Ich darf einen reibungslosen Wechsel des ISPs und Rechenzentrums vermelden. Diese Woche sind die letzten beiden Kunden mit Ihren Domains und Emails umgezogen. Das erste positive Feedback ließ nicht lange auf sich warten: Ich habe deutlich weniger Spam. Es ging aus dem Kölner Host-Europe Rechenzentrum (HEG) nach Nürnberg zu Anexia. Die Vorteile: 2,5 GBit Netzwerk (zuvor waren es nur 1 GBit) Bessere Peerings zu DE-CIX, AMS-IX und den angebundenen Carriern über Anexia Backbone Keine Nicht-EU Unternehmen im Hintergrund (GoDaddy bei DomainFactory/ Host Europe) Gleichzeitig habe ich in den vergangenen 4 Wochen ein gutes Dutzend Root- und vServer konsolidiert, zahlreiche alte Domainleichen gekündigt und alles auf zeitgemäße Hardware-Generation (AMD Epyx) angehoben. Ausnahmen bestätigen die Regel: Einen zum Jahresende bereits gekündigten Kundenserver mit Zammad-Ticketsystem, Elasticsearch und Matomo-Analytics habe ich nicht mehr angepackt. Read more

Winter is coming! Die Winterzeit ist bereits da, der Corona-Lockdown demnächst auch. Da ist es ein gutes Gefühl daheim im Warmen zu sitzen und die IT vollständig im Überblick zu haben. Das Stichwort heisst hier “vollständig”, denn ich setze beim Server-Monitoring nicht auf klassische Blackbox-Lösungen1 sondern auf die Whitebox-Lösung Prometheus2. Hinter Prometheus sitzt kein einzelnes Unternehmen sondern eine Initiative verschiedener Unternehmen. Das Who-is-Who der Branche mit RedHat, Amazon, Apple, ARM und vielen anderen3. Selbstverständlich steht Prometheus unter einer freien Lizenz und ist vollständig Open-Source. Read more

Dieses Wochenende war ich in Hinblick Sicherheit fleissig. Gleichzeitig habe ich mit Hardenize1 und DNSViz2 zwei schöne Tools zum Prüfen gefunden und meinen Micro-Blog Beitrag “Website-Qualität messen” ergänzt. Auf meinem Mailserver habe ich MTA-STA nach RFC 84613 inkl. Reporting implemetiert. Dieser Standard ist relativ neu (2018) und eignet sich gerade für jene Server ohne DANE4. Doch auch ohne DANE denke ich, dass ich den am besten und nach Standards vollständigsten Server (DKIM, SPF, DMARC, MTA-SRA, TLS-RPT, TLS1.3) in ganz Sieger- und Sauerland habe. Read more

Dieses Wochenende prüfe ich aktuell den Apache-Exporter1 und wie sinnvoll dieser sich in meinem Prometheus2 Monitoring integrieren lässt. Die ständigen Server-Status Abfragen führen zwangsläufig zu mehr “Hintergrundrauschen” in den Logdateien. Im Screenshot wird das im less im oberen Abschnitt gut sichtbar: Die Aufrufe lassen sich nicht verhindern, wohl aber was ein Apache in seine Logs schreibt. Conditional Logging nennt sich das Ganze und ermöglicht einer Ressource mit SetEnvIf3 eine Variable anhand eines passenden Regex setzen zu können. Mit SetEnvIfExpr sind sogar logische Abfragen4 möglich, ob zum Beispiel ein Aufruf aus einem internen Segment kommt: Read more

heute habe ich eine Email mit folgendem Header erhalten: Arc-Authentication-Results: i=1; mx.microsoft.com 1; spf=none; dmarc=none; dkim=none; arc=none Erhalten: from xxxxxxxx.protection.outlook.com Darf ich laut und böse fragen, was dieser “Protection” outlook.com Server so macht wenn gängige Spam- und Sicherheitsfeatures nicht implementiert sind? Zum (Selbst-)Überprüfen gibt es im Web zahlreiche Schnelltools. Ich gebe immer gerne diesen Link an die Hand und versuche mit gutem Beispiel voraus zu gehen bevor in die Details wie IP-Stripping, Pentests oder IT-Security eingestiegen wird: Read more