<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Wed, Sep 17, 2025 at 4:33 AM Sandro Santilli <<a href="mailto:strk@kbt.io">strk@kbt.io</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Tue, Sep 16, 2025 at 01:43:15PM -0600, Vicky Vergara wrote:<br>
> On Mon, Sep 15, 2025 at 8:25 PM 'Sandro Santilli' via Sac <<br>
> <a href="mailto:sac@lists.osgeo.org" target="_blank">sac@lists.osgeo.org</a>> wrote:<br>
> <br>
> > On Mon, Sep 15, 2025 at 05:10:39PM -0400, Regina Obe wrote:<br>
> > ><br>
> > > We are changing the ip to what is currently in the network forward in<br>
> > > osgeo9 but keeping the host name.<br>
> ><br>
> > Then, when ready, we should re-point all these A records:<br>
> ><br>
> >   - <a href="http://lists.osgeo.org" rel="noreferrer" target="_blank">lists.osgeo.org</a><br>
> >   - <a href="http://mail.osgeo.org" rel="noreferrer" target="_blank">mail.osgeo.org</a><br>
> >   - (*.)<a href="http://tilecache.osgeo.org" rel="noreferrer" target="_blank">tilecache.osgeo.org</a> [ shall we move this ? ]<br>
> ><br>
> <br>
> tilechache, together with mapserver were on osgeo6, mapserver has been<br>
> taken care of<br>
> <a href="https://trac.osgeo.org/osgeo/ticket/3405" rel="noreferrer" target="_blank">https://trac.osgeo.org/osgeo/ticket/3405</a><br>
> tilecache is on osgeo9 osgeo-buster.<br>
> What to do with it can be decided later:<br>
> <a href="https://trac.osgeo.org/osgeo/ticket/3407" rel="noreferrer" target="_blank">https://trac.osgeo.org/osgeo/ticket/3407</a><br>
<br>
According to DNS tilecache is expected to be found on whatever host<br>
has IP address 140.211.15.13, which is osgeo9, which proxies ports 80<br>
and 443 to the "nginx" container. In turn, the "nginx" container<br>
proxies requests for "<a href="http://tilecache.org" rel="noreferrer" target="_blank">tilecache.org</a>" to the osgeo6-buster container,<br>
so we can say that "tilecache" is on BOTH osgeo9-osgeo6-buster AND<br>
osgeo9-nginx (if you rename the "osgeo6-buster" container you'd also<br>
have to update the nginx proxy.<br>
<br></blockquote><div>osgeo9/osgeo6-buster container is no more, the container name is <b>mail</b> used your suggestion on the chat</div><div>osgeo7/osgeo6-buster is still there did not renamed it. And has everything that osgeo6 had before I started looking at the mailserver.</div><div>is rsyncing also with osgeo6, therefore has all the mailman data up-to-date</div><div><br></div><div>Tilecache is the lease of my concerns:</div><div>We have this repository:
<a class="ext-link" href="https://github.com/OSGeo/tilecache"><span class="gmail-icon"></span>https://github.com/OSGeo/tilecache</a>
Hasn't been touched in 11 years </div><div>Domain is being paid by OSGeo</div><div>What to do will depend on the board.</div><div>As mentioned in <a href="https://trac.osgeo.org/osgeo/ticket/3407">https://trac.osgeo.org/osgeo/ticket/3407</a></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
> >   - <a href="http://drone.osgeo.org" rel="noreferrer" target="_blank">drone.osgeo.org</a> [ shall we drop this ? ]<br>
> That site wasn't even enabled.<br>
> <a href="https://gitea.osgeo.org/sac/osgeo9/wiki/mailserver-container#sites-available-cleanup" rel="noreferrer" target="_blank">https://gitea.osgeo.org/sac/osgeo9/wiki/mailserver-container#sites-available-cleanup</a><br>
<br>
I've dropped that DNS record already.<br>
<br>
> > I understood there's an rsync script but that script does NOT copy ALL<br>
> > the data, just a number of selected subdirectories,<br>
> <br>
> true<br>
> <br>
> > and the script itself<br>
> > is run from within the new machine, making it impossible to copy (say)<br>
> > the /etc/cron* directories w/out removing the script.<br>
> <br>
> It's already been copied, and yes I have modified it,<br>
<br>
Will it be overridden on next rsync run ?<br>
<br></blockquote><div>The rsync will not override configuration of the cronjob</div><div>It does override configuration of the mailboxes</div><div>that is why at the moment I am writing this reply I can see Sac mailing list here:</div><div><a href="https://lists.staging.osgeo.org/mailman/listinfo">https://lists.staging.osgeo.org/mailman/listinfo</a></div><div>but will not see it after the rsync unless the following command is issued:</div><div><br></div><div><span style="font-family:monospace">/usr/lib/mailman/bin/withlist --lock  --run fix_url sac</span></div><div><br></div><div></div><div>Because right now mailman configuration is lists.staging</div><div>and it's also not overridden by the rsync</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
> - commented out the mailman_stats.sh<br>
> - added the rsync-osgeo6.sh<br>
-<br>
> And when we do the movement, when I remove the  rsync-osgeo6.sh  I will<br>
> uncomment the mailman_stats.sh<br>
> <br>
> For other configurations like mailman<br>
> ```<br>
> perl -pi -e 's/staging\.//' /etc/mailman/mm_cfg.py<br>
> ```<br></blockquote><div><br></div><div>That is why the above is needed, to reconfigure mailman to not be lists.staging</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
