BestKevin's Weblog

Ci sono alcune canzoni che, ascoltandole, mettono i brividi. Per me ce n'e' una di Paolo Nutini, secondo me una grande voce, intitolata "These Streets", in particolare nel pezzo:
Where'd the days go? When all we did was play
And the stress that we were under wasn't stress at all
Just a run and a jump into a harmless fall from
Walking by a high-rise to a landmark square
Sara' che comincio a sentire gli anni che passano...pero' questa canzone mi mette proprio nostalgia.
Su YouTube potete trovare il video di una versione acustica, cercando "Paolo Nutini - These Streets - Acoustic".

Domani parto per andare a vedere la corrida. Ah, gli animalisti stiano tranquilli, mi sto riferendo a La Corrida, ovvero il programma di Canale 5, in cui si esibira' mio padre nel cantare l'aria "toreador" tratta dalla Carmen di Bizet.
E' piuttosto bravo, speriamo che non si faccia prendere dal panico e dall'emozione. Io dovro' vederlo alla televisione in albergo perche' non sono ammessi parenti in studio.
Per chi non avesse idea di quale brano si tratti riporto il pezzo trovato su YouTube.com, oppure puo' venire a vedere l'opera rappresentata nella stupenda cornice dell Arena (sempre in tema di tori, toreri e corride ;)).

Come dissi un anno e mezzo fa, anche il presidente dell'ACI - Automobile Club d'Italia ha avanzato, finalmente, la proposta di bloccare il numero di auto in circolazione, illustrando su un articolo de La Repubblica le proprie idee:

"arrivare ad avere ogni anno un numero identico di auto nuove immatricolate e di auto avviate alla rottamazione e all'esportazione"

Quindi il concetto e' semplice: non ti vendono un auto se non ne ridai indietro una usata. Chissa' se i produttori ne saranno contenti.

Beh...questa notizia dal sito de La Repubblica mi ha lasciato veramente di sasso. Un Partito Democratico che si riscopre aderente alle richieste della Lega Nord. Non me lo sarei mai aspettato. Chissa' che Walter Veltroni non abbia letto qualche sondaggio ed ora miri a portare via al Popolo della Liberta' alcuni pezzi di alleanza, ma probabilmente queste dichiarazioni non faranno altro che allontanare altra parte dell'elettorato che vede nella "nuova" realta' del centrosinistra, troppo centro e niente sinistra.

In questo articolo ho accennato ad un sistema per porre fine, o almeno limitare, lo spam che falsifica il mittente apparendo provenire dal mio dominio, ma ho scoperto di non averne in realta' accennato :)
Oltre a Domain Keys un altro sistema utilizzato da vari provider, tra cui Google, e' SPF - Sender Policy Framework.
Scopo di questo sistema e' quello di definire quali server sono autorizzati a inviare email per un certo dominio: io mando una mail da kevin @bestkevin.com dal server xxx.xxx.xxx.xxx, il server ricevente verifica se tale server e' autorizzato o meno a mandare email per il dominio bestkevin.com e si comporta secondo quello che viene definito. Ma come fare a dire quali IP sono autorizzati o meno ?
La cosa e' brillantemente semplice: come in Domain Keys anche qui ci si basa sul campo TXT nella zona definita nel DNS.
Prendiamo ad esempio proprio bestkevin.com:

kevin@jenny:~$ dig +short TXT bestkevin.com
"v=spf1 a mx -all"

ovvero, nella zona:
bestkevin.com. IN TXT "v=spf1 a mx -all"
Il significato e': accetta email per il dominio bestkevin.com solo da quei server che sono definiti come MX per il dominio stesso. L'elenco delle varie opzioni e possibilita' le trovate qui. Ovvio che ora posso mandare email @bestkevin.com solo dal mio server, ma e' quello che faccio sempre, quindi, per me, non e' una limitazione.

