abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 13:30 | Zajímavý software

Byly uvolněny zdrojové kódy známé rogue-like hry DoomRL. Počátky hry jsou v roce 2002. Je napsána ve FreePascalu a zdrojový kód je nyní k dispozici na GitHubu pod licencí GNU GPL 2.0. Autor pracuje na nové hře Jupiter Hell, která je moderním nástupcem DoomRL a na jejíž vývoj shání peníze prostřednictvím Kickstarteru.

Blaazen | Komentářů: 0
dnes 13:15 | Pozvánky

Přijďte s námi oslavit vydání Fedory 25. Na programu budou přednášky o novinkách, diskuse, neřízený networking atd. Release Party se bude konat 16. prosince v prostorách společnosti Etnetera. Na party budou volně k dispozici také propagační materiály, nová DVD s Fedorou 25 a samozřejmě občerstvení. Přednášky budou probíhat v češtině. Pro více informací se můžete podívat na web MojeFedora.cz. Jen připomínám, že tentokrát jsme zavedli

… více »
frantisekz | Komentářů: 0
včera 16:38 | Komunita

Byly zveřejněny videozáznamy přednášek a workshopů z letošní konference OpenAlt konané 5. a 6. listopadu v Brně. K videozáznamům lze přistupovat ze stránky na SuperLectures nebo přes program konference, detaily o vybrané přednášce nebo workshopu a dále kliknutím na ikonku filmového pásu. Celkově bylo zpracováno 65 hodin z 89 přednášek a workshopů.

Ladislav Hagara | Komentářů: 0
včera 11:30 | Komunita

Bylo oznámeno, že bude proveden bezpečnostní audit zdrojových kódů open source softwaru pro implementaci virtuálních privátních sítí OpenVPN. Audit provede Matthew D. Green (blog), uznávaný kryptolog a profesor na Univerzitě Johnse Hopkinse. Auditována bude verze 2.4 (aktuálně RC 1, stabilní verze je 2.3.14). Audit bude financován společností Private Internet Access [reddit].

Ladislav Hagara | Komentářů: 4
včera 06:00 | Komunita

Na YouTube byl publikován Blender Institute Reel 2016, ani ne dvouminutový sestřih z filmů, které vznikly za posledních 10 let díky Blender Institutu. V institutu aktuálně pracují na novém filmu Agent 327. Dění kolem filmu lze sledovat na Blender Cloudu. Videoukázka Agenta 327 z června letošního roku na YouTube.

Ladislav Hagara | Komentářů: 0
včera 01:02 | Zajímavý článek

Minulý týden byly vydány verze 1.2.3 a 1.1.7 webového poštovního klienta Roundcube. V oznámení o vydání bylo zmíněno řešení bezpečnostního problému nalezeného společností RIPS a souvisejícího s voláním funkce mail() v PHP. Tento týden byly zveřejněny podrobnosti. Útočník mohl pomocí speciálně připraveného emailu spustit na serveru libovolný příkaz. Stejně, jak je popsáno v článku Exploit PHP’s mail() to get remote code execution z roku 2014.

Ladislav Hagara | Komentářů: 1
8.12. 16:00 | Nová verze

Byla vydána verze 0.98 svobodného nelineárního video editoru Pitivi. Z novinek lze zmínit například přizpůsobitelné klávesové zkratky. Videoukázka práce s nejnovější verzí Pitivi na YouTube.

Ladislav Hagara | Komentářů: 1
8.12. 15:00 | Zajímavý software

Stop motion je technika animace, při níž je reálný objekt mezi jednotlivými snímky ručně upravován a posouván o malé úseky, tak aby po spojení vyvolala animace dojem spojitosti. Jaký software lze pro stop motion použít na Linuxu? Článek na OMG! Ubuntu! představuje Heron Animation. Ten bohužel podporuje pouze webové kamery. Podpora digitálních zrcadlovek je začleněna například v programu qStopMotion.

Ladislav Hagara | Komentářů: 5
7.12. 21:21 | Nová verze Ladislav Hagara | Komentářů: 0
7.12. 11:44 | Zajímavý projekt

Na Indiegogo byla spuštěna kampaň na podporu herní mini konzole a multimediálního centra RetroEngine Sigma od Doyodo. Předobjednat ji lze již od 49 dolarů. Požadovaná částka 20 000 dolarů byla překonána již 6 krát. Majitelé mini konzole si budou moci zahrát hry pro Atari VCS 2600, Sega Genesis nebo NES. Předinstalováno bude multimediální centrum Kodi.

Ladislav Hagara | Komentářů: 2
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 808 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Oprava DNS záznamů

9.6. 11:42 Milan Dobeš | skóre: 22
Oprava DNS záznamů
Přečteno: 521×
Ahoj, potřeboval bych pomoci s opravou DNS záznamů několika domén. Máme potíž s doručováním mailů, některé se ztrácejí a jeden významný zákazník mi poslal protokol z mxtoolbox.com, ve kterém jsou dvě chyby a dvě varování.

Stávající situace je taková, že pro domena1.cz mám od O2 (iProvider) nastavený reverzní záznam a hlavní ve firmě používaná doména je domena2.cz. Vše je na jedné veřejné IP adrese.

Nyní ty chyby:

kategorie http: domena2.cz: The underlying connection was closed: The connection was closed unexpectedly. (http://domena2.cz)

Zde asi vím, záznam bez www má jinou (špatnou) IP adresu, než záznam s www.

kategorie dmarc: domena2.cz: Missing or Invalid Record

Tady jsem úplně mimo, mám na doméně nastavené SPF i DKIM, ale tady vůbec nevím jak na to. Potřeboval bych záznam nastavit co nejpropustněji, aby byl přijemce co nejtolerantnější.

Nyní ty varování:

kategorie: smtp: jmeno.domena2.cz: Reverse DNS does not match SMTP Banner

Také jsem mimo, asi to nebude mít nic společného s reverzním záznamem k IP adrese.

kategorie: smtp: jmeno.domena2.cz: Warning - Does not support TLS.

Také to samé. Nevím o co se jedná.

Poradíte mi prosím, ředitel mi sedí za krkem :-)


Řešení dotazu:


Odpovědi

9.6. 11:53 NN
Rozbalit Rozbalit vše Re: Oprava DNS záznamů
Ja bych jako uplnou fatalitu videl to posledni. Imho kazda hlaska hovori sama za sebe. Vezmi to postupne zjisti si co to znamena a jak to opravit.
9.6. 11:58 Milan Dobeš | skóre: 22
Rozbalit Rozbalit vše Re: Oprava DNS záznamů
No super, fakt dík. Moc jsi mi pomohl. Zatím mám opravený tu první chybu. Kdybys poradil alespoň s tím dmarc.
9.6. 12:14 NN
Rozbalit Rozbalit vše Re: Oprava DNS záznamů
DMARC je to popsane do detailu..
MMMMMMMMM avatar 9.6. 12:16 MMMMMMMMM | skóre: 41 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: Oprava DNS záznamů

DMARC ani TLS není to nejdůležitější. TLS doporučuju zprovoznit v každém případě. IMHO nejdůležitější je korektní PTR záznam, vyhovující SMTP banner, to je naprostý základ.

Pěkný článek o DMARC - https://www.skelleton.net/2015/03/21/how-to-eliminate-spam-and-protect-your-name-with-dmarc/
Nástroje k otestování - https://socl.cz/online-nastroje-na-otestovani-postovniho-serveru

9.6. 12:30 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: Oprava DNS záznamů

Tak TLS je nezbytnost, jinak to není mail server, ale hračka pro děti. Takže tím bych začal. Já používám certifikáty od autority StartCom, ale alternativ je spousta. (Na vnitřní síti a IPSec sítích s předem známými klienty mám taky vlastní autoritu, která mi ušetří jednání s veřejnou autoritou, která navíc rozhodně nepodepíše fiktivní TLD a další výdobytky — vyžaduje standardní DNS záznamy.

S provozem serveru bez TLS se dnes už zkrátka nepočítá. Některé freemaily dokonce už zobrazují velká červená varování, když ukazují maily doručené bez TLS, jako že mohly být někde cestou pozměněné nebo přečtené neoprávněnou třetí stranou.

Aby DKIM, SPF a DMARC dával vůbec aspoň náznakem smysl, je třeba mít DNSSEC. To je asi jasné. Jakmile funguje DNSSEC, pak je ještě vhodné všechna navazující nastavení (DKIM, DomainKeys, SPF, DMARC) prověřit pomocí různých online validátorů a odstranit případné nedostatky.

Se zpětným mapováním v DNS je to prostě tak, že je leckdy potřeba mít víc PTR záznamů. Takže mám-li mx.domena1.org AAAA abcd::ef00 a taktéž mx.domena2.org AAAA abcd::ef00, pak musím mít příslušné 0.0.f.e…d.c.b.a PTR mx.domena1.org a totéž pro mx.domena2.org, aby SMTP protistrana vždy našla příslušné zpětné mapování. Hledá ho podle toho, jak se server přes SMTP představí (za EHLO a případně ještě implicitně na dalších místech protokolu).

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
9.6. 14:30 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Oprava DNS záznamů
Především by to chtělo najít si někoho, kdo se vám o poštovní server a DNS bude starat, protože zrovna poštovní server nejde spravovat způsobem „nerozumím tomu, nastavím něco, co mi poradili v diskusi“.

Ty popsané chyby a varování jsou taková směska, která sama o sobě nic moc neznamená.

První – http://domena2.cz – to s e-maily vůbec nijak nesouvisí, pro řešení problémů s e-maily to můžete klidně ignorovat.

Druhé – DMARC. DMARC je jakási nadstavba nad SPF a DKIM, která říká, co se pro danou doménu používá, jak to má být hodnoceno, jaké množství e-mailů vyhodnocovat a kam se mají posílat chyby. Ty poslední dvě části jsou nejdůležitější – umožňují nasazovat politiku postupně. Řeknete, že se má vyhodnocovat třeba 10 % e-mailů a že vám má být poslán protokol s výsledkem. Přijímající server pak vyhodnotí jen uvedených 10 % e-mailů (a zbytek propustí, jako by tam DMARC nebyl), a pošle vám o tom zprávu, ze které můžete zjistit, že třeba odmítl některé e-maily, které by projít měly. Vy pak můžete konfiguraci politiky upravit (a nebo zajistit, aby e-maily byly odesílány správnou cestou).

Co nejtolerantnější bude příjemce tehdy, pokud DKIM, SPF i DMARC vůbec mít nebudete. Akorát to zároveň znamená, že veškerý spam odeslaný jakoby z vaší domény projde příslušnými filtry příjemce a dostane se až k rozpoznávání dle obsahu – takže vaše doména bude náchylná k tomu, aby byla vyhodnocována jako spam.

Třetí – reverse DNS a SMTP Banner. Poštovní klient by měl v hlavičce odesílat jméno serveru, které by mělo po překladu přes DNS vést zpět na tento server. A zároveň by k IP adrese serveru měl existovat reverzní DNS záznam (odkazující na jméno), a překlad toho jména by měl vést opět na stejnou IP adresu. Některé poštovní servery některé z těch názvů porovnávají – nejjednodušší je, když má server nějaké jméno, tohle jméno se překládá na jeho IP adresu, k IP adrese existuje reverzní záznam, který vede opět na stejné jméno, a tímto jménem se server také představuje při SMTP komunikaci.

Čtvrté – TLS. Váš server při příjmu e-mailů nepodporuje TLS, nebo-li šifrované spojení. Dnes si můžete nechat od Let'S Encrypt vystavit důvěryhodný certifikát zdarma, příchozí komunikace tak může být šifrována a nikdo nemůže e-maily odposlouchávat na cestě. Doporučuju na šifrování příležitostně přejít, dnes je tlak na šifrování na webu (HTTPS), dá se očekávat, že v budoucnu bude podobný tlak i na šifrování při přenosu e-mailů. Podobně je dobré nastavit, aby váš klient používal šifrované spojení, když komunikuje s jinými servery. Opět to není úplně jednoduché nastavit, je dobré, když se server pokusí odeslat e-mail nešifrovaným spojením, když šifrované selže, na druhou stranu to je přesně způsob, kterým bude někdo útočit – bude se snažit přesvědčit váš server, že šifrované spojení s cílovým serverem není možné.
9.6. 15:42 Milan Dobeš | skóre: 22
Rozbalit Rozbalit vše Re: Oprava DNS záznamů
Moc děkuji za Vaši odpověď, problém mě skutečně trápí.

S prvním Vaším odstavcem nelze než souhlasit, bohužel problém musím nějak kloudně vyřešit, pokud možno dnes.

První - vyřešeno.

Čtvrté - pravděpodobně vyřešeno, v LOGu se objevují řádky se STARTTLS server i client a Verify=OK.

Třetí - s tím je největší potíž. Používám sendmail a pokud vím, jméno které odesílá ve hlavičce je jméno serveru a nelze je nijak nastavit. Navíc jméno je z domena2 a reverzní záznam veřejné IP adresy je z domena1. A ještě k tomu jsou kvůli spolehlivosti severy dva v Heartbeat clusteru a pouze jeden aktuálně dělá poštovní server (a samozřejmě se nejmenují stejně).

Druhé - SPF a DKIM mi nějakou dobu pracují, o dmarc vím ode dneška, pomohl by mi příklad nastavení DNS záznamu s nějakým malým komentářem.

Ještě jednou děkuji
Řešení 1× (Milan Dobeš (tazatel))
9.6. 16:45 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Oprava DNS záznamů
To, že jsou servery v clusteru, nevadí – v tomto případě vystupují v roli klienta. Každý komunikuje ze své IP adresy, daná IP adresa by měla mít alespoň jeden reverzní záznam, dané jméno by mělo vést zpět na danou IP adresu a to jméno by mělo být použité i v poštovním klientovi. Nerozumím tomu, proč je ve vašem případě jméno serveru jiné než reverzní záznam veřejné IP adresy – to je přesně to, proč některé servery tohle kontrolují, protože ve „standardní“ konfiguraci se tahle jména shodují.

Ale našel jsem na internetu několik příkladů, které obsahují následující řádek:
define(`confHELO_NAME', `servername.example.com')dnl
Takže i sendmail by měl umět změnit jméno, kterým se představuje.

Nějaké příklady konfigurace DMARC má třeba Google: https://support.google.com/a/answer/2466580?hl=en nebo Add a DMARC record.
9.6. 17:33 Milan Dobeš | skóre: 22
Rozbalit Rozbalit vše Re: Oprava DNS záznamů
Díky moc, už je mi to celkem jasné, detailní popis DMARC záznamu jsem našel na root.cz. K těm IP adresám, servery jsou na lokální síti s vlastním DNS serverem a ven komunikují přes firewall. Reverzní záznam veřejné IP adresy je z historických důvodů na první doménu. Dnes je domén několik a na všechny (a ze všech) chodí pošta.

Díky za tu konfiguraci sendmailu, tu určitě použiji a dám tak do pořádku alespoň jméno, kterým se sendmail představuje se jménem v DNS. Reverzní záznam k veřejné IP adrese asi nechám nastavit pro nejpoužívanější doménu.

Ještě jednou díky za cenné rady!

Řešení 1× (Milan Dobeš (tazatel))
9.6. 19:28 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Oprava DNS záznamů
Nezáleží na tom, v jaké doméně je ten reverzní záznam (ono by tedy nemělo záležet ani na tom reverzním záznamu, ale jsou servery, kterým na tom záleží). Důležité je, aby ten reverzní záznam byl stejný jako to, jak se hlásí sendmail při odesílání, a aby dopředný překlad vedl zase na tu stejnou IP adresu. Takže ten reverzní záznam klidně můžete nechat, akorát změňte jméno sendmailu.
Řešení 1× (Milan Dobeš (tazatel))
10.6. 11:06 izidor
Rozbalit Rozbalit vše Re: Oprava DNS záznamů
jeste bych doplnil, ze na diagnostiku problemu se docela hodi napriklad MxToolbox Investigator.

Do MX zaznamu vsech domena uvest mail.domena1.cz, A zaznam pro mail.domena1.cz verejna IP adresa, k verejne IP adrese PTR zaznam mail.domena1.cz a v konfiguraci sendmailu uvest to jmeno, kterym se ma server predstavovat.
10.6. 14:29 Milan Dobeš | skóre: 22
Rozbalit Rozbalit vše Re: Oprava DNS záznamů
ok, moc děkuji za upřesnění, dnes to již funguje jak má, nicméně ty DNS dle Vašeho návodu určitě nastavím.
10.6. 15:24 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Oprava DNS záznamů
Já bych jen upřesnil, že upřesnění klasický míchá dohromady klienta a server. On se ten program/služba obvykle nazývá „poštovní server“, ale ve skutečnosti vystupuje ve dvou rolích – když e-maily přijímá, je to server, když je odesílá, je to klient (a jsou možné i takové konfigurace, že dělá jenom jedno z toho).

MX záznamy vedou na váš server, a je celkem jedno, jak je pojmenovaný. Takže není problém mít MX záznamy pro 5 domén, které povedou na 5 různých názvů serveru, a ty se všechny přeloží na jednu IP adresu (např. můžete mít server mail.example.com pro doménu example.com, mail.example.net pro example.net a mail2.example.com pro doménu example.org). Na reverzních adresách v tomto případě nezáleží, stejně jako nezáleží na tom, jak se server představuje (a už vůbec nezáleží na tom, jak se představuje klient běžící na stejné IP adrese) – každý je rád, že se může nějakého e-mailu zbavit a předat jej k doručení někomu jinému, takže když váš server e-mail přijme, je odesílající klient spokojený, a nebude zkoumat nějaké reverzní záznamy a názvy.

Pojmenování je důležité, když váš poštovní server vystupuje v roli klienta – protože některé servery podle toho pojmenování „rozpoznávají“ spammery. Tam je důležité, aby jméno, kterým se představuje váš server (v roli klienta) bylo stejné, jako jméno, na které se přeloží (pomocí reverzního záznamu) IP adresa, pod kterou se klient připojuje. Úvaha „antispammerů“ je asi takováhle – legitimní poštovní server má stálé jméno a jeho správce ho zná, takže ho poštovnímu serveru nakonfiguruje. Spamující napadený počítač je schovaný někde za NATem, takže tam spamovací robot nezná jméno, pod jakým bude vystupovat na internetu – musel by se připojit někam ven, tam zjistit, jakou má vlastně veřejnou IP adresu, tu pak přeložit a teprve pak ji začít používat. A doufat, že příští spojení nepůjde ven přes jinou IP adresu. Dále je potřeba, aby tohle doménové jméno (název serveru a reverzní záznam k IP adrese) vedlo zase na tu původní IP adresu. Tak by to mělo být podle RFC a „antispammeři“ opět předpokládají, že správce legitimního poštovního serveru to nechá nastavit správně, kdežto spamující počítač někde na ADSL to bude mít špatně, protože na to ISP kašle. „Antispammeři“, kteří definitivně přešli na temnou stranu síly, pak dokonce vyhodnocují, jak ten reverzní název vypadá, a pokud se jim zdá, že je automaticky generovaný, dají danou IP adresu rovnou na blacklist (a požadují výkupné za její odstranění).

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.