abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 23:55 | Pozvánky

Spolek OpenAlt zve příznivce otevřených technologií a otevřeného přístupu na 145. brněnský sraz, který proběhne v pátek 20. října od 18:00 hodin v restauraci Time Out na adrese Novoměstská 2 v Řečkovicích. Jedná se o poslední sraz před konferencí OpenAlt 2017, jež proběhne o víkendu 4. a 5. listopadu 2017 na FIT VUT v Brně. Běží registrace účastníků.

Ladislav Hagara | Komentářů: 0
včera 21:44 | Nová verze

Byla vydána verze 5.2.0 multiplatformního virtualizačního nástroje Oracle VM VirtualBox. Jedná se o první stabilní verzi z nové větve 5.2. Z novinek lze zmínit například možnost exportování VM do Oracle Cloudu, bezobslužnou instalaci hostovaného systému nebo vylepšené GUI. Podrobnosti v seznamu změn. Aktualizována byla také dokumentace.

Ladislav Hagara | Komentářů: 1
včera 14:00 | Zajímavý projekt

Byl spuštěn Humble Down Under Bundle. Za vlastní cenu lze koupit multiplatformní hry The Warlock of Firetop Mountain, Screencheat, Hand of Fate a Satellite Reign. Při nadprůměrné platbě (aktuálně 3,63 $) také Hacknet, Hacknet Labyrinths, Crawl a Hurtworld. Při platbě 12 $ a více lze získat navíc Armello.

Ladislav Hagara | Komentářů: 0
včera 13:00 | Nová verze

Google Chrome 62 byl prohlášen za stabilní (YouTube). Nejnovější stabilní verze 62.0.3202.62 tohoto webového prohlížeče přináší řadu oprav a vylepšení. Vylepšeny byly také nástroje pro vývojáře (YouTube). Opraveno bylo 35 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 2
včera 11:00 | Zajímavý článek

Článek (en) na Mozilla.cz je věnován vykreslování stránek ve Firefoxu. V průběhu roku 2018 by se ve Firefoxu měl objevit WebRender, jenž by měl vykreslování stránek urychlit díky využití GPU.

Ladislav Hagara | Komentářů: 4
včera 08:22 | Bezpečnostní upozornění

NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) informuje o zranitelnosti ROCA v procesu generování RSA klíčů, který se odehrává v softwarové knihovně implementované například v kryptografických čipových kartách, bezpečnostních tokenech a dalších hardwarových čipech vyrobených společností Infineon Technologies AG. Zranitelnost umožňuje praktický faktorizační útok, při kterém útočník dokáže vypočítat

… více »
Ladislav Hagara | Komentářů: 3
včera 01:23 | Zajímavý software

Příspěvek na blogu otevřené certifikační autority Let's Encrypt informuje o začlenění podpory protokolu ACME (Automatic Certificate Management Environment) přímo do webového serveru Apache. Klienty ACME lze nahradit novým modulem Apache mod_md. Na vývoj tohoto modulu bylo uvolněno 70 tisíc dolarů z programu Mozilla Open Source Support (MOSS). K rozchození HTTPS na Apache stačí nově přidat do konfiguračního souboru řádek s ManagedDomain. Minutový videonávod na YouTube [reddit].

Ladislav Hagara | Komentářů: 2
17.10. 14:15 | Komunita

Daniel Stenberg, autor nástroje curl, na svém blogu oznámil, že obdržel letošní Polhemovu cenu, kterou uděluje Švédská inženýrská asociace za „technologickou inovaci nebo důvtipné řešení technického problému“.

marbu | Komentářů: 10
17.10. 13:40 | Pozvánky

Cílem Social Good Hackathonu, který se uskuteční 21. a 22. října v Brně, je vymyslet a zrealizovat projekty, které pomůžou zlepšit svět kolem nás. Je to unikátní příležitost, jak představit nejrůznější sociální projekty a zrealizovat je, propojit aktivní lidi, zástupce a zástupkyně nevládních organizací a lidi z prostředí IT a designu. Hackathon pořádá brněnská neziskovka Nesehnutí.

… více »
Barbora | Komentářů: 1
17.10. 00:44 | Pozvánky

V sobotu 21. října 2017 se na půdě Elektrotechnické fakulty ČVUT v Praze uskuteční RT-Summit – setkání vývojářů linuxového jádra a uživatelů jeho real-time verze označované jako preempt-rt.

… více »
Pavel Píša | Komentářů: 8
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (13%)
 (2%)
 (0%)
 (2%)
 (73%)
 (11%)
Celkem 62 hlasů
 Komentářů: 4, poslední včera 21:50
    Rozcestník

    Microsoft Exchange web access - hořká komedie

    12.7.2016 09:35 | Přečteno: 3394× | Sítě | Výběrový blog

    V následujícím blogísku ukáži především jak obejít restrikce admina, který má pocit, že outlook web access je jediné možné řešení mailu pro desktop. Jako bonus uvidíte myšlenkové pochody vedoucího výpočetky v praxi.

    Historie

    Bylo nebylo, jedna státní instituce (dále jen Instituce) měla mailový systém. A protože ho měla už dlouho, byl to samozřejmě normální postfix + squirrelmail. I když je squirellmail fajn (používám na svém serveru), přeci jen je potřeba ho trošku vyladit (procmail, složky, rozumně nastavit konfiguraci), s čímž se pochopitelně nikdy nikdo nezabýval. Takže před před pár lety byl vystřídán horde. Ten je sice o něco pomalejší, ale zase měl některé funkce navíc. Po pár letech si všichni celkem zvykli. Mimo to odjakživa bylo možné si požádat o přesměrování pošty, takže si člověk pracovní poštu mohl přečíst na vlastním serveru (nebo seznamu, gmailu atp.). Jediná nevýhoda byla, že Instituce neposkytovala SMTP server, ale na druhou stranu neměla vyplněné ty bezpečnostní "nesmysly" v DNS, takže to většinou fungovalo.Vzhledem k tomu, že naši IT odborníci považovali vždy za velmi dobrý nápad mít na internetových stránkách instituce e-maily v podobě mailto: odkazů, chodilo tradičně docela dost spamů, což se na externím mailu dalo celkem řešit.

