Weekly Snap: OSBConf, PHP & Puppet Enterprise Installer

weekly snap25 – 29 August got excited about the upcoming OSBConf, the new Puppet Enterprise Installer and hash table keys in PHP.
Eva started the week by counting 92 days to the OSMC with Birger Schmidt’s talk on the Flapjack – Monitoring Notification System.
She followed with a reminder to join next month’s Open Source Backup Conf 2014, as Ronny warned readers about the latest wave of zip file spam.
Johannes then showed how to use objects as hash table keys in PHP and Markus introduced the new Puppet Enterprise Installer.

Never ending Spam

nospamHeute halten wir uns schlicht und einfach und möchten die Allgemeinheit und die IT-Welt mal wieder vor den ganzen Spam-Wellen warnen. Derzeit kommen diese mit ZIP Files in unterschiedlichsten Zusammenhängen.
Beispiele sind Nachrichten von Ihrer freundlichen Apotheke, der Post/DHL wegen einer Sendung, dem Telefonbetreiber zwecks Rechnung oder Kündigung oder dem Klassiker der Bank. Wer bei seinem Filter Zip als Anhang durchlässt wird es aber auch schwer haben diese Spams derzeit zu filtern. Wieder ein Grund mehr ZIPs nicht als Anhang zuzulassen, E-Mails sind nicht zum File-Transfer entworfen worden 🙂
Es gibt sicher eine Person im Kreis der Verwandten von jedem, wo man sicher ist, das dieser derartige Nachrichten samt Anhang öffnet. Hier kann man nur noch einmal warnen, das z.B. die o.g. Absender einem nicht ohne weiteres eine Mail mit dubiosem Anhang schicken.
Daher bitte weitersagen, das man vor dem öffnen der Anhänge erst einmal die Nachrichten genau prüfen soll. Bin ich überhaupt Kunde, hat der Absender eigentlich die Adresse, wird man direkt angesprochen (Name, Vorname).
Und wer Hilfe bei Setup seines Mailservers braucht kann gern auf unsere Unterstützung zurückgreifen oder den Service direkt bei uns nutzen.

Abgeschaltete Blacklist führt zu vermehrten False-Positive Filterungen

Vor Zwei Wochen hatten wir den Fall, dass ungewöhnlich viele Mails auf unserem Mailsystem herausgfiltert wurden.
Ein Blick in das Logfile verriet, dass die Mails wegen zu hoher Bewertung als Spam eingestuft und nicht zugestellt wurden.
Ungefähr so sah das dann in den Logfiles aus:

Aug xx 0x:xx:xx mail postfix/policyd-weight[27714]: weighted check:  NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5 IN_DSBL_ORG=4.35 BAD_MX=9.135 BOGUS_MX=6.45 HELO_IP_IN_CL_SUBNET=-1.2 (check from: .foo. – helo: .bar. – helo-domain: .foo.)  FROM/MX_MATCHES_HELO(DOMAIN)=-2; <client=xx.yy.zz.yy> <helo=foo.de> <from=bar@foo.de> <to=foo@bar.de>; rate: 12.235

Alle eintreffenden Mails wurden mit der eingestellten Punktezahl bewertet, da die Blacklist bei jeder Anfrage eine fälschlicherweise positive Rückmeldung gab. Der Blick auf dsbl.org brachte dann Klarheit über das Verhalten. Die Liste ist eigentlich seit 2008 nicht mehr aktiv, lief jedoch weiterhin. Nun wird sie komplett abgeschaltet und liefert aus diesem Grund nur noch positive Meldungen zurück, damit Administratoren, bei deren Mailsystemen die Liste noch eingetragen ist, herausgenommen wird. Dies ist nicht ungewöhnlich und kommt nicht zum ersten mal vor. Auch Heise.de beschrieb das Problem.

Weekly Snap: Spamassassin, LiveStatus & MonitoringX

weekly snapJan 4- 8 started the New Year with a stable LiveStatus release, MonitoringExchange twittering and quick fixes for admins suffering from spam turn-of-decade inconveniences.
Bernd L shared a tip for admins using Spamassassin who may have found many emails being filtered out due to the filter rule FH_DATE_PAST_20XX. He showed how to modify the Spamassassin rule and offered the patch which unfortunately will face the same problem at the next turn of decade. For the lazy and those who don’t want to wait for the coming updated distribution package, he suggested sa-update.
Birger tipped off the release of check_mk version 1.1.0 and with it, a stable LiveStatus event broker addon. Enabling efficient status data transfer from a Nagios or Icinga core to other applications such as NagVis, Live Status is on the flipside unable to deliver historical data. This disadvantage however is shared with its alternative software – ndo2fs. The other drawback of its generic API incompatibility with all data sources can luckily be resolved by Icinga’s API. This can be adapted for LiveStatus with the majority of the work already done and available on GIT.
More on monitoring, Julian announced MonitoringExchange’s entrance to Twitter. To keep yourself informed of the new or updated plugins and projects as they are released, simply follow the account- MonitoringX.

