This is the log entry (/var/log/mail)
Aug 21 22:45:30 myserver postfix/smtpd[12071]: warning: unknown[xxx.xxx.xxx.xxx]: SASL LOGIN authentication failed: authentication failure

and this is the regex that work , just remove the part after “authentication failed” (/etc/fail2ban/filter.d/sasl.conf)

failregex = (?i): warning: [-._\w]+\[\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed

Test it:
fail2ban-regex /var/log/mail.log /etc/fail2ban/filter.d/sasl.conf

if you are on a slow server or on a big mail server use /var/log/mail.err instead


#! /bin/sh
USER=user ## mldonkey user
PASS=pass ## mldonkey password for user
HOST=192.168.1.2 ## host where mldonkey is running
PORT=4000 ##port
(echo "auth $USER $PASS";echo $1;echo q) | nc $HOST $PORT

and then for conkyrc

${execi 50 ml_command bw_stats|grep Down|awk -F " " '{print $1,$2,$3,$10,$11,$12}'}


Leggendo un po di quei “Perfect Setup” ho capito che “l’email” è un metodo di comunicazione “antico” e quindi è un casino da capire, nella mia mente malata ho fatto un paragone coi servizi postali “veri e non virtuali”

• MTA: Mail Transport Agent: è quella cosa che mette in comunicazione i server, è l’ufficio postale che manda la posta ad un altro ufficio postale di competenza. Esempio: mando uno cartolina da un paese trento a uno di milano ,la cartolina arriva alle poste di trento che la manda alle poste di milano.Il camion che va da Trento a Milano pieno di lettere è l’MTA.
• MDA: Mail Delivery Agent: è quella cosa che consegna l’email in arrivo dal server agli utenti ovvero è il postino che in vespa vi porta la cartolina dall’ufficio di milano a casa vostra
• MUA: Mail User Agent: è la vostra casella di posta in cui il postino mette la cartolina che verrà presa da chi di dovere ( voi che uscite di casa la mattina rimbambiti dal sonno in pantofole a prendere la posta

Fondamentalmente a me serve solo l’MTA : tutte le lettere spedite da casa mia dovranno andare all’ufficio Gmail piuttosto che essere smistate internamente.Così facendo posso licenziare il postino smarzo che gira in bici sulle strade di alice e usare quello “bravo” di gmail.
Ci sono vari MTA , abolito sendmail causa eccessiva “antichità” ovvero non ce ne vengo fuori una mazza, ho preferito usare postfix al posto di exim4.

sudo aptitude update
sudo aptitude install postfix mailx(la configurazione di default va bene)

Ora per prima cosa creiamo gli alias ( /etc/aliases o /etc/mail/aliases), ovvero diciamo al sistema che le email ad un utente devono essere reindirizzate ad un altro, faremo in modo che ogni email verso un qualsiasi utente venga reindirizzata ad uno solo, un unico indirizzo “catch all/prendi tutto”.In Ubuntu il file alias originale è praticamente vuoto e quindi ho preferito usare quello un po più completo di gentoo:

# Basic system aliases -- these MUST be present.
MAILER-DAEMON: postmaster
postmaster: root

# Standard RFC2142 aliases
abuse: postmaster
ftp: root
hostmaster: root
news: usenet
noc: root
security: root
usenet: root
uucp: root
webmaster: root
www: webmaster
www-data: webmaster
# trap decode to catch security attacks
# decode: /dev/null


Questo file alias reindirizza tutte le mail degli utenti dei sistemi linux più comuni al root, ora dobbiamo impostare un reindirizzamento da root ad un utente specifico e da quell’utente verso la casella mail esterna, se il vostro utente è “mario” dovrete aggiungere queste righe:


root: mario
mario: nomeutente@caselladipostaesterna.it


poi da root avvisiamo postfix del nuovo cambiamento
postaliases /etc/aliases
/etc/init.d/postfix restart


ora dovrebbe funzionare, non posso provare del tutto la correttezza dell’howto perchè ho un FQD ( fully qualified domain) , ditemi se c’è qualcosa che non va.
Per testare basta mandare da comando una cosa del genere ” il “.” (punto) è il comando che indica la fine del messaggio

mail postmaster
Subject: test mta a postmaster
questo un test
.
Cc:


se il messaggio viene spedito correttamente le ultime righe del log (/var/log/mail.log) dovrebbero essere queste:

