Byla vydána verze 1.96.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.
Společnosti IBM a Red Hat představily Project Lightwell s investicí 5 miliard dolarů. Jedná se o důvěryhodné clearingové centrum pro bezpečnost open source softwaru a zabezpečení dodavatelských řetězců s novým AI modelem a globální skupinou více než 20 000 softwarových inženýrů. Služby centra budou dostupné prostřednictvím komerčních předplatných. Project Lightwell staví na iniciativách jako Anthropic Glasswing nebo OpenAI Trust Access for Cyber.
Open source 3D herní a simulační engine Open 3D Engine (O3DE) byl vydán v nové verzi 26.05. Podrobný přehled novinek v poznámkách k vydání.
Český stát by v budoucnu mohl provozovat vlastní alternativu ke komunikačním aplikacím typu WhatsApp, Signal, Telegram, Facebook Messenger a podobně. Cílem je zajistit bezpečnou datovou komunikaci pro stát a jeho důležité subjekty, jako jsou bezpečnostní složky, ministerstva a další organizace.
Už za týden, ve čtvrtek 4. června, se v Národní technické knihovně v pražských Dejvicích uskuteční další konference věnovaná tématům spojeným s IPv6 - Den IPv6. Program akce a registrační formulář jsou k dispozici na webu akce. Kapacita konference je omezená, proto organizátoři doporučují, aby se vážní zájemci přihlásili včas (k dnešnímu dni zbývá přibližně 30 volných míst). Konferenci Den IPv6 2026 organizují i letos společně sdružení CESNET, CZ.NIC a NIX.CZ.
Zařízení Steam Deck OLED bylo znovu naskladněno, ale vlivem rostoucích cen pamětí a úložišť má novou, vyšší cenovku. Steam Deck OLED 512 GB stojí nově 779 EUR (stál 569 EUR) a Steam Deck OLED 1 TB stojí 919 EUR (stál 679 EUR). Samotné zařízení se nijak nezměnilo a nové ceny tedy pouze odráží aktuální náklady na komponenty a další globální logistické výzvy, se kterými se potýká celá branže.
Český telekomunikační úřad zahajuje novou etapu využívání vysokofrekvenčního rádiového spektra v pásmu 26 GHz. Toto pásmo bude od 1. 7. 2026 otevřeno pro provoz moderních bezdrátových sítí, zejména sítí páté generace (5G), pevných bezdrátových přístupových sítí (FWA) a lokálních či průmyslových sítí určených například pro výrobní areály, logistická centra nebo technologické kampusy. Současně s otevřením pásma 26 GHz přistoupil ČTÚ ke zpřístupnění informací o využívání rádiových kmitočtů v tomto pásmu.
Logitech představil myš Signature Comfort Plus M850 L s polstrovanou opěrkou dlaně pro větší pohodlí a sadu s touto myší a klávesnicí s integrovanou opěrkou dlaní Signature Comfort Plus Combo MK880.
Gaël Duval se rozepsal o novinkách a plánech Murena a /e/OS. Počet uživatelů telefonů Murena a mobilního operačního systému /e/OS bez aplikací a služeb od Googlu se blíží 100 000. Ambicí je, aby se /e/OS stal třetí mobilní platformou v Evropě i na světě, s potenciálem dostat se i na PC. Blíží se vydání nové verze 4 s funkcemi zálohování a obnova, import e-mailů z Gmailu a rozpoznávání hlasu. Murena Workspace přinese videohovory, elektronický podpis a správu zařízení (MDM).
Dnes a zítra probíhá Ubuntu Summit 26.04. Na programu je řada zajímavých přednášek. Sledovat je lze na YouTube. Úvodní slovo měli Mark Shuttleworth a Jon Seager.
Greylisting (též graylisting) je antispamová metoda založená na faktu, že při odesílání spamu se obvykle odesílá jedna zpráva za druhou, aniž by se řešilo selhání doručení. Je prostě jednodušší zkusit to doručit většímu počtu příjemců, než řešit, že některé servery to dočasně odmítnou přijmout a bude nutné opakovat pokus o doručení. Legitimní servery však odmítnutou zprávu zkusí doručit později znovu.
Greylisting znamená, že při příjmu zprávy server zkontroluje ve své databázi, zda zná trojici server-odesílatel-příjemce. Pokud trojici zná, zprávu přijme, jinak ji odmítne, typicky s kódem 450. Od neúspěšného pokusu začíná běžet lhůta (například 2 nebo 5 minut), během které je doručení zprávy se stejnou trojicí odmítáno. Po vypršení této lhůty server zprávu přijme, není-li odmítnuta z jiného důvodu.