Jahr 2000-Problem die Zweite: Spamassassin und das Jahr 2010

In den Postfächern der meisten Admins sind seit dem Jahreswechsel sicher viele Anfragen zu verschollenen Mails eingegangen. So wurden seit dem Jahreswechsel viele Mails durch den Spamfilter Spamassassin aufgrund des Datums ausgefiltert. Schuld daran ist die Filterregel FH_DATE_PAST_20XX, der eigentlich Mails ausfiltern sollte die zu weit in der Zukunft liegen. Das Problem wurde von den Spamassassin-Machern schon relativ zeitig erkannt und bereits vor ca. 6 Monaten durch einen Patch “behoben”. In der aktuellen Fassung trifft uns dieses Problem jedoch am 1.1.2020 wieder, d.h. hier können sich die leidgeplagten Admins schonmal einen Kalendereintrag machen 😉
Trotz dem frühen Patch waren viele Systeme von diesem Fehler betroffen, unter anderem auch große Mail-Provider wie GMX und 1&1. Die Beseitigung des Fehlers ist relativ einfach durchzuführen, die Filterregel FH_DATE_PAST_20XX muss wie folgt modifiziert werden:
Alte Regel:

mailserver:/usr/share/spamassassin# grep DATE_PAST *
50_scores.cf:score FH_DATE_PAST_20XX 2.075 3.384 3.554 3.188 # n=2
72_active.cf:##{ FH_DATE_PAST_20XX
72_active.cf:header   FH_DATE_PAST_20XX    Date =~ /20[1-9][0-9]/ [if-unset: 2006]
72_active.cf:describe FH_DATE_PAST_20XX    The date is grossly in the future.
72_active.cf:##} FH_DATE_PAST_20XX

Neue Regel:

mailserver:/usr/share/spamassassin# grep DATE_PAST *
50_scores.cf:score FH_DATE_PAST_20XX 2.075 3.384 3.554 3.188 # n=2
72_active.cf:##{ FH_DATE_PAST_20XX
72_active.cf:header FH_DATE_PAST_20XX Date =~ /20[2-9][0-9]/ [if-unset: 2006]
72_active.cf:describe FH_DATE_PAST_20XX The date is grossly in the future.
72_active.cf:##} FH_DATE_PAST_20XX

In den nächsten Tagen sollten entsprechend aktualisierte Distributions-Pakete verfügbar sein. Bis dahin lässt sich die oben beschriebene Änderung selbst durchführen oder das Spamassassin-eigene Tool sa-update verwenden. Mit diesem Tool werden die Spamassassin-Dateien auf den aktuellsten Release-Stand gebracht.

Open Rhein Ruhr: Spamfilter mit Großkalibern

orr_ckNachdem ich meinen Vortrag auf der Open Rhein Ruhr bereits absolviert habe, lausche ich gerade dem Vortrag von Charly Kühnast, der diesen ähnlich schon auf unserer OSDC vorgestellt hat.
Charly Kühnast ist seit 1996 Systemadministrator beim Rechenzentrum Niederrhein und dort verantwortlich für die Internet-Infrastruktur des RZ. Dabei beschäftigt er sich vor allem mit den Themen Sicherheitstechnik und Hochverfügbarkeit.
Der Vortrag geht auf die Herkunft der massiven SPAM-Wellen über Botnetze ein und zeigt Lösungswege auf, um auch mit einer großen Anzahl an SPAM-Mails umzugehen. Nach den USA an der Spitze vor Brasilien, nehmen diverse Staaten in Asien nach und nach die oberen Ränge der Top-Bot-Netze ein. In wenigen Bereichen wird soviel Geld für die Dinge ausgegeben die man nicht haben will.

Bernd Erk
Bernd Erk
CEO

Bernd ist Geschäftsführer der NETWAYS Gruppe und verantwortet die Strategie und das Tagesgeschäft. Bei NETWAYS kümmert er sich eigentlich um alles, was andere nicht machen wollen oder können (meistens eher wollen). Darüber hinaus startet er das wöchentliche Lexware-Backup und investiert seine ganze Energie in den Rest der Truppe und versucht für kollektives Glück zu sorgen. In seiner Freizeit macht er mit sinnlosen Ideen seine Frau verrückt und verbündet sich dafür mit seinem Sohn.

