Kam umístit soukromý e-mail?

[Screemy]

Mailserver doma bych tedy nechtel. Na to vam bude porad nekdo utocit, aby si z toho mohl posilat spam, ze budete mit uplne ucpanou linku.

Mám doma server cca 5 let a neřekl bych, že mi na něj někdo útočí nebo rozesílá spam 

Docela me prekvapuje, ze mate na verejne ip na standardnim portu server a nikdo se do nej nepokousi nabourat. Asi vas nemaji radi, protoze kdyz ja mel na verejne na standardnim portu ssh, tak se tam porad nekdo zkousel dostat a kdyz to zacalo delat desitky tisic pokusu za den, nahodil jsem denyhosts a jeste prehodil server na divny port, aby nebylo kazdemu jasne, co tam je.
[/quote]

Ale my se nebavili o standardu :-)

Je jasné, že pokud chci mít doma server, default porty se musí zmenit (to kazdopadne menim pokazde i na "klasickych" serverech) na co vyuzivat defaulty, k cemu je to dobre? Akorad na sebe "upozornit"

Pokud necháváte servery v defaultu (porty) tak se nedivím, že jste / byl jste snadnou "kořistí"

[Reklama]

[Screemy]

Mailserver doma bych tedy nechtel. Na to vam bude porad nekdo utocit, aby si z toho mohl posilat spam, ze budete mit uplne ucpanou linku.

A odkdy je potřeba, aby spamující počítač musel již před nabořením fungovat jako mailserver?

Zalezi jaky je to server a k cemu ma slouzit ... z DB ci FILE serveru me asi nikdo emaily posilat nebude (SPAM)...

[Ondro]

Docela me prekvapuje, ze mate na verejne ip na standardnim portu server a nikdo se do nej nepokousi nabourat. Asi vas nemaji radi, protoze kdyz ja mel na verejne na standardnim portu ssh, tak se tam porad nekdo zkousel dostat a kdyz to zacalo delat desitky tisic pokusu za den, nahodil jsem denyhosts a jeste prehodil server na divny port, aby nebylo kazdemu jasne, co tam je.

Urcite sa k nemu niekto pokusa naburat. Nevidel som verejnu pevnu IP(presnejsie IPv4), na ktoru by sa niekto nechcel naburat. Mam verejnu IP a na nej par sluzieb a permanentne sa niekto pokusa prelomit niektoru zo sluzieb alebo dostat sa na router. Aj teraz sa z cinskej IP niekto pokusa dostat cez ssh(1-2 pokusy za sekundu), vecsinou to po nejakom case vzda a namiesto neho nastupi niekto iny.  Raz pri dlhodobom pokuse som sa pokusal kontaktovat ISP aby to skusil preverit IP ale ten na to zvysoka kaslal. Nemam extra rychlu linku, tak ak je utok intenzivny, tak je to aj citit na rychlosti interentu.

[Filip Jirsák]

Je jasné, že pokud chci mít doma server, default porty se musí zmenit

Mně to jasné není.

Navíc změna portů neznamená, že na vás přestanou útočit. Akorát o těch útocích nejspíš nevíte a útok skončí v dřívější fázi (už při navázání spojení).

Pokud necháváte servery v defaultu (porty) tak se nedivím, že jste / byl jste snadnou "kořistí"

Snadnou kořistí je spíš ten, kdo si myslí, že změna portů nějak pomůže proti útokům.

Urcite sa k nemu niekto pokusa naburat. Nevidel som verejnu pevnu IP(presnejsie IPv4), na ktoru by sa niekto nechcel naburat.

Jistěže se mu někdo pokouší na server dostat. Jenže on před tím zavře oči, a tím problém „vyřešil“.

[tomasfuk]

ZOHO

vlastní doména, pět uživatelů zadarmo

Pokud chcete platit pak google nebo microsoft. U microsoftu je výhoda exchange protokolu.

[Reklama]

[JardaP .]

A odkdy je potřeba, aby spamující počítač musel již před nabořením fungovat jako mailserver?

Tak to potreba neni, ale zrovna u mailserveru bych si predstavoval, ze bude chtit setrvavat na nekterem ze standardnich portu, aby ostatni servery vedely, jak se k nemu prokousat. Zatimco ssh si muzu hodit na libovolny port, protoze neni treba sdelovat celemu svetu, ktery port to je a staci, kdyz si to pamatuji sam, u SMTP serveru to nebude tak jednoduche. A jak mam neco na standardnim portu, utoky jsou zaruceny.

Zalezi jaky je to server a k cemu ma slouzit ... z DB ci FILE serveru me asi nikdo emaily posilat nebude (SPAM)...

