AXFRs bei iX-Blacklist

< Vorheriger Eintrag | Nächster Eintrag >

Dienstag, 13. März 2007

In letzter Zeit häufen sich die Anfragen, ob ein AXFR der iX-Blacklist NixSpam möglich wäre. Leider scheidet dies aus: Die DNS-Blacklist wird über einen PowerDNS betrieben, dieser wiederum holt sich seine Daten aus einer MySQL-Datenbank, die live gefüttert wird. Somit wäre mehrmals in der Minute ein AXFR nötig

Leider nehmen die wenigsten Interessenten das Angebot einer MySQL-Replikation an

Geschrieben von Manuel Schmitt in Technik um 16:14 | Kommentare (8) | Trackbacks (0)

Trackbacks

Trackback-URL für diesen Eintrag

Keine Trackbacks

Kommentare

Ansicht der Kommentare: (Linear | Verschachtelt)

Ach, MySQL als Backend? Na das erklaert dann sporadische Timeouts (die letzten sind bei mir allerdings vom 9. Maerz).

Das wuerde auch erklaeren, warum die Timeouts nur bei non-cached queries auftreten (sprich, jene fuer die der PowerDNS keine positive/negative Antwort im Ramen der TTL vorhaelt).

Warum keine BerkeleyDB (also, nicht im MySQL, sondern statisch, wenn's geht)?

Normal liest ein Authoritive die Zone in den Mem-Cache. Wenn er "staendig" "auf Disk ueber Sockets" nachschauen muss, ob record vorhanden, wunderts mich nicht.

#1 Robert Felber am 13.03.2007 23:16 (Antwort)

Warum ein frontend-backend system fuer den RBL Betrieb suboptimal ist:

Es sind >80% negative Anfragen zu erwarten -> Last auf das Backend
Im normalen Hosting Betrieb kann man auf soetwas setzen, da ist der Grossteil der Anfragen positive, bzw kann beantwortet werden. Im normalen Hosting Betrieb cached der PowerDNS die Daten, im RBL Betrieb muss er zu viel non-cached beantworten (du kannst ja darueber mal eine Statistik aehnlich http://j.ns.dsbl.org/nsg machen)

Loesung: ein System ohne Backend sondern Zone im Speicher waehlen. Diese Zone kann auch ohne Neuladen und sogar ueber MySQL verwaltet werden. Dazu muss die Verwaltung eben ein 'nsupdate' (man nsupdate) mit den noetigen Informationen senden. Vorteil: nicht zu beantwortende Queries belasten kein Backend und sind 1000-fach schneller beantwortet weil schlicht nicht im Speicher.

#1.1 Robert Felber am 14.03.2007 00:13 (Antwort)

ich wuerde vermuten, daß das mysql backend mit der direkten verbindung von den heise-mailservern und der blacklist bei manitu zu tun hat. ich wuerde schaetzen, dass das mysql backend zusammen mit dieser live-kopplung eingefuehrt wurde.. da fingen naemlich auch die timeouts an.

#1.1.1 nighthawk am 14.03.2007 20:25 (Antwort)

jip

#1.1.1.1 Manuel Schmitt (manitu) am 22.03.2007 12:03 (Antwort)

Das Problem: Die Daten müssen sich "live" ändern können, im Gegensatz zu fast allen anderen Blacklists werden die Daten nicht in x-Minuten-Abständen aufbereitet, sondern kommen binnen Sekunden in die RBL.

Dadurch entstehen trotz geringerem "Datenpool" (Anzahl ans Spam-E-Mails) eine erstaunlich hohe Trefferquote.

Wir überlegen derzeit, einen eigenen RBL für sowas zu entwicklen.

#1.1.2 Manuel Schmitt (manitu) am 22.03.2007 12:05 (Antwort)

Wie gesagt, das geht auch mit dem nsupdate Program. Man kann DNS realtime updaten ohne Zonen neu zu laden. Das setzt voraus, dass der DNS Server RFC 2136 implementiert (http://tools.ietf.org/html/rfc2136). Siehe auch http://en.wikipedia.org/wiki/Nsupdate
(In diesem Zusammenhang ist aber eine Zone im Speicher ein zwingendes Performance-Muss, alles andere ist halbbacken, bzw widerspricht dem Dynamic DNS update Konzept).

Eine andere Alternative waere rbldnsd by DJB (Aua). Kommt mit cdb files klar, wie da die realtime-implementierung aussieht habe ich mich noch nicht mit befasst.

#1.1.2.1 Robert Felber am 26.03.2007 15:49 (Antwort)

Ich lasse mich mal von dem Technischen Fachwissen in den vorherigen Threads nicht beeindrucken und frage ganz stumpf:
Was ist AXFR?

#2 pentius am 18.03.2007 00:47 (Antwort)

Ich lasse mich mal von dem Technischen Fachwissen in den vorherigen Threads nicht beeindrucken und frage ganz stumpf:
Was ist AXFR?

#3 pentius am 18.03.2007 00:47 (Antwort)

http://de.wikipedia.org/wiki/AXFR

#3.1 Manuel Schmitt (manitu) am 22.03.2007 12:03 (Antwort)

Kommentar schreiben

Name
E-Mail
Homepage
Antwort zu
Kommentar	Umschließende Sterne heben ein Wort hervor (wort), per _wort_ kann ein Wort unterstrichen werden. Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert. Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet. Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden. Hier die Zeichenfolge der Spamschutz-Grafik eintragen: BBCode-Formatierung erlaubt
	Daten merken? Bei Aktualisierung dieser Kommentare benachrichtigen