    Příchod nového nejvyššího pana informatika

    Nejvyšší pan železničář Jak už se to tak stává, osoba na pozici nejvyššího pana informatika (NPI) se občas vymění. Nový NPI se rozhodl (jistě zcela nezištně) odebrat správu mailového serveru externí firmě (která to dělala za nějaký paušální poplatek) a provozovat maily "vlastními silami" na korporátní úrovni. Takže rozhodl, že se koupí Microsoft Exchange a maily se přemigrují. Představu toho, kolik migrace cca 2000 mailových účtů může tak stát jsem získal z tohoto blogu tady na ABC.

    Úkol je nesnadný, ale my to zvládneme !

    Před vlastní migrací vyšel oběžník, který prostý lid na migraci připravil. Dovoluji si zkráceně citovat několik hlavních myšlenek:

    Elektronický poštovní systém je jedním ze základních komunikačních způsobů výměny informací a dat mezi uživateli (...) používán každý den téměř všemi zaměstnanci a je na něm závislý chod .... - no dobrá, NPI neví, že spousta zaměstnanců čte maily víceméně příležitostně. Ale předpoklady jsou asi správné ...

    (uživatelé)mají svoji poštu uloženou na linuxovém poštovním systému (Postfix) a přistupuje ke svému poštovnímu účtu z intranetu (e-mail); někteří uživatelé zde mají uloženy také svoje kontakty (...) celkově se jedná o cca 500 GB dat a cca 15 milionů emailů !! - tučný text a dva vykřičníky jsou již v originálu :-D

    Zmigrovaní uživatelé budou moci přistupovat (..) pomocí prohlížeče (...) možností je použití programu MS Outlook 2010,2013 nebo 2016. Pro vybrané uživatele bude (..) přístup pomocí mobilního telefonu. - Podle čeho budou vybírat vyvolené, které "pustí" do mailu po telefonu ?

    Po migraci si musí každý (..) sám ověřit funkčnost (..). Vezměte prosím v úvahu, že některá nastavení jsou poměrně komplikovaná a poštovní programy mají poměrně široké možnosti nastavení, proto nemusí být některé problémy vyřešeny okamžitě po telefonu, ale až po nastudování uvedené problematiky.. Nebo-li: vůbec nevíme, jestli vám to bude fungovat a jesliže ne, tak si přečteme manuál ...

    (..) že se nám společnými silami podaří provést migraci (..) systém umožní všem uživatelům více využívat jeho možností* a usnadní tak komunikaci (...) úsporu času přinese také přístup z mobilních telefonů** (..) po více než roce snahy o zlepšení poštovního systému v Instituci jsme nyní již blízko cíli a zbývá ten nejdůležitější krok.

    Před lety jsme stáli na pokraji hluboké propasti. Od té doby jsme učinili mohutný krok vpřed.

    Nadešel den D, řadovým poddaným NPI přibylo přesčasové noční práce, telefonátů rozladěných uživatelů i šedin. Až na pár marginálních problémů, jako migrace podsložek některých uživatelů a tak podobně proběhla migrace z pohledu uživatelů celkem hladce a to že se do mailu nepřihlašují přes mail.instituce.cz ale posta.instituce.cz taky nikoho netrápilo, zejména vzhledem k tomu, že se konečně poštovní server začal prokazovat podepsaným a platným certifikátem.

    Otevřel jsem krásný poštovní systém ve stylu ribbonu s 7-8 maily na obrazovku běžného rozlišení v Instituci, připravil pytlík pro případ náhlé nevolnosti a začal zkoumat, kde se zapíná přesměrování. Po chvíli zkoumání jsem našel to, co vypadalo jako forward a napsal tam svoji adresu. A ono to nefungovalo. Hmm, tak je to rozbité. Nasal jsem krátký mail zodopovědné osobě a celkem obratem dostal odpověď:

    presmerovani/preposilani posty dle nastaveni pres OWA funguje pouze na interni prijemce (resp. tak je to nastaveno nekde v globalni politice) (..) prime rozhodnuti NPI, o pripadne vyjimce by musel rozhodnout on. Omlouvam se za "zhorseni" komfortu oproti predchozimu mail systemu.

    Sice jsem nepochopil, proč bylo slovo "zhoršení" dáno do uvozovek, ale informace byla přednána. Jal jsem se tedy zkoumat další možnosti a zjisti, že systém umí přeposílat maily na mobil. To by nakonec mohlo i stačit (i když filtrování spamu v příchozích SMSkách zatím nemám implementované). Microsoft nezklamal a ve výchozím nastavení vedle možnosti posílat zprávy na SIM operátorů USA a Kanady je i pužitelnější varianta pro evropana. Bohužel Simku od Orange Rumania nemám, takže tudy cesta také nevede. Sedl jsem tedy a sepsal žádost o forward, nechal si ji podepsat nadřízeným a vydal se za NPI.

    Kolkovaná žádost

    Laskavý NPI žádost přijal, řekl mi, že nejsem jediný co by to chtěl, ale že je to bezpečnostní riziko, protože by se mohly supertajné maily Instituce (a ne, nepatříme pod ministerstvo vnitra !) mohly dostat do nepovolaných rukou, kdyby se posílaly na seznam.cz či gmail (historicky jsem měl maily předchozích cca 9 let přesměrované na seznam). To, že chci forward na vlastní server nebyl argument. A že to nemůže rozhodnout sám, ale jedině pan ředitel.

