Příspěvky

1

Server / Re:Nefunkční mailserver s Postfixem

« kdy: 14. 03. 2023, 07:24:20 »

No,  v LOGU je vše. Nejprve, Postfix nemá kam doručovat, protože neví, kde jsou schránky a tam kam odkazuješ, nejsou - to píše.
dovecot: lmtp(marian)<9226><RCe7HbpqD2QKJAAA0J78UA>: msgid=<20230313182602.738ED2402E5@mail.weblandic.com>: save failed to open mailbox INBOX: stat(/home/marian/Maildir/tmp) failed: Not a directory

Dál, máš problém s TLS /pro začátek bych TLS vyhodil a zkusil to nešifrovaně, až to pojede, teprve dej TLS.

Máš stejný Hostname, jako host, co ti posílá email ... přejmenuj si svůj email server třeba na mail1.weblandic.com
arning: host mail.weblandic.com[212.55.246.53]:25 replied to HELO/EHLO with my own hostname mail

Dovecot nemá žádný login, nemáš ho správně nastavený ... vyprdni se na virtuál a udělej lokálního uživatele. Až ti to bude chodit, teprve si hraj s virtualizací a PostfixAdminem.
dovecot: imap-login: Disconnected: Connection closed (no auth attempts in 1 secs): user=<>, rip=171.67.70.233, lip=192.168.10.20, TLS: Connection closed, session=<spnV78v2gMKrQ0bp>

U Postfixu platí, že se nastavuje postupně ... ne vše najednou, jako ty.
Nejprve služby Postfixu a když to chodí, pokračujeme třeba Dovecotem, pak Amavis, pak SSL, pak virtuální schránky ... atd.

BTW: Že ti to chodí z netu je vidět, máš tam dost pokusů od fake mailserverů, kde nefunguje překlad PTR, to Postfix vyhodnotil dobře ...

Posfix jsem dělal před lety, rozhodně je čti LOG.

2

Server / Re:Nestahují se zprávy z poštovního serveru

« kdy: 13. 08. 2022, 23:53:25 »

Problém máš v LOGu, asi jsi DOvecot nenastavil správně nebo není nastavení úplné.
Z SQL se ti nenačte, pro jakou doménu se má doručovat/stahovat.
Projdi znova nastavení Dovecot. Postfix bude asi správně, když ti to odesílá.

3

Sítě / Re:MikroTik nepouští DHCP klienty do internetu

« kdy: 04. 08. 2022, 19:56:09 »

Děkuji za odpovědi.

/ip dhcp-client
add interface=bridge        --- to je blbost! Když je bridge interní LAN, tak proč by měla přijímat DHCP požadavky. Vyhodit!
                      DHCP klient pouze, pokud by jsi na eth1 měl od providiera adresu z jeho DHCP poolu.

/ip dhcp-server network     ----oprav řádek níže podle tohoto vzoru
add address=10.1.1.0/24 dns-server=8.8.8.8 gateway=10.1.1.1 netmask=24
/ip dns
set servers=x.x.x.x  --- není potřeba pro DHCP klienty, ti se budou dotazovat serveru 8.8.8.8, je potřeba jen pro interní potřebu toho MK.

/ip firewall filter

předpokládám, že tam máš správná pravidla, nejméně INPUT Related/Established  a Forward Related/Established a samozřejmě DROP INPUT vše z ETH1. Jinak se brzy staneš terčem pokusů o průnik.

Taky předpokládám, že máš správně Maškarádu ... jinak by ti to asi nechodilo vůběc.

/ip service
set telnet disabled=yes      --- tím jsi si zakázal možnost se připojit z jiného MK - doporučuji pustit a ometit je na síť 10.1.1.0/24
set ftp disabled=yes
set www disabled=yes      --- tím jsi si zakázal WebFix.
set ssh disabled=yes        --- dtto jako telnet.
set api disabled=yes
set api-ssl disabled=yes
[xxx@xxx] >

Více zde: https://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Server   je to vyčerpávající popis.