Riprendendo il discorso gia' iniziato sullo spam che cerca di raggiungere utenti inesistenti, dopo l'uso di dkimproxy, ho pensato di fare un ulteriore passo in avanti (o indietro...domani vedremo).
Nella catena di ricezione delle email postfix:25(DNSBL) -> postgrey:60000 ... postfix:25 -> amavis:10024 -> postfix:10025, ho pensato che forse sprecare tutta questa CPU e memoria per gestire un 80% di email destinata a utenti inesistenti e' un grosso peccato, per cui, perche' non creare una lista di destinatari esistenti e relativi alias, direttamente al primo postfix ? Si risponderebbe (o anche no, vedete voi) che l'utente non esiste e fine, senza passare per tutti gli step.
Visto che gli utenti nel mio caso sono in un db MySQL, ho fatto quindi un paio di modifiche a postfix aggiungendo (anche se in realta' l'opzione era gia' presente ma lo dico per completezza) le seguenti impostazioni nel main.cf:

smtpd_recipient_restrictions =
...
check_recipient_access hash:/etc/postfix/recipient_access,
...

A questo punto, tramite un banale script, genero il file recipient_access:

#!/bin/sh
# Sostiture xxx con la password di accesso a mysql, se necessaria,

cat /dev/null > /etc/postfix/recipient_access
for user in `mysql -N -pxxx --batch -e "select username from mailbox order by domain" postfix`
do
echo $user" FILTER smtp-amavis:[localhost]:10024" >> /etc/postfix/recipient_access
done

for user in `mysql -N -pxxx --batch -e "select address from alias where address <> goto order by domain" postfix`
do
echo $user" FILTER smtp-amavis:[localhost]:10024" >> /etc/postfix/recipient_access
done

for domain in `mysql -N -pxxx --batch -e "select domain from domain order by domain" postfix`
do
echo $domain" 550 Illegal user." >> /etc/postfix/recipient_access
done

cd /etc/postfix
postmap recipient_access > /dev/null 2>&1
postfix reload > /dev/null 2>&1

Cosa otteniamo ? Il seguente file recipient_access:

esiste1@dominio.tld FILTER smtp-amavis:[localhost]:10024
esiste2@dominio.tld FILTER smtp-amavis:[localhost]:10024
...
dominio.tld 550 Illegal user.

Con questa piccola modifica, le email per utenti inesistenti saranno bloccate al loro primo contatto e non intaseranno piu' il server nel passaggio dei filtri successivi.
Funziona ? Non funziona ? Da una prima analisi mi parrebbe di si', vediamo domani cosa succede.
Update: Ecco alcuni numeri il giorno dopo:
Mail lecite:
grep "delivered" /var/log/syslog.0 | wc
2531 32931 370647
grep "Illegal user" /var/log/syslog.0 | wc
48161 1011383 13132925

Mi sembra un buon risultato.

Beh, saranno anche vecchie e probabilmente note, ma non posso fare a meno di pubblicarle dopo averne letta una in un fortune nella firma di una mia email (create di volte in volta in automatico). Sono pezzi di verita' :) E quelle in neretto sono piu' vere delle altre.

As long as the world turns, users will still have problems

Substance abusers and computer operators are the only folks called users. This isn't by chance

When in doubt. Reboot

Sooner or later you will meet a person who types out the words "backslash" or forgets to plug in the power cord. If you haven't yet, just wait, you will

Fear the phone. No one just calls tech support to wish you good morning

No user will tell you the whole truth at the beginning of a call

"I didn't do anything" or "It just happened" Are the users mantra

As a support tech, it is your job to break down resistance and get the truth

This is so you can rub the lie in their face, fixing the issue is just a perk

Some people will never learn

This means you will always have a job

Maintain a calm voice, even if you're screaming on the inside

The hold button is your friend

Whatever you do, don't panic

The answer to all users questions should be "Trust me, I know what I'm doing" even if this is a bald-faced lie

Users can smell fear. Once you've lost control, all is lost

A user who is not listening to you anymore, but rather is trying "their own thing" is not worth your time. Simulate a telephone disconnect and hang up. Trust me, you're better off.

Sometimes fixing a computer is easier than figuring out why it was broken

Users always want a reason things are fixed. If you're not sure just lie. They won't know anyway. "A stray electron passed through the processor and caused..."

