Craig Watson's questions

去年迁移托管服务提供商后，我收到了许多显示迁移“日期”的电子邮件，而不是邮件发送日期，请参见截图：

这个日期显示在我的本地客户端（OS X 10.11.6 和 iOS 10 beta 中的 Mail.app）和网络邮件（Roundcube）上。

后端邮件服务器是Dovecot，并且 Maildir 目录中的所有邮件都有正确的Delivery-date标头。

有没有办法纠正这个问题，或者让 Dovecot 重新读取或重新编译它的消息数据库？

我目前有两台 Apache 服务器在这里和这里运行，它们都使用由 StartSSL 签名的 SSL 证书。Apache SSL 配置如下：

  ## SSL directives
  SSLEngine on
  SSLCertificateFile      "/etc/certificates/thor.vikingserv.net/certificate.crt"
  SSLCertificateKeyFile   "/etc/certificates/thor.vikingserv.net/private.key"
  SSLCertificateChainFile "/etc/certificates/intermediate/startssl-class-1.crt"

服务器证书和中间证书都是 SHA-256，但 CA 证书在我的 Linux 工作站上是 SHA-256，但在我的 MacBook 上是 SHA-1。

我可以使用SSLCACertificatePathApache 中的指令来强制使用 SHA-256 CA 证书，但这会覆盖随操作系统分发的根证书吗？

我们有一个 GoDaddy 通配符证书，该证书已安装到 Exchange 2010 中，并已成功用于 OWA 的 IIS 连接。

我们已将此证书分配给 SMTP 服务以及 IIS，但这似乎并没有取消分配默认的自签名证书。

自签名证书已分配给 SMTP、IMAP 和 POP（由于它是通配符，我们不能将通配符证书用于 IMAP 和 POP）。是否可以仅从 SMTP 服务取消分配自签名证书？

我发现的唯一文档与完全删除证书有关。

我们刚刚收到了一个带有 14 个 2TB NL-SAS 驱动器的新 JBOD 机箱 - 2 个已指定用于机柜备件，因此我们有 12 个驱动器可用。

我有几个设置 RAID10 阵列的选项（不幸的是，主机不允许奇数跨度）：

• 6 个 2 磁盘跨度（12TB 原始）
• 3 个 4 磁盘跨度（6TB 原始）
• 2 个 6 磁盘跨度（4TB 原始）

我想获得最可用的空间，因此 6x2 看起来很受欢迎，而 2x6 并没有提供足够的空间，但我想知道使用 6x2 超过 3x4 是否有任何性能或风险。

我认为6x2 的风险更大，因为每个跨度只能丢失一个驱动器 - 但是两个热备件足以缓解这种情况吗？

有人可以检查我的推理或给我任何指示吗？

主机是 FC Infortrend ES-DS 3024 SAN，如果有任何不同，工作负载将是 Veeam 备份存储。

我运行一个由标准 Postfix、SpamAssassin、ClamAV、SPF/DKIM 检查等组成的 MTA。此 MTA 仅用于入站电子邮件，不托管任何帐户，并将通过所述检查的任何邮件转发到共享网络主机。

我知道一些电子邮件服务在尝试将邮件传递到我的服务器时开始尝试在纯文本之前尝试 TLS 连接。

我意识到并非所有服务都支持 TLS，但我想知道它的采用程度如何，以便我可以满足我大脑的强迫症安全方面（是的，我知道 SSL 并不像我们曾经认为的那样安全...）。

Postfix 文档smtpd_tls_security_level声明RFC 2487规定所有公开引用（即 MX）的邮件服务器不强制 TLS：

根据 RFC 2487，这绝不能应用于公共引用的 SMTP 服务器。因此，此选项默认为关闭。

那么：文档（或 15 年前的 RFC）的适用性/相关性如何，我可以安全地在所有入站 SMTP 连接上强制使用 TLS，而不会锁定世界上一半的 ISP？

请原谅脑残 - 试图解决一个已经在圈子里跑了一整天的问题！

TL;DR -由 L3 交换机隔开的两个网络上的客户端可以互相看到和 ping 通，但只有 VLAN 99 可以访问 Internet，尽管在交换机上设置了（并且可路由）默认网关。数据包最终到达网关并且不再进一步，由 traceroutes 证明。

VLAN：

• 192.168.50.0/24（旧版 - VLAN 99）
• 10.50.1.0/24（新 - VLAN 1）

成套工具：

• SonicWALL NSA220 在192.168.50.1上具有 LAN 接口和 WAN 地址。SonicWALL 配置为将所有 LAN 地址 NAT 到 WAN。
• HP 2920 第 3 层交换机，接口位于192.168.50.254和10.50.1.254上，默认网关设置为192.168.50.1。

默认网关：

• VLAN 99：192.168.50.1 (SonicWALL)
• VLAN 1：10.50.1.254（HP）

实施细节：

• 我已经通过 DHCP 为 10.50.1.0/24 推送了一条静态路由，网关为 192.168.50.254，以避免 ICMP 从 SonicWALL 重定向到 2920。
• 我将 10.50.1.0/24 静态路由到 192.168.1.254 并在 SonicWALL 上划分为 LAN 网络。

2920上的路由表：

core-switch-01# show ip route

IP Route Entries

Destination        Gateway         VLAN Type      Sub-Type   Metric     Dist.
------------------ --------------- ---- --------- ---------- ---------- -----
0.0.0.0/0          192.168.50.1    99   static               1          1    
10.50.1.0/24       MGMT            1    connected            1          0    
127.0.0.0/8        reject               static               0          0    
127.0.0.1/32       lo0                  connected            1          0    
192.168.50.0/24    OLD_NET         99   connected            1          0    

