jtb.blog

Es kommt immer mehr Spam rein. Beim letzten Spam-Bericht waren die Prozentzahlen angenommer Mails noch zweistellig. Trotzdem hatte ich das Gefühl, dass immer der angenommen Mails nicht im Junk E-Mail Ordner landeten (sofern sie den Spam waren), sondern direkt in der Inbox. Unter anderem daran schuld sind wohl die Mails, die gezielt gegen Texterkennung kämpfen. Auszüge aus diversen Webseiten (darunter Bibeltexte, Kernelkommentare aber auch schwachsinniger Text) sorgen dafür, dass beim Training der Bayes-Filter verlernt wird.

Aus diesem Grund habe ich nun das erste Mal seit ein paar Jahren wieder zwei RBLs als harte Ablehnung im Einsatz: zen.spamhaus.org und ix.dnsbl.manitu.net
Die Zen-RBL hat den Vorteil, dass mehrere Listen zusammengefasst werden. Dagegen ist die NixSpam-Liste wesentlich kleiner, aber trotzdem sehr effektiv. Dafür hat Manitu derzeit noch Performance-Probleme (Umstellung auf BIND läuft aber).

Das Verhältnis angenommener gegen abgelehnte Mails ist derzeit bei 4% gegen 96%. Bei den 4% sind natürlich nochmal unerwünschte Mails, die nicht schon bei der Annahme vom Spamfilter erkannt wurden.
Ich erwarte, dass das Verhältnis noch schlimmer wird - die gerade installierte Version 0.40 von qpsmtpd hat nochmal zusätzliche Abwehrmassnahmen
Ich bin wirklich froh, dass ich Anfang des Jahres auf qpsmtpd umgestiegen bin. Ich will mir nicht vorstellen, wie die Spam-Last ohne aussehen würde..

Ich konnte es eigentlich nicht fassen, als ich in einem Forum über Rootserver gehört habe, dass ein Betreiber einer Witzesammlung (www.witzdestages.net) von jugendschutz.net angeschrieben wurde..

Hier ein Auszug:

nach Überprüfung der Website witzdestages.net mache ich Sie als Verantwortlichen darauf aufmerksam, dass dort entwicklungsbeeinträchtigende Inhalt frei zugänglich sind.

Das Angebot ist entwicklungsbeeinträchtigend nach § 5 Abs.1 JMStV (Entwicklungsbeeinträchtigung Minderjähriger). Beispielsweise ist aus meiner Sicht zu beanstanden:
- Rubriken: "Nationalitäten", "Frivole und versaute Witze" und "Blondinnen"

Das Angebot ist als entwicklungsbeeinträchtigend zu qualifizieren, da bei den Witzen vorwiegend in den Rubriken "Nationalitäten", "Frivole und versaute Witze" oder "Blondinnen" eine geschmacklose Abwertung in Form von Belustigung über gewisse ethnische Gruppen, Sexualität und Frauen sowie ein problematisches Frauenbild (Betrachtung der Frau als Sexobjekt, Gegenstand etc.) vermittelt wird. Diese Inhalte überschreiten die allgemeinen Wertvorstellungen über die Grenzen des sozialen und allgemeinen Anstand und können somit Kinder und Jugendliche in ihrer sozialen Entwicklung stark beeinflussen.
...

Im weiteren Teil des zweiseitigen Briefes wird der Betreiber darauf hingewiesen, dass er verantwortlich ist, dass das Angebot von Kindern oder Jugendlichen üblicherweise nicht wahrgenommen werden kann. Möglichkeiten: Programmierung für ein Jugendschutzprogramm oder die Zeit einschränken, in dem dieser Inhalt übers Internet zugänglich ist.
Weiterhin wäre er für Einträge im Gästebuch verantwortlich sofern diese unzulässig sind.

Fristsetzung: eine Woche.
Drohung: Weiterleitung an die Kommission für Jugendmedienschutz (KJM):

Diese kann neben einer Weiterleitung an die Strafverfolgungsbehörden auch eigene Maßnahmen zur Beseitigung des Verstoßes einleiten. Sie hat insbesondere die Möglichkeit die Untersagung oder Sperrung des Angebots, aber auch ein Ordnungsgeld anzuordnen.