4

Server / Re:Google odmítá přijímat poštu z našeho mail serveru

« kdy: 09. 06. 2022, 13:56:38 »

Díky všem. Ne, doména je solidvision.cz - používáme Kerio Connect. Mám SPF, nemám DKIM ... pravda. Počet mailú je obvyklý pro firmu s cca 100 lidmi, na hromadný emailing používáme zaplacenou službu.
BTW: Dnes už to chodí, nevím, jestli konečně zafungovala ta verifikace domény, nebo něco jiného. Nebo jen to, že jsme chvíli posílali Relay přes ten linservis.cz - to bylo okamžité řešení asi na týden.
Jinak ve spamlistech nejsme.

Díky za odkazy ... vyzkouším.

Blbě se lidem vysvětluje, že jejich maily prostě nechodí protože nějaké ochrany ... "ale ze seznamu to chodí" ... no jo, ale tam mají hordu adminů ... asi tak nějak to tady občas probíhá. Prostě to nevysvětlíš ...

5

Server / Google odmítá přijímat poštu z našeho mail serveru

« kdy: 08. 06. 2022, 14:34:53 »

Google mi vrací všechny emaily s hláškou:             

Kód: [Vybrat]

gmail-smtp-in.l.google.com: 550-5.7.1 [95.129.96.42 12] Our system has detected that this message is
550-5.7.1 likely unsolicited mail. To reduce the amount of spam sent to Gmail,
550-5.7.1 this message has been blocked.
Please visit 550-5.7.1 https://s....
Ta stránka je pak v LOGu mailserveru. Udělal jsem vše podle jejich rady, ověřil doménu ... a pořád nic.
Nikdo s Google nereaguje na zaslaný dotaz přes formulář ... prostě mrtvo a maily nechodí.

Nesetkal se s tím někdo, komu se to podařilo vyřešit?
Pomohla změna IP adresy serveru - resp. Relay přes jiný, ale i ten je teď zablokvaný.

Pro hromadný mailing máme jinou zaplacenou službu, z našeho mailserveru chodí jen běžné emaily, ale lidí je moc a tak asi překračujeme nějakou kvótu.

Za každou podnětnou radu/pomoc budu vděčný.

6

Nabízím práci / Hledám v Brně pomocníka - správce IT

« kdy: 10. 02. 2022, 13:27:10 »

Vidím, co se zde řeší za problémy s prací, především vývojáři. Ale pro ty vývojáře můsí být někdo, kdo jim ty systémy bude udržovat, protože přiznejme si to otevřeně, i když si myslí, že je to snadné "strčím do USBčka špunt a Next--Next a mám Ubuntu", tak jen o tom to není. Kde je BTW bezpečnost ...

Pokud by tu byl někdo, kdo by chtěl pracovat jako správce IT, pak má možnost. Hledám správce IT, stačí základní zkušenosti, ale hlavně chuť učit se. Pracoviště v Brně, občas výjezd na pobočky, Windows i Linux ... fulltime.

• Odpověď
• Citace

7

Sítě / Re:Mikrotik - jaké porty povolit ve firewallu

« kdy: 23. 01. 2022, 20:08:20 »

No, já mám na svém serveru u poskytovatele (kde mám svoe Weby a mail) i VPNku (SSTP) - ale lze i OpenVPN, na Linuxu chodí bezvadně, jen ty certifikáty ..

No a na MK pak mám povolen přístup z venku právě jen z té svojí IP adresy serveru.
Takže, chci-li něco dělat na MK, vytočím svojí VPN a už mě bude MK akceptovat, bez VPN mám nějakou IP a tak to vesele zahazuje ... to se mi zatím jeví jako nejbezpečněší způsob, než něco otevírat do internetu, co nepotřebuju ... hlavně ne port 8291!

8

Hardware / Re:Raspberry Pi s dotykovým displejem pro zobrazení webu

« kdy: 25. 12. 2021, 10:21:41 »

Všem děkuji za pomoc, hned po svátcích vyzkouším.

Aplikace bude videt na výrobní hale malé firmy vedle docházového terminálu, představa je, že uživatel přiloží čip (připojen k USB a posílaící data jako vstup klávesnice), což bude vlastně login do web stránky.
Zobrazí se mu zapsaná docházka z docházkového systému - vlastní web stránka na web serveru mimo prostor.
A může ťuknout na Detail, nebo Odhlásit.
RB Pi bude někde poblíž monitoru, připojení LAN s následující optikou až k serveru a malá UPS 400WA pro zálohování proti výpadku.

eště ednou díky za rady.

