schokokeks.org

Hosting

  • Spenden für AqBanking

    Mi, 21. Mär 2007 - 11:04, CC by-sa

    Um unsere Bankgeschäfte zu erledigen setzen wir selbstverständlich auch auf freie Software unter Linux. Dazu gibt es das Paket AqBanking, das eine HBCI-Schnittstelle für z.B. GnuCash zur Verfügung stellt.

    Leider sind die Spezifikationen mancher HBCI-Chipkarten nicht vollständig frei und die Karten mancher Hersteller können momentan noch nicht benutzt werden. Dazu gehören leider viele Volksbanken.

    Seit Kurzem verteilt unsere Volksbank Karten mit einem SECCOS-Chip, dessen Spezifikation zwar nicht frei verfügbar ist, aber unter einer Lizenz erworben werden kann, die das Programmieren freier Software gestattet.

    Der Autor der AqBanking-Software, Martin Preuss, bittet daher momentan um Spenden für den Erwerb der Spezifikationen.

    Da wir daraus einen direkten Nutzen haben und so auf einfache Art und Weise einen Beitrag zur Weiterentwicklung freier Software leisten können, wird sich schokokeks.org am Kauf der Lizenz bzw. dem Aufwand der Programmierung mit einer Spende beteiligen.

     
  • Sicherheitsprobleme in GnuPG und ClamAV

    So, 18. Feb 2007 - 14:23, CC by-sa

    Gleich zwei kritischere Sicherheitslücken gab es heute zu vermelden: Zum einen vermeldet der Autor des Verschlüsselungstools GnuPG, Werner Koch, über ein von extern manipulierbaren Funtionszeiger. Sämtliche Systeme, die externe Eingaben mit GnuPG überprüfen oder entschlüsseln, sind damit gefährdet. Ein Update auf Version 1.4.6 ist verfügbar, für Version 2.0.1 steht ein Patch bereit.

    Desweiteren untersuchte Hendrik Weimer verschiedene Virenscanner auf ihr Verhalten bei fehlerhaft BASE64-codierten Anhängen. Mehrere der untersuchten Scanner scheiterten hier, darunter auch ClamAV. Ein Patch findet sich hier im CVS des Projekts.

    Beide Pakete wurden auf dem schokokeks.org Server bereits aktualisiert, für das letztere Problem bietet heise security einen Online-Check an: Eine harmlose Testdatei, die von allen Virenscannern erkannt wird (die EICAR-Testsignatur), wird entsprechend manipuliert versendet. Unsere Kunden, die ihre Mails mit ClamAV filtern, können dies gerne testen.

     
  • Ein Monat Greylisting

    So, 18. Feb 2007 - 14:22, CC by-sa

    Seit etwa einem Monat setzen wir nun Greylisting ein (siehe voriger Blog-Eintrag).

    Wir sind mit der Effizienz und vor allem mit der Handhabung bisher sehr zufrieden. Bisher hat kein einziger Benutzer seine Domain in die globale weiße Liste eintragen lassen. Nach kleinen Schönheitsfehlern in den ersten Stunden des Einsatzes wurden uns bisher keine Probleme gemeldet, die sich auf diese Technik beziehen.

    Nachdem jetzt ein Monat vergangen ist, finden wir das einen guten Zeitpunkt über die Effektivität des Filters zu berichten.

    Nachfolgende Zahlen beziehen sich auf einen Zeitraum von 24 Stunden, als Mittelwert einer 48-stündigen Aufzeichnung.

    Nachrichten, die aufgrund einer früheren Freischaltung sofort akzeptiert wurden: 2471
    Nachrichten, die über eine autorisierte SMTP-Verbindung (Login) oder lokal vom Server versandt wurden (ausgehende Nachrichten): 981
    Nachrichten, die beim ersten Versuch abgelehnt wurden: 3554
    Davon wurden ein zweites Mal versandt: 273
    Dadurch also Nachrichten abgewiesen: 3281
    Nachrichten-Eingang gesamt (ohne erneut gesendete und ausgehende Nachrichten): 6025

    Zusammengezählt bedeutet dies, dass wir mittlerweile alleine über das Greylisting mehr als die Hälfte aller E-Mails die uns erreichen, ablehnen können.
    Da unsere Benutzer naturgemäß sehr viele automatisch generierte E-Mails empfangen, darf die Quote bei alleiniger Betrachtung der Individual-E-Mails deutlich größer geschätzt werden.