May 17 14:56:27 caldaia postfix/pickup[31816]: DBB42D5477: uid=0 from=
May 17 14:56:27 caldaia postfix/cleanup[848]: DBB42D5477: message-id=<20070517125627.DBB42D5477@caldaia.homelinux.net>
May 17 14:56:28 caldaia postfix/qmgr[24365]: DBB42D5477: from=, size=508, nrcpt=1 (queue active)
May 17 14:56:28 caldaia postfix/cleanup[848]: 0D006D5474: message-id=<20070517125627.DBB42D5477@caldaia.homelinux.net>
May 17 14:56:28 caldaia postfix/qmgr[24365]: 0D006D5474: from=, size=652, nrcpt=1 (queue active)
May 17 14:56:28 caldaia postfix/local[851]: DBB42D5477: to=, orig_to=, relay=local, delay=0.33, delays=0.23/0/0/0.09, dsn=2.0.0, status=sent (forwarded as 0D006D5474)
May 17 14:56:28 caldaia postfix/qmgr[24365]: DBB42D5477: removed
May 17 14:56:30 caldaia postfix/smtp[852]: 0D006D5474: to=, orig_to=, relay=lucagasperini.com[74.220.202.37]:25, delay=2.2, delays=0.09/0/1.2/0.89, dsn=2.0.0, status=sent (250 OK id=1HofWv-0000x0-JE)
May 17 14:56:30 caldaia postfix/qmgr[24365]: 0D006D5474: removed


I server dns hanno il compito di risolvere i nomi che noi digitiamo nella barra dell’indirizzo del browser in numeri ed in particolare in indirizzi IP più capibili da una macchina che le lettere. Per questo motivi è importante avere dei server dns affidabili e liberi dalle influenze dei vari governi anche quello italiano.Quando noi digitiamo “www.google.it” il nostro computer va a controllare sui server dns a che ip corrisponde quel nome, i server dns rispondono che al dominio google.it corrisponde l’ip “208.69.32.230″. Infatti digitando nella barra degli indirizzi del browser “www.google.it” o “208.69.32.230″ si viene indirizzati alla stessa pagina.

La maggior degli utenti in Italia non cambia i dns della propria connessione e quindi dato che le aziende che offrono il servizio adsl non sono poi così molte (per lo meno le grosse) anche i server dns usati non saranno poi così tanti.Questa situazione torna utilie a tutti coloro che giovano di un controllo sulla libertà , come il governo italiano che un po di tempo fa ha impedito a betway.com (un sito per fare scommesse) di lavorare in Italia perchè non ha pagato le tasse per poter operare ed allora ha obbligato le compagnie adsl a “modificare” i loro server dns reindirizzando www.betway.com ad una pagina del Ministero delle Finanze.So che sembra strano dato che betway finanzia la serie A , la motoGP e la Formula1 ma è così…provare per credere (testato con i dns di Alice). L’IP vero di betway è 195.244.207.20.

OpenDNS è la soluzione a questo e ad altri problemi quali il phishing informatico.

E’ sufficiente cambiare i dns ed aggiungere questi:
208.67.222.222
208.67.220.220


Sul come farlo rimando alle istruzioni ufficiali, sulla destra c’è un quadratino arancio dove sono contenuti i link alle varie documentazioni per Windows, Linux, Mac e per router di varie marche.

A fronte di una semplice registrazione OpenDNS offre molto di più, come la protezione AntiPishing , la correzione automatica degli errori di scrittura ( google.cpm ad esempio è un classico typo , sulle tastiere qwerty italiane la “p” è vicina alla “o” quindi è facile sbagliare, opendns correggerà automaticamente in google.com) e la nuovissima funzionalità appena introdotta: gli ShortCut

Una volta creato un account si puo andare su questa pagina e creare gli shotcuts come in figura

Con questo shotcut digitando “mail” nella barra degli indirizzi vengo mandato alla pagina di gmail con connessione sicura ssl.
Si possono creare shorcut più avanzati usando variabili, ad esempio mettendo come nome shortcut “chiama” e come WebSite “skype:%s” si crea un modo veloce per chiamare con skype , se qualcuno con quello shortcut volesse chiamare me con skype allora dovrebbe inserire nella barra degli indirizzi “chiama luk3sky”. Bello no?

Note per Debian:
ora debian stable usa resolvconf, un sistema per gestire vari dns in conseguenza alla periferica che si usa per fare la connessione.Io uso ppp ed allora invece di cambiare il file /etc/resolv.conf come si faceva una volta ho dovuto modificare il file /etc/resolvconf/run/interface/ppp0.Nel mio caso per qualche ragione ho anche dovuto modificare a mano il vecchio resolv.conf ma penso che sia un problema mio.
Note per Squid:
si puo usare opendns ma non si avranno le funzionalità come la protezione phishing o gli shortcuts.

