Byla vydána verze 5.30 dnes již open source operačního systému RISC OS (Wikipedie).
V aktuálním příspěvku na blogu počítačové hry Factorio (Wikipedie) se vývojář s přezývkou raiguard rozepsal o podpoře Linuxu. Rozebírá problémy a výzvy jako přechod linuxových distribucí z X11 na Wayland, dekorace oken na straně klienta a GNOME, změna velikosti okna ve správci oken Sway, …
Rakudo (Wikipedie), tj. překladač programovacího jazyka Raku (Wikipedie), byl vydán ve verzi #171 (2024.04). Programovací jazyk Raku byl dříve znám pod názvem Perl 6.
Společnost Epic Games vydala verzi 5.4 svého proprietárního multiplatformního herního enginu Unreal Engine (Wikipedie). Podrobný přehled novinek v poznámkách k vydání.
Byl vydán Nextcloud Hub 8. Představení novinek tohoto open source cloudového řešení také na YouTube. Vypíchnout lze Nextcloud AI Assistant 2.0.
Vyšlo Pharo 12.0, programovací jazyk a vývojové prostředí s řadou pokročilých vlastností. Krom tradiční nadílky oprav přináší nový systém správy ladících bodů, nový způsob definice tříd, prostor pro objekty, které nemusí procházet GC a mnoho dalšího.
Microsoft zveřejnil na GitHubu zdrojové kódy MS-DOSu 4.0 pod licencí MIT. Ve stejném repozitáři se nacházejí i před lety zveřejněné zdrojové k kódy MS-DOSu 1.25 a 2.0.
Canonical vydal (email, blog, YouTube) Ubuntu 24.04 LTS Noble Numbat. Přehled novinek v poznámkách k vydání a také příspěvcích na blogu: novinky v desktopu a novinky v bezpečnosti. Vydány byly také oficiální deriváty Edubuntu, Kubuntu, Lubuntu, Ubuntu Budgie, Ubuntu Cinnamon, Ubuntu Kylin, Ubuntu MATE, Ubuntu Studio, Ubuntu Unity a Xubuntu. Jedná se o 10. LTS verzi.
Na YouTube je k dispozici videozáznam z včerejšího Czech Open Source Policy Forum 2024.
Fossil (Wikipedie) byl vydán ve verzi 2.24. Jedná se o distribuovaný systém správy verzí propojený se správou chyb, wiki stránek a blogů s integrovaným webovým rozhraním. Vše běží z jednoho jediného spustitelného souboru a uloženo je v SQLite databázi.
Podobně jako ve všem, i v emailových službách probíhá vývoj. Problém je, že toto se občas týká i samotných uživatelů, kteří se tak rychle nedokážou adaptovat na změny jako lidi z IT. Ale není to jen o uživatelích, i někteří správci žijí stále někde v roce 2000.
Toto je třeba mít pořešeno v samotném základu:
Je potřeba mít správně nastavené dns. Mít vytvořený A a AAAA, na něj pak navázaný MX záznam:
dig @8.8.8.8 devaine.cz mx devaine.cz. 900 IN MX 10 smtp.devaine.cz.
RFC říká, že je akceptován jen jeden rDNS / PTR záznam. Pokud tedy máme k "A" záznamu vytvořeno více PTR, nastane problém. Je tedy třeba mít jen toto:
# MX dig @8.8.8.8 devaine.cz mx devaine.cz. 900 IN MX 10 smtp.devaine.cz. # A dig @8.8.8.8 smtp.devaine.cz smtp.devaine.cz. 900 IN A 250.600.19.146 # PTR dig @8.8.8.8 -x 250.600.19.146 146.19.600.250.in-addr.arpa. 900 IN PTR smtp.devaine.cz.Pokud budeme mít více "PTR", tak mailserver vezme první "PTR" v pořadí a když nebude souhlasit s "A", na který směřuje "MX", tak email odmítne, nebo hodí do spamu. Jednou jsem na toto narazil s T-Mobile, kdy jsem po nich chtěl vytvořit pár "A" záznamů a oni k nim automaticky vytvořili i "PTR" a problém byl na světě, protože na té veřejné IP běžely i emaily. Některé testy mailových služeb tento problém neodhalí.
Je třeba mít správně nastaveny tyto politiky. Tj. je třeba podepisovat emaily pomocí DKIM, mít správný certifikát zanesený v DNS pod správným txt záznamem.
Pomocí dns TXT ADSP záznamu si správně definujeme, jak se chovat k DKIM.