If possible ask to speak to the youngest person present

Trovandolo simpatico, ricevo e pubblico :)

VOCABOLARIO VERONESE - GARSANTI
Traduzione dialetto veronese -> italiano:

* Càgon.
Caccone, colui che espleta funzioni escretorie frequentemente; persona vanitosa, boriosa:
Stò bùtin l'è 'n càgon! (Questo bambino continua a defecare!)
Basta far el càgon e sbàssa le rècie! (Basta pavoneggiarti e stai più con i piedi per terra!).

* Càssar.
Inserire con forza, con violenza (cazzare):
Ma va a fartelo càssar (ma vai a fartelo inserire violentemente; figurato dispregiativo) -
Variante: va a fartelo stra-càssar (ancora più violentemente)
Ah...i me l'ha càsà ne l'organo (ah...mi hanno gabbato).

* Casso.
Termine volgare con il quale si identifica l'organo maschile; altresì usato come intercalare durante discussioni o dialoghi informali:
Casso, dal bòn? (Accidenti, davvero?)
Col casso che pago!(Non ho alcuna intenzione di sborsare quella cifra!)
No te capissi un casso (non capisci niente)
Te me stè proprio sul casso (mi sei proprio antipatico!).

* Chetacagà.
Trad. lett. Colei che ti ha generato. Espressione tipica utilizzata come intercalare durante diverbi, dialoghi informali, discussioni:
Chetacagà! (Accidenti!)
Ma va in cul, chetacagà! (Ma dai, lascia perdere!)
Vien qua...chetagagà! (Vieni qua...non farti pregare!)
Variante: Chetastracagà! (Accidenti, maledizione!!).

* Còa.
Coda: prolungamento della spina dorsale che pende di massima dal corpo dei quadrupedi, nel lato opposto al capo, dove finisce la schiena; in senso figurato anche l'attributo maschile:
G'ho pestà la còa al can (ho pestato la coda al cane)
I m'ha dìto che el Cioci el g'ha 'na còa impressionante! (mi hanno detto che il Ciocci ha un pene molto lungo!).

* Cojon (plur. cojoni)
Volg. testicolo/i; di persona tonta, ingenua:
Sèntandome me son s-chisà un cojon (Sedendomi mi sono schiacciato un testicolo)
Te sì un cojon! (Se uno sciocco!)
Che faccia da cojon! (Che espressione da ebete!)
Ho ciapà 'na sbàlonada nei cojoni (Ho preso una pallonata nei testicoli)
Ghe n'ho i cojoni pieni (Sono proprio stufo)
Te m'è rotto i cojoni (Mi hai stufato)
Durante un'accesa discussione: "Sti do cojoni...!" (Ma ti puoi immaginare...!)
Spacacojoni (Rompiscatole).

* Hdì (pron. accadì).
Esclamazione (da Vaccadì):
Hdì i m'ha inculà el Ciao (Perbacco mi hanno rubato il motorino)
Hdì che gnòcca (Accidenti che graziosa fanciulla)
(piantando un chiodo con il martello) Hdì che s-chisòn al diel! (Santo cielo che pressione violenta al dito)
Hdì ho perso el quàia (Noooo, ho perso il portafoglio).

* Imbugà.
Appesantito, congestionato, con sintomi di indigestione:
Casso, ho magnà come un mas-cio e me son imbugà! (Accidiavolo ho mangiato in modo scriteriato e penso di essere in preda ai sintomi tipici di una indigestione)
Vaccadì,te còri come se te fossi imbugà: animo vecio! (Perbacco, corri come se avessi appena finito di mangiare il pranzo di Natale: orsù muoviti!).

* Ovi.
Uova; volg. testicoli:
La gàlina ancò l'ha cagà fòra trì ovi (La gallina oggi ha fatto tre uova)
Te mè roto i ovi (Mi hai stufato)
Me casca i ovi (Sono demoralizzato)
Tòcate i ovi (Lascia stare le mie cose).

