Am 26.01.2005 habe ich mich im Forum von Gentoo Linux angemeldet. Spätestens seit diesem Zeitpunkt bin ich ausschließlicher Linux-User (abgesehen von Fällen, wo man nicht um Windows herumkommt, etwa in der Arbeit oder zum Bauen der Windows-Version des Muckturnier-Programms).
Für alle, die es nicht kennen: Gentoo Linux hat eine gewisse Sonderstellung unter den Distributionen. Hier baut man (bis auf wenige Ausnahmen) alle Software, die man benutzt, selbst aus den Quelltexten. Man fängt nicht ganz bei Null an, aber mit wenig. Man baut sich sein ganzes System selbst, und hat volle Kontrolle – zu dem Preis, dass man sich vergleichsweise gut auskennen muss.
Das hatte damals einen sehr großen Reiz. Abgesehen vom unabstreitbaren „Geek-Faktor“ kann man alle Software auf die CPU und Maschine optimieren, auf der sie läuft; inwiefern das heutzutage noch sinnvoll oder nötig ist, oder einen fühlbaren Unterschied macht, sei dahingestellt. Was aber zweifelsohne auch heute spitze ist: Bedingt durch das USE-Flag-System kann man Software ganz nach den persönlichen Bedürfnissen bauen, und so auch Abhängigkeiten aussparen oder spezielle Funktionalität einbinden. Das kann keine Binärdistribution.
Gentoo ist echt cool. Ich habe es auch nach wie vor auf meinem Desktop-Rechner (was will ich auch sonst mit den 6 Kernen und 12 Threads meines Ryzen 5 3600 und den 32 GB RAM?!). Ich habe die Distribution über die Jahre wirklich lieben gelernt (manchmal war es wohl eher auch Hassliebe ;-), und die Community ist sehr freundlich und kompetent. Der Nerd-Anteil ist hoch, und der n00b-Anteil klein. Also gibt es wenig dumme Fragen, und wenig dumme Antworten.
Gentoo muss man wollen
Ich habe als IT-Beauftragter meiner Familie natürlich nicht nur auf meinem Desktop Gentoo installiert, sondern überall. Es war bis vor Kurzem auch auf dem Rechner meiner Frau, meiner Eltern, dem Wohnzimmer-Computer, meinem Raspberry Pi, meinem Notebook, dem alten Notebook meiner Frau und auf meinem ganz alten Netbook (ich habe tatsächlich einen noch funktionierenden Asus EEE PC 1000H) – und auf meinem kleinen Server, einem APU2-Board. Und die alle aktuell zu halten war immer recht zeitaufwändig (schließlich baut man ja alles aus den Quellen und installiert nicht einfach Binärpakete).
In den letzten Jahren ist es mühsam geworden. In Zeiten, wo HTML-Rendering-Engines komplexer als Betriebssysteme sind, und aus zehntausenden Quelltext-Dateien mit Millionen von Zeilen bestehen, sprechen wir z. B. bei einem Update, das die QtWebEngine und/oder NodeJS beinhaltet, nicht mehr von Stunden, die es dauert – wir sprechen von Tagen. Tage, in denen so ein Rechner mitunter nur eingeschränkt oder gar nicht nutzbar ist.
Lange ging es ganz gut, indem man distcc nutzte. Aber der Kompilieraufwand wurde größer und größer und ging mitunter so weit, dass manche Pakete auf alten Rechnern schlicht gar nicht mehr zu bauen waren – wegen zu wenig RAM und/oder zu wenig Platz auf der Festplatte.
An einem gewissen Punkt hat es mir einfach keinen Spaß mehr gemacht, tagelang in fünf oder sechs screen-Sessions emerge beim Arbeiten zuzuschauen. Den gcc auf einem Raspberry Pi 1 zu bauen nervt einfach nur noch.
Was kann man nehmen?
Das war die große Frage. Ernsthaft und dauerhaft hatte ich nur Gentoo benutzt. Keine der anderen großen Distributionen. Aber bedingt dadurch, dass ich seit einiger Zeit – mehr oder weniger notgedrungen – auf meinen Servern bei Hetzner „Feindkontakt“ mit Ubuntu habe, war mir eines klar: Kein Systemd. Nein. Warum Systemd eine Ausgeburt der Hölle ist, kann jeder im Internet nachlesen. Welcher Teufel die meisten großen Distributionen geritten hat, ihr Init-System auf Systemd umzustellen, ist mir nach wie vor schleierhaft. Von meiner Seite nur so viel: Was hat sich ein Init-System um DNS-Auflösung zu kümmern? Was sollen irgendwelche Timer, die mit Cronjobs konkurrieren? Was sollen irgendwelche binären(!) Logs, die mit Syslog konkurrieren?! Diese ganze Systemd-Sache ist einfach nur fürchterlich.
