einfache SPF Einträge erstellen

SPF ?  WTF is SPF ?

Der Sender Policy Framework erlaubt es dem Empfänger einer Email zu prüfen, ob die Email die er gerade bekommt, wirklich von den Mailservern des Absender stammt, oder ab der Absender Fake ist.

Damit das klappt, muß der Absender zwei, ja zwei, einer reicht nicht mehr, Einträge im DNS vornehmen.

Bis SPF standardisiert wurde, reichte es einen TXT Eintrag zu haben. Heutzutage gibt es einen eigenen DNS Type namens SPF für den SPF Eintrag, den sollte man also auch ausfüllen, weil TXT irgendwann nicht mehr geprüft wird.

Die beiden Einträge sind aber gleich aufgebaut, man muß also nichts neues lernen.

Ein Beispiel ( gekürzt auf das Wesentliche ) am Beispiel des TXT Eintrags ) :

$ dig TXT bloggt-in-braunschweig.de

; <<>> DiG 9.10.3-P4-RedHat-9.10.3-13.P4.fc23 <<>> TXT bloggt-in-braunschweig.de

;; ANSWER SECTION:
bloggt-in-braunschweig.de. 21599 IN    TXT    „v=spf1 mx -all“

Erklärung: „v=spf1 mx -all“

v=spf1 beschreibt den SPF Type, der Teil ist derzeit immer so, aber das könnte sich in Zukunft mal ändern.
mx       legt fest, daß die IP des Senders mit der IP des MX der Domain übereinstimmen muß.
-all       legt fest, daß es keinen Zweifel gibt, daß der SPF Eintrag vollständig ist und daher alle Mails die mit ihm nicht übereinstimmen, gelöscht werden können.

Diesen SPF kann man jetzt noch erweitern, hier ein Beispiel, wenn der Webserver nicht gleich dem Mailserver ist:

Erklärung: „v=spf1 a mx -all“

a          legt fest, daß die IP auch die des IN A zum Domainnamen sein darf.

Hat man mehrere IPs auf dem Server, wäre es clever auch diese einzutragen, weil man nie sicher sein kann, daß der Mailserver nicht mal eine andere IP davon benutzt:

Erklärung: „v=spf1 a mx ip4:5.4.3.5/24 -all“

ip4:ip/mask  legt also fest, aus welchen IP Bereich der Absender stammen darf. Das ist z.b. ganz wichtig für web.de oder gmx.de die einen ganzen Serverpark nutzen um Emails zu versenden. Die „ip4“ Anweisung kann man beliebig oft einsetzen, wenn man mehrere Netze hat.

Es gibt noch einige andere Anweisungen, z.b. kann man mit include ganze SPF Anweisungen von anderen Domains übernehmen. Z.b. wenn man bei xxx.domain als Hoster einen Service nutzt, könnte man den SPF von xxx.domain includen und wäre so sicher, auch immer alle Serverips freigegeben zu haben, die dieser Hoster nutzt.

Das Wirkprinzip nochmal in Detail

Der Domaininhaber legt pro Domain fest, von welcher IP eine Email gesendet werden darf.

Der Empfänger prüft, ob die zu ihm kommende IP vom SPF Eintrag gedeckt ist.

Daraus folgt, daß jeder Domaininhaber tätig werden muß.

SPF Fallen

Prinzipbedingte Fallen von SPF sind z.b. Weiterleitungen an andere Emailkonten auf anderen Servern.

Wenn ich auf Server A von Domain X eine Email bekomme, sehe ich als Server noch die IP des originalen Absenders. Wenn ich als Server die Email an Server B weiterleite, sieht der nur meine IP und kann auch nur die gegen den SPF prüfen. Wenn das nicht paßt, und das wird es in 99% der Fälle nicht, wird die Email korrekterweise abgelehnt. Hier gibt es nur eine Abhilfe, des Absender beim Weiterleiten umzuschreiben, so daß man den Originalabsender noch sieht, aber er nicht mehr für SPF Prüfungen in Frage kommt.

