abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 13:37 | Bezpečnostní upozornění

Společnost Cloudflare (Wikipedie) na svém blogu potvrdila bezpečnostní problém s její službou. V požadovaných odpovědích od reverzní proxy byla odesílána také data z neinicializované paměti. Útočník tak mohl získat cookies, autentizační tokeny, data posílaná přes HTTP POST a další citlivé informace. Jednalo se o chybu v parsování HTML. Zneužitelná byla od 22. září 2016 do 18. února 2017. Seznam webů, kterých se bezpečnostní problém potenciálně týká na GitHubu.

Ladislav Hagara | Komentářů: 1
dnes 08:22 | Nová verze

Byla vydána první beta verze Ubuntu 17.04 s kódovým názvem Zesty Zapus. Ke stažení jsou obrazy Kubuntu, Lubuntu, Ubuntu Budgie, Ubuntu GNOME, Ubuntu Kylin, Ubuntu Studio a Xubuntu. Dle plánu by Ubuntu 17.04 mělo vyjít 13. dubna 2017.

Ladislav Hagara | Komentářů: 7
včera 17:53 | Bezpečnostní upozornění

Google na svém blogu věnovaném počítačové bezpečnost informuje o nalezení "reálného" způsobu generování kolizí hašovací funkce SHA-1. Podrobnosti a zdrojové kódy budou zveřejněny do 90 dnů. Již dnes lze ale na stránce SHAttered nalézt 2 pdf soubory, jejichž obsah se liší a SHA-1 otisk je stejný (infografika).

Ladislav Hagara | Komentářů: 23
včera 17:51 | Nová verze

Vyšla nová verzia open source software na správu a automatizáciu cloudových datacentier Danube Cloud 2.4. Danube Cloud je riešenie postavené na SmartOS, ZFS, KVM a zónach. Obsahuje vlastnosti ako integrovaný monitoring, DNS manažment, zálohy, a samozrejme rozsiahlu dokumentáciu.

dano | Komentářů: 6
včera 17:46 | Pozvánky

V Plzni se 3. až 5. března 2017 uskuteční AIMTEChackathon. Je to akce pro vývojáře, grafiky, webdesignéry i veřejnost. Akci provází zajímavé přednášky IT odborníků. Více o programu a možnosti přihlášení na stránkách akce.

cuba | Komentářů: 0
včera 01:00 | Nová verze

Známý šifrovaný komunikátor Signal od verze 3.30.0 již nevyžaduje Google Play Services. Autoři tak po letech vyslyšeli volání komunity, která dala vzniknout Google-free forku LibreSignal (dnes již neudržovaný). Oficiální binárky jsou stále distribuované pouze přes Google Play, ale lze použít neoficiální F-Droid repozitář fdroid.eutopia.cz s nezávislými buildy Signalu nebo oficiální binárku stáhnout z Google Play i bez Google účtu

… více »
xm | Komentářů: 7
22.2. 23:14 | Nová verze

Po třech týdnech od vydání první RC verze byla vydána první stabilní verze 17.01.0 linuxové distribuce pro routery a vestavěné systémy LEDE (Linux Embedded Development Environment), forku linuxové distribuce OpenWrt. Přehled novinek v poznámkách k vydání. Dotazy v diskusním fóru.

Ladislav Hagara | Komentářů: 7
22.2. 17:28 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostní chybě CVE-2017-6074 v Linuxu zneužitelné k lokální eskalaci práv. Jde o chybu v podpoře DCCP (Datagram Congestion Control Protocol). Do linuxového jádra se dostala v říjnu 2005. V upstreamu byla opravena 17. února (commit). Bezpečnostní chyba byla nalezena pomocí nástroje syzkaller [Hacker News].

Ladislav Hagara | Komentářů: 16
22.2. 15:00 | Zajímavý software

Společnost Valve vydala novou beta verzi SteamVR. Z novinek lze zdůraznit oficiální podporu Linuxu. Další informace o podpoře této platformy pro vývoj virtuální reality v Linuxu v diskusním fóru. Hlášení chyb na GitHubu.