Pomocí SPF si v txt zánamu nastavíme důvěryhodné servery, ze kterých mohou chodit emaily jménem naší domény. Je třeba brát v potaz limitaci počtu SPF položek v záznamu, resp. to, že SPF má limit na počet DNS lookupů (10). Tento limit je nastaven úmyslně, aby nedošlo k DoS / DDoS. Příklad vhodného nastavení (akceptuj emaily z IP "A" dns záznamu + IP z "MX" dns záznamu, ostatní odmítej):
dig @8.8.8.8 devaine.cz txt "v=spf1 a mx -all"Ještě upozorňuji, že u spf záznamu je problém s velkými písmeny. Tj. např. toto může být problém "v=spf1 a MX -all". RFC mluví o case-insensitive, ale zase se mluví o tom, že některá řešení nemají podporu pro uppercase.
Pomocí DMARC si pak zabalíme všechny předchozí politiky do jednoho pravidla. Příklad pravidel:
dig @8.8.8.8 _dmarc.devaine.cz txt "v=DMARC1;p=reject;sp=reject;adkim=r;aspf=r;pct=100"
Kdo si chce jednoduše zkontrolovat záznamy, je tu třeba skvělý nástroj:
www.dmarcanalyzer.com/spf/checker/
Další chybou bývá, že server má přidělenou ipv6, ale správce to ignoruje. Mailserver pak odesílá emaily přes ipv4 a ipv6 a náhodně se pak nedoručují (což jsou ty, co se odeslaly přes ipv6)
Je potřeba monitorovat blacklisty a kontrolovat, zda na nich náš server není. Opět, pokud máme ipv6, tak nezapomenout kontrolovat i ipv6 adresu. Další problém je, že některé blacklisty dávají na blacklist né konkrétní ipv6 adresu, ale celý segment, do kterého adresa patří. Příklad pár blacklistů:
Dále je dobré zmínit, že není problém si zajistit kontrolu blacklistů automaticky. Buď vlastním skriptem, nebo lze využít služby třetích stran, které jsou za některých podmínek zdarma a jakmile se někde objevíte, budou vás o tom informovat.
Pokud se provozuje mailserver v rámci firmy, měla by být jeho veřejná IP jiná, než ta, přes kterou přistupují uživatelé ze stanic na internet. Je to kvůli tomu, že na blacklisty se dá dostat nejen spamováním, ale i nějakými jinými typy útoků (zavirovaná stanice třeba hodí dotazy někam na http/https, což může danou IP dostat na blacklist také).
Generování zpráv o nedoručitelnosti při každém problému s doručením je chyba. Toho využívají spameři. Je třeba např. emaily na neexistující adresáty odmítat na úrovni smtp komunikace a né generovat NDR zprávy, ty posílat v odpovědích a generovat tak provoz a vlastně spam útok. Jinými slovy, nevypínat NDR, ale pořádně si ošetřit příchozí komunikaci.
Bacha na to, někdo provozuje více smtp serverů, třeba dva. Jeden považuje za primární, druhý za záložní. Priority má v DNS nastaveny správně, primární má prioritu 10, záložní 20. Problém je, že priorita nebývá reálně akceptována a stává se, že vám budou přistávat maily na oba servery. Je tedy třeba myslet na to, že všechny fce a vše okolo by mělo být nastaveno u všech serverů správně a nemyslet si, že na záložní server něco nasadím "až někdy".
Přesměrování emailů je v dnešní době nefunkční věc, protože SPF, DKIM, DMARC apod. Pokud "franta@seznam.cz" pošle email na "lukas@devaine.cz", a ten bude mít nastaveno přesměrování na "lukastralalalalalal@gmail.com", tak na gmail dorazí email, který se bude tvářit jako od "franta@seznam.cz", ale nepřijde od seznam serveru, ale z jiného. To bude vyhodnoceno jako spam. Při opakování se může "lukas@devaine.cz" dostat na blacklist, nebo pak i rovnou celý server, kde má schránku. Někdo může říci, že existuje rozdíl mezi přesměrováním a přeposíláním. To je otázkou, jak je konkrétní věc implementována, zda je správně udělán překlad (ve smyslu do češtiny apod.) v té a oné službě apod. Tj. zda se v mnoha případech pod "přeposílání" neskrývá ve skutečnosti "přesměrování". Gmail, ale i další služby umožňují vybírat emaily ze vzdálené schránky. Místo tedy řešení nějakého přeposílání/přesměrování, je 100x lepší si nastavit vybírání. Ano, vybírání není okamžité, ale provádí se v nějakých intervalech. Pořád ale lepší, než se vystavovat možnému umístění na blacklist, nebo nedoručení emailu.