> Fix lists url if needed: which catch the name on mm_cfg.py<br>
<br>
This part I think we could do with Ansible, did you look at<br>
<a href="https://gitea.osgeo.org/sac/ansible-deployment/pulls/79" rel="noreferrer" target="_blank">https://gitea.osgeo.org/sac/ansible-deployment/pulls/79</a> ?<br>
That PR makes it so that the new container is ALSO considered<br>
a production server and thus will use the same default values<br>
for the variables used for the configuration of the mail<br>
and mailman servers. The mm_cfg.py file is deployed from a template<br>
using those variables, see:<br>
<br>
  <a href="https://gitea.osgeo.org/sac/ansible-deployment/src/branch/master/deployment/roles/list-server/templates/etc/mailman/mm_cfg.py.j2#L37" rel="noreferrer" target="_blank">https://gitea.osgeo.org/sac/ansible-deployment/src/branch/master/deployment/roles/list-server/templates/etc/mailman/mm_cfg.py.j2#L37</a><br>
<br>
Default variables for the role:<br>
<br>
  <a href="https://gitea.osgeo.org/sac/ansible-deployment/src/branch/master/deployment/roles/list-server/defaults/main/mailman.yml" rel="noreferrer" target="_blank">https://gitea.osgeo.org/sac/ansible-deployment/src/branch/master/deployment/roles/list-server/defaults/main/mailman.yml</a><br>
<br></blockquote><div><br></div><div>You can do the ansible commands you have prepared. I do not have problems with that.</div><div>But I am not an ansible expert. I do have my petit scripts (some with just echo of commands that I might need to do in the order that have to be done) </div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
> Fix lists permissions if needed. (which have been fixed on osgeo6 and its not needed)<br>
<br>
This would be good to have in ansible too, eventually<br></blockquote><div><br></div><div>Yeah, not difficult, specially when the list is not created using the list admin page. But not now.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
> > We'll need to make sure mail directed at the old IP get a bounce,<br>
> > to get the retry (hoping the retry will be to the new IP).<br>
> ><br>
> > As per OUR queues, at the time of writing <a href="http://mail.osgeo.org" rel="noreferrer" target="_blank">mail.osgeo.org</a> has 2114 queued<br>
> > messages.<br>
> > We need to plan how to clear that queue.<br>
> <br>
> Looks like today it has only 219:<br>
> root@osgeo6:/home/cvvergara# postqueue -j | wc -l<br>
> 219<br>
<br>
That's due to me working on removal of malicious mails,<br>
see <a href="https://trac.osgeo.org/osgeo/ticket/3437" rel="noreferrer" target="_blank">https://trac.osgeo.org/osgeo/ticket/3437</a><br>
Right now there are 198 in the queue, so the fix seemed effective<br>
( we're now refusing mail from <anyone>@service.<anything>.cn )<br>
<br>
Among those 198 there are cases of recipient mailbox being full (even<br>
in gmail), unroutable IP addresses or connection refused or hanging<br>
for legit-looking domains like:<br>
  - <a href="http://geospatialvision.com" rel="noreferrer" target="_blank">geospatialvision.com</a><br>
  - <a href="http://geoaspects.com" rel="noreferrer" target="_blank">geoaspects.com</a><br>
  - <a href="http://geostellar.com" rel="noreferrer" target="_blank">geostellar.com</a><br>
  - <a href="http://geologicsystems.com" rel="noreferrer" target="_blank">geologicsystems.com</a><br>
<br>
Those could be real users having temporary difficulties<br>
<br>
> And yes, I dont deny that there will be a disruption on the mail service,<br>
> a proper announcement is needed.<br>
<br>
Maybe we can reduce the disruption by moving one service at a time ?<br>
For example, we could start with the Mail Submission Service by<br>
registering a new DNS entry like <a href="http://msa.osgeo.org" rel="noreferrer" target="_blank">msa.osgeo.org</a> and ask users of the<br>
service to use that to send mail ?<br>
<br>
The mail submission service wiki page is here:<br>
  <a href="https://wiki.osgeo.org/wiki/SAC:Message_Submission_Agent" rel="noreferrer" target="_blank">https://wiki.osgeo.org/wiki/SAC:Message_Submission_Agent</a><br>
<br>
Mail submission requires TLS connection thus a valid certificate,<br>
right now we're asking to use "<a href="http://lists.osgeo.org" rel="noreferrer" target="_blank">lists.osgeo.org</a>" because at the time<br>
of bringing up the service we didn't know we could have multi-name<br>
certificates, today we can do better (and I've read about your<br>
experiments with adding the "<a href="http://mail.osgeo.org" rel="noreferrer" target="_blank">mail.osgeo.org</a>" on that certificate....<br>
<br>
Mail submission also requires proper SPF and DKIM records setup,<br>
which we could start working on before moving all the rest<br>
(easily done via Ansible)<br></blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
--strk; <br>
<br>
  Libre GIS consultant/developer 🎺<br>
  <a href="https://strk.kbt.io/services.html" rel="noreferrer" target="_blank">https://strk.kbt.io/services.html</a><br>
</blockquote></div></div>