Röllig IT Blog

Heute ist Freitag der 29.06.2012 und das ist der sechste Monatsbericht meines Freemail Services.

HALBZEIT!!! Sechs Monate sind Vergangen und es ist Zeit ein Resümee zu ziehen.

Was brachten die letzten sechs Monate für Erkenntnisse? Im allgemeinen sehr gute, finde ich. Meine Befürchtungen das solche Freemail Services grundsätzlich von Spammern und „Störenfrieden“ missbraucht werden haben sich nicht wirklich bewahrheitet. Warum? Ehrlich gesagt weis ich das auch nicht so genau, ich stelle aber mal ein paar Vermutungen an.

Greylisting!

Wehrt schon mal zuverlässig Spammer von Extern ab, da die Dummen Spammer Bots meist keine Queue haben und somit schon beim Einliefern scheitern.

Webinterface!

Da der Zugang ausschließlich nur über das Webinterface, geht also KEIN Externes einliefern über SMTP, man kann hier also keine Klienten Missbrauchen die über SMTP ihren Müll Verbreiten.

Amavis/ClamAV!

Da der Zugriff nur über das Webinterface möglich ist, kann ich sämtliche Mails, die auf den Webservern erzeugt werden, durch ClamAV schon mal Viren frei halten, desweiteren wird der Account gleich Geblockt und ich bekomme eine Mail. Somit kann ich nachvollziehen ob das vielleicht auch nur ein „False Positive“ ist.

Anhänge!

Allein das Verbieten von bestimmten Anhängen, wie EXE, PIF, VB Scripte, lässt sich schon einiges unterbinden.

Passwort Politik!

Um sich am System anmelden zu können muss bei der Registrierung ein Passwort verwendet werden was min. 8 Zeichen lang ist, Gross- und Kleinbuchstaben beinhaltet und min. eine Ziffer. Somit werden die Passworte von Anfang an schon schwer Knackbar und durch das Verbieten von Externen POP3, IMAP und SMTP Verbindungen wird eine Brute Force Attacke erschwert. Zwar nicht verhindert aber schon mal so schwer wie möglich gemacht. Klar kann das Passwort geknackt werden aber Hürde ist Deutlich höher als sonst.

Löschen Toter Accounts!

Verhindert das Missbrauchen der Toten Accounts, es ist nur schwer die Balance zu finden wann ein Account Tot ist oder einfach nur nicht länger verwendet wurde.

Die User!

Obwohl es ein Ausführliches WIKI gibt, was SEHR viele Fragen beantwortet, gibt es immer wieder wieder USER die es einfach nicht können. Man versucht schon so viel wie möglich Informationen in das WIKI zu stellen um den großteil der üblichen Fragen abzudecken, aber irgendwie gibt es immer wieder User die aus der Reihe Tanzen und für Frust sorgen.

FAZIT!

Die Idee die ich hatte und für die ich komische Blicke einstecken musste was sehr Positiv und ist es auch noch immer. Es hat auf Anhieb fast alles Funktioniert und die Hardware machte bisher auch mit. Auch die Software, insbesondere Dovecot, hat mich SEHR überzeugt das gerade Junge Software, die Dovecot ja nun mal ist, wirklich zuverlässig laufen kann und auch läuft. Bugs wurden und werden ziemlich schnell ausgebügelt und die Entwicklung geht schnell voran. Auch die Features sind Sinnvoll und machen einem das Leben an vielen Stellen einfacher, teilweise sogar zum Kinderspiel. Aber es erzeugt auch hin und wieder Langeweile, da man in manchen Situationen, gerade bei Dovecot, einfach nur sieht das es läuft. Das geht mit Cyrus auch anders, das man Tagelang versucht irgendein Murks zum laufen zu bekommen.

ALSO!! Es geht weiter!!! 🙂

Heute ist Freitag der 25.05.2012 und das ist der fünfte Monatsbericht meines Freemail Services.