    Zhruba za týden jsem dostal podepsanou a vytištěnou odpověď NPI. Na poradě vedení popsal celou situaci (dřívější i současnou) a nechal rozhodnout poradu vedení o dalším postupu (přiznejte se, kdo jste neviděli Muže na radnici a tu scénu se schvalováním demolice v centru městečka a výstavbě paneláků ???). Výsledek byl tedy celkem podle očekávání - porada (...) obecně neschvaluje žádné žádosti o přesměrování emailů mimo Instituci z důvodu možného úniku dat. A nyní přichází perla nepochopení: (...) řešení (...) uspokojující a zároveň udrží emaily v Instituci (...) ActiveSync na Vašem mobilu. To si jako myslí, že chronicky děravý Android je bezpečnější než můj Debianí server ??? A myšlenka udržení emailu v Instituci je taky zajímavá - tím, že mi mail zobrazí telefon dejme tomu v metru Instituci opustí. Prosím o vyplnění (...) žádosti o nákup (...), cena je 2000 Kč ročně (...). Můj přímý nadřízený by to asi i podepsal, ale proč mám naší organizační jednotce zbytečně zvyšovat náklady, nota bene do kapsy Mrkvosoftu ?!

    Možnosti co zbyly

    Po té, co mé žádosti nebylo vyhověno jsem přemýšlel, co mi zbývá za možnosti. Povolen je klasický Outlook, což by přes VPNku šlo, ale licenci ani na jednom z mých Linuxových strojů nemám. Druhá varianta je OWA, neboli Outlook Web Access. Tak mne napadlo zbastlit si nějaké stahovátko, abych se v té webové nádheře nemusel brodit. Pošta se nesmí přeposílat, o stahování nebo tištění ale přeci nikdo nemluvil. A navíc - jako obvykle - toto kolo už někdo vynalezl !

    Jak stahovat poštu z Outlook Web Access do normálního klienta

    Konečeně se dostáváme k jádru blogu (ale předchozí jsem si prostě musel pro příští generace zapsat).

    Po zadání "active sync" linux client do googlu sice vypadne 680 000 odkazů, ale většina z nich píše, že je protokol proprietární, špatně se reverse-engeneeruje a tak. Na Microsoftím fóru vás pošlou na synce projekt, který ale předpokládá synchronizaci přes USB, což není jaksi způsob pro připojení ke korporátnímu mailovému serveru ideální ;-). Už na první stránce výsledků vyhledávače se dostávám na Superuser.com, kde někdo řeší identický problém a dozvídám se správnou odpověď. Davmail. Ten mimochodem doporučují i v další diskuzi na téma active-sync pod Linuxem

    Davmail

    Trocha propagandy ...

    Propaganda DavMailu říká:

    Chtěli jste někdy zbavit Outlooku? DavMail je výměnná brána pro POP / IMAP / SMTP / CalDAV / CardDAV / LDAP. Umožňuje uživatelům používat jakékohokoliv mailového / kalendářového klienta (např Thunderbird/Lightening, Apple iCal) proti serveru Exchange, a to i z Internetu nebo za firewallem prostřednictvím webové aplikace Outlook Web Access. DavMail nyní obsahuje bránu LDAP bránu ke globálnímu adresáři Exchange (umožňuje dokončování adresy příjemce při psaní e-mailu) a podporu kalendáře včetně toho, jestli mají účastníci v daném termínu volno

    DavMail také podporuje protokol CardDAV k synchronizaci adresářů. Tato nová funkce je sponzorována francouzský, ministerstvem obrany (projekt Trustedbird DavMail Architecture).

    Hlavním cílem DavMailu je poskytnout standardní protokoly jako frontend k Exchange: LDAP globální adresář, SMTP k odesílání zpráv, IMAP k procházení zpráv (v libovolné složce) na serveru, POP na stahování pošty (jen inbox !), CalDAV pro kalendáře a CardDAV pro osobní kontakty. Díky tomu může být používán s Microsoft Exchange libovolný klient dodržující obvyklé standardy.

    DavMail je implementován v Javě a měl by běžet na libovolné platformě. Vydané verze jsou testovány na Windows, Linux (Ubuntu) a Mac OSX. Úspěšně byl systém testován s iPhone (gateway běží na serveru).

    Celkově tedy DavMail má umět vše co potřebuji a navíc spoustu toho, kvůli čemu údajně Exchange nasadili a co nepotřebuji. Tak to jdeme zkusit. (Jediný háček může být to ministerstvo obrany, ale na druhou stranu to píšou hned na titulní stránce ...)

    Základní instalace

    ÐavMail roste tady. Pod Debianem stačí stáhnout binární balíček a nainstalovat (dpkg -i) a je to (tedy za předpokladu, že už máte JRE, jinak si ho holt doinstalujte, sudo apt-get install default-jre, že). Na stahovací stránce je i nějaké exe pro Widle i instalačka pro Masox (ani jedno jsem nezkoušel, ale z výše uvedeného vyplývá, že by to mělo fungovat).

    Základní použití

    Tato část je společná pro všechny podporované desktopové systémy. Pokud chcete jen nahrubo otestovat, že to funguje, nebo použít aplikaci třeba lokálně na notebooku, banálně spusťte nainstalovanou aplikaci, která se zabydlí v system tray (kurňa, jak se to správně řekne česky ?). Jediné co potřebujete vyplnit je druhá položka záložky main, což URL - typicky něco jako https://posta.instituce.cz/owa.