Aber es wird noch besser:

Für geschäftsmäßige Anbieter von allgemein zugänglichen Telemedien, die entwicklungsbeeinträchtigende und jugendgefährdende Inhalte enthalten, sowie für Anbieter von Suchmaschinen bestimmt $ 7 Abs.1 Satz 2 Jugendmedienschutzstaatsvertrag (JMStV), dass ein Jugendschutzbeauftragter als Ansprechpartner für die Nutzer und Berater des Anbieters zu bestellen ist. Dieser muss die zur Erfüllung seiner Aufgaben erforderliche Fachkunde besitzen. Anbieter mit weniger als 50 Mitarbeitern oder nachweislich weniger als zehn Millionen Zugriffen im Monatsdurchschnitt können diese Verpflichtung auch dadurch erfüllen, dass der Anbieter die Wahrnehmung dieser Aufgaben einer Organisation der freiwilligen Selbstkointrolle überträgt.

Fazit: der Betreiber hat nicht genug Geld/Lust für Anwalt und einen eventl. Rechtsstreit. Das heißt, er hat für die betroffenen Rubriken ein Zeitfenster einprogrammiert.. Nicht mehr abrufbar zwischen 6 Uhr morgens und 22 Uhr abends..


Ich warte noch darauf, dass die anfangen beispielsweise die Bibel usw aus dem Netz zu verbannen - immerhin laufen Adam und Eva am Anfang nackt rum.. Alternative: schwarze Balken

Ich weiß wirklich nicht, was ich von solchen Bemühungen halten soll. Das Internet ist und wird auch in Zukunft trotz aller Bemühungen ein Gebiet der Erwachsenen sein. Selbst wenn alle deutschen Angebote "sauber" sind, gibt es weltweit noch soviel was unter dem Verständnis von jugendschutz.net illegal wäre, dass der Kampf dagegen vergleichbar mit dem Kampf gegen Windmühlen ist.

Aber um nochmal sachlich zu werden: was ist denn bitte nicht entwicklungsbeeinträchtigend? Mal abgesehen vom normalen TV-Programm, sieht man in den Nachrichten wohl jeden Tag mehr als genug von Krieg, Gewalt, Sex und Illegalem.
Wohl die meisten Schimpfwörter lernt ein Kind immer noch aus seiner Umgebung - d.h. Freunde, Schule aber auch Eltern.

Manchmal bin ich echt froh, dass ich in Punkto Sicherheit ein wenig mehr Aufwand reinstecke.
So wurde gestern abend einer meiner Apache-Vhosts gehackt und eine Remote-Shell hochgeladen (Ursache: eine alte PHP-Software, die eigentlich schon geupdatet wurde aber von einem Sicherungs-Restore wieder auf die alte Version zurückgesetzt wurde )

Dank sauberer Trennung der Vhosts (jeder Vhosts hat einen eigenen Systembenutzer) und Hardened-PHP ist nichts passiert.
Jetzt muss ich nur den Inhalt des Vhosts noch komplett löschen und neu aufsetzen.

Ohne Netz und doppeltem Boden? Ohne mich

Ich bin ja echt für Datenschutz, aber das kann doch nicht der ernst vom Gesetzesgeber sein..
Law-Blog gibt eine Übersicht was man als Webseitenbetreiber so machen muss.

Das Problem: sobald man personenbezogene Daten (dazu gehören auch IP-Adressen) verarbeitet muss man als Anbieter vor Beginn des verarbeiteten Dienstes den Benutzer drauf hinweisen.

Dieser muss einwilligen und bei einer elektronische Einwilligung geht das nur "durch eine eindeutige und bewusste Handlung des Nutzers" die wiederrum protokolliert werden muss
Bevor der jedoch irgendwie einwilligen kann, ist meistens schon seine IP gespeichert.
Datenschutz ist ja schön und gut, aber das ist irgendwie übertrieben und praxis-feindlich.

Lösung: einfach nichts mehr Speichern - bis auf das Error Log habe ich erstmal alles deaktiviert.. Viel besser wird es für alle Blogbetreiber, die einen der Blog-Counter verwenden - da wird nämlich die IP jedes Besuchers übermittelt. Inwiefern das in die eigene Datenschutzerklärung rein muss ist mir derzeit unklar.

