a sysadmin's life

Nach vielen leidvollen Erfahrungen, wo mir die Hadrware einen Strich durch die Rechnung machte oder mich andere ungeplante Dinge von der aktuellen Arbeit abhileten, war heute einfach mal ein richtig guter Tag. Die Dateisysteme sind überall verfügbar, NTP funktioniert läuft, LDAP repliziert ohne Mucken seine Daten und die im LDAP verfügvbaren Accounts sind im Ssystem per nss_ldap sichtbar. Die Spezialpartition für die Symlinkpfade wird als vnode ohne weiteres gemounted. Wenn man mal von einem rumzickenden Rechner (alte Hardware, altes System) absieht, war das ein durch und durch produktiver Tag. Mag vielleicht langweilig klingen, aber irgendwie ist das ja doch was besonderes, wenn so gut wie alles einfach mal wie geplant funktioniert!

Das Zauberwort an allen Ecken und Enden im Kampf gegen Spam heißt derzeit Greylisting. Die Sache ist billig, denn man braucht keine großartige Rechenleistung, keine schnellen Platten. Gerade deswegen verbreitet sie sich wohl so gut. Für die, die es nicht wissen, hier die Funktionsweise:

Eine einkommende Mailverbindung wird beim ersten Versuch mit einem temporären Fehler abgelehnt. Die Adresse des einliefernden Mailservers landet dabei für die nächsten x Stunden in einer Whitelist. Spamtools ignorieren temporäre Fehler in den meisten Fällen und liefern die Mail nicht nochmal aus - zuviel Aufwand. Ein echter MTA hingegen versucht nach 5 Minuten nochmals, die Mail auszuliefern, steht dann in der Whitelist und wird die Mail damit auch los.

Klingt simpel und effektiv, warum also steht es in der Kategorie Leid? Nun, die Antwort ist fast simpler als die Technik: Es ist asozial. Denn wenn man mal die hübsche Theorie beiseite schiebt und die Praxis anschaut, stellt man schnell fest, was wirklich passiert, spätestens wenn nicht nur die kleinen Mini-Mailserver von den Spezis, die sich das ausgedacht haben, beteiligt sind:

Ein großer Mailserver - sagen wir ruhig ein Cluster - leidet heutzutage erheblich unter der Mail- und Spamflut. Eine üblicher PC hinter der DSL-Strippe kann 1000 Mails am Tag verarbeiten und wenn es 2000 sind, wird man keinerlei Unterschied merken. Auf großen Plattformen ist ein Unterschied von 10% oder gar 20% Mailaufkommen eine spürbare Sache, die mit teuren Investitionen beantwortet wird. Diese Maschinen arbeiten, damit sich die Investitionen lohnen, so nahe an den Leistungsgrenzen, wie man es eben noch vertreten kann. Wenn so ein Mailservercluster nun auf einen Server mit Greylisting stößt, dann bleibt die fragliche Mail erstmal in der Queue. Eine Queue von 50.000 Mails arbeitet man nicht "mal eben" durch. Der nächste Versuch findet also unter Umständen keineswegs nach 5 Minuten statt, sondern vielleicht erst nach 15 oder 30 Minuten. Klingt nicht schlimm? Kostet aber spätestens dann Geld, wenn die Kunden an der Hotline fragen, warum ihre Mail so lange dauert. Arbeitet man jetzt noch mit shared queues, kann also der nächste Versuch, die Mail auszuliefern von einer anderen Adresse kommen, trifft man auf das nächste Problem: Viele Greylister schalten nicht etwa ein komplettes Netz frei, sondern explizit die Adresse, von der versucht wurde, auszuliefern. Kommt der nächste Versuch von einer anderen Adresse, gibt es zu zweiten mal einen temporären Fehler. Die Mail landet mit einer niedrigeren Priorität in der Queue, wird also erst nach längerer Zeit nochmals versucht auszuliefern. Da kommt man schonmal schnell auf ein paar Stunden.