    Klikátko vám ukáže, na jakých (neprivilegovaných) portech davmail poslouchá (lze změnit, default je 1110 POP3, 1143 IMAP, 1025 SMTP, 1080 caldav, 1389 ldap).No, a vy si podle toho nastavíte třeba Thinderbirda a je to. Konečně nativní odesílání mailů přes "správný" SMTP server atd. Jste-li BFU, skončete čtení zde, dále je to již jen pro silnější administrátorské povahy..

    Ladíme serverovou verzi

    Tipy a triky pro obecé linuxové použití jsou tady, ale my chceme víc. Naštěstí i na tohle autoři mysleli, takže dávají k dispozici ukázkovou konfiguraci pro server. Tu v zásadě můžeme použít s pár úpravami:
    1. davmail.url už známe - končí owa ...
    2. davmail.bindAddress=127.0.0.42 - tedy, chvilku jsem si hrál s myšlenkou, že bych mohl být svině a příslušné porty vyšpulit ven do netu (takhle je to jen localhost)
    3. doporučuji nastavit kam logovat - davmail.logFilePath=/var/log/davmail.log
    Zbytek jsem nechal v defaultu. Protože server moc často nerestartuju, na "první dobrou" jsem nedělal spouštěč pro systemd, ale udělal jsem si jednoduchý spouštěcí skriptík, který se musí nahazovat ručně:
    
    #!/bin/bash
    cd
    nohup davmail davmail.properties &
    echo "===="
    echo "Output:"
    tail -f nohup.out
    
    Jak vidíte, konfigurák davmail.properties jsem uložil do svého "houmu". Takže to hanrubo funguje, můžeme zkusit telnet 127.0.0.42 1100 a kochat se. My ale chceme víc.

    Příchozí pošta stahovaná do místního systému - nejjednodušší cesta pro mne byl fetchmail, který stejně používám pro svoje další účty, co neumí forward. Takže do .fetchmailrc jsem připsal jen:

    
    poll 127.0.0.42	protocol pop3 port 1110
    	user "MůjKorporátníLogin" password "SuprČuprHeslo" mda "/home/username/bin/instituce_deliver" keep
    
    . Možná si říkáte, proč instituce_deliver a ne rovnou lokální MDA. Fakt je, že přes Instituci dostávám cca 99% objemu všech spamů (viz výše), po zmigrování možná 99,9%. Spamy jsou dost monotónní, takže jsem se rozhodl místo spamassasina použít vlastní skript, který podle hlaviček a těla mail pošle buď do složky INBOX/instituce nebo SPAM. Tadá, příchozí pošta je tímto integrovaná a přečtu si ji v squirrelmailu, v telefonu, tabletu, muttu ...

    Odesílání pošty - pro postfix budeme muset upravit dva soubory - /etc/postfix/relayhost_maps:

    
    jmeno.prijmeni@instituce.cz  [127.0.0.42]:1025
    
    a /etc/postfix/sasl_passwd:
    
    [127.0.0.42]:1025	MůjKorporátníLogin:SuprČuprHeslo
    
    Pak už nás čeká jen postmap relayhost_maps;postmap sasl_passwd;/etc/init.d/postfix restart a voliá - z localhostu se dá posílat pošta jako jmeno.prijmeni@instituce.cz ...

    Závěr

    Výše uvedeným postupem můžeme z Outlook Web Accessu udělat docela normální poštovní systém. Final disclaimer: Uvedený postup je plně funkční, ale může být v rozporu s bezpečnostní politikou vaší instituce. Po otestování jsem pochopitelně vše odinstaloval, smazal a poštu čtu jen v rámci Instituce ve své pracovní době. Tímto také nenabádám nikoho k tomu, aby se protivil NPI podobným řešením, které je "na hraně" - přeci jen existuje riziko, že na vás zaútočí hackeři a odnesou si jídelníček na příští týden, nabídky svinovacích hadic, slunečních brýlí, rozpračovače, zahradní pohovky a podobné citlivé interní dokumenty Instituce. Navíc jsem ještě nezkoumal zdrojové kódy aplikace (jsou k dispozici tam co binárky), takže si nemohu být zcela jistý, jestli program všechnu vaši poštu neposílá francouzské tajné službě (která na část vývoje přispěla) :-D.

           

    Hodnocení: 100 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    12.7.2016 09:57 Tomáš Pelc | skóre: 22 | blog: multimedialni_pc_k_LCD_TV
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    Díky za čtivý článek. Taky jsem takto bojoval proti Korporaci, ale v posledni době nasadili jakousi pseudo-dvoufázovou autentifikaci (jméno/heslo se musí zadávat na 2x), přes kterou Davmailem nemůžu prolézt. Neměl jsem čas to dopodrobna zkoumat.
    12.7.2016 11:01 Georgius
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    něco takového prý "umí" ten mobilní klient za 2000 ročně - prý se pokaždé zadává nějaký PIN či co ... Doufám, že NPI nikdo neřekne, že existuje ta "bezpečnější" dvoufázová autentifikace (mimochodem, s výkřikem, že je to bezpečnější NPI nahradil openvpn s ověřování klíčem za Cisco VPN s ověřováním proti Active Directory (t.j. heslem, které je navíc stejné jako login do Win počítačů a nyní i mejlu).
    12.7.2016 10:26 Jiří Lisický | skóre: 31 | blog: JIL_blog | Olomouc
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    Pokud jako mail klienta používáte Evolution, umí se taky napojit na Exchange Web Services.
    12.7.2016 12:33 MP
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    No, me to ani ale neprekvapuje. Vzdy se najde uzivatel zkousici obchcat firemni politiku (=horka komedie z uzivatelske strany). Ke cti je nutno priznat, ze zde je to jen jen pro testovani (zatim).

