Spamhaus DQS unter Postfix konfigurieren

Spamhaus betreibt seit vielen Jahren einige der effektivsten Echtzeit-Blocklisten (DNSBLs) gegen Spam, Botnets und missbrauchte Mailserver. Viele Administratoren nutzen diese Listen über die klassischen öffentlichen DNS-Mirrors, etwa zen.spamhaus.org. Doch seit einiger Zeit schränkt Spamhaus die Nutzung genau dieser Public Mirrors deutlich ein.

Insbesondere gilt dies für Nutzer großer Hosting- und Cloud-Provider wie Hetzner oder OVH. Wer Spamhaus nun z.B. beim eigenen Mailserver mit diesen Providern einsetzt, wird im Log solche Meldungen entdecken:

Service unavailable; Client host [203.0.113.127] blocked using zen.spamhaus.org; Error: open resolver;

Die Legacy-Mirrors sind eigentlich nur für kleine Installationen gedacht, also für einzelne Mailserver, die klar identifizierbar über ihre eigene IP-Adresse sind. Doch genau diese eindeutige Identifikation funktioniert nicht mehr zuverlässig, wenn Anfragen über große Cloud-Infrastrukturen kommen. Damit kann die Fair-Use-Policy nicht mehr sinnvoll durchgesetzt werden.

Als Alternative bietet sich der Spamhaus-Dienst Data Query Service (DQS) an. Damit werden die Abfragen weiterhin per DNS ausgeführt, jedoch über einen individuellen Zugangsschlüssel, der als Subdomain eingebettet wird und so eine eindeutige Identifikation ermöglicht. Im ersten Schritt muss hierfür ein Account angelegt werden. Nachdem der Account erstellt wurde, kann sich über das Portal eingeloggt werden. Dort kann unter dem Punkt ProductsData Query Service ein DQS-Schlüssel erzeugt werden.

Das Portal von Spamhaus

Anschließend kann mit der Konfiguration von Postfix begonnen werden:

nano /etc/postfix/dnsbl-reply-map

In diese Datei wird Folgendes eingetragen:

dqskey.zen.dq.spamhaus.net=127.0.0.[2..11]	554 $rbl_class $rbl_what blocked using ZEN - see https://www.spamhaus.org/query/ip/$client_address for details
dqskey.dbl.dq.spamhaus.net=127.0.1.[2..99]	554 $rbl_class $rbl_what blocked using DBL - see $rbl_txt for details
dqskey.zrd.dq.spamhaus.net=127.0.2.[2..24]	554 $rbl_class $rbl_what blocked using ZRD - domain too young
dqskey.zen.dq.spamhaus.net			554 $rbl_class $rbl_what blocked using ZEN - see https://www.spamhaus.org/query/ip/$client_address for details
dqskey.dbl.dq.spamhaus.net			554 $rbl_class $rbl_what blocked using DBL - see $rbl_txt for details
dqskey.zrd.dq.spamhaus.net			554 $rbl_class $rbl_what blocked using ZRD - domain too young

Der Platzhalter dqskey wird hierbei durch den realen DQS-Schlüssel ersetzt. Nach einer Ausführung von Postmap:

postmap /etc/postfix/dnsbl-reply-map

geht es an die eigentliche Konfiguration:

nano /etc/postfix/main.cf

Dort muss im ersten Schritt die alte Spamhaus-Konfiguration (wenn vorhanden) entfernt werden. Nun kann die neue Konfiguration hinzugefügt werden:

smtpd_recipient_restrictions =
    ...
    reject_rbl_client dqskey.zen.dq.spamhaus.net=127.0.0.[2..11]
    reject_rhsbl_sender dqskey.dbl.dq.spamhaus.net=127.0.1.[2..99]
    reject_rhsbl_helo dqskey.dbl.dq.spamhaus.net=127.0.1.[2..99]
    reject_rhsbl_reverse_client dqskey.dbl.dq.spamhaus.net=127.0.1.[2..99]
    reject_rhsbl_sender dqskey.zrd.dq.spamhaus.net=127.0.2.[2..24]
    reject_rhsbl_helo dqskey.zrd.dq.spamhaus.net=127.0.2.[2..24]
    reject_rhsbl_reverse_client dqskey.zrd.dq.spamhaus.net=127.0.2.[2..24]
    ...

Damit die DQS-Schlüssel nicht per Reject-Nachricht nach außen geleakt werden, wird noch die Reply Map eingebunden:

rbl_reply_maps = hash:$config_directory/dnsbl-reply-map

Anschließend kann Postfix neu gestartet werden:

systemctl restart postfix

Getestet werden kann das Ganze dann z.B. mit dem Blocklist Tester von Spamhaus.

