Portál AbcLinuxu, 25. dubna 2024 16:23
12.7.2016 09:35
| Přečteno: 4651×
| Sítě
|
Jak už se to tak stává, osoba na pozici nejvyššího pana informatika (NPI) se občas vymění. Nový NPI se rozhodl (jistě zcela nezištně) odebrat správu mailového serveru externí firmě (která to dělala za nějaký paušální poplatek) a provozovat maily "vlastními silami" na korporátní úrovni. Takže rozhodl, že se koupí Microsoft Exchange a maily se přemigrují. Představu toho, kolik migrace cca 2000 mailových účtů může tak stát jsem získal z tohoto blogu tady na ABC.
Před vlastní migrací vyšel oběžník, který prostý lid na migraci připravil. Dovoluji si zkráceně citovat několik hlavních myšlenek:
Elektronický poštovní systém je jedním ze základních komunikačních způsobů výměny informací a dat mezi uživateli (...) používán každý den téměř všemi zaměstnanci a je na něm závislý chod .... - no dobrá, NPI neví, že spousta zaměstnanců čte maily víceméně příležitostně. Ale předpoklady jsou asi správné ...
(uživatelé)mají svoji poštu uloženou na linuxovém poštovním systému (Postfix) a přistupuje ke svému poštovnímu účtu z intranetu (e-mail); někteří uživatelé zde mají uloženy také svoje kontakty (...) celkově se jedná o cca 500 GB dat a cca 15 milionů emailů !! - tučný text a dva vykřičníky jsou již v originálu 
Zmigrovaní uživatelé budou moci přistupovat (..) pomocí prohlížeče (...) možností je použití programu MS Outlook 2010,2013 nebo 2016. Pro vybrané uživatele bude (..) přístup pomocí mobilního telefonu. - Podle čeho budou vybírat vyvolené, které "pustí" do mailu po telefonu ?
Po migraci si musí každý (..) sám ověřit funkčnost (..). Vezměte prosím v úvahu, že některá nastavení jsou poměrně komplikovaná a poštovní programy mají poměrně široké možnosti nastavení, proto nemusí být některé problémy vyřešeny okamžitě po telefonu, ale až po nastudování uvedené problematiky.. Nebo-li: vůbec nevíme, jestli vám to bude fungovat a jesliže ne, tak si přečteme manuál ...
(..) že se nám společnými silami podaří provést migraci (..) systém umožní všem uživatelům více využívat jeho možností* a usnadní tak komunikaci (...) úsporu času přinese také přístup z mobilních telefonů** (..) po více než roce snahy o zlepšení poštovního systému v Instituci jsme nyní již blízko cíli a zbývá ten nejdůležitější krok.
Nadešel den D, řadovým poddaným NPI přibylo přesčasové noční práce, telefonátů rozladěných uživatelů i šedin. Až na pár marginálních problémů, jako migrace podsložek některých uživatelů a tak podobně proběhla migrace z pohledu uživatelů celkem hladce a to že se do mailu nepřihlašují přes mail.instituce.cz ale posta.instituce.cz taky nikoho netrápilo, zejména vzhledem k tomu, že se konečně poštovní server začal prokazovat podepsaným a platným certifikátem.
Otevřel jsem krásný poštovní systém ve stylu ribbonu s 7-8 maily na obrazovku běžného rozlišení v Instituci, připravil pytlík pro případ náhlé nevolnosti a začal zkoumat, kde se zapíná přesměrování. Po chvíli zkoumání jsem našel to, co vypadalo jako forward a napsal tam svoji adresu. A ono to nefungovalo. Hmm, tak je to rozbité. Nasal jsem krátký mail zodopovědné osobě a celkem obratem dostal odpověď:
presmerovani/preposilani posty dle nastaveni pres OWA funguje pouze na interni prijemce (resp. tak je to nastaveno nekde v globalni politice) (..) prime rozhodnuti NPI, o pripadne vyjimce by musel rozhodnout on. Omlouvam se za "zhorseni" komfortu oproti predchozimu mail systemu.
Sice jsem nepochopil, proč bylo slovo "zhoršení" dáno do uvozovek, ale informace byla přednána. Jal jsem se tedy zkoumat další možnosti a zjisti, že systém umí přeposílat maily na mobil. To by nakonec mohlo i stačit (i když filtrování spamu v příchozích SMSkách zatím nemám implementované). Microsoft nezklamal a ve výchozím nastavení vedle možnosti posílat zprávy na SIM operátorů USA a Kanady je i pužitelnější varianta pro evropana. Bohužel Simku od Orange Rumania nemám, takže tudy cesta také nevede. Sedl jsem tedy a sepsal žádost o forward, nechal si ji podepsat nadřízeným a vydal se za NPI.