Ano, to zalezi. A tady je rec o mailserveru, tak nevim, proc sem tahate DB ci file servery. Krome toho i ty na defaultim portu zvysuji sanci utoku, zejmena, pokud pouzivaji nejaky svuj specificky, dostatecne proflaknuty port a vcera na bugtraqu psali o nove vulnerabilite, kterou nemate zalepenou, protoze jste na dovolene v Gronsku a v te ledove jeskyni tam nemate Internet. Takze nez se nadejete, mate z DB serveru SMTP server pro spamery, kteri to tam husti, co linka utahne.

Navíc změna portů neznamená, že na vás přestanou útočit. Akorát o těch útocích nejspíš nevíte a útok skončí v dřívější fázi (už při navázání spojení).

Zmena portu vetsinou konec utoku znamena. Vetsina utoku je automaticka a z uspornych duvodu neskanuji z kazde ip vsechny porty, ale jen ty dolni nebo jeste spise jen ty, ktere je zajimaji nebo ty, na kterych jedou zname sluzby. Kdyz tedy ssh presunu z 22 na treba 7689, tak jim domaci router na scan portu 22 ani neodpovi a portu 7689 se nikdo temer s jistotou nedotkne. Presunuti sluzby na jiny port na 1023 zpusobi v logach temer absolutni ticho.

[Filip Jirsák]

Zmena portu vetsinou konec utoku znamena. Vetsina utoku je automaticka a z uspornych duvodu neskanuji z kazde ip vsechny porty, ale jen ty dolni nebo jeste spise jen ty, ktere je zajimaji nebo ty, na kterych jedou zname sluzby. Kdyz tedy ssh presunu z 22 na treba 7689, tak jim domaci router na scan portu 22 ani neodpovi a portu 7689 se nikdo temer s jistotou nedotkne. Presunuti sluzby na jiny port na 1023 zpusobi v logach temer absolutni ticho.

Změna portu neznamená, že na vás přestanou útočit. On ten útočník předem nemůže vědět, že na daném portu nic není. Takže zkusí navázat spojení za účelem napadení serveru – a to už je ten útok. Akorát v případě, že služba není na daném portu dostupné, skončí útok už tím, že se nepodaří navázat spojení; pokud tam služba dostupná je, skončí útok například kvůli nepodporované metodě přihlášení.

Presunuti sluzby na jiny port na 1023 zpusobi v logach temer absolutni ticho.

To, že útoky nelogujete, neznamená, že neexistují.

[Karel]

Já když pustím na síť nový počítač, tak mu něco začne olizovat porty do půl hodiny. Nejpozději druhý den pak v logu vidím tisíce pokusů o přihlášení na všechny možné porty a služby. Někdy to bývá pár desítek tisíc pokusů o příchozích spojení za jedinou noc.

Jak je tedy možné, že někomu na počítač nikdo neútočí? Je na to nějaký trik? Já pokud to nedám za firewall, tak to log plní rychle a pravidelně.

[Tonda]

Pokud chcete platit pak google nebo microsoft. U microsoftu je výhoda exchange protokolu.

V placené variantě má Exchange ActiveSync i Google.

[JardaP .]

Změna portu neznamená, že na vás přestanou útočit. On ten útočník předem nemůže vědět, že na daném portu nic není.

A o to take jde. Utocnik nevi, ze tam nic neni, tak to zkusi a jde utocit na Jirsaka, ktery ma ssh porad na portu 22, protoze se rozhodl utokum odolavat, namisto aby se jim vyhnul.

Takže zkusí navázat spojení za účelem napadení serveru – a to už je ten útok.

Ne, to je leda tak scan. A ten mi muze byt ukradeny, na rozdil od desitek tisic zaznamu v auth logu kvuli neuspesnemu prihlaseni do sluzby nebo jeste hure probourany server kvuli nejake dire, o ktere utocnik vi a ostatni jeste ne.

Akorát v případě, že služba není na daném portu dostupné, skončí útok už tím, že se nepodaří navázat spojení;

O coz mi take celou dobu jde, kvuli tomu to delam.

To, že útoky nelogujete, neznamená, že neexistují.

Ty utoky neloguje router, protoze tyhle krabicky s trochou RAM a trochou flash na to nemaji uloziste. Kdyz te port presmeruju na stroj, kde nejaka sluzba bezi, tak se to logovat zacne a ja se v tom pak mam prehrabovat.

[to_je_jedno]

Pokud necháváte servery v defaultu (porty) tak se nedivím, že jste / byl jste snadnou "kořistí"

Na portech vubec nezalezi.

[to_je_jedno]

A jinak co se tyce emailu tak v mych ocich nikdo jeste nezprovoznil nic lepsiho/vyhodnejsi nez je gmail. Mobilni appka Inbox je vec kterou presne trefili zpusob pouzivani mailu v mobilu. Bezpecnost? Ze vsech spatnych moznosti je pro me google/NSA ta nejmene spatna.