Existence lhůty má hlavní smysl v tom, že pokud by se přece jen odesílající server pokusil spam znovu doručit, může se již mezitím objevit na černých listinách a vyhodnocení takové zprávy jako spam je mnohem pravděpodobnější. Greylisting bývá nastaven tak, že po úspěšném přijetí určitého počtu zpráv nebo uplynutí určité doby od prvního úspěšného doručení se trojice přidá do databáze permanentně (zůstane tam do případného ručního odebrání), jinak se po nastavené době tato trojice odstraní a systém se pro ni tedy vrátí do stavu, jako kdyby ji vůbec neznal.
Toto celé funguje v praxi jako velmi účinný filtr, přestože již řadu let můžeme číst o tom, že si s ním spammeři brzy snadno poradí. Zatím si neporadili, resp. se spíše ani nesnažili, protože greylisting stále patří k velmi málo používaným metodám. Velmi výhodné je, že je drtivá většina spamu odmítnuta hned na začátku, před analýzou zprávy, proto se ušetří nemálo systémových prostředků, které by byly potřeba na zpracování hlaviček a těla zprávy.
Jak už to v životě bývá, každá věc má své výhody i nevýhody. Greylisting má nevýhod hned několik. Především je vždy problém s tím, že první zpráva s příslušnou trojicí parametrů je zpožděna minimálně o dobu nastavené prodlevy, v praxi samozřejmě o něco více. Někdy také zpráva nemusí být doručena vůbec, protože je odesílající server špatně nastaven (což však odesílatele ani příjemce nezajímá, oni prostě chtějí komunikovat).
Další nevýhodou je, že v některých případech se neodesílá z jednoho serveru (resp. IP adresy), nýbrž z většího počtu, z tzv. poolu. Cílový server proto povolí příjem z jedné adresy, příští pokus ale může být z jiné. Pokud má pool mnoho adres a další pokusy následují s prodlužovanou periodou, může být zpráva doručena až po mnoha hodinách nebo i dnech, případně vůbec.
Problémy greylistingu jsou ale do značné míry řešitelné. Jednak lze greylisting vypnout pro příjemce, kteří si nepřejí ho používat a dávají přednost hladkému doručování, i za cenu většího množství spamu. Dále lze využívat (místo povolování jednotlivých IP adres) povolování příjmu celých bloků adres, je-li povolen příjem z jediné z nich – tím se odstraní většina problémů s pooly, aniž by přitom výrazněji utrpěla účinnost ochrany. Problematické servery lze dát na bílou listinu (whitelist), takže i pro ně jsou zprávy přijímány bez působení greylistingu. A konečně poslední věcí je vhodné nastavení prodlevy. Výchozí hodnota bývá 5 minut, lze ji zkrátit na 2 minuty, což v mnoha případech značně urychlí doručení prvně odmítnuté zprávy (byť to samozřejmě takto rychlé doručení nezaručuje).
Samotný program Postfix neobsahuje funkcionalitu greylistingu. Je proto třeba ji realizovat externě, pomocí vazby na Postfix přes roli „policy service“. Obecně totiž Postfix umožňuje dotazovat se vnější služby na to, jak má se zprávou naložit – a nemusí se jednat jen o greylisting, funkce je zcela obecná. Služba vyhodnotí, zda se má zpráva přijmout, či odmítnout (a když odmítnout, tak jakým způsobem), a oznámí to zpět Postfixu, který se podle toho zachová.
Služeb, kterými lze realizovat greylisting, existuje více. Následující řádky se budou vztahovat k programu Postgrey, nicméně není nutné použít právě tento, k dispozici jsou například programy SQLgrey, tumgreyspf, Greylist Daemon nebo Policyd. Případně si lze napsat vlastní implementaci (není to složité), nicméně vzhledem k aktuální nabídce pravděpodobně není důvod tak činit.
Postgrey je program (démon) napsaný v jazyce Perl. Je k dispozici prostřednictvím balíčku ze standardních repozitářů většiny běžných distribucí, případně ho lze získat z webu autora. Po instalaci je potřeba nastavit jeho spouštění, pokud to neproběhlo v rámci instalace balíčku. Standardní metodou je spouštění v rámci runlevelu.
Trochu nepříjemné je, že Postgrey nemá běžný konfigurační soubor. Parametry se dají zadávat jen prostřednictvím příkazové řádky. Některé distribuce, například Debian, to však řeší tím, že se dá vše potřebné nastavit v /etc/default/postgrey, konkrétně v proměnných prostředí POSTGREY_OPTS (základní parametry) a POSTGREY_TEXT (text použitý při odmítnutí zprávy – kvůli případným mezerám nelze nastavovat přes POSTGREY_OPTS).