Ich habe nun endlich qpsmtpd am Laufen. Problem war weniger das Skripten eines MySQL-Plugins sondern eher die Zeit bzw die Muße zu finden sich mal dranzusetzen

Ab sofort gehen Mails an meine beiden Haupt-Domains über qpsmtpd ein. Virenmails sowie Spammails mit einem Rating über 7 werden ab sofort direkt abgewiesen
Auch vom Earlytaker-Plugin erhoffe ich mir weniger Spam. Zwar wird einiges direkt in den Junk-Mail-Ordner sortiert aber warum Ressourcen dafür verschwenden?

Leider kann ich aufgrund der rechtlichen Lage nicht gleich alle Domains umstellen - dafür müsste ich meinen Benutzern eine Auswahl der Filterung anbieten. Also das Spamassassin-Modul um ein MySQL-Lookup erweitern. Aber erstmal muss ich weiter für Klausuren lernen

Nach einigen Stunden Arbeit ist mein Blog nun migriert

Am aufwändigsten war die Anpassung des Importers sowie die Umschiffung einiger Bugs bzw Umstellung auf andere Konzepte..

Dann sagt mal, was ihr vom neuen Design haltet. Ein sehr schönes neues Feature ist die Integration von BBCode für Kommentare. Somit ist kein umständliches HTML mehr nötig. Weiterhin kann man auf bestimmte Kommentare jetzt antworten - das sollte der Übersichtlichkeit gut tun und bessere Diskussionen erlauben.
Und den Rest findet man am besten beim Benutzen raus

Gruml, warum gibt es über Probleme bei der Migration von einem Blog-System zum anderen?

Ich bin seit einiger Zeit nicht mehr mit Wordpress zufrieden, aber der Wechsel weg zu anderen Systemen ist teilweise sehr schwer. Mal gibt es nur RSS-Importer, mal einen Wordpress-Importer, der nicht alles importiert oder offensichtliche Fehler macht

Wenn aber alles glatt läuft und ich genug Zeit für die nötigen Nacharbeiten finde, arbeitet hier demnächst eine andere Blog-Engine

Irgendwie finde ich das ganze verrückt..

Da beschweren sich zum einen die Leute, dass eine Homepage ein ordentliches Impressum haben soll und Denic ja sowieso den kompletten Adresssatz haben will und auf der anderen Seite sollen Jugendliche beispielsweise beim Chatten ihre Adresse nicht weitergeben.

Lösung: Jugendliche dürfen keine Homepage haben? Am besten noch keinen Blog, der ja unter Umständen auch impressumspflichtig sein kann?
Mittlerweile kann ja jeder Jugendlicher sowas haben - nicht nur die Technikfreaks (die hoffentlich über die Risiken besser bescheid wissen).

Das ist ja mal sowas von schizophren..

Aber bei folgenden Ratschlägen (Quelle: Heise) kann man sowieso nur noch die Kopf gegen die Wand schlagen..

wer Angaben über seine Hobbys verrät, biete Tätern oft ungewollt Gesprächseinstiege

Jugendliche sollten sich daher nie auf ein Treffen mit unbekannten Chattern einlassen

Jugendliche sollten generell darauf achten, keine Fotos von sich ins Netz zu stellen

Schon mal die Chat-Gewohnheiten von Jugendlichen angeguckt? Gerade unbekannte Chatpartner über bestimmte, nach Themen (z.B. Hobbies) geordnete Chat-Räume oder gar die Funktion Suche nach "Common Interests" bei diversen Instant Messaging Clients ist das Reizvolle..
Sollte man gleich das ganze Internet schlecht malen, bloß weil es ein paar schwarze Schafe gibt?
Meiner Meinung führen solche "Verbote" doch nur dazu, dass sie nicht ernst genommen werden..

Ach, es ist immer wieder schön zu lesen: "Trojaner in gefälschten GEZ-Rechnungen"..