    Vypichl bych nekolik bodu:

    1] forward posty do soukrome schranky - to je velmi uzasna ficura ve chvili, kdy se pracovni veci valeji v soukromych schrankach - vazne si myslite, ze je snadne zajistit, aby se neforwardovaly citlive veci? I takova blba obchodni nabidka muze dost ovlivnit vyberove rizeni. A to nemluvim o moznych problemech s politikami typu SFP atd.

    2] taky chci videt, pokud je nasazena politika rotace hesel, jak se to bude synchronizovat na ten davmail/libovolny imap nesvazany trustem s AD

    3] klice s openvpn vs cisco s AD - no, klice jsou na jednu stranu nezapamatovatelne ale MUSI byt nekde ulozeny, na druhou stranu opet plati, ze distribuce je slozitejsi nez synchronizovana zmena hesla pres AD. A aby mel kazdy user xx hesel/klicu pro ruzne aplikace - to je otrava na entou spravovat, zlaty SSO (pokud funguje) anebo aspon schopnost autentifikace pomoci AD.

    I Exchange ma sve velke minusy, ale do korporatu je to jedna z hlavnich voleb uz z hlediska nakladu na spravu uzivatelskych stanic. Zkuste si centralne spravovat treba Thunderbird...
    12.7.2016 12:46 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    forward posty do soukrome schranky - to je velmi uzasna ficura ve chvili, kdy se pracovni veci valeji v soukromych schrankach
    Tohle fakt nechápu. Freemaily, téměř žádné garance chodu té služby a vůbec žádná ochrana proti tomu, aby si maily četl admin toho freemailu. A autorovi blogpostu podle všeho fakt přijde jako dobrý nápad si tam přeposílat pracovní a tedy potenciálně citlivé maily.
    Quando omni flunkus moritati
    12.7.2016 13:50 Georgius
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    Tak autor blogpostu si chtěl maily přeposílat na VLASTNÍ SOUKROMÝ server. kažodpádně, potencionálně citlivý mail by se podle mého názoru měl šifrovat, protože stejně si ho už po cestě mohli přečíst a přes ECHELON ho NSA už dávno má ;-).
    12.7.2016 13:56 PETR
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    Jj, ale bez tohoto přístupu bychom přišli o vtipné aférky typu Bouhouš Sobotka nebo Hillary Clintonová :-)
    12.7.2016 13:48 Georgius
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie

    ad 1 - na úrovni manažerů tohle chápu. Většina zaměstnanců ale na manažery "vydělává" něčím úplně jiným, než obchodováním (dále tyto "hlupáky" budu označovat přiléhavcým slovem "dělník"). A vzhledem k tomu, jakým způsobem se v Instituci soutěží i "kuličky do myši" (konkrétní příklady zcela absurdních výběrových řízení z důvodu zachování anonymity záměrně neuvádím) tak si myslím, že i kdyby si obchodní nabídku přečetla konkurence, tak nemá moc šanci něco změnit. Navíc finální nabídku stejně bude odevzdávat zalepenou a tak. Ale jak píšu, jsem jen drobné zrnko písku v soukolí, kde začínají platit Parkinsonovy zákony. Takže výsledkem nasazení úchylného webmailu je, že řadoví dělníci si poštu otevřou méně často (za hlasitého nadávání na množství spamu) a komunikace se zhorší, protože místo toho, aby si o školení jak správně držet násadu přečetli v mailu, dozví se to dříve od spolupracovníků .

    ad 2 - již dnes většina dělníků řeší pravidelné změny hesel metodou "šup-sem-šup-tam", heslo adélka změní na alenka a vzápětí zpět na adélka. Až si to NPI uvědomí, bude poddaný lid dost nas*. Jo a nejvtipnější je, že o expiraci hesla informují jen Widle, do kterých se ale většina dělníků přihlašuje společným username (a mají pro to celkem dobrý důvod), navíc se pohybují na různých počítačích. Takže reálně to vypadá tak, že dělníci, co se připojují přes VPN zjistí, že nemůžou pracovat, protože jim expirovalo heslo, takže se musí osobně vydat do Instituce, kde si ve Widlích heslo změní :-)

    ad 3 - mluvím o klíči k VPNce, pak už je zbytek zhlediska bezpečnosti dost jedno a klidně může být proti LDAPu

    Stand-alone Exchange z důvodu popsaného v bodu 2 používá jen pár managorů, prostí dělníci nic takového nemají ...

    12.7.2016 13:53 Georgius
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    P.S.: stejně je nebezpečné na ty maily odpovídat - co když si to cestou někdo odposlechne a přečte ? Tyhlety internety stejně každého jenom obtěžují, měly bychom se vrátit k potrubní poště, ta tím netrpěla ...
    12.7.2016 15:20 MP
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    No,

    ad1] jenze bezni uzivatele casto neresi citlivost informaci a klidne si posilaji hesla k systemum. Zalepena nabidka jeste neni samospasna - jednak neverejne parametry VR muzou mit dost velkou hodnotu a jednak v pripade doplneni nabidky se jiz znalost konkurencni nabidky hodi...atd atd.

    ad2] tohle dokaze omezit historie hesla, popr. 2FA. Prihlasovani vice lidi na stejny ucet je problem, ktery je stoprocentne omlacen vedeni o hlavu ve chvili, kdy probihaji audity. Expirace hesla je vseobecny problem vsude, proste lidi nectou maily, nezmeni si ho vcas atd...Opet tohle asi nejlepe resi nepouzivat heslo vubec - tj, tokeny/cipy apod.