如果有人需要更多详细信息，请发表评论。

我们有一个由 24 x 600GB 10K SAS 磁盘组成的新存储阵列，下周到货，我正在尝试决定如何最好地为我们的 3 节点 VMware vSphere 集群划分可用空间，该集群将通过 8Gb FC 访问阵列具有完全冗余的多路径。

我们有两个主要工作负载 - 内部 MySQL 和 Exchange 2010 服务器，我将其归类为高 IO和 Windows 域控制器，以及一个文件服务器，我将其归类为低 IO。

我最初的计划是用 6 个磁盘在 RAID10 中拆分阵列，另外 18 个在 RAID50 中，使用三个 6 磁盘 RAID5 竖井或六个 3 磁盘竖井。机箱没有“热备份”，但我们订购了一个额外的磁盘作为现场“冷备份”。

现在，这原则上可行，但我不确定它在实践中的安全性 - 我已经阅读了几篇文章，虽然提高的空间效率让我朝着 RAID50 的方向发展，但我看到的几篇文章基本上都说由于不可靠性和故障风险，RAID50（连同 RAID5）在行业中已被弃用。

我是否不必要地偏执，如果不是，我应该使用 RAID10 孤岛而不是 RAID50？

TL;DR - CloudFormation 模板是否可以将特定 ELB 的子网特定内部 IP 地址插入该子网内实例的 UserData？

我们在一个 Amazon VPC 中有一组 EC2 Web 服务器，在 EU-West-1 内的三个 AZ 中的每一个都有六个子网、一个私有子网和一个公共子网。所有服务器都配置了 CloudFormation。

我们想配置 Apache 的 mod_rpaf 来记录X-Forwarded-For标头（我们可以更改 LogFormat，但这并不容易转换为 PHP 或 Apache 错误日志；RPAF 对我们来说是最简洁的解决方案）。

据我所知，ELB 的架构方式意味着它在每个配置的可用区中都有一个“脚”，如果 ELB 被拆除或重新创建，这可能会发生变化。

似乎 Ubuntu 12.04 存储库中的 mod_rpaf 版本尚未更新以允许ProxyIPS指令的 CIDR 表示法，理论上 ELB 的 IP 地址可以是我们三个公共子网中的任何内容。

剩下的一个解决方案是通过 Puppet 配置模块，使用实例的 UserData 生成的 hieradata。我知道在某种程度上您可以在 CloudFormation 模板中插入引用和变量，但我不确定是否可以有效地说“给我这个子网中这个 ELB 的私有 IP 地址”。

我正在草拟一个新的网络拓扑，但我不确定如何解决两个 VLAN 之间的 DHCP 问题。

• 10.50.2.0/23 将容纳我们的大多数用户、企业 wifi、打印机等。
• 10.250.3.0/24 将包含需要访问我们的 AWS VPN 隧道的用户子集

我计划使用 L3 交换机在子网之间进行路由，并使用 ACL 来控制哪个 VLAN 可以访问哪个方向和哪个方向（即 3/24 将能够访问 2/23，但反之则不行）。

问题是 10.50.3.0/24 网络中的 DHCP。我可以通过交换机配置 DHCP 中继，也可以在该网络中为我们的 Windows 2008 R2 DHCP 服务器提供一个 NIC。

哪个（如果有的话）是“正确”的方式？

我的网站和电子邮件由共享主机托管。不幸的是，他们的服务器正在使用 CPanel，因此他们的垃圾邮件防护选项受到了限制。

我还有一个 VPS，用于测试和托管其他一些零碎的东西（为什么我不将 VPS 用于网站？我不想担心备份！） - 我可以将其用作我的MX 用于我的域，共享主机作为传输映射 - 我曾经运行自己的 dedi，因此已准备好 Puppet 模块用于邮件服务器。

VPS 主机要求我使用 Postfix 邮件中继，以确保我不会从他们的 IP 范围内发送垃圾邮件。

我可以同时使用 Postfixtransport_maps和relay_host指令来让我的 MX 将我的域的所有邮件转发到共享主机，但是通过 VPS 主机的中继？

我想要的结果的另一个例子：

• example.com有一个 MX 记录（为了理智）vps.example.com
• vps.example.com接收传入的邮件，然后查询transport_maps并将其转发到最终目的地sharedhost.example.com，使用中继relayvps.example.net作为“下一跳”

我一直在考虑使用 KVM/QEMU 将基于 VMware 的专用服务器迁移到 Linux。唯一剩下的主要障碍是网络。我目前的设置是：

NIC <---> Public vSwitch <--->  Router (IPFire) <---> Private vSwitch <---> VMs

主机具有公共 IP，路由器 VM 也具有公共 IP。

我的问题是：Open vSwitch 是否需要复制此设置，或者两个标准 Linux 网桥就足够了 - 例如br0，对于公共和br1虚拟机，以及路由器虚拟机都连接了 NIC？

我有一个由我的 ISP 分配的 /29 子网，一个 SonicWALL 办公室路由器和一个 Cisco 语音路由器连接到某种“网轨”，带有连接我的 ISP 路由器输出和两个防火墙的未标记 VLAN 交换机端口。

我想将其用作路由子网，以便所有连接都能到达我办公室的防火墙，并且我可以 DNAT 到我们的内部网络。

在不对我们的 ISP 路由器进行重大更改的情况下，有什么可以做的吗？