9

Hardware / Raspberry Pi s dotykovým displejem pro zobrazení webu

« kdy: 22. 12. 2021, 09:15:18 »

úvodem poznamenávám, že nemám žádné zkušenosti s Rabsberry, ale chci se to naučit a vyzkoušet.

Potřebuji radu (stačí odkaz), jaké RB Pi s výstupem na dotykový display, kde poběží Web Stránka (tedy, nějaký prohlížeč, server bude jinde v síti), která zobrazuje informace o přítomnosti na pracovišti. Nechci kvůli tomu mít celé PC - z důvodu zbytečného předimenzování výkonu, je to jen webstránka.
Věřím, že takové řešení již někdo jiný používá.

Musí to ale umět spolupracovat s dotykovým displayem - uživatel si bude ťukat na monitor pro změnu. A ideálně jedno USB, abych tam mohl zapojit čtečku karet, která posílá data jako klávesnicový text a složí k identifikaci uživatele pro přístup na Web stránku s jeho daty.

Předem děkuji za pomoc.

10

Windows a jiné systémy / Re:Microsoft licence pro sdílení souborů

« kdy: 22. 11. 2021, 08:48:05 »

Pokud již provozujete Windows Server 2019, tak je otázkou jak a kvůli čemu.
Pokud jej provozujete kvůli službám Windows, tak pro klienty musíte mít CAL licence (CAL Device, nebo CAL User).
Pokud ty Windows Server provozujete kvůli aplikaci třetí strany (třeba Oracle DB, Pohodu apod.), tak CAL licence mít nemusíte.
Pokud máte rozjetou doménu Active Directory a ověřujete klienty/uživatele přes ní, tak CAL licence potřebujete.
V průměru to vychází 1000,-Kč / 1x CAL.
Zdar Max

To bohuže nelní pravda! CAL potřebuješ vždy. Dokonce i na tu Pohodu a SQL (byť cizí) - je to totiž připojení k serveru!
Pokud nechceš kupovat CALy, pak je tu vyjímka pro destopové Windows 10. Můžeš mít současně 10 přístupů pro služby SMB (Sdílení souborů a tiskáren), MSSQL Express a bez omezení pak ke službám IIS. Jiné aplikace legálně nelze na Destopu síťově provozovat (i když to jde!).

Pokud se ti jedná jen o sdílení, pak doporučuji Linux a SAMBA server. BTW: Pohoda se instaluje na Share, takže pokud to není SQL, ale ta menší, tak ti Linux stačí taky.

11

Windows a jiné systémy / Re:Zdroj přesného času ve Windows síti - hlavní NTP - NTP server

« kdy: 06. 09. 2021, 09:28:25 »

Ahoj,

zdroj přesného času by měl být - ve Windows síti - fyzický PDC že?
Co když jsou všechny DC virtualizované?
Jak tohle řešíte?
....

Já mám hraniční Mikrotik, na něm NTP server + NTP klient toho MK si bere čas z ntp.cesnet.cz a dál ten MK dává čas všem zařízením v síti.
Ano, PDC by měl být hlavním NTP pro Wokna, ale nezapomeň ... pokud je virtualizovaný, pak jeho hostiteli nezapomeň vypnout synchronizaci HyperV NTP - jinak se ti bude neustále mrvit čas.
Jo a w32tm - tady si na PDC nastav synchronizaci proti tomu MK (funguje i zachycení adresy ntp.microsoft.com na tvůj MK).

12

Odkladiště / Re:Omezení pokusů pro přístup

« kdy: 22. 07. 2021, 21:45:05 »

No, já mám běžně nastaveno po 3 pokusech blokace 5 minut, někde jsem musel povolit 5 špatných/5minut. Obecně to je asi rozumný kompromis, pokud někdo vyloženě hádá hesla.

