Mikeage's questions

我运行自己的域，但将许多电子邮件地址转发到我的 gmail 帐户。最近，我开始看到很多被 gmail 标记为垃圾邮件的邮件。我为我的外发电子邮件设置了 SPF，并使用 SRS 将发件人地址重写为我自己的地址。我也设置了 DKIM，尽管据我了解，这不应该适用于转发的电子邮件，只适用于从我的服务器生成的电子邮件（实际上，我看到转发的电子邮件不会添加 DKIM，但本地发送的消息会）。但是，我看到 gmail 报告 DMARC 失败，并且我不确定我还需要做什么（它主要发生在两个域中；来自chas.com 的电子邮件和来自 gmail.com 本身的电子邮件）。

以下是一组邮件标头示例：

Delivered-To: [email protected]
Received: by 2002:a25:4c89:0:0:0:0:0 with SMTP id z131csp247333yba;
        Wed, 11 Nov 2020 21:37:05 -0800 (PST)
X-Google-Smtp-Source: ABdhPJwFbRvhPcki/xyFiq4i6zpnks1uM/l10A2Q0Qo3g0AKeqKWLHd+p2gIj+yngrgvIwswgLV1
X-Received: by 2002:a0c:e443:: with SMTP id d3mr18173382qvm.18.1605159425248;
        Wed, 11 Nov 2020 21:37:05 -0800 (PST)
ARC-Seal: i=1; a=rsa-sha256; t=1605159425; cv=none;
        d=google.com; s=arc-20160816;
        b=JX6leDybyKeQegfcvVUv1g5UjEG5W+C3mE2k+UlyR1/OB9QvRqrtQfEAUqT/311ilI
         qJPsXtXu8evavgz2mho2Mjh84FHntAXHgG+USzMM1xeGLu/VxtNgiZ1TW9cgzWXxXe6K
         84eYdyQeHs4X79tF0BpS6ifuogVtAr3MKFXWvWcSo28c28clL8oByG3xManz7B7aRls5
         Aua8MS/FcBU616aSiFCRTVMbAdnhpDBG8VCkFd6UJfdmUN2jD3L5OPvN3ANTDpu72jAu
         cx6CffRzzlFLo8yHLHZN+BxNbf1HGaQUQZlc6TKDSsaIBal8ZyfZb3AKpTxh83G9zdMM
         gmow==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=dkim-signature:list-post:delivered-to:mailing-list:list-id:sender
         :list-unsubscribe:precedence:to:subject:message-id:date:from
         :mime-version:delivered-to;
        bh=JSHgjvIPGqD5iT5NfXIkWoWBKPw2mHWXehrTFtzq6B8=;
        b=0dx9mxfBcmy+az6LMznOVBqHvj4hGiTtOz9oI287B4b7snUmCsa8IGfraZ445n4VBU
         sVDTtXzO+kOxdz+nLs4zwFjrIGplowy6N9cvUmm1VsXTd3ZuEmfhIxl7Fo79DZ7Xrs7L
         6WYg0CR+b3DrCMDKQ/kHEN5h8eH31CeruJgM/NRY+lqX1SVYX6gQfyFG2HNFLJO/ksfD
         eediGpY5T/K9WzvX0+J5PM5QonUGbpbhd5PAZsFwVneqPcDQj3uOwUWuUAw3dLdNLL9y
         Y6w/lJIx89Sya53Kja2j15eT5d+FjPE9OeogRuK9qAJxGNn54xA9kb6sT0vFrWftNvA3
         QynQ==
ARC-Authentication-Results: i=1; mx.google.com;
       dkim=pass [email protected] header.s=20140610 header.b=OmM+mk8Y;
       spf=pass (google.com: domain of srs0=uwyv=es=groups.io=bounce+69030+554308+4680414+8404272@mikeage.net designates 34.224.146.155 as permitted sender) smtp.mailfrom="SRS0=Uwyv=ES=groups.io=bounce+69030+554308+4680414+8404272@mikeage.net";
       dmarc=fail (p=NONE sp=QUARANTINE dis=NONE) header.from=gmail.com
Return-Path: <SRS0=Uwyv=ES=groups.io=bounce+69030+554308+4680414+8404272@mikeage.net>
Received: from aws1.mikeage.net (aws1.mikeage.net. [34.224.146.155])
        by mx.google.com with ESMTPS id v10si2417871qtw.367.2020.11.11.21.37.05
        for < [email protected]>
        (version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256);
        Wed, 11 Nov 2020 21:37:05 -0800 (PST)