    Das gefühlte Spam-Aufkommen in der normalen Inbox ist bei allen Benutzern von denen wir Feedback bekommen haben fast vollständig zurückgegangen.

     
  • FastCGI für PHP ohne safe_mode

    Mo, 8. Jan 2007 - 19:38, CC by-sa

    Leider ist der Betrieb des Apache-PHP-Moduls nur im sog. safe_mode möglich, da sonst jeder Benutzer alle Daten von anderen Benutzern auslesen könnte.
    Leider gibt es Anwendungsbereiche, in denen der safe_mode zu Problemen führt, wie z.B. das nachträgliche Verändern von hochgeladenen Dateien. Bislang boten wir für solche Zwecke PHP-als-CGI unter SuExec an, aber das bringt leider das Problem, dass es sehr viel mehr Systemressourcen bei weniger Geschwindigkeit kostet.

    Daher sind wir froh, jetzt PHP unter FastCGI anbieten zu können. das Prinzip bei FastCGI ist, dass ein PHP-Prozess wie ein normales CGI gestartet wird, dann aber im Speicher verbleibt um weitere Anfragen zu beantworten. Bei uns werden Prozesse nach 10 Minuten Inaktivität beendet. Eine wenig besuchte Seite hat also das Ergebnis ähnlich der bisherigen CGI-Variante, sobald jedoch mehrere Zugriffe hintereinander eingehen, liefert der Server eine deutlich bessere Agilität und die Seite wird schneller.

    Wer also eine Anwendung benutzen will, die unter safe_mode nicht funktioniert, kann dies nun auf Wunsch bei uns umstellen lassen.

     
  • Greylisting

    Mo, 8. Jan 2007 - 19:28, CC by-sa

    Seit dem gestrigen Sonntagabend setzen wir auf schokokeks.org zur Spam-Abwehr einen sog. Greylisting-Filter ein. Dabei wird eine E-Mail beim ersten Zustellversuch temporär abgelehnt und erst beim zweiten Versuch akzeptiert. Viele Spammer starten aber keinen zweiten Zustellversuch, daher eignet sich diese Methode recht gut zur Spam-Abwehr.

    In den ersten Stunden wurden ein paar kleinere Implementierungsfehler festgestellt, die aber sofort behoben wurden. Dazu gehört unter anderem die falsche Annahme, jeder Mailserver würde mindestens 5 Minuten zwischen zwei Zustellversuchen warten. Es hat sich gezeigt, dass z.B. nullmailer penetrant im Minutentakt sendet, daher wurde die Erneuerung der Sperrfrist jetzt gestrichen, nach spätestens 8 Minuten wird jetzt eine Mail akzeptiert, egal wie oft vorher versucht wurde die Mail zuzustellen.

    Nach knapp 24 Stunden hier schon die erste (noch nicht sehr aussagekräftige) Statistik:
    Es wurden 4496 Nachrichten temporär abgelehnt, von diesen haben 571 Mails einen zweiten Versuch gestartet und wurden erlaubt.
    Jede erlaubte Nachricht setzt den Absender-Mailserver und die Absender-Empfänger-Kombination auf eine Whitelist, sodass bei Wiederkehr der selben Konstellation die Mail sofort akzeptiert wird. Aufgrund dieser Liste wurden bislang 1104 E-Mails sofort akzeptiert.

    Es wurden in dieser Zeit also letztlich 2821 Nachrichten abgelehnt und 1675 Nachrichten angenommen. Das macht eine Spam-Abwehr-Rate von gut 66%. Und das ohne Systemressourcen in nennenswertem Umfang zu verbrauchen. (Datenbank-Größe momentan etwa 1MB, Laufzeit des Filters pro Mail deutlich unter einer Sekunde. Wir arbeiten mit einem Thread-Pool von 10 Threads und es waren bisher bei unseren Beobachtungen nie mehr als 5 Threads parallel tätig.)

    Es ist auch zu deutlich zu sehen, dass die Zahl der nach erster Ablehnung wiederkehrenden Mails in den letzten Stunden eher stagnierte, dafür stieg die Zahl der sofort akzeptieten Mails immer schneller an. Das bedeutet, immer mehr Mails werden ohne jede Verzögerung akzeptiert.

    Unseren Kunden bieten wir die Möglichkeit, eigene Domains in eine Whitelist einzutragen, damit Mails an diese Domains niemals verzögert werden. Von dieser Möglichkeit wurde bisher kein Gebrauch gemacht.

     

Seiten

schokokeks.org Hosting - Blog-Einträge abonnieren