Gestern Nacht ist das Script was Inaktive Accounts löscht gegen die Wand gelaufen! HAHA. Damit das Script weiß was es machen soll Wertet es diverse Einträge aus der LDAP DB aus und findet darunter auch die Accounts die seit 3 Monaten Inaktiv sind. Genauer gesagt sind es 3 Monate und zwei Tage. Wenn es einen Account findet der genau dieser Zeitspanne entspricht wird als erstes der Accountstatus im LDAP auf „Inactiv“ gesetzt. Somit nimmt Postfix keine Mails mehr für diese Postfach an. Als nächstes wird dem User eine Mail geschickt das sein Postfach Deaktiviert ist und er 24 Stunden Zeit hat sich unter einer bestimmen Mailadresse zu Melden. Dort kann der User entweder ein Backup seiner Mails haben oder sollte der User sich nicht Melden wird der Account gelöscht. Sollte der User sich nicht melden wird die Mailbox in Dovecot gelöscht und der Eintrag im LDAP entfernt. Dazu zählen auch die Adressen, Termine und der gleichen.

Nur das hat nicht Funktioniert!!! Scheiße aber auch!!!!

Als ich das Script entwickelt hatte, hab ich es natürlich auf einem Testserver mit ein paar Mailboxen getestet und das hat gut Funktioniert. Aber jetzt nicht mehr!

Nach einigem Suchen im Code und ein bisschen Debuggen kam mir die Erkenntnis das der Zugriff auf die LDAP DB nicht Funktionierte! Die Fehlermeldung war „Invalid credentials (49)“. Jedoch Passwort und DN stimmten. Somit kann das Script natürlich auch nicht laufen. Da man in der LDAP Konfiguration bestimmte Rechte einem User geben kann war natürlich erstmal hier der Fehler zu Suchen und siehe da nichts. Der User kann, sofern Passwort und DN richtig sind entsprechend seine Arbeit verrichten. Also muss das Problem wo anders liegen.

Um den Betrieb und nicht zu Stören und weniger Arbeit beim Logging durchforsten zu haben hab ich die LDAP DB einfach auf eine Virtuelle Maschine kopiert und das Script gestartet. Um nun zu sehen was in der LDAP passiert hab ich das Logging auf 256 runter gedreht. Bei SLAPD, also Standalone LDAP, sind für mehr Logging Output niedrigere Loggingstufen zuständig. Die 2 ist demnach DEBUG. Die slapd.conf gespeichert und die LDAP DB neugestartet.

Jetzt das Script angeworfen und siehe da, geht nicht!!! Scheiße warum geht das nicht!?!?!?!?!?!

Da man bei den DN´s und OU´s schnell mal Fehler machen kann hab ich Einträge gelöscht und per Hand neu eingetippt und siehe da das Teil läuft!?? KLASSE also WO zum Teufel ist dieser verdammte Fehler???

Um diesen Verdammten Fehler zu finden hab ich auf meiner Maschine beide Scripte mal eben mit DIFF prüfen lassen und siehe DA Fehler gefunden!!! Statt einem Kommata (,) war es ein Punkt (.) im Filter für die DN Suche! Somit ist zwar der Login am LDAP korrekt aber die Suche innerhalb der LDAP DB scheitert weil der DN Falsch ist, bzw einen Schreibfehler aufweist. TYPISCH LDAP, kaum klare Fehlermeldungen!

Deswegen auf dem Cluster den Schreibfehler beseitigt und das Script per Hand angestossen UND es geht endlich.

Ich konnte auch mit der Suche in Subversion feststellen das beim Umstellen des LDAP Clusters sich der Fehler eingeschlichen hatte. Da alle Änderungen von Wichtigen Konfigurationsdateien im Subversion festgehalten werden. Sollte dabei mal was schiefgehen kann man sehr schnell auf eine Lauffähige Konfiguration zurückschalten.

Heute ist Freitag der 27.04.2012 und das ist der vierte Monatsbericht meines Freemail Services.

