Kategorie: IT

Für welche Domain signiert opendkim?

Das ist span­nend:

Ich habe auf Arbeit eine Web-Anwen­dung, die Mails ver­sen­det. Dabei sind Enve­lo­pe-From und Body-From aus zwei unter­schied­li­chen Domains, sagen wir mal:

  • Enve­lo­pe-From admin@example.org
  • Body-From user@example.net

Die Anwen­dung benutzt zum Mai­len einen Relay­host, und der macht die DKIM-Signa­tu­ren, die im DMARC ver­langt wer­den. Aller­dings signiert er für das Enve­lo­pe-From, also example.org. Min­des­tens eine Emp­fän­ger­do­main, nen­nen wir sie visa.com, bemän­gelt dies und lehnt die Mail ab:

<user@visa.com>: host portal1i.visa.com[198.241.159.109] said: 550 #5.7.1 
DMARC unauthenticated mail is prohibited. (in reply to end of DATA command) 

Ich wür­de mei­nen, DKIM hängt aus­schließ­lich am Enve­lo­pe-From, aber so ganz sicher bin ich mir nicht.

0

Container, die Crux: Updates

Vor eini­ger Zeit hat­te ich auf Arbeit mal ein Ether­pad lite auf­ge­setzt. Das war damals für mich ein ers­ter Geh­ver­such mit Docker, und das hat auch gut geklappt. Die Nut­zer (jeden­falls Tei­le derer) hat­ten es ange­nom­men. Da aber der zen­tra­le Platz für Doku­men­ta­ti­on ins Con­flu­ence gewan­dert ist, ist die Ether­pad-Nut­zung ein­ge­schla­fen.
Also habe ich es schon vor län­ge­rem gelöscht.

Nun woll­te ich es pri­vat mal wie­der ein­set­zen. Doch ach: ein aktu­el­les mys­ql wird nicht unter­stützt. Der Pull-Request, wenigs­tens die Doku ent­spre­chend anzu­pas­sen, bleibt unbe­ar­bei­tet lie­gen. Letz­tes Update vor 2 Jah­ren. Also: Da pas­siert nichts mehr.
Nun fin­de ich das erst­mal gar nicht schlimm: Es gibt kein Recht zu ver­lan­gen, daß der Autor nun sein Image bis ans Lebens­en­de wei­ter pfle­gen muß. Aber irgend­wie: Es gibt auch kei­nen ech­ten Exit für den Autor. Pro­jekt löschen ist doof, schon weil es ja jemand for­ken könn­te. Das ein­zi­ge was der Autor machen könn­te wäre wohl in fet­ten Buch­sta­ben oben ran­zu­schrei­ben: DEPRECATED. Nützt aber auch nichts, wenn ein armer Mensch aus irgend­ei­nem Blog copy-n-pas­ted.

Das­sel­be Pro­blem haben kom­plet­te Dis­tri­bu­tio­nen aber auch: Wie oft ist der Upstream einer mit­ge­lie­fer­ten Soft­ware Mei­len vor­aus. Man ver­su­che mal, youtube-dl aus einem aktu­el­len Debian/Ubuntu zu ver­wen­den.

Zurück zu Docker: Ich kann Stand jetzt wärms­tens watch­to­wer emp­feh­len. Das hält die Con­tai­ner (und auch sich sel­ber) aktu­ell, und man kann schnell sehen, wenn ein Con­tai­ner lan­ge nicht mehr aktua­li­siert wur­de:

root@big:~# docker ps
CONTAINER ID        IMAGE                          COMMAND                  CREATED             STATUS              PORTS                                            NAMES
2c2c73561629        tvelocity/etherpad-lite        "/entrypoint.sh bin/…"   49 minutes ago      Up 48 minutes       127.0.0.1:9001->9001/tcp                         etherpad-lite
f8c2046089fe        mysql:5                        "docker-entrypoint.s…"   About an hour ago   Up About an hour    3306/tcp, 33060/tcp                              ep_mysql
bdb7102c1135        collabora/code:latest          "/bin/sh -c 'bash st…"   2 weeks ago         Up 6 days           127.0.0.1:9980->9980/tcp                         collabora
4d4dc619a104        containrrr/watchtower:latest   "/watchtower"            8 weeks ago         Up 6 days                                                            watchtower
2fbd0235759d        mikesplain/openvas             "/bin/sh -c /start"      8 weeks ago         Up 6 days           0.0.0.0:9390->9390/tcp, 127.0.0.1:444->443/tcp   openvas
root@big:~#

watch­to­wer aktua­li­siert die Con­tai­ner von selbst, das ist natür­lich poten­ti­ell gefähr­lich, wenn mann immer latest ver­wen­det. Für den Pri­vat­ge­brauch fin­de ich es aber OK.