Was dazu führt, dass die Auswahl klein wird. Aber es gab (und gibt) Hoffnung: Nach einiger Recherche konnte ich drei potenzielle Aspiranten ausmachen, die da wären:
Void Linux, eine von Grund auf neu entworfene Distribution
Getestet habe ich zunächst einmal in einer virtuellen Maschine in QEMU.
Void Linux
Void Linux nutzt als Init-System runit. Es ließ sich sehr problemlos installieren, wenngleich man doch einiges dafür wissen muss (einen Installer gibt es, wie bei Gentoo, nicht). Aber wenn man von Gentoo kommt, dann ist man ja Kummer gewöhnt ;-) Alles in allem war der Eindruck nicht schlecht, aber für den Einsatz auf einem Endbenutzer-Bürorechner wie dem von meinen Eltern oder dem von meiner Frau war mir Void Linux dann doch ein bisschen zu „exotisch“.
Im Auge behalten sollte man die Distribution aber auf jeden Fall. Allein schon deswegen, weil sie kein Fork ist, und der Ansatz neu und frei von Altlasten daherkommt.
Devuan
Bei Devuan kann man aus mehreren Init-Systemen wählen: Dem traditionellen sysvinit, runit und Gentoos OpenRC. Als Gentoo-User nimmt man natürlich OpenRC.
Die Installation geht von selbst. Live-Medium booten, ein paar Auswahlen im Installer treffen. Kurz darauf hat man ein komplettes Desktop-System.
Das ist allerdings auch genau der Punkt, der mich immer gestört hat an all den Distributionen, die ich vor Gentoo ausprobiert habe: Man hat ein komplettes System. Und einen ganzen Haufen Kram, den man nicht braucht. Und als allererstes muss man sein System ausmisten nach der Installation.
Aber es läuft. Sieht etwas anders aus als Gentoo (es kommen sysvinit-Init-Scripts zum Einsatz, keine OpenRC-spezifischen), aber es geht. Das meiste Know-How, Wikis, Foren-Einträge etc. kann man direkt von Debian übernehmen. Wie gesagt: Läuft.
Artix Linux
Bei Artix Linux läuft die Installation im Prinzip wie bei Void Linux oder auch Gentoo, mit Konsolen-Tools und ohne Installer. Als Gentoo-User fühlt man sich hier gleich ziemlich zu Hause. Und wenn man OpenRC nutzt (auch hier gibt es verschiedene Init-Systeme zur Auswahl, u. A. auch OpenRC), dann sieht Artix genauso wie Gentoo aus (bei jedem Paket mit einem Init-Script wird ein zusätzliches mit dem eigentlichen Init-Script installiert, das zum Init-System passt).
Das Konzept der Installation ist das selbe wie bei Gentoo: Man startet mit einem Minimalsystem, und installiert, was man braucht. Natürlich kann man nicht optimieren (was sich aufgrund der heutzutage sehr leistungsfähigen Rechner aber auch irgendwo relativiert), und man kann aufgrund der Binärpakete auch keine Abhängigkeiten „einsparen“. Aber man hat volle Kontrolle. Artix ist wie Gentoo eine „Rolling Release“-Distribution, es gibt also keine Versionen, sondern die Pakete werden fortlaufend aktualisiert. Das hat zur Folge, dass bei jedem Update vergleichsweise viele Pakete aktualisiert werden müssen (bei Gentoo kann man ja Pakete einfach neu bauen, bei Binärpaketen muss man bei allen Abhängigkeiten ran). Aber die sind schnell installiert.
Alles in allem ist Artix Linux spitze. Im Grunde fühlt es sich so an wie Gentoo mit Binärpaketen. Selber Software bauen ist kein Problem, und auch eigene Pakete bauen ist erfreulich einfach. Und: Updates dauern Minuten. Nicht Stunden, und auch nicht Tage. Sondern Minuten. Die Paketauswahl ist zwar deutlich geringer als bei Gentoo, aber man findet, was man braucht (und kann ja auch notfalls selbst bauen). Nicht nur daran merkt man, dass Artix eine noch recht junge Distribution ist: Auch fehlt z. B. ein zentraler Bugtracker. Aber was nicht ist, kann ja noch werden.
Die Mischung macht’s
Der Stand der Dinge ist Stand jetzt folgender:
Auf meinem Desktoprechner bleibe ich bei Gentoo. Meine Hassliebe zu dieser Distribution ist einfach zu groß, um ihr kaltherzig den Rücken zu kehren ;-) Außerdem ist mein Desktop leistungsfähig genug, um die Kompilierorgien zu ertragen.
