es nicht 100%ig sicher, dass man nach einem Absturz die Daten in einen neuen DB-Server mit vielleicht veränderter Versionsnummer einspielen/ einkopieren kann.

Es bietet sich daher an, statt der Datenbankdateien nur die gespeicherten Daten zu sichern. Dies ist mittels eines sog. dumps (eng. “Halde”) möglich, bei dem die Daten im Klartextformat ausgegeben und optimalerweise gleich in die Befehle eingeschlossen werden, die die Daten automatisiert wieder in einen neuen Datenbankserver einspielen können.

Auch wenn MySQL bereits von Hause aus Tools mitbringt, die diese Sicherungsmethode ermöglichen und auch Hilfstools wie phpMyAdmin eine Option zum Erzeugen von DB-dumps bieten, suchte ich eine noch simplere Methode, die ggf. noch Mehrwert bietet.

automysqlbackup

Das Projekt automysqlbackup ist unter sourceforge gelistet und derzeit in der Version 2.5 aktuell. Das Projekt scheint nicht mehr weiterentwickelt zu werden, denn der letzte Release ist vom 14.02.2006. Dies ist aber nicht weiter problematisch, da es sich im Prinzip nur um einen Wrapper für das mysql-tool mysqldump handelt und damit nicht sonderlich wartungs- oder weiterentwicklungsbedürftig ist.

Die Vorteile der Nutzung von automysqlbackup sind (von der Homepage):

  • Backup aller oder ausgewählter Datenbanken
  • gesamtes Backup in eine Datei oder einzelne Dateien pro Datenbank
  • Platzsparend durch wahlweise Komprimierung mit gzip oder bzip2
  • Sicherung auch von entfernten Servern
  • Manueller Start oder cron-job-Steuerung möglich
  • Ermöglicht die Zusendung des Logs oder der DB-Sicherung an eine bestimmte Mailadresse

Nach Befolgung der Installationsanweisungen auf der Homepage erzeugt das Tool regelmäßige Backups in dem gewählten Ordner und ermöglicht durch verschiedene Ordner ein versioniertes Backup, durch das man auch Zugriff auf ältere Versionen einer Datenbank hat.

Alles in allem ein sehr sinnvolles Tool und ich möchte es nicht mehr missen.

Fragen? Probleme? –> Schreib mir!

sqlgrey: einfaches und robustes Greylisting

Spam nervt und stiehlt jedem Nutzer täglich Zeit. Um zu vermeiden, dass wir eines Tages nur noch mit dem Löschung von dubiosen Angeboten beschäftigt sind, müssen wir uns immer wieder mit Gegenmaßnahmen befassen. Eine dieser Gegenmaßnahmen ist Greylisting.

Was ist Greylisting?

Das Wort Greylisting entstand aus den Wörtern Blacklisting (in diesem Kontext: permanentes Verbot einer E-Mailadresse) und Whitelisting (permanente Erlaubnis für eine E-Mailadresse) und bezieht sich auf die Mischung dieser beiden Verfahren. Das Verfahren funktioniert vereinfacht wie folgt:

  1. Ein dem Mailserver unbekannter Absender (freund@absender.tld) möchte gern ein Mail an person1@mailserver.tld senden.
  2. Der Mailserver (mit installiertem Greylisting) aber lehnt die Übermittlung nach Erhalt der Absender und Zieladresse unter Angabe eines temporären Fehlers ab (meist mit einer Greylisting-Erklärung für das Logfile).
  3. Der Mailserver trägt die IP des Absendermailserver ( absender.tld, 123.123.123.123 ) zusammen mit dem Absender (freund@absender.tld) und der Zieladresse (person1@mailserver.tld) in seine Datenbank ein.
  4. Ein vernüftig konfigurierter Mailserver wird innerhalb der nächsten 10 bis 60 Minuten eine erneute Zustellung versuchen. So ist es auch und so versucht der Mailserver von freund@absender.tld erneut, die Mail an person1@mailserver.tld zu übergeben.
  5. Der Zielmailserver schaut nun wiederum in seine Datenbank, ob ihm diese Kombination aus Quell-IP (wahlweise auch Quell-Subnetz), Absender und Adressat bereits bekannt ist. Da dem in diesem Fall so ist, nimmt er die Mail an und bestätigt die Annahme.

Die Idee hinter dieser “Verkomplizierung” der Mailzustellung ist, dass die Spammaschinen entweder das Handling von temporären Fehlern ausgeschaltet oder dieses in Ihren Mailprogrammen/ -servern gar nicht implementiert haben, um den Durchsatz zu erhöhen.

Wie kann ich Greylisting einsetzen?

Da Greylisting wie oben erläutert noch vor der Annahme der Mail geschehen muss, kann man dieses entweder direkt im Mailserver integrieren (z.B. Plugin) oder alternativ dem Mailserver als Proxy vorschalten.
sqlgrey: einfaches und robustes Greylisting weiterlesen