Eigentlich bin ich ein absoluter Cyrus/IMAP Fan aber Cyrus ist schwer! Die Lernkurve ist bei Cyrus ziemlich steil und die Dokumentation ist auch nicht der Bringer, vor allem weil es diverse Unterschiede zwischen Versionen gibt von denen viele in keinem HOWTO erwähnt werden. Daher habe ich für den Freemailservice auf Dovecot gesetzt und bin sehr zufrieden. Momentan läuft Dovecot 1.2.5 aber auf einer Testmaschine läuft Dovecot 2.1.3 , auch hier wieder zuverlässig und stabil bis an die Kotzgrenze. In der Dovecot 2.* Version kann man diverse Neuerungen nutzen, wie z.b. Kompression von Mailboxen und den Dsync mit dem man Mailboxen Synchronisieren kann oder als Backup an einen anderen Standort kopieren kann. Mal sehen wie sich diese Features in der freien Wildbahn verhalten und welche Vorteile sie bringen.

Systemtechnisch gibt es kaum Neuerungen, die Systeme laufen Stabil und der Löschprozess wurde noch ein bisschen Optimiert.

Platz technisch liegen wir jetzt bei gut 600 TB, Tendenz steigend. Um Postfix ein wenig zu entlasten Sauge ich jetzt alle User aus dem LDAP und Erzeuge in 10 Minuten Takt daraus eine Postfixmap. Somit spare ich die permanenten Anfragen an die LDAP DB und der Traffic zwischen den Systemen wird damit auch ein bisschen weniger.

 

Heute ist Freitag der 30.03.2012 und das ist der dritte Monatsbericht meines Freemail Services.

Diesen Monat gab es die ersten zwei Accounts die gelöscht wurden, aber nicht weil sie Inaktiv waren sondern weil die User davon überzeugt waren auf ein Kostenpflichtiges Paket Umzusteigen. Um den Kunden die Arbeit zu vereinfachen hab ich sämtliche Mails, Adressen, Aufgaben und Termine auf den anderen Mailcluster Kopiert das Passwort zurückgesetzt und den Index von Dovecot gelöscht damit dieser beim ersten Login des Kunden auf dem anderen System diesen wieder neu erzeugt.

Des Weiteren mehren sich die Fragen nach noch mehr Speicherplatz, anscheinend gibt es eine große Sammelleidenschaft meiner Freemail Kunden.

Auch gab es einige „Beschwerden“ darüber warum Mails mehr als fünf Minuten benötigen bis sie im Posteingang auftauchen. Anscheinend vergessen die Kunden immer wieder das Email keine Kommunikation in Echtzeit ist. Genauso wie SMS, FAX oder Brief ist Email nie als Echtzeitkommunikation vorgesehen gewesen und wird es auch niemals sein. Des Weiteren vergessen die Kunden das vor dem Einliefern ein Greystyle Prozess liegt der unbekannte Mailserver erstmal für fünf Minuten abweist und dann das Einliefern erlaubt. Zwar sind die großen Provider wie Yahoo, GMail und diverse andere in einer Whitelist und werden damit nicht abgewiesen trotzdem ist und bleibt Email keine Realtime Kommunikation.

Ich wundere mich das die Kunden immer wieder diesen Hinweis ignorieren und nur zögerlich auf den Rat hören in das WIKI zu schauen wo solche Fragen beantwortet werden. Nein stattdessen nehmen die Kunden 48 Stunden Reaktionszeit auf sich um die gleiche Antwort zu erhalten „Schauen Sie bitte erst in unser WIKI wo diese Fragen beantwortet werden“. Aber was soll´s, ich hab das das ja so gewollt.

Speicherplatz technisch liegen die Systeme konstant bei knapp 500 TB, ± 500 GB. Die LDAP DB wächst da Systembedingt die Termine und Adressen der User im LDAP liegen. Prozess technisch gab es nur minimale Anpassungen da im Moment die Systeme ziemlich gut und mit Konstanter Systemlast laufen.

Das Aufteilen des Löschprozesses für den Mülleimer und des Spamordner erwies sich als gute Lösung da nun keine extremen Lastspitzen mehr zu verzeichnen sind. Hier werde ich höchstens noch mal den Zeitlichen Ablauf anpassen um den Löschprozess zu beschleunigen und dem Backup mehr Zeit zu verschaffen.

Heute ist Freitag der 24.02.2012 und das ist der zweite Monatsbericht meines Freemail Services.