Um das zu machen, gibt es verschiedene Ansätze wie SRS , aber nichts was aus einer RFC kommt, AFAIK.

Links

Da dies nur eine kleine Einführung in die Welt von SPF sein kann, hier einige Links zum Thema:

Wikipedia: Sender Policy Framework
OpenSPF: www.openspf.org

Linuxhinweise

Mit Dig, daß auf allen Distros zu haben sein dürfte, kann man so die Records abfragen:

dig -t TXT domainname
dig -t SPF domainname

Da wir einen SPF vom Type SPF im DNS gesetzt haben, DIG aber nichts dafür ausgibt, weiß ich jetzt nicht, ob der DNS den Fehler macht, oder DIG.

Mit der Perlerweiterung Perl-Mail-SPF kann man den Eintrag checken:

/usr/share/doc/perl-Mail-SPF/bin/spfquery –scope mfrom –id someone@domainname –ip 8.9.34.31

Beispiel:

# /usr/share/doc/perl-Mail-SPF/bin/spfquery –scope mfrom –id someone@bloggt-in-braunschweig.de –ip 1.2.3.4
fail
Please see http://www.openspf.org/Why?s=mfrom;id=someone%40bloggt-in-braunschweig.de;ip=1.2.3.4;r=XXXXXXXX.XXXXXXXXXXX.XXXXX
bloggt-in-braunschweig.de: Sender is not authorized by default to use ’someone@bloggt-in-braunschweig.de‘ in ‚mfrom‘ identity (mechanism ‚-all‘ matched)
Received-SPF: fail (bloggt-in-braunschweig.de: Sender is not authorized by default to use ’someone@bloggt-in-braunschweig.de‘ in ‚mfrom‘ identity (mechanism ‚-all‘ matched)) receiver=s36.my-system.de; identity=mailfrom; envelope-from=“someone@bloggt-in-braunschweig.de“; client-ip=1.2.3.4

Wie man sieht, ist 1.2.3.4 nicht im SPF drin und darf deswegen im unserem Namen keine Emails verschicken.

Wie man in Bash Strings partiell vergleicht

Bash Stringvergleiche sind einfach :

if [ "$a" == "$b" ]; then 
          echo "gleich"
fi

Aber manchmal will man ja was auch nur Teilmengen vergleichen. Dazu braucht man die Doppelklammer und die Wildcards:

if [[ "$CERTNAME" == *"$HOSTNAME"* ]]; then
        echo "Teilvergleich erfolgreich"
fi

Wenn also HOSTNAME ein Teil von CERTNAME ist, dann trifft das obige zu. Wenn man == durch != ersetzt, kann man das Gegenteil abfragen. Es gibt aber noch einen anderen Weg, über RegExpressions:

if [[ "$CERTNAME" =~ .*$HOSTNAME.* ]]; then
   echo "RegExp ist gültig"
fi

Das hat den Vorteil, daß es auch etwas komplizierteres sein darf:

if [[ "$A" =~ .*(ab|vom).* ]]; then

Viel Spaß damit.

Diese Woche im Netz

Putschversuch in der Türkei …. und missglückt. Von militärischer Präzision kann man wohl nicht sprechen.

Quelle: https://twitter.com/hashtag/T%C3%BCrkei?src=tren

Für alle die auf einem Windows 10 den Ubuntu Desktop laufen lassen wollen, finden in dem Link unten eine bebilderte Anleitung, wie man das schafft.

Quelle: thehackernews.com

„Sky“ ist Großbritaniens größter TV Anbieter und gleichzeitig für seine raubgestreamten Sportkanäle berühmt. Deswegen hatte Sky eine Domain der Piraten übernommen. Und ? 🙂 Sky hat wohl vergessen die DNS Server zu tauschen und linkt jetzt immer noch auf die Piratenseite, seit Monaten 🙂

Quelle: torrentfreak.com

Wer glaubt, daß Abmahnmissbrauch ein deutsches Phänomen wäre, der klickt auf den Link unten. Da werden in England auch mal 82jährige Omas bedroht.