Received-SPF: pass (google.com: domain of srs0=uwyv=es=groups.io=bounce+69030+554308+4680414+8404272@mikeage.net designates 34.224.146.155 as permitted sender) client-ip=34.224.146.155;
Authentication-Results: mx.google.com;
       dkim=pass [email protected] header.s=20140610 header.b=OmM+mk8Y;
       spf=pass (google.com: domain of srs0=uwyv=es=groups.io=bounce+69030+554308+4680414+8404272@mikeage.net designates 34.224.146.155 as permitted sender) smtp.mailfrom="SRS0=Uwyv=ES=groups.io=bounce+69030+554308+4680414+8404272@mikeage.net";
       dmarc=fail (p=NONE sp=QUARANTINE dis=NONE) header.from=gmail.com
Received: by aws1.mikeage.net (Postfix) id 1BFFA3EF14; Thu, 12 Nov 2020 05:37:05 +0000 (UTC)
Delivered-To: [email protected]
Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=66.175.222.108; helo=mail02.groups.io; [email protected]; receiver=<UNKNOWN>
Authentication-Results: aws1.mikeage.net; dkim=pass (1024-bit key; unprotected) header.d=groups.io [email protected] header.a=rsa-sha256 header.s=20140610 header.b=OmM+mk8Y; dkim-atps=neutral
Received: from mail02.groups.io (mail02.groups.io [66.175.222.108]) by aws1.mikeage.net (Postfix) with ESMTPS id EB7DB3EC4B for < [email protected]>; Thu, 12 Nov 2020 05:37:04 +0000 (UTC)
X-Received: by 127.0.0.2 with SMTP id oLsLYY4681749xG4qmmeW9rb; Wed, 11 Nov 2020 21:37:04 -0800
X-Received: from mail-vs1-f52.google.com (mail-vs1-f52.google.com [209.85.217.52]) by mx.groups.io with SMTP id smtpd.web10.9563.1605113448380395017 for <[email protected]>; Wed, 11 Nov 2020 08:50:48 -0800
X-Received: by mail-vs1-f52.google.com with SMTP id z123so1546706vsb.0
        for <[email protected]>; Wed, 11 Nov 2020 08:50:48 -0800 (PST)
X-Gm-Message-State: uBHNPLbE3sy8KcE8rImAnZFdx4680414AA=
X-Received: by 2002:a67:f708:: with SMTP id m8mr15122860vso.58.1605113447617; Wed, 11 Nov 2020 08:50:47 -0800 (PST)
MIME-Version: 1.0
From: Safta Chavi <[email protected]>
Date: Wed, 11 Nov 2020 18:50:36 +0200
Message-ID: <CAB5sq-wzZZ13bfOpxWo2n+AV_AQNBLim4x_9PNZfWz+n7Evi1g@mail.gmail.com>
Subject: [BS/RBS List] Oven recommendations? #question
To: undisclosed-recipients:;
Precedence: Bulk
List-Unsubscribe: <https://shemesh.groups.io/g/list/unsub>
Sender: [email protected]
List-Id: <list.shemesh.groups.io>
Mailing-List: list [email protected]; contact [email protected]
Delivered-To: mailing list <[email protected]>
List-Post: <mailto:[email protected]>
Content-Type: multipart/alternative; boundary="000000000000de985705b3d798e3"
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=groups.io; q=dns/txt; s=20140610; t=1605159424; bh=Xn5E1cyGj2ayBjpZKnm7oR5ODzG3Kta9nWJlOKpgTcs=; h=Content-Type:Date:From:Subject:To; b=OmM+mk8YnCxE98j+3aPaH3UafJpARH0ImGXbaRpc39IaqG764aNGPZ5q5EGvPAX3F2h f+WhRaKb+ZbIThuuuMgtm13iaaCy7TNRQ4ge2qs/sEzLeF3y/dKo02nt5Q1eQxcWmPB69 VE51OhCC1/B2T8YQKoC2Czq7kO85AW2ZtkE=