Ladislav Hagara | Komentářů: 0
22.2. 06:00 | Nová verze

Po necelém roce od vydání verze 0.67 byla vydána verze 0.68 populárního telnet a ssh klienta PuTTY. Podrobnosti v přehledu změn. Řešeny jsou také bezpečnostní chyby.

Ladislav Hagara | Komentářů: 0
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (13%)
 (2%)
 (72%)
 (3%)
 (10%)
Celkem 703 hlasů
 Komentářů: 66, poslední 22.2. 18:57
    Rozcestník

    Dotaz: Oprava DNS záznamů

    9.6.2016 11:42 Milan Dobeš | skóre: 22
    Oprava DNS záznamů
    Přečteno: 556×
    Ahoj, potřeboval bych pomoci s opravou DNS záznamů několika domén. Máme potíž s doručováním mailů, některé se ztrácejí a jeden významný zákazník mi poslal protokol z mxtoolbox.com, ve kterém jsou dvě chyby a dvě varování.

    Stávající situace je taková, že pro domena1.cz mám od O2 (iProvider) nastavený reverzní záznam a hlavní ve firmě používaná doména je domena2.cz. Vše je na jedné veřejné IP adrese.

    Nyní ty chyby:

    kategorie http: domena2.cz: The underlying connection was closed: The connection was closed unexpectedly. (http://domena2.cz)

    Zde asi vím, záznam bez www má jinou (špatnou) IP adresu, než záznam s www.

    kategorie dmarc: domena2.cz: Missing or Invalid Record

    Tady jsem úplně mimo, mám na doméně nastavené SPF i DKIM, ale tady vůbec nevím jak na to. Potřeboval bych záznam nastavit co nejpropustněji, aby byl přijemce co nejtolerantnější.

    Nyní ty varování:

    kategorie: smtp: jmeno.domena2.cz: Reverse DNS does not match SMTP Banner

    Také jsem mimo, asi to nebude mít nic společného s reverzním záznamem k IP adrese.

    kategorie: smtp: jmeno.domena2.cz: Warning - Does not support TLS.

    Také to samé. Nevím o co se jedná.

    Poradíte mi prosím, ředitel mi sedí za krkem :-)


    Řešení dotazu:


    Odpovědi

    9.6.2016 11:53 NN
    Rozbalit Rozbalit vše Re: Oprava DNS záznamů
    Ja bych jako uplnou fatalitu videl to posledni. Imho kazda hlaska hovori sama za sebe. Vezmi to postupne zjisti si co to znamena a jak to opravit.
    9.6.2016 11:58 Milan Dobeš | skóre: 22
    Rozbalit Rozbalit vše Re: Oprava DNS záznamů
    No super, fakt dík. Moc jsi mi pomohl. Zatím mám opravený tu první chybu. Kdybys poradil alespoň s tím dmarc.
    9.6.2016 12:14 NN
    Rozbalit Rozbalit vše Re: Oprava DNS záznamů
    DMARC je to popsane do detailu..
    MMMMMMMMM avatar 9.6.2016 12:16 MMMMMMMMM | skóre: 41 | blog: unstable | Valašsko :-)
    Rozbalit Rozbalit vše Re: Oprava DNS záznamů

    DMARC ani TLS není to nejdůležitější. TLS doporučuju zprovoznit v každém případě. IMHO nejdůležitější je korektní PTR záznam, vyhovující SMTP banner, to je naprostý základ.

    Pěkný článek o DMARC - https://www.skelleton.net/2015/03/21/how-to-eliminate-spam-and-protect-your-name-with-dmarc/
    Nástroje k otestování - https://socl.cz/online-nastroje-na-otestovani-postovniho-serveru

    9.6.2016 12:30 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: Oprava DNS záznamů

    Tak TLS je nezbytnost, jinak to není mail server, ale hračka pro děti. Takže tím bych začal. Já používám certifikáty od autority StartCom, ale alternativ je spousta. (Na vnitřní síti a IPSec sítích s předem známými klienty mám taky vlastní autoritu, která mi ušetří jednání s veřejnou autoritou, která navíc rozhodně nepodepíše fiktivní TLD a další výdobytky — vyžaduje standardní DNS záznamy.

