Tipy - Jiri Brejcha

Jak nastavit Sender Policy Framework (SPF) záznam?

Co vlastně SPF znamená?

Jak už název Sender Policy Framework napovídá, jedná se o technologii, která na základě adresy odesílatele e-mailu ověřuje, zda je poštovní server, ze kterého zpráva přisla, autorizován odesílat e-maily pro danou doménu.

Jinak řečeno. Za pomoci SPF jsem schopen definovat, kterým poštovním serverům dám možnost odesílat poštu za mou organizaci. Všechny ostatní zakáži.

Tak například – z ryze administrátorského hlediska. Mám ve firmě dva poštovní servery. Chci, aby oba mohli nadále odesílat a přijímat poštu pro firemní domény, ale chci zabránit, aby někdo cizí odesílal podvržené zprávy, tvářící se, že pocházejí z naší firmy. Nastavím tedy SPF. Oba naše poštovní servery jsou vedeny v MX záznamu na našem DNS serveru. Vyhovuje nám tedy následující podoba záznamu: “v=spf1 mx -all”. Problém vyřešen.

Co mi SPF přinese?

V prvé řadě bude moci každý cílový poštovní server, kam posíláte e-mail, ověřit, že zpráva pochází z vašeho poštovního serveru a nejedná se o podvržený e-mail, tvářící se, že přichází z vaší organizace. Funguje to i naopak. Pokud váš mail server podporuje SPF technologii, každý příchozí e-mail do vaší firmy, bude prověřen, zda pochází z autorizovaného zdroje.

Jaké jsou nevýhody této technologie?

Asi nejpodstatnější nevýhodou se zdá být zvýšený počet DNS dotazů, což vede k vyššímu vytížení DNS serverů. Pokud se ve vašem záznamu použijete příkaz include, pak se cílový server dotazuje vaší domény a k tomu ještě includované domény. Jestli vám include nic neříká, pro tuto chvíli na něj klidně zapoměňte. Dočtete se o něm dále.

Pro koho je SPF vhodné?

SPF by mělo zajímat každého správce poštovního serveru a každou organizaci, která si alespoň trošku základá na důvěryhodnosti své elektronické poštovní komunikace.

Pro koho SPF není vhodné?

Obecně se uvádí, že se Sender Policy Framework mohou mít problém mobilní uživatelé, kteří za den vystřídají několik různých připojení, poskytovatelů a hlavně poštovních serverů. Ale v dnešní době jsou pěkná řešení i na tuto problematiku. Možností je opravdu hodně, zmiňme například možnost VPN připojení do firemní sítě, Outlook Anywhere (RPC over HTTPS) či Outlook Web Access.

Je potřeba záznam nějak průběžně měnit nebo ho stačí nastavit jednorázově?

Odpověď je v zásadě jednoduchá. Záznam jednou vytvoříte a nemusíte se o něj nikterak starat. Rozumné je ale vše zkomunetovat a především mít na paměti, že nějaký takovýto záznam pro vaší doménu používáte. Úpravu SPF je třeba provést zpravidla v případě změny vašeho ISP, hostingu a změny vašeho poštovního řešení.

Co pro oživení SPF musím udělat?

Na vašem DNS serveru je potřeba přidat SPF záznam ve formátu TXT. Tím je vše hotové. Některé firmy používají DNS servery svých wehosterů či providerů. Změnu DNS záznamů je pak potřeba provést přes webové rozhraní či písemným požadavkem.

Chcete-li kontrolovat příchozí poštu pomocí SPF, zapněte tuto funkci na vašem poštovním serveru. Zprávy přijaté od neautorizovaných serverů, pak budou zahazovány a bezpečnou cestou tak snížíte množství příchozího spamu a podvržených e-mailů.

Jak to funguje?