Laskavý NPI žádost přijal, řekl mi, že nejsem jediný co by to chtěl, ale že je to bezpečnostní riziko, protože by se mohly supertajné maily Instituce (a ne, nepatříme pod ministerstvo vnitra !) mohly dostat do nepovolaných rukou, kdyby se posílaly na seznam.cz či gmail (historicky jsem měl maily předchozích cca 9 let přesměrované na seznam). To, že chci forward na vlastní server nebyl argument. A že to nemůže rozhodnout sám, ale jedině pan ředitel.
Zhruba za týden jsem dostal podepsanou a vytištěnou odpověď NPI. Na poradě vedení popsal celou situaci (dřívější i současnou) a nechal rozhodnout poradu vedení o dalším postupu (přiznejte se, kdo jste neviděli Muže na radnici a tu scénu se schvalováním demolice v centru městečka a výstavbě paneláků ???). Výsledek byl tedy celkem podle očekávání - porada (...) obecně neschvaluje žádné žádosti o přesměrování emailů mimo Instituci z důvodu možného úniku dat. A nyní přichází perla nepochopení: (...) řešení (...) uspokojující a zároveň udrží emaily v Instituci (...) ActiveSync na Vašem mobilu. To si jako myslí, že chronicky děravý Android je bezpečnější než můj Debianí server ??? A myšlenka udržení emailu v Instituci je taky zajímavá - tím, že mi mail zobrazí telefon dejme tomu v metru Instituci opustí. Prosím o vyplnění (...) žádosti o nákup (...), cena je 2000 Kč ročně (...). Můj přímý nadřízený by to asi i podepsal, ale proč mám naší organizační jednotce zbytečně zvyšovat náklady, nota bene do kapsy Mrkvosoftu ?!
Konečeně se dostáváme k jádru blogu (ale předchozí jsem si prostě musel pro příští generace zapsat).
Po zadání "active sync" linux client do googlu sice vypadne 680 000 odkazů, ale většina z nich píše, že je protokol proprietární, špatně se reverse-engeneeruje a tak. Na Microsoftím fóru vás pošlou na synce projekt, který ale předpokládá synchronizaci přes USB, což není jaksi způsob pro připojení ke korporátnímu mailovému serveru ideální 
. Už na první stránce výsledků vyhledávače se dostávám na Superuser.com, kde někdo řeší identický problém a dozvídám se správnou odpověď. Davmail. Ten mimochodem doporučují i v další diskuzi na téma active-sync pod Linuxem
Propaganda DavMailu říká:
Chtěli jste někdy zbavit Outlooku? DavMail je výměnná brána pro POP / IMAP / SMTP / CalDAV / CardDAV / LDAP. Umožňuje uživatelům používat jakékohokoliv mailového / kalendářového klienta (např Thunderbird/Lightening, Apple iCal) proti serveru Exchange, a to i z Internetu nebo za firewallem prostřednictvím webové aplikace Outlook Web Access. DavMail nyní obsahuje bránu LDAP bránu ke globálnímu adresáři Exchange (umožňuje dokončování adresy příjemce při psaní e-mailu) a podporu kalendáře včetně toho, jestli mají účastníci v daném termínu volno
DavMail také podporuje protokol CardDAV k synchronizaci adresářů. Tato nová funkce je sponzorována francouzský, ministerstvem obrany (projekt Trustedbird DavMail Architecture).
Hlavním cílem DavMailu je poskytnout standardní protokoly jako frontend k Exchange: LDAP globální adresář, SMTP k odesílání zpráv, IMAP k procházení zpráv (v libovolné složce) na serveru, POP na stahování pošty (jen inbox !), CalDAV pro kalendáře a CardDAV pro osobní kontakty. Díky tomu může být používán s Microsoft Exchange libovolný klient dodržující obvyklé standardy.
DavMail je implementován v Javě a měl by běžet na libovolné platformě. Vydané verze jsou testovány na Windows, Linux (Ubuntu) a Mac OSX. Úspěšně byl systém testován s iPhone (gateway běží na serveru).