13

Sítě / Re:Napadený Mikrotik (klientská jednotka) ISP

« kdy: 07. 06. 2021, 07:07:09 »

Neregistrovaný:
Budu se opakovat, ano mám tam další svůj router se svým firewallem...píšu to hned na začátku... narozdíl od ISP, který firewall nemá žádný.....a narozdíl od možná 90 procent dalších jeho zákazníků, co mají PC hned za tou KJ.

Teď ještě prosím o tu akademickou debatu, co je dobrý a dobře nastavený firewall, který ochrání před zamořenou sítí ISP.

Zastanu se tě. Napadený MK WifiPoint může být problém.  Třeba... ty si dáš pro jistotu DNSky na 8.8.8.8 a zlý MK v cestě ti to přepíše na nějaký jiný, který ti bude podstrkovat jiné IP pro tvé adresy.
Nebo, jak píšeš ... bude se snažit chytat hesla - co když část provozu "unese" někam jinak, co když se bude tvářit jako MITM ...

Rada drahá. Navíc, pokud je napaden jeden, může jich mít napadených v sítii více.

Zkus se (asi ideálně osobně) nabídnout, že jim pomůžeš s řešením problému. Třeba jeho neochota pramení z malé znalosti a ty na ně působíš jako namachrovaný prudič. Zkus na ně zapůsobit jako někdo, kdo chápe jejich problémy a může a chce jim pomoci.

Pokud ani pak nebude svolný a nic neudělá a ty nemůžeš změnit operátora, pak bych linku považoval za kompromitovanou a jediný bezpečný provoz by byl, že by jsi měl někde v internetu jiný důvěryhodný koncový bod (třeba nějaký VPS hosting s IPV4 a root účtem) a nasměroval veškerý provoz ze svého MK přes VPN na tento koncový bod a z něj teprve do netu. V opačném případě si opravdu nemůžeš být jistý, co se s provozem skrze ten MK bod děje.
A samozřejmě uvažoval o změně ISP (neříkej mi, že u Vás nefunguje xDSL).

To bezpečné nastavení: rčitě tu jsou i fundovanější, ale za mě:  admin/ReadOnly, FW IN/FWD - kromě Related, Established jen to opravdu nejnutnější, zbytek DROP. Vypnout všechny služby, co nepoužíváš - osobně mám ve službách nastaveno, že jsou (mimo nastavení FW) dostupné jen pro interní adresy. Pokud nastavíš jakoukoliv službu ven (L2TP/OpenVPN ... o PPTP neuvažuji), zajistit dostatečné heslo. Nezapomenout na IPV6 - doporučuji, pokud jej nepoužíváš, mít modul zaveden a vše dát DROP (IN/OUT/FW=DROP). Bylo by toho jistě více, ale teď po ránu mě víc nenapadá.

14

Windows a jiné systémy / Re:Windows 10 jako webový server

« kdy: 07. 03. 2020, 07:32:30 »

Stále tu řěšíte aplikaci ... a odpovědi zanikají.
Ano, správně je ve WIn10 vyjímka, že se smí připojit 20 users k SMB/CIFS a IIS.

Nicméně tazateli bych doporučil přesvědčit vedení, že nový server SMB + Windows 19 Essentials vyjde stejně, jako kvalitní PC s WIn10 ... tedy cca 20.000,- Kč vč 2x 1TB disku. Výhodou je "železo" od výrobce (HP/DELL/Fijitsu ...) s podporou RAID a OEM Licence Windows s CAL pro 25 uživatelů. A případně lze koupit i starší server s licencí Foundation (pouze 15 CAL).

Prostě, server by měl být opravdu server a ne nějaká "šunka", nebo nedejbože počítač, na kterém někdo pracuje. Je to zkušenost z podobně malých firem.

15

Hardware / HW zařízení pro Watchdog

« kdy: 27. 01. 2020, 10:55:00 »

Potřebuji nějaké zařízení, které bude PINGat na konkrétní IP adresu a pokud se po několika pokusech (typicky 3x po 1 minutě) nedostane odpověď, rozpojí relé, které napájí pingané zařízení.
Může být buď hotové zařízení, nebo návod na nějakou stavebnici.
Hledám na netu a nějak se mi nedaří nic smysluplného najít (něco malého, ne počítač).

Předem děkuji za rady vedoucí k vyřešení problému.