1. Jirka z firmy1 odesílá e-mail kolegovi Petrovi z firmy2.

2. Poštovní server firmy1 zprávu zpracovává a odesílá pomocí SMTP na server firmy2, kde pracuje Petr.

3. Firma2 používá na svém poštovním serveru antispamové řešení, které mimo jiné umí vyhodnocovat SPF. Zpráva od Jirky je přijata a podléhá spamové kontrole a ověření pomocí SPF. Server se dotazuje DNS serveru, který drží SPF záznam pro firmu1.

4. Ten pak odpovídá a vrací výsledek dotazu.

5. Server firmy2 zjistí ze SPF záznamu, zda je server firmy1 oprávněn odesílat poštu za doménu firma1.cz. Pakliže ano, je zpráva doručena Petrovi. V opačném případě je e-mail označen jako spam.

Správná syntaxe záznamu a příklady

Nyní už víme, že SPF je TXT záznamem v DNS a jak přibližně vypadá komunikace mezi servery. Pojďme přejít k samotné podobě záznamu.

Nejjednodušší záznam vypadá takto: “v=spf1 -all”

Co to znamená? Vaše doména nepoužívá e-mail. Máte na ní například jen webové stránky a poštu odesíláte z jiné domény k tomu určené. Jakýkoliv e-mail pocházející z domény s tímto záznamem bude po vyhodnocení SPF zahozen, případně označen jako spam. “-all” na konci znamená, že žádný autorizovaný server neexistuje.

O poznání zajímavější je: “v=spf1 mx -all”

Výraz se vyhodnocuje zleva doprava. MX znamená, že všechny servery, které jsou uvedeny ve vašich MX záznamech budou považovány za důvěryhodné a SPF je vyhodnotí jako autorizované. Všechny ostatní budou díky “-all” označeny jako neautorizované.

“v=spf1 mx mx:mail.firma1.cz -all”

Má stejný výsledek jako předchozí výraz s tím rozdílem, že mezi oprávněné servery získáné z MX záznamů přidáváme mail.firma1.cz.

“v=spf1 include:mujisp.cz -all”

Dejme tomu, že jsme malá firma a chceme ušetřit za investice do vlastního serveru. Náš ISP bude firma mujisp.cz. Domluva zní tak, že poštu budeme posílat přes jeho server. Náš SPF záznam tedy může vypadat právě takto. Include zajistí, že se přečte SPF záznam z domény providera mujisp.cz a jeho obsah bude považován za náš. Provider musí mít SPF nastaven.

“v=spf1 ip4:192.168.0.1/16 -all”

Poslední ukázka demonstruje přidání poštovních serverů z IP rozsahu 192.168.0.1 – 192.168.255.255 mezi důvěryhodné. Všechny ostatní vyhodnotí jako zakázáné.

Závěr

SPF není všelék na spam, ale rozhodně stojí za to, ho zavést. Vytvoření zabere jen několik desítek minut a pak již vše pracuje za vás. K dispozici jsou také velmi povedené nástroje pro vytvoření a případně i ověření správnosti vašeho SPF záznamu.

Zdroje

Nástroje pro vytvoření: http://old.openspf.org/wizard.html
Nástroje na otestování: http://www.openspf.org/Tools
Microsoft SPF Record Wizard: http://www.microsoft.com/…/wizard/
Syntaxe: http://www.openspf.org/SPF_Record_Syntax
Časté chyby: http://www.openspf.org/FAQ/Common_mistakes

Video – Jak nastavit SPF?

Ovládejte Google klávesnicí

Google Experimental Labs mimo jiné nabízejí k vyzkoušení funkci Keyboard shortcuts, která radikálně usnadňuje navigaci na stránce s výsledky vyhledávání. Za pár týdnů používání jsem si na ní velmi přivykl. I když jsem byl zpočátku skeptický, musím uznat práci s vyhledávačem dokáže zpříjemnit a urychlit.

Pomocí několika málo kláves dokážete při vyhledávání nahradit myš:

J – Selects the next result.
K – Selects the previous result.
O – Opens the selected result.
<Enter> – Opens the selected result.
/ – Puts the cursor in the search box.
<Esc> – Removes the cursor from the search box.