    ad3] je uplne jedno, zda se k vpn hlasim klicem ci heslem v pripade, ze se jedna o pristup primo z te stanice. Ten klic na ni casto je - malokdo to ma na oddelenem mediu.
    Jendа avatar 12.7.2016 14:50 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    1] Na soukromě věci je snad samozřejmé používat end to end encryption, například PGP, takže to přece vůbec nevadí. Tedy pokud není citlivá i samotná informace, od koho jsem mail dostal, ale pak je problém už v tom, že ten systém používá SMTP.
    12.7.2016 18:47 hypvofxy | skóre: 5 | blog: hypvofxy
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    Vzdy se najde uzivatel zkousici obchcat firemni politiku
    Vnimal bych to spis tak, ze se najdou uzivatele, kteri se snazi to nejak pohodlneji pouzivat, a bezpecnostni politika jim v tom z nejakeho duvodu brani.
    Ke cti je nutno priznat, ze zde je to jen jen pro testovani (zatim).
    LOL.
    1] forward posty do soukrome schranky - to je velmi uzasna ficura ve chvili, kdy se pracovni veci valeji v soukromych schrankach - vazne si myslite, ze je snadne zajistit, aby se neforwardovaly citlive veci?
    Neprecenoval bych to. Nezname povahu te komunikace.
    2] taky chci videt, pokud je nasazena politika rotace hesel, jak se to bude synchronizovat na ten davmail/libovolny imap nesvazany trustem s AD
    Rotace hesel je jedna z nejvetsich myslitelnych kravin pokud nehovorime prinejmensim o jadernem reaktoru. Nekde jdou az tak daleko, ze si pamatuji hesla zpetne (nevim, do jake hloubky) a jednou pouzite heslo nelze pouzit znovu.

    Zapsat si heslo nekde na listecek na monitoru nebo v penezence predstavuje vetsi riziko nez dlouhodobe pouzivani rozumneho, dobre zapamatovaneho hesla, ktere je bezpecne tak dlouho, dokud nedoslo k jeho uniku. Jak zjistit, ze nedoslo k jeho uniku? Zaznamenavat historii pristupu s co nejvice detaily, pokud mozno ji nekde zobrazovat po prihlaseni, poucit uzivatele. Podezrele pristupy lze preventivne blokovat a vyzadat si dvoufaktorovou autentizaci (zaslani tokenu na telefon, osobni e-mail apod.).

    Podobnou kravinou je pozadavek na slozeni hesla. Prosta veta slozena z malych pismen by byla pro bezne uzivatele mnohem privetivejsi a byla by bezpecnejsi nez si vymyslet vylomeniny jako ze heslo musi obsahovat male pismeno, velke pismeno, cislici a alespon jeden z uvedenych specialnich znaku. Kdyby existoval IT fasismus, tohle by bylo ono.
    12.7.2016 20:40 R
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    Presne tak, rotacia hesiel bezpecnost nezvysuje, naopak ju znizuje. A zbytocne otravuje pouzivatelov a vo vysledku tiez spravcov (zabudnute hesla, nefunkcne prihlasovanie kvoli expirovanemu heslu).
    13.7.2016 11:09 prqek | blog: prqek
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    Konečně někdo, kdo má pravdila kolem hesel stejný názor jako já. Rotace hesel s pamětí mě přivedla od víceméně silných hesel, k heslům slabým, které generuji podle data změny. Požadavky na délku a obsah hesla mě nejvíc vytáčejí u webů, kde je největším rizikem, že někdo zneužije moji víceméně anonymní přezdívku. Celé to vede jen k neustálým restartům hesel.
    14.7.2016 07:34 bigBRAMBOR | skóre: 30
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    vím o firmě kde musejí měnit heslo kazdy mesic, a nesmí se opakovat 12 měsíců. Světe div se, 3/4 lidí má hesla Leden1, Unor2, Brezen3,....