Live von der OSDC: Spam Filtering mit Charly Kühnast

kuehnastGerade ging der Vortrag von Charly Kühnast zu Ende. Inhalt des Vortrags mit dem Titel “Spam filters for large installations with Open Source software” war wie der Name vermuten lässt das Handling einer Vielzahl von Spam Mails, im Falle des Kommunalen Rechenzentrums Niederreihn ca. 6.000.000 am Tag.
Charly ist dort für die Rechenzentrumsinfrastruktur, speziell Sicherheitstechnik und Hochverfügbarkeit, zuständig und ist außerdem Lehrbeauftragter der Hochschule Niederreihn im Seminar “IT-Security”. Da wir, wie jeder Hosting Dienstleister, täglich mit Millionen von Emails kämpfen müssen, ist der Vortrag besonders spannend gewesen.
Gerade die Feinheiten von DNSBL wurden ausführlich behandelt und ergaben, abgerundet mit dem grundsätzlichen Aufbau und Verwendung von mehrstufigen Konzepten, ein vollständiges Bilder der aktuellen Techniken.

Bernd Erk
Bernd Erk
CEO

Bernd ist Geschäftsführer der NETWAYS Gruppe und verantwortet die Strategie und das Tagesgeschäft. Bei NETWAYS kümmert er sich eigentlich um alles, was andere nicht machen wollen oder können (meistens eher wollen). Darüber hinaus startet er das wöchentliche Lexware-Backup und investiert seine ganze Energie in den Rest der Truppe und versucht für kollektives Glück zu sorgen. In seiner Freizeit macht er mit sinnlosen Ideen seine Frau verrückt und verbündet sich dafür mit seinem Sohn.

Erster deutschsprachiger eMail Wurm im Umlauf

Seit einigen Tagen kursiert der eMail Wurm W32.Sober im Internet. Da momentan alle paar Tage ein neuer Virus oder Internetwurm große Wellen schlägt ist das eigentlich nichts besonderes. Viel interessanter ist allerdings die Tatsache, dass sich W32.Sober an die Sprache des Empfängers anpasst, also bei eMail Adressen, die auf .de, .at oder .ch enden, deutsche Betreffzeilen, Texte und sogar Attachments benutzt. Durch die vertraute Sprache bei Betreffzeilen wie “Hi Schnuckel was machst du so ?” oder “Jetzt rate mal, wer ich bin !? ” haben sich viele Anwender in die Falle locken lassen und auf das Attachment geklickt. Auch diese hatten deutsche Bezeichnungen, z.B. “schnitzel.exe” oder “Bild.scr”. Wie viele anderen Würmer auch verwendet Sober gefälsche Absenderadressen aus den Adressbüchern seiner Opfer.

Julian Hein
Julian Hein
Executive Chairman

Julian ist Gründer und Eigentümer der NETWAYS Gruppe und kümmert sich um die strategische Ausrichtung des Unternehmens. Neben seinem technischen und betriebswirtschaftlichen Background ist Julian häufig auch kreativer Kopf und Namensgeber, beispielsweise auch für Icinga. Darüber hinaus ist er als CPO (Chief Plugin Officer) auch für die konzernweite Pluginstrategie verantwortlich und stösst regelmässig auf technische Herausforderungen, die sonst noch kein Mensch zuvor gesehen hat.

Fast jede dritte E-Mail ist Werbung

Wer sich über die steigende Zahl an Werbe-E-Mails ärgert, darf sich bestätigt fühlen. Nach einer Untersuchung des Marktforschungsunternehmens Netvalue bestand im Dezember 2001 in Deutschland 31 Prozent der elektronischen Post aus Marketing-E-Mails. In konkreten Zahlen ausgedrückt, hat der private Internet-Surfer im letzten Monat des Jahres im Durchschnitt 32 E-Mails bekommen, davon zehn mit werberischem Inhalt. Zu Beginn des Jahres 2001 lag der so genannte „Spam”-Anteil noch bei 24 Prozent.
Netvalue hat sich bei dieser Untersuchung einer Software bedient, die die Online-Aktivitäten von etwa 3.000 ausgewählten Internet-Nutzern fortwährend analysiert.

Julian Hein
Julian Hein
Executive Chairman

Julian ist Gründer und Eigentümer der NETWAYS Gruppe und kümmert sich um die strategische Ausrichtung des Unternehmens. Neben seinem technischen und betriebswirtschaftlichen Background ist Julian häufig auch kreativer Kopf und Namensgeber, beispielsweise auch für Icinga. Darüber hinaus ist er als CPO (Chief Plugin Officer) auch für die konzernweite Pluginstrategie verantwortlich und stösst regelmässig auf technische Herausforderungen, die sonst noch kein Mensch zuvor gesehen hat.