    S provozem serveru bez TLS se dnes už zkrátka nepočítá. Některé freemaily dokonce už zobrazují velká červená varování, když ukazují maily doručené bez TLS, jako že mohly být někde cestou pozměněné nebo přečtené neoprávněnou třetí stranou.

    Aby DKIM, SPF a DMARC dával vůbec aspoň náznakem smysl, je třeba mít DNSSEC. To je asi jasné. Jakmile funguje DNSSEC, pak je ještě vhodné všechna navazující nastavení (DKIM, DomainKeys, SPF, DMARC) prověřit pomocí různých online validátorů a odstranit případné nedostatky.

    Se zpětným mapováním v DNS je to prostě tak, že je leckdy potřeba mít víc PTR záznamů. Takže mám-li mx.domena1.org AAAA abcd::ef00 a taktéž mx.domena2.org AAAA abcd::ef00, pak musím mít příslušné 0.0.f.e…d.c.b.a PTR mx.domena1.org a totéž pro mx.domena2.org, aby SMTP protistrana vždy našla příslušné zpětné mapování. Hledá ho podle toho, jak se server přes SMTP představí (za EHLO a případně ještě implicitně na dalších místech protokolu).

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    9.6.2016 14:30 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Oprava DNS záznamů
    Především by to chtělo najít si někoho, kdo se vám o poštovní server a DNS bude starat, protože zrovna poštovní server nejde spravovat způsobem „nerozumím tomu, nastavím něco, co mi poradili v diskusi“.

    Ty popsané chyby a varování jsou taková směska, která sama o sobě nic moc neznamená.

    První – http://domena2.cz – to s e-maily vůbec nijak nesouvisí, pro řešení problémů s e-maily to můžete klidně ignorovat.

    Druhé – DMARC. DMARC je jakási nadstavba nad SPF a DKIM, která říká, co se pro danou doménu používá, jak to má být hodnoceno, jaké množství e-mailů vyhodnocovat a kam se mají posílat chyby. Ty poslední dvě části jsou nejdůležitější – umožňují nasazovat politiku postupně. Řeknete, že se má vyhodnocovat třeba 10 % e-mailů a že vám má být poslán protokol s výsledkem. Přijímající server pak vyhodnotí jen uvedených 10 % e-mailů (a zbytek propustí, jako by tam DMARC nebyl), a pošle vám o tom zprávu, ze které můžete zjistit, že třeba odmítl některé e-maily, které by projít měly. Vy pak můžete konfiguraci politiky upravit (a nebo zajistit, aby e-maily byly odesílány správnou cestou).

    Co nejtolerantnější bude příjemce tehdy, pokud DKIM, SPF i DMARC vůbec mít nebudete. Akorát to zároveň znamená, že veškerý spam odeslaný jakoby z vaší domény projde příslušnými filtry příjemce a dostane se až k rozpoznávání dle obsahu – takže vaše doména bude náchylná k tomu, aby byla vyhodnocována jako spam.

    Třetí – reverse DNS a SMTP Banner. Poštovní klient by měl v hlavičce odesílat jméno serveru, které by mělo po překladu přes DNS vést zpět na tento server. A zároveň by k IP adrese serveru měl existovat reverzní DNS záznam (odkazující na jméno), a překlad toho jména by měl vést opět na stejnou IP adresu. Některé poštovní servery některé z těch názvů porovnávají – nejjednodušší je, když má server nějaké jméno, tohle jméno se překládá na jeho IP adresu, k IP adrese existuje reverzní záznam, který vede opět na stejné jméno, a tímto jménem se server také představuje při SMTP komunikaci.