    nevím už jaká služba mi odmítnula moje heslo jako příliž slabé, protože obsahuje málo rozdílných znaků. Chtěl jsem aaaaaaaaaaaaaaaaaaaaaaaaaaa - 27x "a" - i když si myslím, že z pohledu hrubé síly, při takovém počtu znaků, už na jejich rozdílnosti nezáleží.
    14.7.2016 08:22 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    Nejde jen o počet znaků, jde o to, kolik kombinací musí útočník vyzkoušet. Pokud útočník nějak získá informaci, že je to 27 stejných malých písmen (třeba protože zahlédl zadávání hesla), potřebuje vyzkoušet jen 26 možností. I pokud si nebude jistý počtem, vyzkouší třeba 265 možností, což odpovídá 5znakovému heslu z malých písmen. Proti útoku hrubou silou, který bude zkoušet všechna hesla postupně od jednoznakových je to heslo velmi odolné, ale tohle není jediný možný vektor útoku.
    Max avatar 14.7.2016 08:49 Max | skóre: 65 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    U nás kolegové nastavili politiku v IS tak, že se mění heslo každé 3 měsíce. Úplná idiocie. Tak učím lidi, že si to heslo po změně mohou zase nastavit zpátky, protože žádná historie neexistuje, tak to IS povolí.
    Všechno to je kvůli auditům, ty za to můžou. Přijde auditor, který má v notýsku napsáno, že se musí podle nějaký hovadiny měnit heslo xkrát do roka, tak to tak musí být.
    SAP také vynucuje změnu a hesla a pamatuje si x definovaných položek do historie, takže tam smůla. A u něj vidím, jak se k heslům v takovém případě chovám ledabyle.
    Taktéž nechápu, co je nebězpečného na tom, když si uživatel vytvoří vlastní heslo, které si pamatuje a používá třeba x let místo toho, aby ho měnil kažý x měsíců a rezignoval takovým způsobem, že ho má většina na papírku u monitoru.
    Zdar Max
    Měl jsem sen ... :(
    14.7.2016 09:05 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    Myslím, že zápory vynucené změny hesel jsou známé (především to, že lidé pak používají slabší hesla). Ale podařilo se už někdy někomu zjistit, jaký má mít tohle opatření přínos? Mne napadá jenom to, že se tak znemožní přístup někomu, kdo nějaké heslo získal a zatím se to nezjistilo. Jenže v takovém případě je podle mne velký průšvih to, že se to nezjistilo, ale hlavně, pokud někdo to heslo získal jednou a nepřišlo se na to, je velice pravděpodobné, že to heslo dokáže získat i podruhé. Takže ten domnělý přínos problém neřeší, jenom ho skrývá. Ví tedy někdo o nějakém skutečném přínosu takového opatření?
    14.7.2016 09:42 hypvofxy | skóre: 5 | blog: hypvofxy
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    Vidim to stejne. Proto jsem ostatne zminoval to zobrazovani historie prihlaseni, coz povazuju za velmi ucinny bezpecnostni prvek, a to jak z hlediska prevence (napr. vedomi, ze kdyz se nekdo prihlasi na koleguv ucet, ten se o tom muze dozvedet), tak pro zpetne odhaleni.
    Bystroushaak avatar 14.7.2016 09:08 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    Taktéž nechápu, co je nebězpečného na tom, když si uživatel vytvoří vlastní heslo, které si pamatuje a používá třeba x let místo toho, aby ho měnil kažý x měsíců a rezignoval takovým způsobem, že ho má většina na papírku u monitoru.
    Nebezpečné na tom je, že někdo pak hackne špatně napsané stránky jeho školní kapely a stejným heslem se pak dostane do emailu, do práce, do banky a všude.
    14.7.2016 09:39 hypvofxy | skóre: 5 | blog: hypvofxy
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    Rec byla o trvalem pouzivani hesla pro jednu konkretni sluzbu. Pravidelne zmeny v tom pomoct vubec nemusi, protoze pokud pouzivas nahodne par hesel, po expiraci jednoho proste zvolis druhe, nebo treti. S jednim leaknutym heslem se pak sice mozna neprihlasis vsude, ale nekam porad ano.
    14.7.2016 14:05 bigBRAMBOR | skóre: 30
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    zase na druhou stranu jsem se setkal se SW, a ano je potřeba přiznat že to byl sw malý, pro dost specifické potřeby, a jeho jméno radši říkat nebudu, který mi nedovoloval aby dva uživatelé měli stejné heslo, a dokonce o tom informoval, "heslo nelze změnit, jiný uživatel už používá stejné heslo"
    Jendа avatar 14.7.2016 14:07 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    „Heslo nelze změnit, uživatel novak3 již používá stejné heslo“ :-)
    14.7.2016 14:22 hypvofxy | skóre: 5 | blog: hypvofxy
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    LOL!
    14.7.2016 14:51 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    Používala ta aplikace i uživatelská jména? Třeba alarmy běžně identifikují uživatele pouze heslem (PINem), a pak samozřejmě hesla musí být unikátní.
    14.7.2016 19:04 R
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    Rovnako aj pokladnicne systemy.
    15.7.2016 07:18 bigBRAMBOR | skóre: 30
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    ano použivala i user name. Bylo to spiš chybně vytvořenym indexem nad sloupcem v DB, ale autor to nepovazoval za nutne opravit.
    12.7.2016 13:03 kolebaba
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    No tak jestli máš v kanclu normální velkej outlook, tak si udělej přeposílací pravidlo na svou soukromou adresu (kterou si předtím naťukáš do kontaktů) a máš hotovo. Omezení na straně Exchange/OWA tohle implicitně nezakazuje, pokud to teda NPI nějak extra nepotunil :-) ...
    12.7.2016 13:52 Georgius
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    no v OWA to právě nastavil tak, že to nejde. Utlouka asi ani nemáme všude nainstalovaného - to bych se musel podívat. Ale každopádně by to bylo porušení rozhodnutí porady vedení ;-).
    12.7.2016 16:27 Xerces
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    Tak doufej, že porada vedení nerozhodne, abys skočil z okna. :-)
    Jendа avatar 12.7.2016 14:51 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    Koukám, že se svými servery s Postfixem, Dovecotem a calendarserverem o hodně přicházím.
    system tray (kurňa, jak se to správně řekne česky ?)
    Snad oznamovací oblast.
    Nuphar avatar 12.7.2016 18:36 Nuphar | skóre: 17
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    Děkuji, tohle budu muset vyzkoušet. :-) To webové rozhraní Outlooku je snad to nejhorší, co jsem kdy viděl.
    Per aspera, Asparagus et Aspergillus ad a/Astra!
    Max avatar 12.7.2016 20:02 Max | skóre: 65 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    Je mi divné, že by se za přístup přes ActiveSync platilo. Co vím, tak je to by default součástí každé verze Exchange. Možná to ale není licence pro MS, ale pro nějakého VPN klienta (Cisco AnyConnect apod.?)
    Další možností je, že to je placený hosting u MS, v takovém případě bych pak věřil, že to mají nějak zpoplatněno. Poslední možností je, že Exchange 2016 změnil licenční politiku a cena za ActiveSync je zvlášť.

    Pokud jde o přeposílání emailů, tak je to blbost. V dnešní době se maily nepřeposílají, to dělají jen blázni, kterým nezáleží na mailech, protože SPF a další věci. Ve finále tedy dost emailů nemusí vůbec dojít. Všechny FreeMaily v dnešní době podporují vybírání pošty přes IMAP/POP3, takže místo forwarde bych používal vybírání (pokud IMAP/POP3 není taktéž zakázán).

    Jsem autorem odkazovaného článku o ceně MS Exchange a taktéž jsem autorem tohoto článku : Thunderbird a propojení s Microsoft Exchange, kde mj. popisuji DavMail :).

