Vlákno názorů k článku Stavíme vlastní e-mailový server: Apache, DANE, Bind a Postfix od j - " což nám zajišťují poslední dva řádky konfigurace,...
-
j (neregistrovaný)
" což nám zajišťují poslední dva řádky konfigurace, takzvané HSTS"
Nezajisti, kdyz na to nekdo poleze poprvy, tak mu to proste nahlasi, ze web neexistuje. Musel bys mit povoleny i to http a na nem mit redirect."HPKP (HTTP Public Kez Pinning). Princip je velmi podobný DANE, do DNS se vystaví otisky klíčů"
Ehm ... ne, do dns se vazne nic nevystavi, posila se to v podobe http hlavicek. Ostatne to, ze browsery neumi obecny dns dotaz je primarni vymluva na to, ze (mimo jiny)DANE v nich nefunguje."v budoucnu je možné přidat třeba záložní server"
Tady by bylo fajn zminit, ze pokud jsou na serveru jakykoli antispam opatreni, tak exaktne stejny musi byt i na tom zaloznim serveru, jinak dojde k tomu, ze spam proste projde pres ten backup."ale může se stále stát, že narazíte na server, který šifrování nepodporuje"
Nejde ani tak o odesilani - v takovym pripade se minimalne dozvis ze se odeslat nepovedlo, ale predevsim o prijem, kde proste mail nedorazi, a ty pak muzes tak maximalne zkoumat logy. Tech serveru ktery nesifujou je pak cela velka hromada, protoze se to tyce predevsim vsemoznych krabek ktery posilaj trebas data o svym provozu.Apropos ad dane, kdyz uz si ho confis, budes mit v dalsim dile nastaveni validace? ;D
-
Myslím jsem se snažil tam to HSTS objasnit, možná je to napsaný nešikovně.
Ano, do HPKP jsem se zamotal dost blbě, Petr Krčmář už to opravil
Ideálně by měl být záložní server úplně stejný, předejde se tím podobným problémům. Když si někdo nastaví backup MX na nějakou poloslužbu, tak ano, spamy vesele proudí
Jak jsem psal, dle RFC musí server v internetu komunikovat i bez šifrování, asi to bude trvat celkem dlouho, než pochcípají všechny nezabezpečený krámy, respektive ještě dlouho potrvá, než je někdo přestane vyrábět :(
Validace DANE nebude, distribuční verze (2.10.1) to ještě neumí a zrovna takto klíčovou komponentu bych jen kvůli DANE nenahrazoval. Navíc, víš jak to je... DANE je podle mě super věc, ale dokud se nezačne používat ve větším, polovina pokusů o implementaci končí rozbitým stavem.
-
Zrovna u pošty to funguje výborně, popsáno v článku Bezpečnější předávání pošty s TLSA záznamy. Servery se obvykle nemají problém dostat k DNSSEC datům, takže pokud v TLSA záznamu uvedete konkrétní klíče, mohou s vámi protistrany velmi bezpečně šifrovat.
-
Toto je výsledkem hledání dostatečně udržované a co nejmíň rozbité distribuce. Samozřejmě se dá nainstalovat novější postfix, pro CentOS 7 jsou i hotový RPMka, ale udržovat zrovna jednu z klíčových součástí samostatně mi nepřijde úplně nejlepší. Ale každopádně mám DANE rád a pořád moc doufám, že se jednoho dne rozšíří.
-
j (neregistrovaný)
" asi to bude trvat celkem dlouho"
Toho se zcela jiste nikdo z nas nedozije ... z jednoduchyho duvodu, nesifrovanej email se da poslat pomoci ncat/telnetu/... a nepotrebujes na to zadnej sofistikovanejs soft. Coz prave spousta krabek vyuziva (a velka spousta z nich neumi ani zadnej zpusob loginu). Ono uz jen na navazeni sifrovanyho spojeni potrebujes pomerne hodne vykonu a hodne pameti, coz je casto o par radu vic (oboji) nez ta krabka ma.
