Příspěvky

46

Sítě / Re:Neshoda reverzních záznamů u odesílajícího SMTP

« kdy: 05. 12. 2022, 11:56:11 »

Mam za sebou vcelku dost webovych aplikacii, ci to bolo v roli architekta, programatora, komzultanta a nezriedka kedy aj admina. A to nie len nejake shopiky, ale mozem si zaratat aj dva hostingy, telco a dalsie...

Problém je v tom, že jste vůbec psal o MX záznamech, když se bavíme o tom, že se k vám připojil nějaký SMTP klient. O kterých MX záznamech teda píšete? Překládáte přes MX to, co klient poslal v EHLO? Nebo jaké jméno překládáte?

Prekladate to co vam urcuje SPF zaznam, v pripade ze tam mate 'v=spf1 mx -all' co nie je vobec zriedkave, tak ano, mimo canonical names aj mx zaznamy. V EHLO sa predstavy svojim canonical name. Rovnako PTR zaznam vam da pre IP canonical name, cez MX zaznam si overi ci patri medzi MTA pre danu domenu.

Ne, já si to – narozdíl od vás – nepletu. Běžná praxe je, že se pro web používá virtual host – tj. na jedné IP adrese jsou hostovány třeba stovky domén. Je takhle řešený každý sdílený webhosting. Když máte webové adresy www.example.com a example.com, zase to obvykle vede na jednu IP adresu. Pokud jedna firma provozuje víc webů (třeba firemní web a produktové weby), zase to bude mít pomocí virtualhostů na jedné IP adrese.

Nie, virtual host vyuzijete vtedy ak mate weby ktore nevytazia efektivne server, co pri sucastnych servroch nie je problem. Taktiez je to otazka ceny prevadzky toho webu.

Pouzit pre kazdu domenu A zaznam na tu istu adresu je fakt blby napad. Nie ste potom z PTR zaznamu schopny dostat validne canonical name. Naviac ak sa zmeni IP servru, tak musite v dns menit x zaznamov. Ak tie domeny mate ako alias na jeden A zaznam, tak pri zmene ip menite 1 zaznam.

To, o čem píšete vy, je rozvažování zátěže, kdy je jeden A/AAAA směrován na více IP adres. To používají větší weby, případně ty, které používají CDN. Ale i v takovém případě zase jedna CDNka typicky obsluhuje spoustu webů, takže na jednu IP adresu vedou spousty záznamů.

Nie, to je koli redundacii. Je to sice mozne pouzit pre rozvazovanie zataze, ale ak mate schopneho admina, tak vam rozbeha load balancer, ktory pouzije oprimalnejsi sposob rozvazovania zataze ako browser, pretoze vidi ako su zatazene servre. A urobi to napr. 2x koli redundancii na 2 roznych IP.

Evidentně patříte k té většině, která neví, co CNAME doopravdy znamená a jak se při překladu používá.

Kód: [Vybrat]

example.org.     IN A     198.51.100.2
www.example.org. IN CNAME example.org.

Co z 'www.example.org' a 'example.org' je podla vas alias a co canonical name? A aku mate predstavu ze sa to pouziva? Ja som zvyknuty na to ze resolver pri dotaze na 'www.example.org' zisti ze ide o alias 'example.org' a vrati IP pre canomical name 'example.org'... Ako sa to pouziva podla vas?

47

Sítě / Re:Neshoda reverzních záznamů u odesílajícího SMTP

« kdy: 02. 12. 2022, 13:29:43 »

Aha, chapem v podstate sa nerozporujeme, len ste zamrzol na vlastnej domienke ako som to myslel. Pisal som "...kazdy klient sa prihlasi...", nepisal som nic na sposob "... kazdy server v MX zaznamoch je klient SMTP...", ak to niekde vidite tak budte konkretnejsi 

Nepletiete si to tak trochu? Bezna prax je ze jedno domenove meno je mapovane na viacero IP adries. Kdezto s pripadom ze viacero canonical names mapovanych na jednu IP je nastastie malo caste.

Ad CNAME, neviem k comu je urcene vo vasom vesmire, ale vacsinou sa pouziva k tomu podla toho coho je nazvane. Mapuje alias na Canonical NAME.

48

Sítě / Re:Neshoda reverzních záznamů u odesílajícího SMTP

« kdy: 02. 12. 2022, 10:55:05 »

Bavíme se o názvech SMTP klienta, MX záznamy s tím nemají nic společného. To, že nějaké zařízení odesílá e-maily pro nějakou doménu vůbec neznamená, že to samé zařízení bude nějaké e-maily přijímat.