Das die meisten Virenscanner den neuen Trojaner nicht finden, stört mich nicht - noch bevor die Mail überhaupt an den Virenscanner geht, testet mein Amavisd-new auf bestimmte Muster.
In diesem Fall führt die doppelte Endung: "RechnungGEZ.pdf.exe" zur automatischen Quarantäne - das Leben kann so einfach sein

Ich war schon dabei mir ein Konstrukt mit qpsmptd vor meinen Postfix zu bauen, aber nun erscheint eine bessere Lösung am Horizont: Postfix 2.3 wird Milter unterstützen

Jetzt warte ich nur noch darauf, dass Postfix 2.3 unter Gentoo stable wird und hoffe, dass Amavisd-new kompatibel mit Postfix-Milter sein wird. Dann steht der Abweisung von Viren und Spam schon während des Empfangs nichts mehr im Wege.

Es ist doch wirklich immer wieder dasselbe. Irgendwie können Entwickler nicht mehr Versionen umgehen.

Sei es nun ein Addon für World of Warcraft - hier im Beispiel CTRaidAssist oder ein CMS wie Joomla.

CTRA: es wurden immer neue Updates rausgebracht ohne die Version zu erhöhen. Aktueller Stand ist Version 1.621 Update 8. Einfach überprüfen wer seine Version nicht aktualisiert hat (zum Beispiel mit /raversion) ist damit nicht möglich

Joomla: die aktuelle stabile Version ist 1.0.11 - veröffentlicht am 28.08.2006. Diese Version enthält aber einen Bug, dass man Mambots nicht editieren kann. Der Hotfix ist im Forum seit dem 29.08.2006 zu finden..

Aber neue Version: keine Spur. Eigentlich wollte ich Joomla mal ausprobieren, aber das versaut mir gleich schon die Freunde am System (ohne Modifikation am Mambot ist der Editor nicht benutzbar wenn man ein Theme mit schwarzem Hintergrund benutzt). Als Einstieger in ein neues System braucht man dann ein weniger länger um sowas zu finden.. In meinen Augen quasi verschwendete Zeit. Das dann auch noch der Hotfix nur für registrierte Benutzer verfügbar ist, ist nur das i-Tüpfelchen

Update: es geht immer weiter. Gerade wollte ich WoWRoster installieren. Die Version 1.7.1 kam am 4 Juli 2006 raus und wurde am 22 Oktober nochmal aktualisiert. Im Downloadbereich dieser Version steht schon extra fett: "Don't forget to check up on any patches for WoWRoster!". Im Forum muss man sich dann durch fünf "Patches" durchklicken und diese installieren..

Nach einer aufwändigen Analyse welche Mailadressen ich für meine Domains wirklich verwende, habe ich eben Catchall für meine Domains deaktiviert. Über Catchall bekomme ich innerhalb eines Tages über 200 Spam-Mails.
Mal sehen wie stark sich das auf mein Spam-Level auf dem Server auswirkt..

Update: es geht weniger Spam und vor allem weniger Bounces auf meine Domains seitdem ich Catchall deaktiviert habe

Update2: in ungefähren Prozentwerten: 25% weniger Spam.

Aktueller Spam-Status auf meinem Server: 72% aller eingehenden Mails werden als Spam markiert.

Gruml, da habe ich gerade IPv6 für meine Mails aktiviert und schon musste ich es wieder deaktivieren

Grund: das sendmail von Postfix will /proc/net/if_inet6 lesen. Mein Kernel verweigert dies dank grsecurity und Postfix stellt die Mail nicht zu..



Das ganze mal mit strace mitgezeichnet:

Benutzer mit Restriktion auf /proc:


Benutzer ohne Restriktion auf /proc


Den Benutzer, der sendmail ausführt einfach in die grsecurity-proc-Gruppe zu stecken klappt nicht, da ich dann alle CGI-Benutzer freischalten müsste. Und gerade für die wollte ich ja die Proc-Seperation haben..

Da Postfix die Rechte scheinbar erst nach dem Einlesen von /proc/net/if_inet6 droppt, taucht das Problem erst auf, wenn man versucht lokal eine Mail zu verschicken. Die grundsätzliche IPv6-Verbindung klappt..
Aber nun lauscht Postfix erstmal nicht mehr auf ein IPv6-Interface

Disclaimer: diese Analyse basiert auf die Netzwerkanalyse von einem Server aus. Somit ist keine 100% Unabhängigkeit von einem Internetanbieter vorhanden.