#Docker

0

Downgrade ist manchmal Upgrade

näm­lich von kaputt zu heil.

Mein ER‑X zu Hau­se hat einen v6-in-v4 Tun­nel zu tunnelbroker.net, weil Voda­fone v6 nur gegen Auf­preis raus­rückt. Seit eini­ger Zeit funk­tio­nier­te das aber nicht mehr (rich­tig). Pings gin­gen durch, ansons­ten so gut wie nichts. Nun ja, habe ich eben v6 aus­ge­knipst — im prak­ti­schen Leben ver­liert man ohne v6 ja nichts. Im Gegen­teil.
Doch heu­te hats mich dann doch gepackt — ich woll­te wis­sen, was da vor sich geht, schließ­lich hat es schon mal funk­tio­niert. Und was eig­net sich bes­ser als iperf3 zum Tes­ten? Rich­tig, nichts. Grau­sam, ich konn­te zwar auf dem iper­f3-Ser­ver (mein Ser­ver bei net­cup) die v6-Pake­te von mir sehen, aber der effek­ti­ve Daten­durch­satz war bei exakt 0 Bps. Mit MTU, MSS rum­ge­ra­ten — hat alles nichts gebracht. Dann habe ich auf dem Rou­ter sel­ber einen iper­f3-Ser­ver gestar­tet — full Speed. Schei­ße!

In mei­ner Ver­zweif­lung hat­te ich dann eine Idee: Kann es viel­leicht sein, daß es unter dem alten, aber wei­ter­hin unter­stüt­zen Edge­OS (1.10.10) noch ging, und die Pro­ble­me erst mit dem neu­en (2.0.8) kamen?
Also auf die alte Ver­si­on down­ge­gra­det, das ging ganz fluffig.

Uuuuuund:

root@odroidc2:~# iperf3 -6 -c big.sokoll.com -R -P10
[…]
[SUM] 0.00-10.00 sec 896 MBytes 752 Mbits/sec 2335 sender
[SUM] 0.00-10.00 sec 869 MBytes 729 Mbits/sec receiver

iperf Done.
root@odroidc2:~#

Trom­mel­wir­bel! Sau­ber!

Upload sieht natür­lich weni­ger impo­sant aus 🙂

0

Vertrauen ist gut

doch Kon­trol­le ist bes­ser, jeden­falls hat das Lenin angeb­lich mal gesagt.

rollingstone.com ist um mei­ne Pri­vat­sphä­re bemüht und bie­tet mir an, mich mit einem Klick aus­zuop­ten (schö­nes Wort 😁)

Selbst­ver­ständ­lich habe ich auf “Deny all” geklickt.
Schnell noch mal nach­se­hen, ob das geklappt hat:

Dan­ke, Lenin!

0

Roomba-Paßwort herausbekommen

für Home­As­si­stant, Anlei­tung nach https://github.com/koalazak/dorita980#how-to-get-your-usernameblid-and-password:
docker run -it node sh -c "npm install -g dorita980 && get-roomba-password 192.168.1.93"
Und hin­ter­her mal nach­se­hen, was wir so an Daten gela­den haben dafür:

~$ docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
node                latest              7354979df4ec        10 days ago         939MB
~$

Ein knap­pes Giga­byte! Um ein Paß­wort via API her­aus­zu­be­kom­men!!!

0

tvOS 13 und Home Assistant

Unse­re gute alte Wii ist mitt­ler­wei­le doch in die Jah­re gekom­men, und die Klei­nen möch­ten mal was neu­es spie­len. Also haben wir Eltern uns umge­se­hen — Apple Arca­de scheint uns anspre­chend zu sein. Kei­ne Wer­bung, kei­ne In-App-Käu­fe. Aller­dings läuft das nicht auf unse­rem App­leTV der drit­ten Genera­ti­on — ein neu­es muß­te also her und der Weih­nachts­mann brach­te eins. Ange­stöp­selt — geht.
Nun hat­te ich für das alte ein paar Auto­ma­ti­sie­run­gen in HA ein­ge­baut — z.B. einen Kino-Effekt: Film geht an, Licht wird aus­ge­schal­tet bzw. gedimmt. Tot­schick!