Kazdy host ktory sa prihlasi ako klient k SMTP servru, sa predstavi za HELO svojim canonical name, vratane podmnoziny MTA uvedenych v MX zazname.

Pokud je řeč o MX záznamech (které ovšem nesouvisí s původní diskusí), pak je to pravda. Pokud o A/AAAA záznamech, pak to v žádném případě není pravda – na stejnou IP adresu můžou vést stovky A záznamů. (U AAAA bych spíš preferoval samostatné IPv6 adresy, ale i tam není nic proti ničemu, když na stejnou IPv6 adresu povedou desítky či stovky AAAA záznamů.)

Tak mozete si ich tam dat, ale pravdepodobne vam to rozbije PTR zaznamy. Bezpecnejsie je pouzivat aliasy.

Nicméně pro poštovní server to platí daleko víc, než pro jiné servery. Když špatně nakonfigurujete DNS nebo HTTP server, poškodíte maximálně své vlastní uživatele (ty, kteří chtěli třeba jít na váš web). Když špatně nakonfigurujete poštovní server, bude rozesílat spam a viry, a budete tím škodit celému světu.

To na zaver bolo myslene skor tak aby to bolo replikovatelne a auditovatelne...

49

Sítě / Re:Neshoda reverzních záznamů u odesílajícího SMTP

« kdy: 02. 12. 2022, 09:47:25 »

1 Zajímá mě praxe, jestli to  není chyba, nebo třeba jen flag pro nižší skóre. Vím, že jde nakonfigurovat třeba že se to musí rovnat(uvedený v HELO a zjištěný , případně že nesmí být ve tvaru dynamické IP a taky že třeba zpětný záznam musí existovat  ...

Za EHLO(HELO) nasleduje skutocny nazov hostu (canonical name) ktory suvisi s A alebo AAAA zaznamom v dns. PTR zaznam vznika na zaklade A alebo AAAA zaznamu, ak najdete reverzny zaznam, ktory nekoresponduje s A alebo AAAA zaznamom, tak je chyba u prevadzkovatela DNS.

Co je

tvar dynamickej IP

? Dynamicka adresa viem co je, viem ako vznikne. Mna skor zaujima co si predstavujete pod tou frazou vy.

2 A z druhé strany, jestli je nutné aby se HELO řetězec musí rovnat  zpětnému doménovému jménu adresy počítače. TO znamená že mám nějaké ptr název daného počítače, ale v HELO chci uvádět jiné jméno. Samozřejmě obě vedou na tutéž IP

Za HELO musi byt canonical name. Ak mate v MX zaznamoch pre danu domenu viac SMTP servrov, tak sa kazdy ohlasi svojim skutocnym menom (hostname). V DNS by nemali byt dva zaznamy ktore vedu na tu istu IP.

3 Hint: tak se z druhé strany (tedy v případě naslouchání příchozí pošty) odhalí spameři: posílají poštu adresátovi ptrjmeno.domena.cz místo  domena.cz. kupodivu na mx.domena.cz neposílají vůbec

Tak to neposielaju len  spamery, tak to normalne funguje. Klient si z MX zaznamu pre domenu zisti nazvy SMTP servrov, to su tie ktore su v A alebo AAAA zaznamoch, tym padom aj v PTR zazname.

4 Například mxe{1,2} neexistují (může jít ale o historická DNSdata, protože to bylo resolvováno Teď, ale data jsou historická až pár měsíců)... Ono když si vyzkoušíte ty adresy ze seznamu, jsou to unikátní situace, dostanete se do různých grafů., částečně tím, že jak A, tak/nebo PTR záznamy jsou vícepoložkové. Než když je to siutace, kdy to souhlasí přesně 1:1. (což právě ve výpisu nemám, díky parametru -v grepu)

Takze, mail servery pre domenu seznam.cz:

Kód: [Vybrat]

$ dig seznam.cz MX
seznam.cz.              48      IN      MX      20 mx2.seznam.cz.
seznam.cz.              48      IN      MX      10 mx1.seznam.cz.