Asozial ist die Greylisting-Technik, weil man den Aufwand auf andere schiebt. Und zwar nicht auf die bösen Jungs, die merken kaum, daß sie von 5 Millionen Mails 3000 nicht loswerden, sondern man verschiebt es auf diejenigen, mit denen man eigentlich ganz friedlich gewollte Mails austauschen möchte.

Eben bekomme ich eine Mail: Massenweise offensichtlich fehlgeleitete E-Mails landen in der Inbox meines Chefs. Kein Spam, echte E-Mails von richtigen Personen andere echte Leute. Mit echten anderen Postfächern. Da kriegt man schonmal echt einen Schreck. Eingeliefert auf der Plattform für irgendeine Mailadrese. Beim Weiterreichen an den Spamfilter steht dann plötzlich eine andere Mailadresse (nämlich die vom Chef) drin. Warum zur Hölle? Der MX für die Domain aus dem Beispielheader zeigt auf uns. Den User kann ich nicht finden. Auch kein alias-file für die Domain. Ich stehe kurz vor einem Herzinfarkt.

Zum Glück kommt noch während ich versuche, zu verstehen, was da gerade passiert war, der entwarnende Anruf. Was also war passiert? Für eine alte (ungenutzte) Domain war beim Aufräumen der catchall auf Chef's Mailbox gesetzt worden. Diese Domain gleicht der Domain ein großen Freemailers bis auf einen Buchstaben. Die eingelieferten Mails (tausende) waren lediglich Produkt eines kleinen, aber offensichtlich häufigen, Tippfehlers. Und als ich suchte, war die Domain bzw. der catchall gerade von jemand anders wegen des entsprechenden Vorfalls ausgetragen worden.

Heute morgen fing es an: Am Alteon für die Spamserver war ein Rechner nicht dazu zu bewegen, mit dem Alteon-Port in geordneter Weise zu kommunizieren. Die Konfiguration gab dafür keinen sinnvollen Grund her, der Port wird sich aller Erfahrung nach erholen, wenn der Alteon in einer stillen Minute rebootet wird. Warum nur?

Als ob es damit ncht schlimm genug gewesen wäre, war der Link auf einem Interface im Rechenzentrum in der Gradestraße down. Also war nach der Arbeit hinfahren angesagt. Nur um festzustellen, daß sich das Problem mit einem Reboot (sagen wir besser powercycle) des Rechners beheben ließ.

Sonnenstürme. Ganz sicher.

Gestern war es dann endlich so weit. Nach langer Zeit fand ich Motivation und zeit, den IRC-Server endlich auf 2.11 upzudaten. Immerhin war ich wohl der fünftletzte im IRCnet - die Migration war aber auch sowas von überraschend schnell diesmal, da kann ja keiner mit rechnen. Und abgesehen davon habe ich schlißelich ja auch noch einen Job, mit dem ich Geld verdiene. Und der ist derzeit auch nicht wirklich ohne. Und wenn dann noch die Technik zu Hause rumzickt, so wie vorletzte Woche, dann frag ich mich schon manchmal, warum ich mir das alles antue. Wenn dann aber alles läuft und ich mit einem gewissen Stolz auf mein Werk schauen kann, dann weiß ich es meist wieder. Admins und Künstler sind in der Hinsicht vielleicht gar nicht mal so unterschiedlich.

Wer bislang glaubte, daß GSM Netze sich durch kleine graue Käste auf Dächern und gesundheitsgefährdende Strahlung auszeichnen, der wird hier eines besseren belehrt.

GSM ist blau.

GSM enthält Vitamine.

GSM ist fruchtig.

GSM wächst weltweit.

Manche stellen sich das Leben eines Admins sicherlich ziemlich langweilig vor. Vielleicht ist es das ja auch. Aber ab und zu findet der gemeine (in all seinen Beudeutungen) Admin doch immer mal wieder diese kleinen Höhepunkte in seinem Leben, die er glaubt, teilen zu müssen. Und genau dafür ist hier mein Platz.