[tom1]

Nedavno jsem to resil. Skoncil jsem u placeneho Gmailu. Pokud si proctete podminky, zjistite, ze zachazi s daty o dost jinak nez free varianta. Predtim jsem mel mail na vlastnim serveru, ale spravovat to a pripadne zacit resit spam nebo proc nekomu mail ode me neprisel jsem nechtel. Jinak Gmail je jeden z mala (vlastne jsem nenasel jiny) s podporou IPv6. Take jsem zvazoval Protomail, ale pro vice domain aliasu uz to vychazelo dost draho.

[Screemy]

A odkdy je potřeba, aby spamující počítač musel již před nabořením fungovat jako mailserver?

Tak to potreba neni, ale zrovna u mailserveru bych si predstavoval, ze bude chtit setrvavat na nekterem ze standardnich portu, aby ostatni servery vedely, jak se k nemu prokousat. Zatimco ssh si muzu hodit na libovolny port, protoze neni treba sdelovat celemu svetu, ktery port to je a staci, kdyz si to pamatuji sam, u SMTP serveru to nebude tak jednoduche. A jak mam neco na standardnim portu, utoky jsou zaruceny.

Zalezi jaky je to server a k cemu ma slouzit ... z DB ci FILE serveru me asi nikdo emaily posilat nebude (SPAM)...

Ano, to zalezi. A tady je rec o mailserveru, tak nevim, proc sem tahate DB ci file servery. Krome toho i ty na defaultim portu zvysuji sanci utoku, zejmena, pokud pouzivaji nejaky svuj specificky, dostatecne proflaknuty port a vcera na bugtraqu psali o nove vulnerabilite, kterou nemate zalepenou, protoze jste na dovolene v Gronsku a v te ledove jeskyni tam nemate Internet. Takze nez se nadejete, mate z DB serveru SMTP server pro spamery, kteri to tam husti, co linka utahne.

Navíc změna portů neznamená, že na vás přestanou útočit. Akorát o těch útocích nejspíš nevíte a útok skončí v dřívější fázi (už při navázání spojení).

Zmena portu vetsinou konec utoku znamena. Vetsina utoku je automaticka a z uspornych duvodu neskanuji z kazde ip vsechny porty, ale jen ty dolni nebo jeste spise jen ty, ktere je zajimaji nebo ty, na kterych jedou zname sluzby. Kdyz tedy ssh presunu z 22 na treba 7689, tak jim domaci router na scan portu 22 ani neodpovi a portu 7689 se nikdo temer s jistotou nedotkne. Presunuti sluzby na jiny port na 1023 zpusobi v logach temer absolutni ticho.

DB ci FILE server sem tahám z toho důvodu, že přispěvatel předemnou napsal: A odkdy je potřeba, aby spamující počítač musel již před nabořením fungovat jako mailserver? takže asi tak :-)

Pokud necháváte servery v defaultu (porty) tak se nedivím, že jste / byl jste snadnou "kořistí"

Na portech vubec nezalezi.

Jistěže záleží :-)

Dokážete si představit, jak by se utočníkovi vyplatilo k jedné IP adrese skenovat celý rozsah možných portů? Časové náročná a neefektivní práce, proto 99% botů, které na netu útočí mají definované porty, které testují ... když se nepřipojí, jdou na jinou IP ...

Zmena portu vetsinou konec utoku znamena. Vetsina utoku je automaticka a z uspornych duvodu neskanuji z kazde ip vsechny porty, ale jen ty dolni nebo jeste spise jen ty, ktere je zajimaji nebo ty, na kterych jedou zname sluzby. Kdyz tedy ssh presunu z 22 na treba 7689, tak jim domaci router na scan portu 22 ani neodpovi a portu 7689 se nikdo temer s jistotou nedotkne. Presunuti sluzby na jiny port na 1023 zpusobi v logach temer absolutni ticho.

Změna portu neznamená, že na vás přestanou útočit. On ten útočník předem nemůže vědět, že na daném portu nic není. Takže zkusí navázat spojení za účelem napadení serveru – a to už je ten útok. Akorát v případě, že služba není na daném portu dostupné, skončí útok už tím, že se nepodaří navázat spojení; pokud tam služba dostupná je, skončí útok například kvůli nepodporované metodě přihlášení.

Presunuti sluzby na jiny port na 1023 zpusobi v logach temer absolutni ticho.

To, že útoky nelogujete, neznamená, že neexistují.

Já Vám pane nevím, ale ....

když si asi něco měním tak nezměním jen jednu věc (port) ale změním i řadu dalších věcí, abych si to mohl odchytávat ne?

[JardaP .]

když si asi něco měním tak nezměním jen jednu věc (port) ale změním i řadu dalších věcí, abych si to mohl odchytávat ne?

To jiste, vyvinu extra usili, abych mohl logovat pokusy o spojeni na port, ktery dela mrtveho brouka, protoze to se vyplati. Akorat nevim, co s temi zaznamy v logu budu delat. Mam je posilat cinskemu ministerstvu vnitra, ze mi cinske pocitace utoci na porty me verejne ip?