Mein APU2-Serverchen lasse ich auch erstmal auf Gentoo laufen. Vorerst.
Den Büro-Rechner meiner Frau und den meiner Eltern sowie mein Notebook und den Wohnzimmercomputer habe ich auf Artix Linux umgestellt. Der Wartungsaufwand ist – im Vergleich zu Gentoo – quasi nicht vorhanden (alle paar Wochen mal ein paar Minuten), und es läuft. Alles da, alles geht. Artix Linux ist wirklich eine coole Distribution!
Auf dem alten Notebook meiner Frau und meinem alten Netbook habe ich Devuan installiert. Beide sind noch 32-Bit-Systeme, und Artix gibt es schlicht nicht für 32 Bit. Außerdem halte ich die beiden Rechner eigentlich eh nur für den Einsatz auf Muckturnieren vor, und der Wartungsaufwand bei Devuan ist nochmal ein Stück weniger als bei Artix. Perfekt also, insbesondere, weil die beiden Rechner nicht so oft upgedatet werden.
Das selbe habe ich bei meinem Raspberry Pi gemacht. Da läuft Devuan auch problemlos (auch hier hätte es eine passende Artix-Version gar nicht gegeben).
Unterm Strich sollte man sich also einfach die passende Distribution für den passenden Einsatzzweck suchen. Gentoo ist nach wie vor super, aber mit Artix Linux und Devuan haben wir, wo es passt, gangbare Alternativen – ohne bei dem Systemd-Wahnsinn mitmachen zu müssen. Bleibt zu hoffen, dass diese Distribution (weiterhin) den Erfolg haben werden, den sie verdienen.
Anfang letztes Jahr haben wir eine holzbefeuerte Blockbohlensauna gebaut. Gut, das mag jetzt keinen interessieren, und deswegen habe ich das auch bisher hier nicht veröffentlicht; aber bedingt durch die Google-Mafia fühle ich mich jetzt doch dazu bewogen. Die Kurzfassung der Vorgeschichte:
Es gibt nicht viele Hersteller von Saunaöfen, die mit Holz befeuert werden. Bei der Planung der Sauna sind wir nach einiger Recherche auf die Firma Fintec gestoßen. Und deren Firmensitz ist tatsächlich in Münchberg! Quasi vor der Haustür. Letztlich haben wir auch wirklich unseren Ofen da gekauft, und selbst mit dem Hänger abgeholt. Es ist das Modell Lora geworden.
Herr Schmidt von der Firma Fintec hat uns bei der Planung der Sauna und der Auswahl des Ofens hervorragend beraten. Und sehr geduldig viele, viele E-Mails von mir beantwortet. Nachdem wir die Sauna nun schon wirklich oft benutzt haben (und mittlerweile auch wissen, wie man anschüren muss, wann man nachlegen muss, wie man überhaupt mit dem Ofen umgehen muss), habe ich mir gedacht, ich tue der heimischen Wirtschaft mal was Gutes und schreibe eine Google-Bewertung. Meine erste Google-Bewertung.
Google-Bewertung
Hier meine Fünf-Sterne-Bewertung für die Firma Fintec, mit einem schicken Bild unseres heißgeliebten Saunaofens in action:
Sehr freundlicher und kompetenter Kontakt! Wir wurden beim Bau unserer Blockbohlensauna sehr gut beraten, und der Holzofen (Lora) funktioniert hervorragend. Bei der Abnahme durch den Bezirkskaminkehrermeister gab es erwartungsgemäß keine Probleme. Äußerst empfehlenwert! Sicher nicht die günstigsten Öfen, aber das Geld wert.
Google mag mich nicht
Die Bewertung konnte ich mir auch gleich auf Google Maps anschauen. Auf meinem Computer, und auf meinem Handy. Meine Frau aber nicht. Weil Google hat die Bewertung nicht veröffentlicht.
Ich dachte schon, ich habe etwas falsch gemacht. Privacy-Settings angeschaut, alles geprüft. Alles passt. Die Bewertung nochmal gelöscht, und nochmal geschrieben (vielleicht einen Haken vergessen oder so?) – selbes Ergebnis.