Argumenty typu: "Ale ono to fungovalo.", jsou mimo. Prostě ne, nedělat to.
Takovým základem je třeba použít službu jako mail-tester.com. Prostě vám služba vygeneruje unikátní emailovou adresu, na kterou zašlete email. Poté vám to tato služba vyhodnotí a řekne, co máte špatně. Bacha, neodhalí vše, ale pro první nástřel a rychlý základní přehled je to velmi dobré.
Občas stále narážím na nevhodně nastaveného klienta. Né u nás, ale v logách to vidím na těch odesílatelích druhých stran, co k nám posílají emaily. smtp servery ISP jsou dávno tabu. Může se stát, že uživatel z telefonu i notebooku posílá emaily bez problémů, ale pak má třeba přidaný účet ještě doma a tam mu to nejde, protože si nastavil odchozí server podle doporučení ISP. Má více zařízení, jedno špatně nastaveno, pracuje na více zařízení relativně najednou atd. Je tedy potřeba dobře koukat do logů a správně je vyhodnocovat a myslet na to, že uživatel je schopný všeho.
V první fázi si opravdu zkontrolujte všechny předešlé kroky a nastavení. Dále si ověřte v logách mailserveru, zda opravdu nějaký váš uživatel nějak nespamuje, nerozesílá nějak nevhodně hromadné emaily apod.
U Gmailu se můžete zdůvěryhodnit přes jejich Postmaster Tools. Ve zkratce jde o to, že si pro vaší domény vygenerujete u Google dns záznam, který si pak vložíte do svého dns k doméně a Google si tak ověří, že jste trochu důvěryhodní. Není to žádná spása, ale dá vám to nějaké plusové body.
V poslední fázi můžete zkusit kontaktovat Google přes tento web form: Sender Contact Form
Messages missing a valid messageId header are not
Touto hláškou může gmail odmítat emaily. Je to kvůli tomu, že od 11/2022 zavedl google nutnost, že nové emailové komunikace musí mít zavedený SPF a DKIM politiky.
Podrobnější info viz: Help prevent spoofing and spam with DKIM.
Opět, zkontrolujte si všechny předešlé kroky. Pokud na nic nepřijdete, máte možnost se obrátit na MS přes tento form: Support Request.
Lidi mají pocit, že o jejich newsletter někdo stojí. Většinou tomu tak není a je to považováno za spam. To pak může být problém. Newslettery by mělo jít zrušit, nějak spravovat, vyhodnocovat atd. Není tedy vůbec vhodné k tomu používat běžného emailového klienta. Rozjeďte bokem, na jiné IP, nějaký systém, jako např. phplist a provozujte to na oddělené IP, se všemi vlastnostmi (SPF, DKIM, DMARC apod.). Snažte se to co nejvíce oddělit od produkce, aby když nastane problém, tak to ovlivnilo jen rozesílání novinek.
Ještě existují služby třetích stran, které se snaží vytvořit whitelist důvěryhodných serverů. Dříve to možná nějaký smysl mělo, ale myslím si, že již nejsou tak aktuální a tak využívané. Příkladem budiž třeba dnswl.org. Osobně nikde nepoužívám, dřív jsem nad tím přemýšlel, ale dnes už to nemá smysl.
Toto funguje tak, že se odmítne první email a čeká na jeho opětovné doručení. Tím se dá velmi jednoduše eliminovat určitý druh spamu (tj., že druhá strana není nějaký infikovaný počítač, ale regulérní mailserver). Problém je ono zpoždění. Většinou se důvěryhodnost (greylist) počítá jako kombinace "odesílatel + adresát + server odesílatele". Pokud dojde k počátečnímu ověření, tak další emaily nejsou již zpožďovány. Greylist si lze vést i vlastní, statický, k eliminaci některých zpoždění se servery, o kterých víme, že jsou ok.
Dřív nebyl cloud, dřív měl každý jeden server atd. Dávalo to smysl. Dnes je spousta cloudových služeb, spousta firem už začíná mít více jak jeden server. Když tedy Greylisting poprvé odmítne email, tak ho začne v dalším pokusu doručovat většinou jiný server z cloudu. Když má cloud třeba 1000 serverů, tak se může stát, že email se nezpozdí o 10min, ale třeba o 3 dny, nebo se vůbec nedoručí. To je důvod, proč se od tohoto řešení čím dál více ustupuje. Ono i v dnešní době se trochu jinak spamuje, takže technika greylistu už je zastaralá a přestává dávat smysl i z tohoto pohledu.
Opatrně tedy s nastavováním a provozováním Greylistingu.