Co všechno je potřeba nastavit? Především je to komunikační socket. Lze použít internetový nebo lokální (unixový). V prvním případě není třeba řešit práva a dostupnost, je ale nepatrně vyšší režie a k socketu má přístup jakýkoli lokální proces. Tady jsou příklady nastavení:
--unix=/var/run/postgrey/socket --inet=127.0.0.1:60000
V případě unixového socketu je potřeba, aby měl Postfix právo k němu přistupovat. Protože se pro program Postgrey standardně vytváří uživatel a skupina postgrey, stačí potom, aby bylo pro skupinu postgrey zajištěno právo vstupu do adresáře /var/run/postgrey a aby uživatel postfix byl členem této skupiny. Samotný socket dovoluje přístup každému a nejde to přes parametry příkazové řádky změnit, čili omezení přes adresář je jediné možné. I tak ale nejde o bezpečnostně kritickou věc, proto není třeba se tím příliš trápit. Ostatně u internetového socketu (druhý řádek) má přístup obecně každý z místního stroje.
Lze ale nastavovat i další věci. Například můžeme chtít nastavit dobu prodlevy, změnit dobu odstraňování nevyužívaných záznamů („čištění whitelistu“, odstraňování dočasných položek) nebo délku okna pro první pokus o opakované doručení. Celé i se socketem by to vypadalo takto (v souboru /etc/default/postgrey):
POSTGREY_OPTS="--unix=/var/run/postgrey/socket --delay=120 --max-age=90 --retry-window=4"
Tímto nastavením zajistíme prodlevu 2 minuty, životnost dočasných položek (těch, které nejsou uloženy jako permanentní) 90 dnů a okno pro opakované pokusy 4 dny. Parametrů lze nastavovat mnohem více, všechny najdete v manuálu postgrey(8).
Ve výchozím nastavení Postgrey nepracuje s jednotlivými IP adresami klientů, nýbrž s částmi bez posledního bajtu (čili jde o síťovou masku /24 čili 255.255.255.0). Tím se do značné míry řeší problém s pooly, které bývají typicky rozlišeny jen koncovým bajtem adresy, i když to samozřejmě může přinést větší propustnost pro spam. Pomocí --lookup-by-host lze toto chování vypnout.
Dále existují ještě soubory s whitelisty. Standardně jsou to dvě dvojice. Vždy jeden soubor ve dvojici je distribuční (může se aktualizovat při aktualizaci balíčku) a druhý lokální, administrátorský. Jde o soubory whitelist_clients, resp. whitelist_clients.local (whitelist klientů) a whitelist_recipients, resp. whitelist_recipients.local (whitelist příjemců). V první dvojici jsou obsaženy jmenné nebo IP adresy klientů, ze kterých se mají zprávy přijímat bez použití greylistingu, ve druhé pak adresy příjemců, kteří si nepřejí greylisting nebo u nich není z technických důvodů vhodný.
Klienty lze uvádět jako jednotlivé IP adresy či doménová jména, částečné IP adresy, adresy s maskami (CIDR) nebo pomocí regulárních výrazů. U klientů lze uvádět úplné adresy, domény, uživatelská jména nebo opět regulární výrazy. Tady je malá ukázka souboru whitelist_recipients.local:
admin@ franta@moje.domena jina.domena
Uvedený soubor vyřadí greylisting (a tedy zajistí okamžitý příjem zpráv) pro uživatele admin v každé obsluhované doméně, pro uživatele s adresou franta@moje.domena a pro celou doménu jina.domena.
Aby greylisting fungoval, musí se ještě nastavit program Postfix, aby se u běžícího démona Postgrey dotazoval na příslušné trojice klient-odesílatel-příjemce. To se zajistí přidáním pravidla do sady pro kontrolu příjemce v souboru main.cf:
smtpd_recipient_restrictions = permit_mynetworks, reject_non_fqdn_recipient, reject_unknown_recipient_domain, check_recipient_access hash:/etc/postfix/access, permit_sasl_authenticated, reject_unauth_destination, check_policy_service unix:/var/run/postgrey/socket, permit
Jak vidíte, oproti předchozímu tvaru (z šestého dílu seriálu) přibyl pouze předposlední řádek, kde se jako policy service nastavuje unixový socket programu Postgrey. Toto pořadí zajišťuje, že se greylisting použije až jako poslední rozhodovací kritérium o přijetí zprávy. Nemá totiž smysl, aby se greylisting aktivoval i v případě pokusů o doručení do cizí domény (tedy před reject_unauth_destination) nebo dokonce i pro ověřené klienty (tedy před permit_sasl_authenticated).