Umstellung des master-Branch auf main-Branches in Forgejo

Der Standard-Branch in Git ist seit einiger Zeit main, anstatt des veralteteten master. Wer Projekte, die Forgejo nutzen, vom Branch master auf main umstellen möchte, muss den Standard-Branch entsprechend anpassen. Im ersten Schritt sollte lokal der main-Branch aus dem master-Branch erzeugt und auf den Server gepusht werden: 

git checkout master
git branch -m main
git push -u origin main

Anschließend kann in Forgejo der Standardbranch von master zu main geändert werden. Dies geschieht in den Einstellungen des Repositories unter Branches:

Die Einstellungen des Repository

Nun kann der Branch auf dem Git-Server gelöscht werden:

git push origin --delete master

Ist dies geschehen, kann der lokale Branch ebenfalls gelöscht werden:

git branch -D master

Auf verbleibenden lokalen Repositories kann die Aktualisierung nun wie folgt vorgenommen werden:

git pull
git checkout main
git branch -D master

Speicher unter macOS bereinigen

Vor allem vor einem macOS-Update kann es vorkommen, dass auf den kleineren Speicherkonfigurationen eines Macs der Speicher knapp wird. Neben dem manuellen Ausmisten helfen hierbei auch Tools wie mac-cleanup-py. Das Tool kann über Homebrew installiert werden:

brew install mac-cleanup-py

Nach der Installation kann das Werkzeug über:

sudo mac-cleanup

aus dem Terminal heraus angestartet werden. Beim ersten Aufruf können die Module für die Bereinigung aktiviert werden. Später kann dies mittels:

mac-cleanup -c

wiederholt werden. Soll die Bereinigung ohne nachfragen durchgeführt werden kann der Parameter -f mit angehangen werden:

sudo mac-cleanup -f

Das Tool selbst ist freie Software unter der Apache License in Version 2.

Aktualisierungsskript für Ubuntu-Rechner

Für Ubuntu-Rechner habe ich es mir seit vielen Jahren angewöhnt ein Skript upgrade.sh zu erzeugen, welches installierte Pakete auf den aktuellen Stand bringt:

#!/bin/sh
apt autoremove -y && apt autoclean -y && apt update && apt full-upgrade -y && apt autoremove -y && apt autoclean -y
snap refresh

Bei apt wird autoremove und autoclean vor und nach dem Upgrade aufgerufen, um bei Systemen mit wenig Speicherplatz für möglichst viel freien Platz zu sorgen. Technisch unspektakulär, aber eine zuverlässige kleine Routine, die die Systempflege deutlich erleichtert.

ELV Fibonacci-Uhr unter Linux ansprechen

Bei der ELV Fibonacci-Uhr handelt es sich um einen Bausatz für eine Fibonacci-Uhr. Diese kann über serielle Terminal-Befehle gesteuert werden. Auf der offiziellen Webseite werden allerdings nur Möglichkeiten angeboten das Ganze über Windows zu bewerkstelligen.

Die ELV Fibonacci-Uhr

Damit es unter Linux funktioniert, müssen ein paar kleinere Hürden genommen werden. In dem Gerät steckt ein CP210x-Chip für die serielle Kommunikation. Allerdings wird dieser auf Anhieb unter Linux nicht erkannt. Ein Aufruf von:

dmesg | tail -n 20

zeigt folgendes:

[   99.803450] usb 1-1: new full-speed USB device number 7 using xhci_hcd
[   99.928828] usb 1-1: New USB device found, idVendor=18ef, idProduct=e037, bcdDevice= 1.00
[   99.928865] usb 1-1: New USB device strings: Mfr=1, Product=2, SerialNumber=3
[   99.928883] usb 1-1: Product: Fibonacci-Clock FC1
[   99.928898] usb 1-1: Manufacturer: ELV
[   99.928911] usb 1-1: SerialNumber: 162b12d76ceeec11bd1331f90f611c40

Allerdings taucht kein Gerät unter /dev/tty* auf. lsusb zeigt ebenfalls, dass ein USB-Gerät entdeckt wurde:

Bus 001 Device 007: ID 18ef:e037 ELV Elektronik AG Fibonacci-Clock FC1

Damit das Gerät nun über das serielle Interface angesprochen werden kann, wird im ersten Schritt der Treiber in den Kernel geladen:

modprobe cp210x

Danach wird temporär ein neues Gerät erstellt:

echo 18ef e037 | sudo tee /sys/bus/usb-serial/drivers/cp210x/new_id

Nun kann sich über Screen (alternativ kann auch Picocom genutzt werden) mit dem Gerät verbunden werden:

screen /dev/ttyUSB0 115200

Zum Test kann dort das Kommando v abgesetzt werden. Kommandos wie das Zeitkommando (T12:01:01) sollten am besten am Stück eingefügt werden, da sie sonst automatisch als t-Kommando erkannt werden, welches die Zeit nur anzeigt.