Samozřejmě. Někdo tvrdí, že už to nejde, že je problém s doručováním velkým firmám apod. Já si to nemyslím a podle mých zkušeností jsem ještě nenarazil na problém, který by tomu bránil. Provozuji pár firmám webhostingy (jsou tam i nějaké úřady) a no problemo. Pak mám jednoho paranoidního známého, kterého jsem musel z běžných mailových hostingů stáhnout a platí si VM, kterou mu spravuji. Celé je to kvůli tomu, že jakmile dostane nějaký divný email, nebo se nějaký email nedoručí, nebo něco, tak potřebuje nutně vědět, co se stalo. Když maily provozuje někdo jiný, tak nastává nekonečné kolečko požadavku na support a člověk dělá nekonečného prostředníka. Takto mám odpověď hned, bez starostí, bez čekání, kouknu a vidím. Mohu mu jednoduše potvrdit, že server adresáta email přijal a on je relativně z obliga atd. Důvody pro vlastní provoz mohou být samozřejmě různé. Já jen tvrdím, že v tom stále není žádný problém.
Tento základ je opravdu dobré dodržovat a člověk se pak vyhne zbytečným problémům. Samozřejmě stále platí: "Nikomu nevěř", a to platí jak pro uživatele, tak i pro správce. Každý dělá chyby, takže když je problém, nikomu nevěř, ověř si to sám, ať je jistota.
Ještě dodám, že vždy se mi podařilo odhalit a opravit problém. Setkal jsem se jak s odmítáním emailů od Gmailu, MS i jiných (třeba německý kundenserver byl dost restriktivní) a vždy to šlo vyřešit a většinou k té blokaci byl nějaký důvod a nebyl to omyl. Píši většinou, protože někdy to nešlo z pohledu serveru zákazníka dohledat / ověřit, proč k tomu nastalo (chybějící logy apod.).
Na závěr dodám takovou třešničku. Máte firmu, máte všechno vyladěný, všechny pravidla, co je spam, jde v 95% do spamu, co je regulérní, to projde atd. Nu a pak firma začne expandovat/řešit východ. Komunikace s Čínou je super (všechno se tváří jako 500% spam), komunikace s Ruskem je na tom podobně. Ostatně, stačila i menší expanze do Polska a tam to byla také menší divočina. Osobně nechápu, jak třeba ta Čína řeší spam. Nabyl jsem dojmu, že nijak, resp. asi lidskými zdroji.
Zdar Max
Tiskni
Sdílej:
2.5.2022 14:46
Max | skóre: 72
| blog: Max_Devaine
2.5.2022 15:54
JiK | skóre: 13
| blog: Jirkoviny
| Virginia
2.5.2022 16:13
Max | skóre: 72
| blog: Max_Devaine
2.5.2022 16:23
Max | skóre: 72
| blog: Max_Devaine
3.5.2022 13:16
Max | skóre: 72
| blog: Max_Devaine
2.5.2022 18:47
David Heidelberg | skóre: 46
| blog: blog_
3.5.2022 09:56
Max | skóre: 72
| blog: Max_Devaine
3.5.2022 15:19
David Heidelberg | skóre: 46
| blog: blog_
Od doby telefonů, LTE + WiFi atd. je IMAP zlo.Proč? Zrovna na LTE a wifi (relativně rychlé a spolehlivé připojení s nízkou latencí) by to mělo fungovat dobře, ne?
4.5.2022 17:57
David Heidelberg | skóre: 46
| blog: blog_
JMAP je jediný ne-proprietární protokol.Co je proprietarniho na RFC?
4.5.2022 18:10
David Heidelberg | skóre: 46
| blog: blog_
4.5.2022 08:10
Max | skóre: 72
| blog: Max_Devaine
4.5.2022 18:12
David Heidelberg | skóre: 46
| blog: blog_
4.5.2022 19:52
Max | skóre: 72
| blog: Max_Devaine
5.5.2022 11:40
David Heidelberg | skóre: 46
| blog: blog_
3.5.2022 15:17
David Heidelberg | skóre: 46
| blog: blog_
9) ... na gmail dorazí email, který se bude tvářit jako od "franta@seznam.cz", ale nepřijde od seznam serveru, ale z jiného. To bude vyhodnoceno jako spam.Špatný příklad IMO. Seznam nemá restriktivní SPF, takže není důvod takový mail označit jako spam. Plus by bylo hezké zmínit SRS. Rada "prostě to nedělejte" je bohužel k ničemu, pokud spravujete schránky zákazníkům a ne uživatelům.