In der folgenden Grafik ist die Latenz auf TCP-Ebene für den World of Warcraft Server "Die Silberne Hand" zu sehen. Man erkennt deutlich das Wartungsintervall am Mittwoch und die Auslastung am Abend. Als Anmerkung: die TCP-Latenz ist gewöhnlicherweise ein wenig höher als beim Testen per ICMP-Pakete (mittels ping oder traceroute).


Nun findet man im offiziellen Forum etliche Aussagen von Blizzardmitarbeitern (ob implizit oder explizit ist jetzt egal), dass meistens die Dialup-Anbindung des Spielers schuld sein soll. Dies mag in einigen Fällen zutreffen, in manchen aber auch nicht - siehe Kundenverarsche bei WoW?.

Hier nun eine weitere Grafik, die verdeutlichen soll, dass Blizzard jedenfalls nicht komplett alleine Schuld für die hohe Latenz ist. Man sieht hier die Latenz für den Router direkt vor der silbernen Hand. Hier wird die ICMP-Latenz aufgezeichnet.


Interessanterweise übereinstimmen die Peaks.. Jetzt kann man argumentieren, dass diese Grafiken abhängig von meiner Serveranbindung sind und somit auch andere Faktoren für die Peaks sorgen können. Weiterhin reagiert der Router teilweise schlechter als der Server dahinter - aus diesem Grund erkennt man auch eine zahlenmäßig höhere Latenz.
Meine Meinung ist aber, dass einige Latenzprobleme schon vor dem Blizzard-Netz entstehen und Schuld von Telia sind.

Ich habe in der letzten Zeit keine Kommentare freigeschaltet, aber dies soeben nachgeholt. Ursache: ich hatte zuviele Kommentare in der Warteschleife (vor allem Spam). Bei einem Moderationsversuch weigerte sich hardenened-php soviele Request-Variablen zu registieren - eine Sicherheitseinstellung:


Auch die Mailbenachrichtung hat irgendwie versagt

Eigentlich ist es pervers: die Hackertools sollen verboten werden und im gleichen Zug wird dem BKA und Verfassungsschutz das Hacken explizit erlaubt.

Was ich von dem Hackertoolverbot halte, habe ich ja schon mal geschrieben - aber der Zugriff des Staates auf eben solche ist das i-Tüpfelchen..

Armes Deutschland

Ach - wie ist es schön in einem Rechtsstaat zu leben.

Da können sich Manager mit Geld "freikaufen" weil "das öffentliche Interesse an der Strafverfolgung zu beseitigen ist" - sprich der Staat den Aufwand nicht betreiben will es weiter zu verfolgen und auf der anderen Seite wird wegen einer Urheberrechtsverletzung im Wert von 39€ eine Hausdurchsuchung angesetzt und der Rechner beschlagnahmt.


Spekulation:vielleicht kann man sich mit Geld nicht nur freikaufen sondern auch andere absichtlich verfolgen lassen....

Ab sofort empfängt und sendet mein Mailserver auch über IPv6
Ich hoffe, dass damit der IPv6-Traffic mal steigt..

Leider ist mein Server nur über einen 6to4-Tunnel angebunden - natives IPv6 ist in deutschen Rechenzentren bislang schwer zu bekommen

Das übliche Problem: FreiFunk und Konsorten sind nette Möglichkeiten seinen Internetanschluß zu teilen, aber die Haftungsfrage ist ein Hindernis: was ist wenn jemand über meinen Anschluß illegale Sachen macht?

Dafür hat ein Provider names Sofanet jetzt die Lösung: es werden über eine DSL-Leitung zwei Internetverbindungen aufgebaut. Benutzer bekommen eine eigene IP-Adresse und können darüber auch identifiziert werden. Kein Risiko also für den Eigentümer des DSL-Anschlusses und der WLAN-Infrastruktur..
Nur sollte der Betreiber ein wenig technisch versiert sein um nicht aus Versehen sein Netzwerk für Fremde zu öffnen. Weiterhin ist pptp dafür bekannt nicht allzu sicher zu sein.

Muss ich unbedingt mal ausprobieren