Leckoho asi napadne, že pro vyřazení greylistingu pro určité klienty nebo příjemce, případně odesílatele, by šlo s výhodou využít i této konfigurace. Skutečně ano, a to často dokonce ještě výhodněji než při vložení do konfigurace programu Postgrey. Tady je takový námět:
smtpd_recipient_restrictions = permit_mynetworks, reject_non_fqdn_recipient, reject_unknown_recipient_domain, check_recipient_access hash:/etc/postfix/access, permit_sasl_authenticated, reject_unauth_destination, check_recipient_access mysql:/etc/postfix/mysql/no-greylisting.cf check_policy_service unix:/var/run/postgrey/socket, permit
Přibyl zde řádek těsně před greylistingem. Tento řádek obsahuje ověřování příjemce v databázi MySQL, a to pomocí dotazu nakonfigurovaného v souboru /etc/postfix/mysql/no-greylisting.cf. Podobně by šel použít třeba LDAP nebo nějaká jiná metoda. O vypnutí greylistingu tak může rozhodovat přímo příslušný uživatel (přes nějaké administrační rozhraní); není třeba, aby administrátor kvůli tomu zasahoval ručně do nějakého souboru. Greylisting pak může sloužit opravdu k plné spokojenosti, protože kdo ho nechce používat, může ho snadno vypnout – nebo může být naopak ve výchozím nastavení vypnutý a uživatel si ho při nadměrném přívalu spamu sám zapne.
Nástroje: Tisk bez diskuse
Tiskni
Sdílej:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
vetsina spamu jde z pár lokací.
vazne? jak moc je to spolehlive? ja mel za to, ze vetsina spamu jde z botnetu takze jsou ty zdrojove ip tak nejak "normalne" rozdeleny :)
15.1.2010 14:19
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
nevyhody greylistingu kompenzuji autowhitelisintgem. Pokud server uspesne poslechne, a zareaguje na greylisting tak jak ma, je na predem urcenou dobu zarazen do whitelistu. Treba na 14 dni.To je například u Postgreye standardní chování a zmiňuji ho, i když ne přesně takhle. Nicméně to nekompenzuje nevýhody greylistingu. Hlavní nevýhodou je to, že první zpráva dojde vždycky pozdě, není-li greylisting přímo vyřazen (například pro konkrétní doménu odesílatele).
A nechce to spis trochu osvety ? Odkdy je mail garantovana sluzba ? Od kdy maji maily chodit v radu vterin ?Osveta by mela byt v tom, ze by uzivatele meli vedet, ze e-mail muze fungovat v radu sekund a pokud tomu tak neni, tak se s tim nemusi smirit a muzou prejit k jinemu poskytovateli, u ktereho to tak fungovat bude.
Někdy také zpráva nemusí být doručena vůbec, protože je odesílající server špatně nastavenJo, například si plete chybu 4xx s 5xx (a tvrdí, že to nejde doručit), posílá odesílateli zprávu o tom, že se to doručí později (a odesílatel si následně myslí, že vůbec),...
15.1.2010 09:31
Prokop Mikule | skóre: 9
Email byl firmou B odmítnut, protže neexistoval uživatel ve firmě A... a tu administrátor (nevieme ktorý) urobil chybu. Správne nastavený greylisting vráti 4xx kód, a správne nastavené overovanie existencie odosielateľa 4xx nepovažuje za neexistenciu, ale vráti tiež 4xx, takže A sa pokúsi za pár minút, kedy už B bude v databáze a A vráti úspech a B mail prijme. Používam obidve, aj greylisting aj overovanie, a mail medzi dvojicou takýchto serverov bez problémov prejde na tretí pokus.
smtpd_restriction_classes = postgrey_r_class postgrey_r_class = check_policy_service inet:127.0.0.1:10023restrikce příjemců
smtpd_recipient_restrictions = reject_unauth_pipelining,
reject_non_fqdn_sender,
reject_unknown_recipient_domain,
permit_sasl_authenticated,
reject_unauth_destination,
check_recipient_access proxy:mysql:/etc/postfix/sql/mysql_virtual_postgrey_maps.cf,
permit
takhle to pravděpodobně bude hlásit že proxy není nastavená na tu tabulku, tak si jen vyjeďte postconf -d default a pridejte si ji
proxy_read_maps = $local_recipient_maps ... proxy:mysql:/etc/postfix/sql/mysql_virtual_postgrey_maps.cfa pak jeste query pro mysql takhle
SELECT IF(`postgrey` = 1,'postgrey_r_class','OK') FROM `mailbox` WHERE `username` = '%s' AND `active` = '1'takle pokud je postgrey z dtb 1 tak se zavola nově nadefinovaná třída, pokud ne tak OK a postfix skočí na další pravidlo. Mělo jit nadefinovat vypinaní/zapinání jednotlivých restriction (třeba různé externí blacklisty)