Quelle: torrentfreak.com

Amerikanische Gerichte meinen, daß man ein Bundesverbrechen begeht, wenn man öffentliche Webseiten aufruft und einem das verboten worden ist.

Quelle: thehackernews.com

Die Foren von Ubuntu wurden gehackt.

Quelle: lwn.net

Microsoft muß Emails, die auf ausländischen Servern liegen doch nicht herausgeben – Vorerst. Das Ganze könnte noch vor den obersten Gerichtshof gelangen.

Quelle: golem.de

Der aus China stammende Maxthon-Browser sendet heikle Daten nach Hause und ist dabei auch noch schlampig am Werk.

Quelle: golem.de

Und wieder eine Windows Kopie mehr, die auf Linux basiert. Wer sich einen Test mit Screenshots ansehen will, folgt dem Link.

Quelle: linux.com

 

Windows-L&F-Clone : ChaletOS

Und wieder einer der sein Windows vermißt hat : Dejan Petrovic 😀

Aus dem XcFe und Ubuntu aka Xubuntu hat er mit einigen Desktoptweaks ein Windowsfeeling gebaut. Warum er da nicht gleich Cinnamon genommen hat, wird wohl ein Rätsel bleiben.

Insgesamt macht sein Ansatz einen aufgeräumten EIndruck. Die überdimensionale Uhr ist allerdings komplett übertrieben. Zugute halten muß man dem „Schöpfer“, daß er sich beim First-Use des System viel Mühe gegeben hat. Ähnlich wie es beim ersten Login bei Gnome üblich ist, bekommt der Benutzer einen Guide vorgesetzt, der ihm die wichtigsten Fragen erklärt. (Es gleich selbsterklärend zu entwerfen, war wohl keine Option {gilt auch für GNOME}). Dieser Guide ist aber auch gleichzeitig ein Startportal um Aufgaben im System zu erledigen, vielleicht am besten als Wizard beschrieben. Da sollten andere Distros möglicherweise mal drüber nachdenken.

Mehr von ChaletOS kann man hier sehen und lesen.

Update: Link fixed.

SMS Mahnungen von Barclaycard

Es folgt ein Bericht aus der Republik Mahnistan:

(mpa) Berichten aus den abgelegenen Regionen Mahnistans zufolge, bekommen Besitzer von neuen Handynummern unaufgefordert SMS von BarclayCard zugeschickt. Darin enthalten sind Statusmeldungen zu einen Kontostand und oftmals auch Mahnungen, sich doch mal mit BarclayCard unter 04089099901 in Verbindung zu setzen.

Ahnungslose Nutzer gehen natürlich zunächst von einem Betrugsfall aus, da unaufgefordert zugesendete Mahnungen meisten ein sogenannter Scam sind. In dem Fall ist es aber keiner, denn die Nummer gehört wirklich zu BarclayCard. Ein Anruf bei BarclayCard und die Sache ist aus der Welt geschafft.

Zusammen mit den Pinganrufen wird die Sache jetzt natürlich klarer, denn der Vorbesitzer meiner Telefonnummer war wohl zahlungsunwillig. Es kann also gut sein, daß die Ping Anrufe dazu dienen, den Schuldner zu erinnern und gleichzeitig zu prüfen, ob es das Handy und damit den Schuldner noch gibt.

Pech für beide Seiten, wenn die Nummer neu vergeben wird.

Abweichungen von Webstatistiken und WordPress

Ich glaube, die Jetpack-Wordpress-Statistik lügt uns Blogger an.

Dummerweise gibt es keine Infos auf den Jetpackseiten, was genau die da tracken, nur was sie nicht tracken, nämlich einen selbst.