Celkově tedy DavMail má umět vše co potřebuji a navíc spoustu toho, kvůli čemu údajně Exchange nasadili a co nepotřebuji. Tak to jdeme zkusit. (Jediný háček může být to ministerstvo obrany, ale na druhou stranu to píšou hned na titulní stránce ...)
Tato část je společná pro všechny podporované desktopové systémy. Pokud chcete jen nahrubo otestovat, že to funguje, nebo použít aplikaci třeba lokálně na notebooku, banálně spusťte nainstalovanou aplikaci, která se zabydlí v system tray (kurňa, jak se to správně řekne česky ?). Jediné co potřebujete vyplnit je druhá položka záložky main, což URL - typicky něco jako https://posta.instituce.cz/owa.
Klikátko vám ukáže, na jakých (neprivilegovaných) portech davmail poslouchá (lze změnit, default je 1110 POP3, 1143 IMAP, 1025 SMTP, 1080 caldav, 1389 ldap).No, a vy si podle toho nastavíte třeba Thinderbirda a je to. Konečně nativní odesílání mailů přes "správný" SMTP server atd. Jste-li BFU, skončete čtení zde, dále je to již jen pro silnější administrátorské povahy..
#!/bin/bash
cd
nohup davmail davmail.properties &
echo "===="
echo "Output:"
tail -f nohup.out
Příchozí pošta stahovaná do místního systému - nejjednodušší cesta pro mne byl fetchmail, který stejně používám pro svoje další účty, co neumí forward. Takže do .fetchmailrc jsem připsal jen:
poll 127.0.0.42 protocol pop3 port 1110
user "MůjKorporátníLogin" password "SuprČuprHeslo" mda "/home/username/bin/instituce_deliver" keep
Odesílání pošty - pro postfix budeme muset upravit dva soubory - /etc/postfix/relayhost_maps:
jmeno.prijmeni@instituce.cz [127.0.0.42]:1025
[127.0.0.42]:1025 MůjKorporátníLogin:SuprČuprHeslo
Výše uvedeným postupem můžeme z Outlook Web Accessu udělat docela normální poštovní systém. Final disclaimer: Uvedený postup je plně funkční, ale může být v rozporu s bezpečnostní politikou vaší instituce. Po otestování jsem pochopitelně vše odinstaloval, smazal a poštu čtu jen v rámci Instituce ve své pracovní době. Tímto také nenabádám nikoho k tomu, aby se protivil NPI podobným řešením, které je "na hraně" - přeci jen existuje riziko, že na vás zaútočí hackeři a odnesou si jídelníček na příští týden, nabídky svinovacích hadic, slunečních brýlí, rozpračovače, zahradní pohovky a podobné citlivé interní dokumenty Instituce. Navíc jsem ještě nezkoumal zdrojové kódy aplikace (jsou k dispozici tam co binárky), takže si nemohu být zcela jistý, jestli program všechnu vaši poštu neposílá francouzské tajné službě (která na část vývoje přispěla) .
Tiskni
Sdílej:
forward posty do soukrome schranky - to je velmi uzasna ficura ve chvili, kdy se pracovni veci valeji v soukromych schrankachTohle fakt nechápu. Freemaily, téměř žádné garance chodu té služby a vůbec žádná ochrana proti tomu, aby si maily četl admin toho freemailu. A autorovi blogpostu podle všeho fakt přijde jako dobrý nápad si tam přeposílat pracovní a tedy potenciálně citlivé maily.
.
ad 1 - na úrovni manažerů tohle chápu. Většina zaměstnanců ale na manažery "vydělává" něčím úplně jiným, než obchodováním (dále tyto "hlupáky" budu označovat přiléhavcým slovem "dělník"). A vzhledem k tomu, jakým způsobem se v Instituci soutěží i "kuličky do myši" (konkrétní příklady zcela absurdních výběrových řízení z důvodu zachování anonymity záměrně neuvádím) tak si myslím, že i kdyby si obchodní nabídku přečetla konkurence, tak nemá moc šanci něco změnit. Navíc finální nabídku stejně bude odevzdávat zalepenou a tak. Ale jak píšu, jsem jen drobné zrnko písku v soukolí, kde začínají platit Parkinsonovy zákony. Takže výsledkem nasazení úchylného webmailu je, že řadoví dělníci si poštu otevřou méně často (za hlasitého nadávání na množství spamu) a komunikace se zhorší, protože místo toho, aby si o školení jak správně držet násadu přečetli v mailu, dozví se to dříve od spolupracovníků .