    Pokud jde o protokol ActiveSync jako takový, tak bacha. Je tu "ActiveSync" pro komunikaci se zařízeními přes USB/Bluetooth, to je proprietární stará věc, která přišla s mobilníma windows, vývoj skončil v roce 2007, viz : ActiveSync. Pak je tu Exchange ActiveSync, jehož specifikaci MS uvolnil. Viz tento thread : 387988#11
    -----
    EAS - Exchange ActiveSync
    V roce 2008 MS změnilo licenční politiku EAS a uvolnilo dokumentaci k EAS, viz : Exchange Server Protocol Documents
    Pokud jde o OpenSource, tak nejznámější implementace EAS je Z-Push, dřív jej používal i zmíněný Kolab, až později přešel k jiné OSS implementaci : Syncroton, ale nevím, co si o tom mám myslet, protože mi nepřijde tak bouřlivě vyvíjený jako Z-Push.
    Každopádně outlook a EAS je kapitola sama pro sebe, viz :
    Announcing Exchange ActiveSync v16
    Exchange, EAS, and Outlook 2013
    -----
    Máme zde tedy :
    ActiveSync pro windows mobile - mrtvá technologie
    MAPI pro outlook - polomrtvá technologie
    EAS (Exchnage ActiveSync) - aktuální technologie, na kterou MS tak nějak přechází (částečná podpora je v outlooku od verze 2013 a používají to všechny mobilní zařízení)
    Office365 - Outlook REST API (takže né EAS)
    Outlook Anywhere - http přístup k exchange od Outlook 2007 (přes Microsoft Exchange Proxy)
    MAPI over HTTP - Zdá se, že s Outlookem jde tímto směrem a nahradí tím jak MAPI, tak asi možná i Outlook Anywhere
    Viz tato sumarizace : MAPI over HTTP in Exchange 2016
    Jak je tedy vidět, tak MS nelení a situace se tak nějak stále mění/vyvíjí :-/.
    Zdar Max
    Měl jsem sen ... :(
    Max avatar 12.7.2016 20:21 Max | skóre: 65 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    Jinak teda těch 500GB dat na 15mil mailů pro 2000 uživatelů, to mi přijde docela málo. Čekal bych, že takový počet mailů bude zabírat víc, jak 500GB. Na druhou stranu je zjevné, že když se neposílají přílohy, tak to není nic neobvyklého.
    Já spravuji dva větší mailservery a takto to vypadá :
    Kerio Connect - 362 uživatelů - 1TiB dat - 2 mil emailů
    Exchange 2007 - 345 uživatelů - 1,3TiB - 8,1 mil emailů
    Archivační systém GFI jen pro Exchange - 27,5mil.
    Zdar Max
    Měl jsem sen ... :(
    12.7.2016 23:04 Georgius
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    Jo, POP3(S),IMAP(S) i SMTP(S) jsou pochopitelně a zcela logicky zakázané, o ty jsem zkusil požádat jako o první, ale bylo mi jasné, že tudy vlak asi nepojede (a nejel). Tu zmínku o DavMailu jsem nenašel, proptože článek se jmenoval thunderbird a ... a začínal, že "máme zapnutý IMAP", takže dál už jsem to nečetl, omlouvám se Maxi. Ale koukám že MS termitologie je ještě větší hnůj než by jeden čekal ...
    13.7.2016 15:09 peter
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    akoze fakt nevidim dovod preposielat si pracovne maily na sukromny mail - owa tusim funguje aj zvonku ak sa to nakonfiguruje

    z mojho pohladu nonsense
    Bystroushaak avatar 13.7.2016 15:32 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    Nepochopil jsi základní premisu, že owa je sračka plesnivá, schnilou mrdkou pomazaná a nikdo jim na tu posyflenou parodii na grafické rozhraní, která se navíc pořád mění, není zvědavej.
    13.7.2016 19:49 Georgius
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    AMEN AMEN !!! Kdo nezkusil, nepochopí.
    14.7.2016 09:46 podlesh | skóre: 38 | Freiburg im Breisgau
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    Lotus Notes na vás :-)
    cezz avatar 14.7.2016 11:30 cezz | skóre: 24 | blog: dm6 | Žilina
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    Go away Satan!
    Computers are not intelligent. They only think they are.
    Max avatar 14.7.2016 11:58 Max | skóre: 65 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    Jo, slyšel jsem, že to je zlý. Nikdy jsem to v provozu neviděl, tak nevím. Šéf to zkoušel před asi 10 lety a má z toho mindráky do teď. Ale zase, co bylo před 10 lety, to nemusí být nyní. Další věcí je, že Lotus notes není jen náhrada pro Exchange, ale i prostředí pro provoz firemních aplikací, nějaká integrace se SAPem apod. (i když teď lze u exchange v rámci OWA také instalovat nějaké app).
    Zdar Max
    Měl jsem sen ... :(
    14.7.2016 16:13 podlesh | skóre: 38 | Freiburg im Breisgau
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    Ano, je to tak, maily a kalendář jsou prostě jen aplikace, jedny z mnoha.

    Jinak ty novější veze už nejsou takové psycho jako to bývalo... už ani nejde poslat přílohy v Subject :-)
    14.7.2016 18:55 peter
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    A: preco si posielas firemnu postu na sukromny server B: mam premisu....A: kolko je hodin? B: zlta :D :D

    owa je vec zazracna oproti lotus notes ( spominane nizsie ), lotus denne, horsie je len verse web klient

    ale ved OK :) mozes si preposielat tvoju postu na moj server ? :D
    17.7.2016 09:40 NN
    Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
    Pracoval jsem ve vysoke statni organizaci a vysledek loby komercnich firem byl muj odchod. Boj s vetrnymi mlyny, ale drzim palce..

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.