12) Gmail mi odmítá emaily a nevím pročTo neví nikdo, nechávají si to pro sebe. Ale třeba čerstvě spuštěný mailserver na nové IP adrese má smolíka. Jo a ještě jedna chyba - neodmítá, to by ještě bylo dobrý, ale v tichosti zahazuje do spamu.
16) GreylistingPlus existují servery, které první opakovaný pokus udělají po 2 sekundách a druhý opakovaný pokus po 3 hodinách.
Osobně nechápu, jak třeba ta Čína řeší spam.AFAIK v Asii tak nějak obecně považují spam za normální věc, která není nijak negativní. Existovaly RBL, které blokovaly IP adresy pro Jižní Koreu, protože odtud se spamovalo ve velkém. Prostě letáková kampaň, akorát levnější a pro jistotu do celého světa. O indických mailech od PM Modiho (https://en.wikipedia.org/wiki/Narendra_Modi) ani nemluvě.
3.5.2022 08:07
Max | skóre: 72
| blog: Max_Devaine
3.5.2022 08:37
Max | skóre: 72
| blog: Max_Devaine
V bodě 9) to ale není jen o SPF, ale třeba i chybném dkim.Na to zas existuje ARC (ale to je všechno, co o tom vim)
3.5.2022 11:20
Max | skóre: 72
| blog: Max_Devaine
Je možné, že původní majitel ipv4 byl třeba spammerStane se vám to, i když dostanete fungl nový IP blok přidělený od RIPE. Teda ten dneska už nedostanete, ale princip asi platí furt - IP adresy, které Google neviděl, považuje za nedůvěryhodné, dokud z nich nepřijde dost mailů, u kterých si příjemci stěžují, že jim zprávy padají do spamu. V době, kdy ještě šlo dostat nový IP blok, Google AFAIK kontaktovat nešlo
3.5.2022 09:54
Max | skóre: 72
| blog: Max_Devaine
4.5.2022 20:20
MMMMMMMMM | skóre: 44
| blog: unstable
| Valašsko :-)
Show must go on.
Má smysl v dnešní době provozovat vlastní smtp?Měl jsem původně v úmyslu nahodit si vlastní, ale postupně jsem vyhodnotil, že to smysl nemá (pro jednotlivce, firma je smaozřejmě něco jiného). Důvodem je hlavně bod 6, tj. že by mailový provoz měl být oddělenný od ostatního, s čimž naprosto souhlasim. Tzn. musel bych zřídit separátní hosting pouze pro e-mail a nemohl bych ho použít už na nic jiného. Jednotlivci mají typicky tendenci tohle pravidlo porušovat, protože když má člověk server (ať už vlastní nebo hostovaný u někoho) na kterým má mail, hrozně to svádí si tam hodit ještě třeba nějakou storage na data nebo webovky/blogísek nebo VCS a podobně, čímž se kombinuje provoz, přivádí to na ten server pozornost a podstatně se zvětšuje attack surface. Plus si to samozřejmě člověk musí všechno spravovat a neustále si po sobě kontrolovat, že to opravdu dělá dobře a někde na něco nezapomněl - přijde mi to jako docela stres, pokud se tomu člověk nevěnuje primárně / nepracuje jako admin těchto věcí. Naštěstí existuje ProtonMail, což je pro mě docela spása
Mam u nich placenou verzi na vlastní doméně - vyhodnotil jsem, že dokonce ani mailovou doménu nechci přepoužívat pro další věci. Místo toho, abych si to nějak pytlíkoval sám a trávil tim čas, raději podpořim tento projekt a uštřim si trable. Mají to zpracované pěkně, pro nastavení vlastní domény mají průvodce, který člověku říká, jak nastavit všechny ty potřebné DNS záznamy od AAAA až po ZZ-Top, a zároveň to testuje a postupně "odfajfkovává" ty, které už jsou nastaveny správně.
3.5.2022 14:21
Max | skóre: 72
| blog: Max_Devaine
4.5.2022 20:47
Max | skóre: 72
| blog: Max_Devaine
17.5.2022 17:49
Petr Fiedler | skóre: 35
| blog: Poradna
| Brno
Nevím, zda chci sepisovat kompletní step2step howto, jak nastavit vlastní mailserver.
No to bys právě mohl
Jinak super zápis, díky.
10.5.2022 08:50
Max | skóre: 72
| blog: Max_Devaine
protože překročila počet dns lokupůnaprosto běžnej jev
21.6.2022 09:28
Max | skóre: 72
| blog: Max_Devaine
Pro začátečníky co sem přivál vítr si tu odložím:
https://zentyal.com/ - Easy Linux alternative to Windows Server
https://www.nethserver.org/ - Small Business Linux Server Made Easy
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz