Přihlášení | Registrace

napište » Zprávičky

dnes 16:33 | IT novinky

Společnost Framework Computer představila (YouTube) nový výkonnější Framework Laptop 16. Rozhodnou se lze například pro procesor Ryzen AI 9 HX 370 a grafickou kartu NVIDIA GeForce RTX 5070.

Ladislav Hagara | Komentářů: 0

Google bude vyžadovat ověření identity vývojářů aplikací pro Android

dnes 14:22 | IT novinky

Google oznamuje, že na „certifikovaných“ zařízeních s Androidech omezí instalaci aplikací (včetně „sideloadingu“) tak, že bude vyžadovat, aby aplikace byly podepsány centrálně registrovanými vývojáři s ověřenou identitou. Tato politika bude implementována během roku 2026 ve vybraných zemích (jihovýchodní Asie, Brazílie) a od roku 2027 celosvětově.

Fluttershy, yay! | Komentářů: 0

LLVM 21.1.0

dnes 13:11 | Nová verze

Byla vydána nová verze 21.1.0, tj. první stabilní verze z nové řady 21.1.x, překladačové infrastruktury LLVM (Wikipedie). Přehled novinek v poznámkách k vydání: LLVM, Clang, LLD, Extra Clang Tools a Libc++.

Ladislav Hagara | Komentářů: 0

Alyssa Anne Rosenzweig opustila Asahi Linux a nastoupila do Intelu

dnes 05:11 | Komunita

Alyssa Anne Rosenzweig v příspěvku na svém blogu oznámila, že opustila Asahi Linux a nastoupila do Intelu. Místo Apple M1 a M2 se bude věnovat architektuře Intel Xe-HPG.

Ladislav Hagara | Komentářů: 39

EU chce (pořád) skenovat soukromé zprávy a fotografie

včera 12:55 | IT novinky

EU chce (pořád) skenovat soukromé zprávy a fotografie. Návrh "Chat Control" by nařídil skenování všech soukromých digitálních komunikací, včetně šifrovaných zpráv a fotografií.

Ladislav Hagara | Komentářů: 43

Videozáznamy z konference PyCon US 2025

včera 12:11 | Nová verze

Byly publikovány fotografie a všechny videozáznamy z Python konference PyCon US 2025 proběhlé v květnu.

Ladislav Hagara | Komentářů: 0

Muskovy firmy žalují Apple a OpenAI kvůli údajnému potlačování konkurence

včera 11:55 | IT novinky

Společnost xAI a sociální síť X amerického miliardáře Elona Muska zažalovaly firmy Apple a OpenAI. Viní je z nezákonné konspirace s cílem potlačit konkurenci v oblasti umělé inteligence (AI).

Ladislav Hagara | Komentářů: 3

DietPi 9.16

včera 05:44 | Nová verze

Byla vydána nová verze 9.16 z Debianu vycházející linuxové distribuce DietPi pro (nejenom) jednodeskové počítače. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Trump: Po převzetí podílu v Intelu se vláda zaměří na další podobné transakce

včera 01:33 | IT novinky

Americká vláda se po převzetí zhruba desetiprocentního podílu ve výrobci čipů Intel chystá na další investice do vybraných firem. Na sociální síti Truth Social to napsal prezident Donald Trump. Jeho ekonomický poradce Kevin Hassett v rozhovoru v televizi CNBC řekl, že nemusí jít pouze o firmy z technologického sektoru, ale i z jiných odvětví.

Ladislav Hagara | Komentářů: 15

Open Source Summit Europe

25.8. 13:55 | Komunita

V Amsterdamu probíhá Open Source Summit Europe. Organizace Linux Foundation představuje novinky. Pod svá křídla převzala open source dokumentovou databázi DocumentDB.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Pro otevření více webových stránek ve webovém prohlížečí používám

Taby (78%)

Panely (8%)

Záložky (3%)

Listy (4%)

Něco jiného (5%)

Nic (1%)

Celkem 92 hlasů

Komentářů: 8, poslední včera 08:38

Rozcestník

AbcLinuxu

HDmag.cz

Administrace komentářů

Jste na stránce určené pro řešení chyb a problémů týkajících se diskusí a komentářů. Můžete zde našim administrátorům reportovat špatně zařazenou či duplicitní diskusi, vulgární či osočující příspěvek a podobně. Děkujeme vám za vaši pomoc, více očí více vidí, společně můžeme udržet vysokou kvalitu AbcLinuxu.cz.

Příspěvek

25.3.2022 05:40 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: firemni mail server, certifikat a vpn...

Open„VPN“ není VPN. Je to ubohá jednovláknová dětská hračka v userspace, která nikdy pořádně nefunguje a přináší všeho všudy „výběr“ problémů, které skutečná VPN už asi 20 let nemá. Open„VPN“ byla technologie poplatná 90. letům, kdy podstatná většina operačních systémů neměla nativní podporu pro VPN. Dnes ji všechny operační systémy mají, jmenuje se IPSec. Open„VPN“ nedává ani náznakem smysl.

Co je to 192.168.1.1? To byla taková ta telefonní čísla ze 70. let, která měla sloužit jako jakési primitivní internetové adresy? (A která byla v konfliktu s milióny jiných, protože tam existovaly „neveřejné“ rozsahy a podobné kraviny?) To už se dnes nepoužívá. Vně VPN samozřejmě může být podpora pro IPv4, kdyby náhodou někdo z připojovaných kolegů skončil na zaostalé síti bez podpory skutečného Internetu (IPv6). Nicméně uvnitř VPN má být vždy jen a pouze IPv6, samozřejmě s veřejnými adresami — jakými jinými. Pak není třeba tolik řešit, kterou adresu má vracet DNS.

Pokud je cílem povinný přístup k mailovým schránkám skrz VPN, IPSec dokáže zařídit přesně to, co je potřeba: routovat do vybraných rozsahů adres (veřejných, samozřejmě!) pouze skrz šifrovaný tunel a nikoliv přímo skrz veřejný Internet. Router tedy může být nastavený tak, aby do příslušného (veřejného!) rozsahu, ve kterém je mail server, pustil provoz jedině skrz IPSec, zatímco skrz veřejný Internet se tam doroutovat nedá.

VPN (tedy IPSec) každopádně není náhradou za zabezpečení serveru samotného. Samotný server musí nutně mít veřejně platný certifikát (od toho je LetsEncrypt!) plus k tomu DNSSEC+DANE+TLSA, povinně šifrovaná spojení a ideálně taky autentifikaci klientskými certifikáty (což Thunderbird umí, tak proč toho nevyužít?), aby například lámání „hesel“ nebylo myslitelné. Nedává žádný smysl schovávat polovičatě nastavený mail server do VPN (tedy IPSec) a myslet si, že se tím cosi vyřeší. Bezpečnost je jako cibule a má mít mnoho slupek, nemá nikdy spoléhat na jedinou slupku a/nebo ukrývat prohnilou slupku do méně prohnilé.

Jak tak čtu celé líčení o šílené amatérské pseudosprávě sítě: Nebylo by mnohem lepší se na to vybodnout a zaplatit si u některého z poskytovatelů cloudových služeb taky mailové služby na vlastní doméně? Tím by všechny zmíněné nesmyslné problémy (zjevně způsobené neznalostí někoho, kdo se na správu systémů nespecializuje a snaží se cosi bastlit hlava nehlava) jedním rázem zmizely.

Má ten mail server v pořádku DKIM? Má v pořádku TLSA/DANE a DNSSEC celkově? Rotace všech klíčů (DKIM, DNSSEC, TLS pro spojení) je automatická? Jakpak je na tom s ADSP a DMARC? Dostane v testu internet.nl (dnes už v podstatě povinných) 100%? Pokud je na něco z toho odpověď ne, doporučuji vybodnout se na to a objednat mailové služby od někoho, kdo se takovými službami zabývá profesionálně.

POP3 je nesmysl z 90. let. Už 20 let se používá IMAP, pokud jde o přístup k mailu, protože ve srovnání s POP3 má až příliš mnoho výhod.

V tomto formuláři můžete formulovat svou stížnost ohledně příspěvku. Nejprve vyberte typ akce, kterou navrhujete provést s diskusí či příspěvkem. Potom do textového pole napište důvody, proč by měli admini provést vaši žádost, problém nemusí být patrný na první pohled. Odkaz na příspěvek bude přidán automaticky.

Offtopic diskuse použijte pro diskusi mimo záběr našeho portálu (včelařství, windows), která by měla být smazána.
Duplicitní diskuse je určena pro případ, kdy uživatel odeslal svůj dotaz několikrát.
Návrh na cenzuru použijte, pokud komentář obsahuje urážky, vulgarismy nebo porušuje zákony.
Návrh na smazání komentáře je velmi neobvyklá akce používaná obvykle při nepovolené reklamě či spamu, výkřicích psychicky nemocných jedinců (ještírci) nebo pro smazání duplikátních komentářů.
Oprava formátování je žádost pro úpravu formy příspěvku, například pokud někdo píše bez odstavců nebo použije PRE pro celý komentář. Žádosti o změnu obsahu budou zamítnuty.

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje

Vaše jméno
Váš email
Typ požadavku

Slovní popis