ad 2 - již dnes většina dělníků řeší pravidelné změny hesel metodou "šup-sem-šup-tam", heslo adélka změní na alenka a vzápětí zpět na adélka. Až si to NPI uvědomí, bude poddaný lid dost nas*. Jo a nejvtipnější je, že o expiraci hesla informují jen Widle, do kterých se ale většina dělníků přihlašuje společným username (a mají pro to celkem dobrý důvod), navíc se pohybují na různých počítačích. Takže reálně to vypadá tak, že dělníci, co se připojují přes VPN zjistí, že nemůžou pracovat, protože jim expirovalo heslo, takže se musí osobně vydat do Instituce, kde si ve Widlích heslo změní
ad 3 - mluvím o klíči k VPNce, pak už je zbytek zhlediska bezpečnosti dost jedno a klidně může být proti LDAPu
Stand-alone Exchange z důvodu popsaného v bodu 2 používá jen pár managorů, prostí dělníci nic takového nemají ...
12.7.2016 14:50
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Vzdy se najde uzivatel zkousici obchcat firemni politikuVnimal bych to spis tak, ze se najdou uzivatele, kteri se snazi to nejak pohodlneji pouzivat, a bezpecnostni politika jim v tom z nejakeho duvodu brani.
Ke cti je nutno priznat, ze zde je to jen jen pro testovani (zatim).LOL.
1] forward posty do soukrome schranky - to je velmi uzasna ficura ve chvili, kdy se pracovni veci valeji v soukromych schrankach - vazne si myslite, ze je snadne zajistit, aby se neforwardovaly citlive veci?Neprecenoval bych to. Nezname povahu te komunikace.
2] taky chci videt, pokud je nasazena politika rotace hesel, jak se to bude synchronizovat na ten davmail/libovolny imap nesvazany trustem s ADRotace hesel je jedna z nejvetsich myslitelnych kravin pokud nehovorime prinejmensim o jadernem reaktoru. Nekde jdou az tak daleko, ze si pamatuji hesla zpetne (nevim, do jake hloubky) a jednou pouzite heslo nelze pouzit znovu. Zapsat si heslo nekde na listecek na monitoru nebo v penezence predstavuje vetsi riziko nez dlouhodobe pouzivani rozumneho, dobre zapamatovaneho hesla, ktere je bezpecne tak dlouho, dokud nedoslo k jeho uniku. Jak zjistit, ze nedoslo k jeho uniku? Zaznamenavat historii pristupu s co nejvice detaily, pokud mozno ji nekde zobrazovat po prihlaseni, poucit uzivatele. Podezrele pristupy lze preventivne blokovat a vyzadat si dvoufaktorovou autentizaci (zaslani tokenu na telefon, osobni e-mail apod.). Podobnou kravinou je pozadavek na slozeni hesla. Prosta veta slozena z malych pismen by byla pro bezne uzivatele mnohem privetivejsi a byla by bezpecnejsi nez si vymyslet vylomeniny jako ze heslo musi obsahovat male pismeno, velke pismeno, cislici a alespon jeden z uvedenych specialnich znaku. Kdyby existoval IT fasismus, tohle by bylo ono.
14.7.2016 08:49
Max | skóre: 72
| blog: Max_Devaine
14.7.2016 09:08
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
Taktéž nechápu, co je nebězpečného na tom, když si uživatel vytvoří vlastní heslo, které si pamatuje a používá třeba x let místo toho, aby ho měnil kažý x měsíců a rezignoval takovým způsobem, že ho má většina na papírku u monitoru.Nebezpečné na tom je, že někdo pak hackne špatně napsané stránky jeho školní kapely a stejným heslem se pak dostane do emailu, do práce, do banky a všude.
14.7.2016 14:07
Jendа | skóre: 78
| blog: Jenda
| JO70FB
...
.
12.7.2016 14:51
Jendа | skóre: 78
| blog: Jenda
| JO70FB
system tray (kurňa, jak se to správně řekne česky ?)Snad oznamovací oblast.
12.7.2016 18:36
Nuphar | skóre: 18
To webové rozhraní Outlooku je snad to nejhorší, co jsem kdy viděl.
12.7.2016 20:02
Max | skóre: 72
| blog: Max_Devaine
12.7.2016 20:21
Max | skóre: 72
| blog: Max_Devaine
13.7.2016 15:32
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
14.7.2016 11:30
cezz | skóre: 24
| blog: dm6
14.7.2016 11:58
Max | skóre: 72
| blog: Max_Devaine
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.