    Čtvrté – TLS. Váš server při příjmu e-mailů nepodporuje TLS, nebo-li šifrované spojení. Dnes si můžete nechat od Let'S Encrypt vystavit důvěryhodný certifikát zdarma, příchozí komunikace tak může být šifrována a nikdo nemůže e-maily odposlouchávat na cestě. Doporučuju na šifrování příležitostně přejít, dnes je tlak na šifrování na webu (HTTPS), dá se očekávat, že v budoucnu bude podobný tlak i na šifrování při přenosu e-mailů. Podobně je dobré nastavit, aby váš klient používal šifrované spojení, když komunikuje s jinými servery. Opět to není úplně jednoduché nastavit, je dobré, když se server pokusí odeslat e-mail nešifrovaným spojením, když šifrované selže, na druhou stranu to je přesně způsob, kterým bude někdo útočit – bude se snažit přesvědčit váš server, že šifrované spojení s cílovým serverem není možné.
    9.6.2016 15:42 Milan Dobeš | skóre: 22
    Rozbalit Rozbalit vše Re: Oprava DNS záznamů
    Moc děkuji za Vaši odpověď, problém mě skutečně trápí.

    S prvním Vaším odstavcem nelze než souhlasit, bohužel problém musím nějak kloudně vyřešit, pokud možno dnes.

    První - vyřešeno.

    Čtvrté - pravděpodobně vyřešeno, v LOGu se objevují řádky se STARTTLS server i client a Verify=OK.

    Třetí - s tím je největší potíž. Používám sendmail a pokud vím, jméno které odesílá ve hlavičce je jméno serveru a nelze je nijak nastavit. Navíc jméno je z domena2 a reverzní záznam veřejné IP adresy je z domena1. A ještě k tomu jsou kvůli spolehlivosti severy dva v Heartbeat clusteru a pouze jeden aktuálně dělá poštovní server (a samozřejmě se nejmenují stejně).

    Druhé - SPF a DKIM mi nějakou dobu pracují, o dmarc vím ode dneška, pomohl by mi příklad nastavení DNS záznamu s nějakým malým komentářem.

    Ještě jednou děkuji
    Řešení 1× (Milan Dobeš (tazatel))
    9.6.2016 16:45 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Oprava DNS záznamů
    To, že jsou servery v clusteru, nevadí – v tomto případě vystupují v roli klienta. Každý komunikuje ze své IP adresy, daná IP adresa by měla mít alespoň jeden reverzní záznam, dané jméno by mělo vést zpět na danou IP adresu a to jméno by mělo být použité i v poštovním klientovi. Nerozumím tomu, proč je ve vašem případě jméno serveru jiné než reverzní záznam veřejné IP adresy – to je přesně to, proč některé servery tohle kontrolují, protože ve „standardní“ konfiguraci se tahle jména shodují.

    Ale našel jsem na internetu několik příkladů, které obsahují následující řádek:
    define(`confHELO_NAME', `servername.example.com')dnl
    Takže i sendmail by měl umět změnit jméno, kterým se představuje.

    Nějaké příklady konfigurace DMARC má třeba Google: https://support.google.com/a/answer/2466580?hl=en nebo Add a DMARC record.
    9.6.2016 17:33 Milan Dobeš | skóre: 22
    Rozbalit Rozbalit vše Re: Oprava DNS záznamů
    Díky moc, už je mi to celkem jasné, detailní popis DMARC záznamu jsem našel na root.cz. K těm IP adresám, servery jsou na lokální síti s vlastním DNS serverem a ven komunikují přes firewall. Reverzní záznam veřejné IP adresy je z historických důvodů na první doménu. Dnes je domén několik a na všechny (a ze všech) chodí pošta.

    Díky za tu konfiguraci sendmailu, tu určitě použiji a dám tak do pořádku alespoň jméno, kterým se sendmail představuje se jménem v DNS. Reverzní záznam k veřejné IP adrese asi nechám nastavit pro nejpoužívanější doménu.

    Ještě jednou díky za cenné rady!

    Řešení 1× (Milan Dobeš (tazatel))
    9.6.2016 19:28 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Oprava DNS záznamů
    Nezáleží na tom, v jaké doméně je ten reverzní záznam (ono by tedy nemělo záležet ani na tom reverzním záznamu, ale jsou servery, kterým na tom záleží). Důležité je, aby ten reverzní záznam byl stejný jako to, jak se hlásí sendmail při odesílání, a aby dopředný překlad vedl zase na tu stejnou IP adresu. Takže ten reverzní záznam klidně můžete nechat, akorát změňte jméno sendmailu.
    Řešení 1× (Milan Dobeš (tazatel))
    10.6.2016 11:06 izidor
    Rozbalit Rozbalit vše Re: Oprava DNS záznamů
    jeste bych doplnil, ze na diagnostiku problemu se docela hodi napriklad MxToolbox Investigator.

    Do MX zaznamu vsech domena uvest mail.domena1.cz, A zaznam pro mail.domena1.cz verejna IP adresa, k verejne IP adrese PTR zaznam mail.domena1.cz a v konfiguraci sendmailu uvest to jmeno, kterym se ma server predstavovat.
    10.6.2016 14:29 Milan Dobeš | skóre: 22
    Rozbalit Rozbalit vše Re: Oprava DNS záznamů
    ok, moc děkuji za upřesnění, dnes to již funguje jak má, nicméně ty DNS dle Vašeho návodu určitě nastavím.
    10.6.2016 15:24 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Oprava DNS záznamů
    Já bych jen upřesnil, že upřesnění klasický míchá dohromady klienta a server. On se ten program/služba obvykle nazývá „poštovní server“, ale ve skutečnosti vystupuje ve dvou rolích – když e-maily přijímá, je to server, když je odesílá, je to klient (a jsou možné i takové konfigurace, že dělá jenom jedno z toho).

    MX záznamy vedou na váš server, a je celkem jedno, jak je pojmenovaný. Takže není problém mít MX záznamy pro 5 domén, které povedou na 5 různých názvů serveru, a ty se všechny přeloží na jednu IP adresu (např. můžete mít server mail.example.com pro doménu example.com, mail.example.net pro example.net a mail2.example.com pro doménu example.org). Na reverzních adresách v tomto případě nezáleží, stejně jako nezáleží na tom, jak se server představuje (a už vůbec nezáleží na tom, jak se představuje klient běžící na stejné IP adrese) – každý je rád, že se může nějakého e-mailu zbavit a předat jej k doručení někomu jinému, takže když váš server e-mail přijme, je odesílající klient spokojený, a nebude zkoumat nějaké reverzní záznamy a názvy.

    Pojmenování je důležité, když váš poštovní server vystupuje v roli klienta – protože některé servery podle toho pojmenování „rozpoznávají“ spammery. Tam je důležité, aby jméno, kterým se představuje váš server (v roli klienta) bylo stejné, jako jméno, na které se přeloží (pomocí reverzního záznamu) IP adresa, pod kterou se klient připojuje. Úvaha „antispammerů“ je asi takováhle – legitimní poštovní server má stálé jméno a jeho správce ho zná, takže ho poštovnímu serveru nakonfiguruje. Spamující napadený počítač je schovaný někde za NATem, takže tam spamovací robot nezná jméno, pod jakým bude vystupovat na internetu – musel by se připojit někam ven, tam zjistit, jakou má vlastně veřejnou IP adresu, tu pak přeložit a teprve pak ji začít používat. A doufat, že příští spojení nepůjde ven přes jinou IP adresu. Dále je potřeba, aby tohle doménové jméno (název serveru a reverzní záznam k IP adrese) vedlo zase na tu původní IP adresu. Tak by to mělo být podle RFC a „antispammeři“ opět předpokládají, že správce legitimního poštovního serveru to nechá nastavit správně, kdežto spamující počítač někde na ADSL to bude mít špatně, protože na to ISP kašle. „Antispammeři“, kteří definitivně přešli na temnou stranu síly, pak dokonce vyhodnocují, jak ten reverzní název vypadá, a pokud se jim zdá, že je automaticky generovaný, dají danou IP adresu rovnou na blacklist (a požadují výkupné za její odstranění).

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.