These are the release notes and among the new changes I found:

• PHP5.x
• MySQL 5.x
• Apache 2.2.x
• GCC v4.1
• from XFree86 to X.org v7.1

Updating

Fist of all install aptitude
apt-get install aptitude

I used to have Debian Sarge 64 that is a semi official backport , now Etch is shipped with amd64 architecture too so the backport is not needed anymore. Updating is not difficult , one should change all “sarge” to “etch” in /etc/apt/sources.list, mine look like this


deb ftp://mirror.switch.ch/mirror/debian/ etch main contrib non-free
#deb http://www.backports.org/debian sarge-backports main contrib non-free
deb http://security.debian.org/ stable/updates main contrib non-free
deb-src http://http.us.debian.org/debian stable main contrib non-free
deb-src http://non-us.debian.org/debian-non-US stable/non-US main contrib non-free
# TOR
deb http://mirror.noreply.org/pub/tor etch main
deb-src http://mirror.noreply.org/pub/tor etch main


the “www.backports” line is comments out because etch hit stable just today. Backports are binaries compiled for etch and shipped for sarge, sometime you can’t install a package because it misses a dependency but you can run it because it doesn’t miss any dependency while it runs, hence that backports that let me use the latest mldonkey with sarge for example.

Then


apt-get update
aptitude -f --with-recommends dist-upgrade

Note that aptitude was used rather that apt-get dist upgrade because is known to be more strict on dependencies that apt-get dist-upgrade, installing aptitude here as docs say will bring in lots of other packages.
I hope that etch will be as good as sarge , for me sarge never hanged once in its life, the only problem I had was a that a couple of deamons used to exit silently after a couple of weeks running . Hopefully etch comes with a version of shorewall that is able to handle traffic shaping.

2 cents about gentoo : I love gentoo and I have no intention to change my desktop distro …but debian management is damn faster… I remeber last Gcc major upgrade , rebuilding the the system and then the world , emerge breaking during night, a couple of days compiling vs 20 min of debs fetching in debian.

Edit: Squid and Shorewall have new configurations:

• Squid: ( ola ola Christian )delete these lineshttpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on and add this always_direct allow all.Now look for http_port X.X.X.X and add “transparent” the result should be something like this:http_port 192.168.1.2:8080 transparent

• Shorewall: have a look at /usr/share/doc/shorewall/examples . Now the file “zones” must contain the firewall zone, there are no comments and no display any more so in the end you should find something like this:net ipv4
loc ipv4
fw firewall

  ipv4 is the default for normail traffic

Da solo serve a poco o a nulla , c’è bisogno di un proxy anonimo vero con cui Tor puo collaborare , nel caso ho scelto Privoxy ( ma potevo scegliere il polipo). Con questo setup privoxy è il proxy che anonimizza la connessione ( non mostra dati sulle pagine precedentemente visitate e riferimenti di vario tipo) e si appoggia a tor per “anonimizzare” l’ip.

Installazione

Tor non è presente in Sarge ma ci sono dei depositi ufficiali da aggiungere ad /etc/apt/sources.list

deb http://mirror.noreply.org/pub/tor sarge main
deb-src http://mirror.noreply.org/pub/tor sarge main

L’installazione e la configurazione sono semplicissime:
apt-get update
apt-get install tor privoxy
echo "forward-socks4a / localhost:9050 ." >>/etc/privoxy/config
invoke-rc.d privoxy restart


finita e che non mi vengano a dire che [tag]Linux[/tag] è difficile…

Configurazione del client

Ora bisogna dire al browser di usare un proxy , in firefox Edit —> Preferenze –> Avanzate —> Network —>Connection

il risultato dovrà essere una cosa di questo tipo

Per testare basta andare all’inidirizzo http://www.whatismyip.org/

L’ip è diverso da quello che compare senza privoxy? Allora funziona

Consigli

• usare un addon di firefox per abilitare/disabilitare l’utilizzo del proxy
• usare privoxy solo quando serve perchè ogni tanto dire chè è lento è troppo poco
• NON usare Tor per P2P , è da idioti
• non si puo usare proxy cache non anonimi (tipo Squid) assieme a tor/privoxy

Etch is now frozen! Wheeeeeee!!!

E fra un po dovrò abbandonare il mio Sarge…

http://lists.debian.org/debian-devel-announce/2006/12/msg00004.html