Nun habe ich noch die guten alten Webalizerauswertungen durchgesehen und konnte für einzelne Beiträge teilweise den zehnfachen Zugriff feststellen.

Beispiel:

Der Beitrag „QMMP & MP3 & Fedora 24“ wurde laut Jetpackstats gestern 18x aufgerufen. Es gibt aber alleine gestern in den Webstats 352x Aufrüfe der Landingpageurl für diesen Artikel.

Bei genauerer Analyse der Aufrufer, stammen viele von Google. Lassen wir die weg, sind es noch 212 Anfragen.
Werfen wir alle doppelten IPs raus, bleiben noch 112 unique IPs übrig.

Das sind 500% mehr Zugriffe, als Jetpack dem Blog zugestehen will. Und das war nur eine von zwanzig Landingpages an dem Tag.

Warum zählt Jetpack das nicht, weiß das wer ?

Wie kommt man an diese Zahlen auf die schnelle ran ?

Zunächst mal braucht man einen Webserver z.b. einen Apache httpd und den passenden VirtualHost Eintrag um die Logfiles zu schreiben:

    ServerName bloggt-in-braunschweig.de
    ServerAlias *.bloggt-in-braunschweig.de
    ErrorLog logs/error_log
    CustomLog domlogs/bloggt-in-braunschweig.de combined

Weil son Tag erst richtig ausgewertet werden kann, wenn er vorbei ist, macht man das einen Tag später, weswegen auf einem normalen Webserver die Logfiles schon weggepackt wurden, damit sie wenig Platz benötigen. Da das am Tag +1 zum eigentlich Datum geschieht, sieht die Zeile auf meinem Fedora Server so aus :

zgrep „13/Jul/2016“  bloggt-in-braunschweig.de.20160714.gz | grep  „GET /2016/07/13/qmmp-mp3-fedora-24“ | grep -v „google“ | awk ‚{print $1;}‘ | sort -u | wc –lines

Damit Ihr Euch das vorstellen könnt, hier eine Beispiellogzeile:

5.35.243.228 – – [13/Jul/2016:20:40:35 +0200] „GET /2016/07/13/qmmp-mp3-fedora-24/ HTTP/1.1″ 200 40382 „-“ „Friendica ‚Lily of the valley‘ 3.4.3-2-1191; https://friend.sraega.org“

Die interessanten Teile, habe ich hervorgehoben.

Der Befehl ‚zgrep „13/Jul/2016“ ‚ filtert uns nur Einträge von dem Tag aus dem mit GZIP gepackten Logfile.
Mit ‚grep  „GET /2016/07/13/qmmp-mp3-fedora-24“‚ filtern wir auf die Landingpage, d.h. die Aufrufe des Artikels, die geschehen sind, als er Startbeitrag auf der Startseite war und diese aufgerufen wurde, werden so nicht mitgezählt.
Das „grep -v google“ wirft den Googleboot raus, ziemlich penetranter kleiner Kerl übrigens, der kommt schon fast im 5 Minuten Takt an der Landingpage vorbei um zu schauen, ob die sich geändert hat.
AWK sollte man als Admin kennen, hier wird es benutzt um nur die IP, die als erstes in der Logzeile steht, auszufiltern.
sort -u “ kickt die doppelten Einträge der IP raus.
wc –lines“ zählt dann die übrig gebliebenen Zeilen, also das Ergebnis.

Und das Ergebnis war 112x .

Jetzt fragt man sich, was WordPress da eigentlich statistisch erfaßt und ohne in den Code schauen zu wollen, würde ich sagen: kompletten Schrott 🙁

Bestenfalls kann man an dem Ergebnis ablesen, wie Trends einzelnen Blogbeiträge so liegen, aber das wars schon.