Herrn Schmidt habe ich dann geschrieben, dass ich Ihn gerne positiv bewertet hätte, aber Google scheinbar meine Rezension nicht mag. Der hat dann bei Google Business angefragt, wie das zu Stande kommt, und bekam folgende Antwort:
Hallo Herr Schmidt,
vielen Dank, dass Sie sich mit Ihrer Anfrage an unser Google Business Profile-Support-Team gewandt haben. Wir können gut nachvollziehen, wie wichtig Rezensionen für Sie und Ihr Unternehmen sind. Leider darf ich keine Auskunft darüber geben, wieso eine Rezension entfernt wurde. Weiterhin wird dies von Algorithmen durchgeführt, auf die ich keinen Einfluss habe. Ich bitte hierbei um Ihr Verständnis und bedauere mögliche Unannehmlichkeiten, die Ihnen dies bereitet. Falls Sie weitere Unterstützung bei diesem Problem benötigen, antworten Sie einfach auf diese E-Mail. Wir helfen Ihnen dann gern weiter. Bei Fragen zu anderen Themen können Sie sich jederzeit über die Google Unternehmensprofil-Hilfe mit uns in Verbindung setzen.
Google hat also meine Rezension „entfernt“. Alles klar, sieht ja auch wirklich aus wie eine gekaufte Bewertung aus einer chinesischen Clickfarm. Da kann man mal sehen, dass hier seitens der Monopolisten vollkommene Willkür herrscht.
Mir persönlich ist vollkommen schleierhaft, wieso Google hier so vorgeht. Und selbst nach einer Anfrage des Unternehmens, das das betrifft, nichts ändert. Vermutlich liegt es daran, dass ich kein guter Google-Kunde bin. Ich benutze keine Gmail-Adresse (ich betreibe sogar meinen eigenen Mailserver :-O), habe alles, was Personalisation, Tracking und dergleichen betrifft, in meinem Google-Konto deaktiviert, und alle Google-Apps auf meinem Handy, bei denen das möglich war, durch freie Alternativen von F-Droid ersetzt. Böse, böse.
Aber das sollte bitte nicht zu Lasten eines Unternehmens gehen, was gute Arbeit macht. Es kann ja wohl nicht wahr sein, dass eine ehrlich gemeinte positive Bewertung für eine Anschaffung jenseits der 1000 € von Google „entfernt“ wird, ohne zumindest die Gründe dafür zu nennen. Ich meine, wir reden hier nicht von einer Amazon-Bewertung für irgendwelchen China-Elektronik-Schrott für 10 €!
Ich habe dann auch noch versucht, meine Rezension ein bisschen ausführlicher und kritischer zu formulieren:
Sehr freundlicher und kompetenter Kontakt!
Wir wurden bei der Planung und dem Bau unser Blockbohlensauna gut beraten (war kein Bausatz, sondern ein kompletter Eigenbau), und der Holzofen Lora funktioniert 1A. Bei der Abnahme durch den Bezirkskaminkehrermeister gab es keine Probleme.
Vermutlich corona-bedingt hat die Lieferung zwar etwas auf sich warten lassen, aber der Service war gut: Zwei fehlende Teile wurden prompt nachgeliefert. Die Halterungen für den Rauchschlot, die sich als zu lang herausstellten, wurden anstandslos gegen kürzere umgetauscht.
Alles in allem empfehlenswert! Sicher nicht die günstigsten Öfen, aber das Geld wert. Zumal wir in unserem Fall mit dem Kauf auch noch die heimische Wirtschaft unterstützen konnten :-)
… aber allzu kritisch dann eben doch nicht, weil wir eben wirklich zufrieden sind. Selbes Ergebnis, Rezension nicht veröffentlicht.
Fazit
Was lernen wir daraus? Monopolisten wie Google handeln vollkommen willkürlich und scheren sich einen Dreck darum, was sie damit anrichten. Da kann eine Firma wie Fintec froh sein, die vernünftige Arbeit macht, und ihr Geschäftsmodell nicht nur darauf auslegt, dass die Internet-Mafia ihnen wohlgesonnen ist.
Mal wieder zeigt sich: Traut keinen Internet-Bewertungen (ich als Zahnarzt auf dem Dorf kann gottlob kein Lied davon singen, aber hätte ich meine Praxis in einer Großstadt, sähe das vermutlich anders aus). Macht euch selbst ein Bild! Fragt andere! Ganz oldschool „IRL“! Weil wie objektiv die Technik-Giganten vorgehen, kann man ja an diesem Beispiel sehen.
Und wenn ihr eine Sauna baut (wo, wenn nicht in Nordostoberfranken sollte man sich eine Sauna bauen): Schaut euch die Öfen von Fintec an und unterstützt die nordostoberfränkische Wirtschaft ;-)
Most notably, vsmlist now deals with SPF, DKIM and DMARC. From the ChangeLog:
Enhancement: Using bind-tools' dig, vsmlist now looks up if a sender's domain sets a DMARC policy that could lead to delivery problems. If so, the sender's original mail is wrapped into a new one and sent from the mailing list itself, letting DMARC pass (provided the mail server does correct DKIM signing and SPF has been setup properly).