To odpoveda adresam:

Kód: [Vybrat]

$ dig mx1.seznam.cz
mx1.seznam.cz.          288     IN      A       77.75.76.42
mx1.seznam.cz.          288     IN      A       77.75.78.42
$ dig mx2.seznam.cz
mx2.seznam.cz.          10      IN      A       77.75.78.32
mx2.seznam.cz.          10      IN      A       77.75.76.32

Reverzne zaznamy:

Kód: [Vybrat]

$ dig -x 77.75.76.42
42.76.75.77.in-addr.arpa. 3046  IN      PTR     mx1.seznam.cz.
$ dig -x 77.75.78.42
42.78.75.77.in-addr.arpa. 99    IN      PTR     mx1.seznam.cz.
$ dig -x 77.75.76.32
32.76.75.77.in-addr.arpa. 3600  IN      PTR     mx2.seznam.cz.
$ dig -x 77.75.78.32
32.78.75.77.in-addr.arpa. 300   IN      PTR     mx2.seznam.cz.

Vsetko je v najlepsom poriadku co sa tyka DNS. Vsetky PTR su unikatne a koresponduju s A zaznamom.

Par rad na zaver:
1. Fakt nieco spravte s tou terminologiou. Toto je ako ked casnikovy v Mexiku zahlasite "el rizek, el brambor". Tiez si nebude isty tym ci mu nahodou nenadavate.

2. To co najdete na SO a diskusiach, nepiste priamo do terminalu. Metoda pokus-omyl vam na tej instancii zanecha bordel, ktory pozmeni chovanie tak ako to nechcete. Pouzite nap. ansible, s tym ze citive udaje ulozite do vaultu. Pri vacsich zmenach a ked budete mat pocit ze je hotovo, tak povodny server zmazte a pustite playbook nanovo. Naviac ten playbook mozete ukazat niekomu kto vie ako to konfigurovat a moze vam rovno napisat co nerobite dobre.

3. Ak sa vam nechce citat manualy, co zrejme nechce (terminologia), tak si zaplate niekoho kto to nakonfiguruje miesto vas.

Vsetky 3 body platia nie len pre mail server ale aj pre ostatne servre co si chcete hostovat doma.

50

Server / Re:Snapshot aktuálního stavu v MariaDB

« kdy: 27. 11. 2022, 00:16:10 »

Ak tam mas len DML tak transakcia, do povodneho stavu sa vratis pomocou rollback... ak tam mas DDL tak smola, mysql to nevie...

51

Server / Re:MySQL - pětiminutové průměry hodnot v tabulce

« kdy: 23. 11. 2022, 17:35:46 »

V mysql to musite suplovat cez Prety Html Preprocesor. V postgrese mozete pouzit GROUPING SETS alebo timescale extension ktory vam da hypertabulky.

52

Server / Re:SQLite a utf8mb4_unicode_ci collation

« kdy: 31. 10. 2022, 18:26:45 »

Ja som pocital s tym ze sqlite to proste odignoruje ked to nepozna.

Tak, to ani nikdo nechce aby to ignorovala. Ak sa niekto preklepne, a miesto utf8 tam napise urf8, tak clovek caka ze to hodi chybu, nie to v tichosti prejde a pouzije systemove nastavenie, ktore bude pravdepodobne utf8, ale nie je to zarucene.

53

Server / Re:SQLite a utf8mb4_unicode_ci collation

« kdy: 31. 10. 2022, 18:17:40 »

Chtěl jsem namítnout Oracle DB, ale uznávám, tam je to ještě horší ;-)

Tak ono ani nejde tak o to pomenovanie, ale o to ze nemozete napisat proste utf8, pretoze je to alias k utf8mb3. Poste mysql utf8 != standartne utf8, standartne utf8 == mysql utf8mb4.

54

Server / Re:SQLite a utf8mb4_unicode_ci collation

« kdy: 31. 10. 2022, 13:35:18 »

V mysql je utf8 alias k utf8mb3 (max 3 byte na znak, deprecated). Preto ak sa chce pouzit plna utf8 tak treba pouzit utf8mb4 (max 4 byte na znak). V ziadnej inej db to takto blbo riesene nie je, preto to ziadna db nepozna.

Polozit si mysql ako standart a dodatocne k nemu ohybat pripojenie k inym sql db je skutocne zly napad.

55

Sítě / Re:Veřejná IPv4 a IPv6 a bezpečnost

« kdy: 21. 10. 2022, 10:18:08 »

Njn, to je na zhodenie zo schodov. Ked tak korektne zdrojaky toho "scaneru" : https://github.com/samyk/webscan Ked si tie zdrojaky prezriete, tak zistite ze nie je dovod na nejake velke obavy.