（为了减少垃圾邮件，我用 MYADDRESSORIGINAL 替换了发送电子邮件的地址，用 MYADDRESS 替换了实际的收货地址（我的 gmail），用 SENDER 替换了来源，但除此之外，一切都没有改变）

gmail 报告：SPF：通过 IP 34.224.146.155 DKIM：通过域 groups.io“通过”DMARC：“失败”了解更多

我该怎么做才能让 DMARC 通过？我想我可能需要以某种方式使用 ARC……但我到底该怎么做？

后缀配置（相同的审查）：

$ postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
body_checks = pcre:/etc/postfix/body_checks
broken_sasl_auth_clients = yes
header_checks = pcre:/etc/postfix/header_checks
inet_interfaces = all
inet_protocols = all
local_recipient_maps =
luser_relay = [email protected]
mailbox_size_limit = 0
milter_default_action = accept
milter_protocol = 6
mydestination = $myhostname, mikeage.net, localhost
myhostname = aws1.mikeage.net
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname
non_smtpd_milters = local:opendkim/opendkim.sock
policyd-spf_time_limit = 3600
readme_directory = no
recipient_canonical_classes = envelope_recipient,header_recipient
recipient_canonical_maps = tcp:localhost:10002
recipient_delimiter = +
relayhost =
sender_canonical_classes = envelope_sender
sender_canonical_maps = tcp:localhost:10001
smtp_tls_CApath = /etc/ssl/certs
smtp_tls_loglevel = 1
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:/var/lib/postfix/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
smtpd_milters = local:opendkim/opendkim.sock
smtpd_recipient_restrictions = permit_sasl_authenticated reject_invalid_helo_hostname reject_unauth_destination reject_unknown_recipient_domain reject_unverified_recipient check_policy_service unix:private/policyd-spf
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_tls_CApath = /etc/ssl/certs
smtpd_tls_cert_file = /etc/letsencrypt/live/aws1.mikeage.net/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/aws1.mikeage.net/privkey.pem
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom

（10001和10002上的地图是postsrsd）

我正在尝试设置两台 PC（一台 Windows，一台 Linux，但我的理解是这个问题更多的是 DNS 和更少的操作系统），如下所示：

Home network: 192.168.1.0/24
VPN (via OpenVPN server not within the home network): 192.168.2.0/24 .

我希望两个网络上的 PC 能够访问三种不同类型的站点：

1. 互联网地址
2. 家庭网络上的地址
3. vpn上的地址

但是，我不确定如何/使用哪些 DNS 服务器。如果我优先考虑我的家庭 DNS 服务器，我可以解决 (1) 和 (2)，但不能解决 (3)。如果我优先考虑我的 VPN DNS 服务器，我无法解析类型 (2) 的地址。当然，通过 nslookup 查找地址并明确设置正确的服务器是可行的，所以我知道我的本地 DNS 服务器是可以的。

如果找不到地址 (NXDOMAIN)，有什么方法可以将我的 PC 设置为回退到第二个 DNS 服务器上？或者，有什么方法可以告诉不同的查询去不同的服务器[也许通过设置不同的子域；foo.local.something 与 bar.vpn.something]？

谢谢

我正在研究在我的 VPS [360MB 设置] 上调整 mysql 上的查询缓存。当我开始时，它被设置为 32MB，并且我得到了不平凡的 qcache_lowmem_prunes。我添加了一个 cronjob 来定期运行 FLUSH QUERY CACHE，这有帮助，但还不够。我一直在逐渐扩大它，但即使是 80MB [我暂时从 php-cgi 中取出了一些内存]，我仍然看到 lowmem prunes。

OTOH，我只有大约 50% 的命中率[即，Qcache_hits 大约是 Qcache_hits+Com_select 的一半]。我强烈怀疑我的许多查询都是一次性查询，因此不应该被缓存。我想识别它们，并用 SQL_NO_CACHE 标记它们。

有什么简单的方法可以做到这一点吗？

由于表已更改，我的某些查询也可能未缓存，尽管基于粗略的心理模型，我认为情况并非如此。至少，大多数查询的结果应该是一致的；我正在使用 InnoDB，所以我的理解是随机 UPDATE 不一定会使所有 SELECT 无效。这个对吗？

我有一些应用程序以 XML 格式存储它们的配置文件。对于常规应用程序，使用基于文本的配置，我可以通过使用 perl、sed、awk 或一百万种工具中的任何一种来轻松地更新值。我正在为 XML 寻找类似的东西，这将使我能够轻松可靠地执行以下操作：更新值、添加节点或删除节点。

