Am 19. September wurden alle Daten – Betriebssystem und Kundendaten – auf einen neuen physikalischen Server migriert. Neben aktueller Hardware (schnellere CPU, doppelter Festplattenplatz) hat der Server neue IPv4- und IPv6-Adressen erhalten. Für Domains, die in externen Nameservern eingetragen sind, lauten die Angaben nun wie folgt (DNS-Resource-Record-Typ in Klammern):
- IPv4-Adresse (A): 136.243.106.219
- IPv6-Adresse (AAAA): 2a01:4f8:171:fda::2
- Mailserver-Eintrag (MX): 10 mail.wupper-lan.de.
- Sender-Policy-Framework-Eintrag (TXT): v=spf1 ip4:136.243.106.219 ip6:2a01:4f8:171:fda::/64 a mx -all
Anstelle der genannten A/AAAA-Einträge kann für den jeweiligen Host-Eintrag auch ein CNAME-Record auf „thanatos.wupper-lan.de.“ eingerichtet werden. Dieser enthält immer die korrekten IP-Adressen.
Als Vorbereitung für den Umzug wurden noch einige Änderungen an der Software vorgenommen:
PHP
Die PHP-Laufzeitumgebung wurde von einzelnen FastCGI-Prozessen unterhalb des Apache-Webservers auf den getrennt laufenden PHP-FPM-Dienst umgestellt. Das hat zur Folge, dass nun keine domainspezifische PHP-Version mehr ausgewählt werden kann, sondern für alle Kundenseiten die selbe PHP-Version – jetzt 7.0.23 – verwendet wird. Auf der positiven Seite werden jetzt (auf Anfrage) Uploads von sehr großen Dateien unterstützt, sowie die in PHP integrierten Caches (APCu und Zend OpCache) automatisch zwischen allen Aufrufen und Websites eines Kunden-Accounts geteilt.
PHP wird vom Apache-Server über mod_proxy_fcgi angesprochen. Die PHP-Skripte laufen immer mit den Benutzerrechten des jeweiligen Kunden-Accounts.
Mail-Services
Aufgrund häufiger Probleme mit gehackten Kunden-E-Mail-Accounts, dem darauffolgenden Spamversand über diesen Server und damit zusammenhängendem Blacklisting der Server-IP in diversen Anti-Spam-Listen habe ich den Mailserver derart umkonfiguriert, dass als Spam erkannte E-Mails – eingehend wie ausgehend – vom Mailserver verworfen werden. Es erfolgt keine Mitteilung an den Absender der E-Mail.
Als weitere Maßnahme gegen Spam-Empfang werden jetzt eingehende Verbindungen externer Mailserver abgelehnt, wenn deren Server-IP oder der Domainname in einer von verschiedenen Spam-Blocklisten (z. B. Spamhaus) geführt wird. Dieser Schutz ist so effektiv, dass das vorher genutzte Greylisting abgeschaltet werden konnte, und eingehende Mails fortan umgehend (nach Spam- und Virenprüfung) zugestellt werden können.
Die Webmail-Oberfläche Roundcube wurde auf die neueste Version aktualisiert.