Enhancement: Added bounces handling through setting the Return-Path and Errors-To headers to a list bounces address. Mail sent to this address is forwarded to the list admin. This also leads to the SPF setting being okay, as the Reply-To header matches the Sender.
Enhancement: Added Sender, List-Id and List-Unsubscribe headers
Bugfix: Fixed a configparser deprecation warning with Python >= 3.2.
Change: The "subscribers" command has been removed.
Enhancement: Added a "help" command sending an email with all command email addresses.
Enhancement: Added options to send an email to the list's admin if a member is added or removed to or from a mailing list.
Enhancement: Added custom "host" and "port" paramters of smtplib.SMTP to the config.
Back in the days I started playing around with mail servers, it was an easy and peaceful life. Either, you had a static IP address, or you used a relay host – and you were done and could send emails. This was also the time I started writing vsmlist, as I didn't want to mess around with Mailman to setup a mailing list for a handful of people.
Well, things have changed quite a bit since then. I learned that the hard way, because I set up my own "real" mail server some months ago. Mostly, because I didn't want some big company read my mails anymore, and also because I wanted to have Sieve. And that's something even the paid mail hosters don't provide – for whatever reason.
So here we go. Nowadays, you need a static IP address, a PTR record pointing to the mail domain you're sending from, the SPF policy set, DKIM signing and a DMARC policy. And despite everything being setup correctly, your IPs being not listed in any blacklist, even being listed in some whitelists, and not a single spam mail ever having been sent through your server, you're still blocked by some mail servers. Perhaps, because they never saw your server before, and thus simply claim you're a spammer. A spammer following all best practices in existance, but a spammer. Or for whatever reason. Who knows.
It has become a hard job to run an own mail server. But anyway, one should not leave the field to the monopolists and data krakens. But here, we are back at vsmlist.
vsmlist matures
The last release of vsmlist dates back to 2015. So it really needed some love concerning what a mail server needs or does nowadays. Some updates have been made, and this is what we have now:
SPF
SPF, the "Sender Policy Framework", is an email authentication method designed to detect forging sender addresses during the delivery of the email. SPF is not a problem with vsmlist. It now sets the Return-Path header to a bounce address (which is forwarded to the mailing list's admin). This makes SPF pass on a forwarded email, presumed the SPF record for the domain used for list is setup correctly.
DKIM
DKIM, "DomainKeys Identified Mail", is an email authentication method designed to detect forged sender addresses in email. DKIM is also not a problem. Classical mailing lists invalidated DKIM signatures by changing the subject (e. g. prepending "[Some List]" or such) and/or appending some information about the list (archives etc.) to the text. Vsmlist never did this. By leaving the original mail untouched, DKIM signatures stay intact. If the mail server running vsmlist does DKIM signing, another signature is added to the mail when distributing it. Both are valid.
DMARC
DMARC, "Domain-based Message Authentication, Reporting and Conformance", is an email authentication protocol to protect domains being used unauthorizedly (e. g. for spoofing). It's a disputed standard. It breaks RFC 5322 and causes a lot of problems with mailing lists.
DMARC checks if either SPF is okay, or DKIM, or both – and if all components use the same domain.
The problem is that a mail is typically sent to the mailing list, which then distributes it. So, according to the standard, the list becomes the Sender whereas the original sender stays the author, represented in From. This is an intended use-case for emails.
Example: An email from an @gmx.de account is sent through vsmlist. From is the @gmx.de address. Return-Path is set to the domain where vsmlist runs, e. g. an @some-domain.org address. The same address is used for the Sender address. SPF will pass, and also, GMX's DKIM signature will be evaluated to be correct. But still, DMARC will fail, because From differs from Return-Path. According to RFC 5322, DMARC should check the Sender header, not the From header. But it doesn't.
There's no solution to this. There are workarounds to migitate deliverability problems, but all with drawbacks (e. g. the original sender is lost, replying to the list creates a private answer and not a list answer and so on – all that sucks).
The workaround I chose for vsmlist is to wrap the original mail into a completely new one along with some notice if the DMARC policy of the original sender will cause troubles. This sucks as much as all the other workarounds, but at least, it leads to an "aligned" mail passing SPF, DKIM and also DMARC – and it preserves the original mail.
One should really think about boycotting stuff like DMARC, designed to break things and to cause trouble. But after all, most end-user have never even heard about that stuff. Anyway, vsmlist will be ready for an up-to-date use beginning with the next release :-)