56

Vývoj / Re:Rozdělení úloh v týmu: vývoj, testování, CI/CD

« kdy: 21. 10. 2022, 10:00:16 »

Moje zkušenost ve "formálnějším" prostředí je taková, že aby vůbec bylo možné udělat merge request, musí být splněný checklist. Checklist obsahuje mimo jiné to, že to projde testy, že to prošlo přes code review atd. Připomínka od to_je_jedno je v tomto rámci naprosto namístě. Setkal jsem se i s tím, že checklist nebylo třeba splinit u commitů, jejichž message začíná na "WIP:", kde se větší featura rozdělí třeba na více commitů, aby byla v několika commitech zdokumentovaná cesta a důvod velkých změn. Jenže na takový commit zase není možné uvalit merge request...

K akemu ucelu potom vo vasom "formalnejsom" prostredi sluzi "merge request"?

Pri merge requeste nejde o fyzicke zlucenie vetvi. Je to zalezitost gitlabu (github, bitbucket ma pull request), nie samotneho gitu. Aby to bolo funkcne tak ten merge request musi reflektovat aj commity poslane do branche po vytvoreni merge requestu (opravy, upravy, etc), a aj tie musia prejst checklistom. Ak je check list splneny, tak ten kto ma na to prava merge request dokonci - prebehne samotne merge.  Dokonca v niektorych pripadoch mozu testy v CI fronte prebehnut aj po merge, realne hotovo je az vtedy, ked sa zavola push.

57

Sítě / Re:Veřejná IPv4 a IPv6 a bezpečnost

« kdy: 21. 10. 2022, 08:39:59 »

to neni pravda. fakt nechapu kam na to dw chodis...

Co konkretne?

58

Sítě / Re:Veřejná IPv4 a IPv6 a bezpečnost

« kdy: 21. 10. 2022, 00:59:04 »

Ak mate verejnu IPv4 tak si ju urcite  nechajte. On vas router ma tiez NAT, aby bolo mozne na IPv4 prevadzkovat viac ako 1 zariadenie. Cize ak tu IPv4 vratite a provider vas hodi za svoj nat, tak to uz problemy robit moze.

Ad NAT a bezpecnost:

Ak utocnik nema moznost oscanovat siet na ktoru chce utocit, tak moze len hadat a tym sa cena utoku vyrazne zvysi. Tym padom je vacsia pravdepodobnost ze  pojde skusat niekam inam.

Co sa tyka breberiek ktore si bfu nataha s crackmi a podobnym, tak nie je prave jednoduche otvorit port aplikacii ktora to nema povolene na FW pre windows alebo to nema povolene cez selinux. FW z distribucie widli, co sa tyka fw od (R)esetu neviem ci default blokuje moznost otvorit port neznamej aplikacii. Ci sa tyka breberiek ktore port neotvaraju ale len volaju domov, tak je uplne jedno ci tam ten nat je alebo nie je.

59

Vývoj / Re:Rozdělení úloh v týmu: vývoj, testování, CI/CD

« kdy: 20. 10. 2022, 11:17:21 »

Testy by mali prebehnut po merge requeste. Ak nedopadnu dobre, tak to nejde mergnut a autor to musi opravit.

PRED. Testy musi kompletne projit PRED mergem. To co jsi napsal nedava smysl.

Povedz si to este raz pomaly nahlas - "merge request" - "merge". Ak stale ostane zhasnute, tak opakuj...

60

Vývoj / Re:Rozdělení úloh v týmu: vývoj, testování, CI/CD

« kdy: 20. 10. 2022, 02:47:23 »

Tester doslova lusti kod a algoritmy aby vedel co ma byt na vstupe, co na vystupe? Ci vsetci pisete tak cisty, jednoduchy kod, ze je to z neho hned jasne? Tiez je vo zvyku, ze tester upravuje/preraba kod po programatorovi, ci len mu ho vrati s reportom z testu?

Tak testy by mali vychadzat zo zadania, nie z implementacie, inak su zbytocne. Casto su napisane este pred implementaciou zadania.

Testy by mali prebehnut po merge requeste. Ak nedopadnu dobre, tak to nejde mergnut a autor to musi opravit.

Ale chce to v teame niekoho kto by bol realne schopny robit analytika/architekta a rozumie tomu.