Jedoch: HA fin­det das neue App­leTV nicht mehr 🙁 Stellt sich raus: Sie haben bei tvOS grö­ße­re Ände­run­gen an der API vor­ge­nom­men, sie­he hier und hier und hier. Immer­hin: es arbei­tet jemand dran, hof­fent­lich wird das direkt in HA über­nom­men wer­den in Bäl­de.

Momen­ta­ne Situa­ti­on in mei­nem HA: Ich sehe, daß und was das App­leTV spielt, an wel­cher Stel­le es ist (Fort­schritts­bal­ken). Ich sehe kein Cover und die Auto­ma­ti­sie­run­gen gehen auch nicht, das ist das ärger­lichs­te.

Mein feuch­ter Traum: Her­stel­ler stel­len eine Mög­lich­keit zur Ver­fü­gung, bei der Pro­gram­mie­rer sich früh­zei­tig Infor­ma­tio­nen über API-Ände­run­gen besor­gen kön­nen. Aller­dings ist Apple da nicht gera­de die Fir­ma, von der man sowas zuerst erwar­ten wür­de…

0

Office 365 an Schulen datenschutzkonform?

TL;DR:

MSO 365 ist an hes­si­schen Schu­len nicht ver­bo­ten.

In mei­ner Fil­ter­bla­se wird immer wie­der tri­um­phie­rend dar­auf ver­wie­sen, daß der hes­si­sche Daten­schutz­be­auf­trag­te den Ein­satz von MSO 365 an Schu­len ver­bo­ten hät­te, mit Ver­weis meis­tens auf einen ent­spre­chen­de Arti­kel bei Hei­se.

Micro­soft Office 365 darf in der Stan­dard­kon­fi­gu­ra­ti­on an Schu­len wegen Pro­ble­men für die Pri­vat­sphä­re der Nut­zer der­zeit nicht ver­wen­det wer­den.

So weit, so ein­deu­tig. Die Ori­gi­nal­quel­le ver­linkt soweit ich sehe kaum jemand. Ich war­te sowie­so nur noch drauf, daß jemand einen Screen­shot des ent­spre­chen­den Hei­se-Tweets pos­tet. Also den Link zu dem Screen­shot, der in einem Face­book-Post zu fin­den ist.

Nun habe ich mich gefragt: wenn die Sache so klar ist, war­um hört man nicht davon, daß (min­des­tens die hes­si­schen) Schu­len rei­hen­wei­se Pro­ble­me mit ihren Daten­schüt­zern bekom­men?
Stellt sich raus: es gibt eine zwei­te Stel­lung­nah­me des­sel­ben Daten­schüt­zers:

Der Hes­si­sche Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit hat sich nach den Gesprä­chen mit Micro­soft dazu ent­schlos­sen, den Ein­satz von Office 365 in hes­si­schen Schu­len unter bestimm­ten Vor­aus­set­zun­gen und dem Vor­be­halt wei­te­rer Prü­fun­gen vor­läu­fig zu dul­den.

Na sowas! Da ist Mann um eini­ges zurück­ge­ru­dert offen­sicht­lich. Und schiebt den Schwar­zen Peter den Schu­len zu:

Die Schu­len müs­sen vor­läu­fig die Über­mitt­lung jed­we­der Art von Dia­gno­se­da­ten unter­bin­den.

Viel Spaß dabei den Schul-“Admins”

Die­se zwei­te Stel­lung­nah­me, die wohl aktu­el­ler Stand ist, wird kom­plett igno­riert. Nur: es reicht für eine seriö­se Dis­kus­si­on nicht, eine Hei­se-Schlag­zei­le gele­sen zu haben. Nicht ein­mal wenn Dut­zen­de Bud­dies die­sel­be Schlag­zei­le pos­ten.

Und nur damit ich nicht miß­ver­stan­den wer­de: MS gehört selbst­ver­ständ­lich nicht an die Schu­le, auch nicht in einer daten­schutz­kon­for­men und viel­leicht sogar noch tat­säch­lich kos­ten­lo­sen Vari­an­te.

Das ist aber eine ande­re Dis­kus­si­on.

0