常规文本解析似乎风险太大，因为我对物理文件格式没有真正的保证。

我正在尝试设置一个 OpenVPN VPN，它将通过 OpenVPN 服务器将一些（但不是全部）流量从客户端传输到互联网。

我的 OpenVPN 服务器在 eth0 上有一个公共 IP，并且正在使用 tap0 创建一个本地网络 192.168.2.x。我有一个从本地 IP 192.168.1.101 连接并获取 VPN IP 192.168.2.3 的客户端。

在服务器上，我运行：

iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

在客户端上，默认仍然通过 192.168.1.1 进行路由。为了将它指向 HTTP 的 192.168.2.1，我跑了

ip rule add fwmark 0x50 table 200
ip route add table 200 default via 192.168.2.1
iptables -t mangle -A OUTPUT -j MARK -p tcp --dport 80 --set-mark 80

现在，如果我尝试访问客户端上的网站（例如 wget google.com），它就会挂在那里。在服务器上，我可以看到

$ sudo tcpdump -n -i tap0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tap0, link-type EN10MB (Ethernet), capture size 96 bytes
05:39:07.928358 IP 192.168.1.101.34941 > 74.125.67.100.80: S 4254520618:4254520618(0) win 5840 <mss 1334,sackOK,timestamp 558838 0,nop,wscale 5>
05:39:10.751921 IP 192.168.1.101.34941 > 74.125.67.100.80: S 4254520618:4254520618(0) win 5840 <mss 1334,sackOK,timestamp 559588 0,nop,wscale 5>

其中 74.125.67.100 是它为 google.com 获得的 IP。

为什么 MASQUERADE 不工作？更准确地说，我看到源显示为 192.168.1.101 - 不应该有什么表明它来自 VPN 吗？

编辑：一些路线[来自客户端]

$ ip route show table main
192.168.2.0/24 dev tap0  proto kernel  scope link  src 192.168.2.4
192.168.1.0/24 dev wlan0  proto kernel  scope link  src 192.168.1.101  metric 2
169.254.0.0/16 dev wlan0  scope link  metric 1000
default via 192.168.1.1 dev wlan0  proto static

$ ip route show table 200
default via 192.168.2.1 dev tap0

我试图通过将所有前往端口 80 的传出数据包重新路由到 squid 代理来强制一台 PC 使用远程透明 squid 代理，尽管我在使用确切的 iptables 命令行时遇到了一些困难。

http://tldp.org/HOWTO/TransparentProxy-6.html上的 mini-HOWTO为两个“极端”情况提供了一些很好的链接：一个三（或更多）机器设置，它有一个客户端、路由器和代理，和一个单一的机器设置，所有三个都在同一台机器上。

在我的设置中，我有一台机器（称为 foo），IP 为 192.168.1.100。通常，它通过 192.168.1.1 的路由器连接到 Internet，该路由器执行 NAT 并具有公共 IP。在这种情况下，foo 还通过 OpenVPN 隧道（foo 的隧道地址为 10.8.0.5/6）连接到运行 squid 的名为 bar（远程地址 10.8.0.1）的机器。我想使用 iptables 将所有从 foo 发往端口 80 的传出数据包路由到端口 3128 上 bar 的 squid 代理。

我一直无法弄清楚要使用哪个链和目标；我所有的尝试要么是非法的（-A OUTPUT 没有 -t nat 和 --to-destination），要么只是没有做任何好事（-A PREROUTING、OUTPUT、POSTROUTING 等的各种组合）。

编辑：我认为我得到的最接近的是：

iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to 10.8.0.1:3128

现在，没有端口 80 的流量可以到达任何地方，但至少它正在得到处理。使用 -A PREROUTING 失败...可能是因为数据包来自本地而不是通过机器路由？

您必须处理的用户做过的最狡猾的事情是什么？显然，我们都看到了很多来自不友好用户的恶意，但是来自所谓的友好用户呢？

就我而言，我认为它必须是ping 隧道：使用传出的 ICMP 数据包携带 SSH 隧道以绕过防火墙。[完全披露：我为这个工具的 Windows 端口做出了贡献；）]

（作为社区 wiki 重新打开）

我目前正在使用 munin 来监控一堆 linux 服务器（以及一些 WinXP 客户端）。但是，munin 是按顺序进行数据收集的，并且当客户端在中间断开连接时似乎很容易超时。

有并行版本吗？

有什么方法可以更快地处理客户端断开连接的情况？

现在，我的许多数据收集任务需要超过 5 分钟才能开始下一次收集，导致警告和丢失数据点。