Am Beispiel vom SuperTuxKart Beitrag von heute: 22x laut WordPress, 134x laut Apachelogfile (-google und doppelten)  (bis zu diesem Artikel) also auch wieder Faktor 6 ( 500% mehr ) Abweichung.

D.h. ab sofort geht mir die Statistik am …… vorbei 😀

Update: ein Plugin soll das Problem lösen, indem es den Job übernimmt. Ich hab es mal aktiviert. Also nicht wundern wenn es die nächsten Tage noch wenig anzeigt.

Neues Skype für Linux

Der eine oder andere hat es schon gelesen, Microsoft will neue Versionen von Skype als WEBRTC Version umsetzen. Die aktuelle ALPHA ist nur mit Chrome als Browser benutzbar und hat noch dazu das Manko, daß man sich mit Benutzern der Clientenversion nicht verbinden kann. Wann das umgesetzt sein wird, wird sich zeigen.

Das 64Bit Paket für Redhat, CentOS und Fedora braucht 138 MB (55 MB RPM) Platz auf der Platte, aber glücklicherweise keine Abhängigkeiten, die (bei mir) nicht schon drauf wären.

Die ersten Tests haben ergeben:

  1. es ist genauso schlecht, wie man es von M$ erwarten konnte: Platzverschwendung ohne Ende.
  2. Kaum noch Optionen zum Einstellen
  3. Obwohl zwei Dutzend Sprachpakete installiert wurden, kann man keine davon auswählen :facepalm:
  4. Die Fenster sind übergroß gestaltet und nehmen nur Platz weg. So „elegant“ wie das alte Skype ist es nicht und wird es auch nie wieder werden.
  5. Man kann nichtmal Mikro und Kamera auswählen.
  6. Wer sich den ersten Screenshot mal genauer ansieht, wird bemerken, daß der Splashscreen nicht abschliesst.
  7. Chatten geht.
  8. Anrufen .. naja, es hat geklingelt 🙂
  9. Angerufen werden .. öhm.. nein. Das ging nicht ( SkypeIN )
  10. Video Calls : gehen nicht.
  11. Wenn man den Account editieren will, lockt es einen auf die skype.com Webseite
  12. Positiv: Fensterskalierung

    Die Fensterskalierungoptions mit ZOOM IN/OUT macht es dann doch „etwas“ schlanker, aber nicht annäherend so gut wie das Alte.  Problem, der Font wird unleserlich klein. Wie es aussieht ist die Webanwendung Responsive programmiert worden. Ja, das Skype ist nur noch ne lokale WebApp 😀 Und weil es eine WebApp ist, ist der das Lesbarkeitsproblem egal 😉

Ein paar Screenshots :

 

Skype-4-Linux-1Riesig viel Platz verschwendet.
Skype-4-Linux-2Ihr seht richtig: DAS SIND ALLE OPTIONEN!

Fazit

Das es eine Alphaversion ist, merkt man. Das es besser wird, darf man nicht erwarten, man weiß ja von wem das verbrochen wird.

Am Ende wird es wohl funktionieren, aber ob wir es lieben werden, hmm.. da habe ich meine Zweifel.

Download: skype.com – Skype for Fedora

Games: SuperTuxKart geht in die nächste Runde

Mit SuperTuxKart 0.9.2 kommen neue Features für das bereits seit 10 Jahren gepflegte Spiel. u.a. kann an die Gravitation ändern, neue Level besuchen und am wichtigsten, die NPC KI wurde gepimpt und kämpft jetzt (noch) härter um den Sieg.

Wer mehr wissen will, folgt dem Link unten. Sobald das Update für Fedora vorhanden ist, lest Ihr hier einen Bericht.

Quelle: linuxjournal.com

Ubuntu Desktop auf W10 starten

Für alle die auf einem Windows 10 den Ubuntu Desktop laufen lassen wollen, finden in dem Link unten eine bebilderte Anleitung, wie man das schafft.

Quelle: http://thehackernews.com/2016/07/ubuntu-gui-windows-10.html