Im Moment sind noch alle 70.000 Freemail Accounts Aktiv und sind auch Regelmässig in Benutzung. Bisher hat das Script für das Automatische Löschen Inaktiver Accounts keine Arbeit gehabt. Dafür aber um so mehr das Bereinigen der Mülleimer und der Spamordner. Die Mülleimer werden Täglich um 24:00 Uhr geleert was mit Dovecot kurzzeitige enorme Lastspitzen erzeugt und zu dem auch noch einen Massiven I/O Load. Da Dovecot nicht nur die Mails wegräumt sondern auch den Index bereinigen muss, muss Dovecot also an zwei Stellen gleichzeitig Arbeiten.

Um hier die Last besser verteilen zu können werde ich den Cronjob nun aufteilen und nicht ein Cronjob alles machen lassen sondern diesen in mehrere Teile aufteilen und diese dann Zeitlich etwas auseinander ziehen.

Mittlerweile nutzen Postfix, Amavis mit ClamAV, Dovecot und der Apache den Hauptspeicher wesentlich besser aus und das System kann somit mehr Aufgaben bewältigen und hat für Lastspitzen noch Reserven nach oben.

Einziges Problem was es gab war durch ein Update von Dovecot der Sievefilter nicht mehr wollte. Einiges Analysieren brachte zu Tage das der Sieveprozess beim Update hängen geblieben war und somit Dovecot daran hinderte sauber neu zu Starten. Ein KILL mit der Prozessnummer machte dem Spuck morgens um 2:00 Uhr aber ein Ende.

Speicherplatz technisch steigt der Verbrauch der User nach oben. Durch das Löschen vom Spam und Mülleimer hat sich der Speicherplatz Verbrauch fast konstant bei 500 TB eingependelt.

Dafür gibt es aber schon User die nach MEHR Speicherplatz fragen. Da dies aber für den Freemail Dienst nicht vorgesehen ist und es auch in Zukunft nicht Angeboten wird bleibt nur der Ausweg ein anderes Mailpaket zu Buchen was aber auch Geld kostet.

Heute ist Freitag der 27.01.2012 und es sind fast 4 Wochen vergangen nach dem ich den Freemail Service gestartet habe.

Großartig Werbung habe ich dafür nicht gemacht. Ich hab nur ein Beitrag in Facebook veröffentlicht und wollte so mal sehen was geht.

Es ging schnell! Innerhalb von 48 Stunden waren ALLE 70.000 Mailaccounts vergeben und die Last auf dem Cluster ist ganz ordentlich angestiegen. Viele haben gleich versucht per IMAP und POP3 ihre Mailclienten anzubinden was aber von Anfang an nicht zum Paket gehört und auch in Zukunft wird es KEIN Externes IMAP und schon gar nicht POP3 geben. Es wird ausschließlich der Zugang über das Webmailinterface und per ActiveSync für Mobile Geräte und SyncML über Funambol gewährt.

Auch konnte man gut sehen wie der Speicherplatz benutzt wird, da anscheinend viele User alte Mails von anderen Accounts Umgezogen haben.

Da die Freemail Accounts maximal 10 GB Speicher haben und der Papierkorb um Mitternacht und der Spam Ordner immer am ersten des Monats automatisch geleert wird, verbraten die Systeme momentan knapp 420 TB. Der Index den Dovecot intern führt benötigt knapp 35 TB und die LDAP Datenbank nimmt auf den vier Maschinen knapp 120 GB Speicher in Anspruch.

Was mir ein bisschen Sorgen macht ist aber das die Masse der Prozesse von Postfix, Dovecot, Amavis und Apache noch diversen Optimierungsbedarf haben. Der Mailcluster besteht zwar aus vier Maschinen mit je 32 GB Hauptspeicher und je einer Quadcore Intel CPU mit 3,2 GHz aber die Kisten sind sich eher am Langweilen und erzeugen diverse Fehlermeldungen. Gerade Postfix meckert das er nicht mehr genügend Prozesse erzeugen kann um die Masse an eingehenden Mails zu bewältigen.

Auch Amavis mit ClamAV kommen nicht gut mit den Ressourcen zu recht, also wird Amavis eine 1 GB Ramdisk zugeteilt um das Scannen nach Spam und Viren in den Mails zu Beschleunigen.