* Ròjon.
Donna senza classe, con atteggiamenti equivoci, tipici da prostituta:
Vàrda la Gina: l'è proprio un ròjon! (Guarda la Gina: ha l'atteggiamento tipico delle prostitute!)
Che bèl ròjon! (Che ragazza appariscente, poco elegante, ben dotata, un pò volgare e sgraziata ma ideale per una botta e via!).

* Rùmar.
Cercare con foga tra vari oggetti, selezionare :
Pròa a rùmar ne le sgàuie (Prova a cercare nelle immondizie)
E rùmar da 'n altra parte? (E cercare altrove?)
Ma rùmate i ovi (Ma cerca tra le tue cose) –
Proverbio : Ci rùma càta ossi (Chi cerca trova)
Rùmarùma (bancarelle che vendono tutto a poco prezzo).

* Rùto.
digerire emettendo forte rumore, di persona/cosa non bella:
Ho tirà 'n rùto che ho rebaltà me sìo (Ho digerito talmente forte che il fratello di mio papà è caduto dalla sedia, in senso figurato) –
La tò morosa l'è proprio un rùto (La tua morosa non è assolutamente paragonabile ad una modella!).

* Scòresa.
Peto, flutolenza:
L'ha tirà 'na scòresa che el m'ha spetenà! (Ha emesso un peto veramente potente).

Dopo mesi di attesa, mi sono deciso ad ordinare i pezzi per il Suzuki, che sono arrivati. Tra un po', forse domani, invio il cilindro alla Gilardoni S.p.A. per la ricromatura, poi proseguira' la fase di montaggio, che non faro' io. Ma questa e' l'ultima volta, al prossimo ko del motore dovro' decidermi: o la vendo a pezzi, o mi decido a dedicarle del tempo per imparare come eseguire lavori un po' piu' radicali. Il manuale d'officina l'ho gia'.

Questo e' un post che nasce dopo avere letto la notizia della morte di altri 4 operai.
E' impensabile che nel 2008 ci siano ancora tutti questi morti sul lavoro, e soprattutto che coloro che dovrebbero essere i primi a tutelare la propria salute, sembrano non pensare che, un giorno, potrebbe accadere a loro.
Un estratto: "Aperta un'indagine: sembra che gli operai non indossessero gli autorespiratori indispensabili quando si lavora in ambienti tossici." . Ma dove erano questi autorespiratori ? O l'azienda non li forniva, e quindi non si doveva lavorare e lo sciopero andava fatto prima e non dopo la morte, oppure c'erano e non venivano usati. In entrambi i casi, mi spiace dirlo, ma se anche la responsabilita' penale puo' essere del datore di lavoro, chi ci rimette la vita e' l'operaio, spetta quindi a lui e ai suoi rappresentanti sindacali far valere il proprio diritto alla vita.
Ogni volta che sento che muore qualcuno sul posto di lavoro mi chiedo se mai si sarebbe potuto evitare e quasi sempre la risposta e' si'. Le attrezzature a salvaguardia dell'incolumita' esistono, e spetta ai sindacati obbligare i datori di lavoro a farne dotazione ma soprattutto i lavoratori ad utilizzarli. Inutile, come e' accaduto al porto di Genova, scioperare, perche' bisogna agire prima. Bastavano le cinghie di ritenzione e quell'uomo sarebbe ancora vivo.
Troppo spesso si da la colpa alla fatalita' o ad altri, come quando un bambino muore in un incidente perche' la mamma non l'aveva fissato con il seggiolino e le cinture perche' "tanto devo fare pochi chilometri".
E contro le morti bianche cosa si fa ? Un decreto !!! Cosa ci sara' mai in una nuova legge quando gia' la 626 e' molto dettagliata e precisa, basterebbe seguirla per eliminare un'enormita' di incidenti e morti.
Ci sono ancora troppi edili che stanno in cantiere con le scarpe da tennis, sui tetti senza cinghie, pero' hanno il cartellino.
Ma dove sono i sindacati quando servono ?

Gia' da un po' sto cercando metodi "alternativi" per limitare la ricezione di spam, ma anche di evitare che altri mi inviino email di avviso che li sto spammando quando, ovviamente, si tratta solo di email camuffate. Ciclicamente mi trovo a dover gestire valanghe di email. Fino ad ora mi sono limitato a inserire nel recipient_address di postfix una riga, ad esempio:
vodbestkevinmet@bestkevin.com 550 Sender is forged !!! *YOU* are spamming me. Please read http://www.spamcop.net/fom-serve/cache/329.html
Questo e' sufficente a non vedersi recapitate piu' email verso quel destinatario e nel giro di qualche ora dai log si vede che non arrivano proprio piu'. Probabilmente, anzi sicuramente, sara' cosi' anche in futuro, ma ho voluto adottare anche altri sistemi.
Il primo che ho adottato, molto banale, e' stato Sender Policy Framework, usato da Gmail, che in sostanza consiste nell'aggiungere ai dati della zona del proprio dominio alcune informazioni, in un campo TXT, su quali sono i server autorizzati ad inviare email per quel dominio. Ad esempio per bestkevin.com:
bestkevin.com. IN TXT "v=spf1 a mx -all"
infatti:
kevin@jenny:/etc/spamassassin$ dig +short TXT bestkevin.com
"v=spf1 a mx -all"
In entrata la verifica la faccio fare a spamassassin, collegato ad amavis.
Volendo aumentare questo genere di "protezione", ho installato anche il sistema DomainKeys, che oltre a funzionare un po' come SPF, aggiunge anche un livello di integrita' del messaggio, in quanto firmato dal server. A me interessa solo la verifica di identita' nell'invio.
Recupero quindi dal .bash_history un po' di informazioni :) considerando che il sistema e' una Debian GNU/Linux Etch. La base delle informazioni la potete trovare qui e qui.
Installiamo i pacchetti necessari. Manca una libreria di perl, o meglio quella di etch non e' aggiornata per cui si dovra' installare da CPAN.
su - Mai lavorare come root...ma tant'e' ;) mkdir DomainKey
cd DomainKey/
apt-get install libcrypt-openssl-rsa-perl
apt-get install libdigest-sha-perl libdigest-sha-perl1
apt-get install libdigest-sha-perl libdigest-sha1-perl
apt-get install liberror-perl
apt-get install libemail-address-perl
apt-get install libnet-server-perl
Preleviamo il programma che si occupera' di effettuare le firme dei messaggi in uscita e la verifica di quelli in entrata (a me interessa solo la prima parte lasciando a spamassassin la seconda):
wget http://downloads.sourceforge.net/dkimproxy/dkimproxy-1.0.1.tar.gz
tar xvfz dkimproxy-1.0.1.tar.gz
cd dkimproxy-1.0.1
mkdir /usr/local/sbin/dkimproxy
cpan
Qui, se e' la prima volta che lo lanciate, premete sempre invio tranne all'indicazione del mirror da usare per scaricare le librerie necessarie. Una volta arrivati alla shell di CPAN date il comando:
install Mail::DKIM
Proseguiamo...
./configure --prefix=/usr/local/sbin/dkimproxy/
make install
cd /usr/local/sbin/dkimproxy
adduser dkim
passwd dkim -d
cd etc/
openssl genrsa -out private.key 1024
openssl rsa -in private.key -pubout -out public.key
cd /usr/local/sbin/dkimproxy
chown -R dkim.dkim dkimproxy/
cd dkimproxy/etc/
chmod go-r private.key
mv dkimproxy_out.conf.example dkimproxy_out.conf
mv dkimproxy_in.conf.example dkimproxy_in.conf
cp /root/DomainKey/sample-dkim-init-script.sh /usr/local/sbin/dkimproxy/etc/init.d/dkimproxy.sh
ln -s /usr/local/sbin/dkimproxy/etc/init.d/dkimproxy.sh /etc/rc2.d/S90dkimproxy
/etc/rc2.d/S90dkimproxy start
Ora dovrebbe essere installato e funzionante. Io ho modificato lo script di avvio commentando nella sezione start) la chiamata a start-in) perche' come detto non mi interessa.
Vediamo cosa mettere nella zona del DNS. Semplicemente:
selector1._domainkey.bestkevin.com. IN TXT "k=rsa; t=s; p=M
IGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDjoawNERYaU5QHfihMhEOLG4VlkM4iG
/QaRXKKJ8Kf2/UQtRrrN4uKPVEq1jvHwlz6et3gpBQCMp31FOMeGxKwKGCQjVPOD5tLs
7AB7Gas/JLBtONbktwy6wL5bsEa7osdxjqPzeIwGfgIVAav6RW17nLEKdnW4M+Roj/3r
sdiKQIDAQAB"
dove selector1 e' un nome scelto (tutti usano questo, quindi ho proseguito la tradizione), il resto va uguale cambiando il dominio e la parte della chiave pubblica che altro non e' che il contenuto del file public.key che avevamo generato, avendo l'accortezza di concatenare cio' che nel file e' su piu' righe.
Bisogna ora modificare il master.cf di postfix, considerate che io ho cambiato le porte di funzionamento da quelle di default 100XX con le 101XX in quanto ho amavis che gira sulle stesse:
cat /etc/postfix/master.cf
...
submission inet n - - - - smtpd
-o smtpd_etrn_restrictions=reject
-o smtpd_sasl_auth_enable=yes
-o content_filter=dksign:[127.0.0.1]:10127
-o receive_override_options=no_address_mappings
-o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject

dksign unix - - - - 10 smtp
-o smtp_send_xforward_command=yes
-o smtp_discard_ehlo_keywords=8bitmime,starttls

127.0.0.1:10128 inet n - - - 10 smtpd
-o content_filter=
-o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
-o smtpd_helo_restrictions=
-o smtpd_client_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o mynetworks=127.0.0.0/8
-o smtpd_authorized_xforward_hosts=127.0.0.0/8

Vorrei farvi notare che a differenza degli howto online, qui postfix lavora in chroot, ed infatti il campo relativo di master.cf e' diverso. Per questo motivo e' necessario spostare tutto quello che abbiamo fatto, nella chroot di postfix:
mkdir /var/spool/postfix/usr mkdir /var/spool/postfix/usr/local/ mkdir /var/spool/postfix/usr/local/sbin mv /usr/local/sbin/dkimproxy /var/spool/postfix/usr/local/sbin ln -s /var/spool/postfix/usr/local/sbin/dkimproxy /usr/local/sbin/
L'ultima cosa da fare e' modificare spamassassin per dirgli di controllare lui le chiavi delle email in arrivo, ovvero nel file v312.pre togliere il commento alla riga relativa:

loadplugin Mail::SpamAssassin::Plugin::DKIM

Tutto qui, il sistema dovrebbe essere pronto (guardate magari i file di config di dkimproxy per verificare che si adattino alla vostra config, in particolare il nome del dominio).

Per fare una prova, mandate una mail a test@dkimtest.jason.long.name con oggetto dkim, e vedete cosa vi risponde, oppure mandatela ad un account su yahoo: dovrebbe dirvi, sotto al campo mittente una volta aperta la mail, che lo stesso e' stato verificato con DomainKeys.

Spero di non aver dimenticato nulla, se avete domande...mandate una mail :)

Oggi ascoltando la TV, facendo dell'altro, sento che una marca di elettrodomestici ha immesso sul mercato un nuovo, fantastico aspirapolvere con potenza di 2400W, spacciandolo ovviamente come un'innovazione. La domanda che mi sono fatto e': dov'e' l'innovazione ? Quale magia tecnologica ha consentito di fare questo poderoso motore elettrico da 2400W ? Se poi si considera che in casa, normalmente, c'e' una disponibilita' massima di 3000W, occhio ad usare contemporaneamente un altro elettrodomestico perche' il rischio e' quello di superare il limite del contatore.
Io non capisco questa corsa alla potenza fine a se stessa. Un'evoluzione potrebbe essere fare un aspirapolvere che consuma 500W e rende come uno da 2000W, allora avrebbe senso, ma cosi' non serve a nulla.
Boh, io non lo capisco :)