Malá nepříjemnost ovšem nastává pokud používáte integrované vyhledávání v IE 7.0. Mám na mysli vyhledávací box vpravo nahoře v browseru (CTRL+E). Ten totiž zobrazí výsledky správně, ale funkce Keyboard shortcuts se neaktivuje a klávesové zkratky jsou tudíž nefunkční.

Jak to napravit? V registrech stačí v seznamu poskytovatelech vyhledávání upravit původní záznam Googlu.

Původní konfigurace:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{E3BCC493-848C-436E-ACE2-CEC57C2E7531}]
“DisplayName”=”Google”
“URL”=”http://www.google.cz/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}”

Po úpravě:

Programy pro správu oken a plochy na více monitorech

Dnešním trendem je nákup stále větších LCD monitorů a dva monitory jsou k vidění stále u více pracovních stanic. S narůstající plochou si dříve nebo později uvědomíte, že by bylo dobré si v rozložení oken a plochy udělat pořádek. Právě k tomu poslouží níže uvedené utility. Nežáleží, zda máte na stole dva 20″ LCD panely nebo jeden 30″. Nástroje tu jsou pro všechny. U více monitorové konfigurace jde hlavně o přesun oken z jednoho monitoru na druhý a přehledný seznam otevřených oken. V případě, že máte jeden velký displej zde je koncept trošku odlišný. Tady se objevuje snaha efektivně rozmístit na celou plochu monitoru 2 nebo 3 okna, tak aby byla současně viditelná všechna a nepřekrývala se. Dost bylo řečí, pojďme rovnou k věci.

GridMove – freeware

This tool was made taking in mind those who own big screens and keep organizing their windows. This program is specially useful for anyone that keeps more than 1 window on the screen at one time, because it helps the user to maximize the usable space of the monitor, by resizing the windows in a much easier way than moving and resizing them one by one.

http://www.donationcoders.com/jgpaiva/gridmove.html

Microsoft Scalable Fabric

Na tip Martina Žugece přihazuji ještě tuto utilitku z dílny Microsoft research. Abych se přiznal ovládání mě osobně přiliš nesedlo, ale rozhodně stojí za zmínku.

Scalable Fabric is a task management system for the Windows desktop. A central focus area, defined by you, contains windows that behave in the traditional way. When you drag a window into the periphery, it becomes smaller and continues to get smaller the closer you get to the edge of the screen. This makes it possible to keep windows open all the time, and change “minimize” to mean “return to the periphery”. Groups of windows can easily be created to represent different user tasks. Switching between groups is done simply by clicking on the task marker flag.

http://msmvps.com/blogs/martinzugec/archive/2008/03/07/microsoft-scalable-fabric.aspx

WinSplit Revolution – freeware

WinSplit Revolution is a small utility which allows you to easily organize your open windows by tiling, resizing and positioning your windows to make the best use of your desktop real estate.

http://www.winsplit-revolution.com/

Ultramon

UltraMon je výborný program, který vám pomůže s organizací programů, pokud používáte více monitorů. Do titulku přidá další tlačítka, pomocí kterých můžete program přehazovat z jednoho monitoru na druhý. Do vlastností programů přidá záložku, ve které si budete moci nastavit na které ploše se má program zobrazit a jak má být velký. Dále umí přidat přídavný panel na druhý monitor, který zobrazuje programy, které jsou pouze na druhém monitoru, to se může hodit, pokud nechcete pro přepínání programu se neustále vracet na primární monitor. UltraMon také umožňuje rychle měnit zobrazovací profily pro různé monitory. Také zajistí spuštění spořiče obrazovky na jiném monitoru. Na každém monitoru může být jiné pozadí. UltraMon také umí zajistit zrcadlení, tedy zobrazování stejné obrazovky na více monitorech. Podporuje více než 10 monitorů.

http://www.realtimesoft.com/ultramon/

Maxivista – trial

MaxiVista turns any spare PC into a second monitor for your main computer. No extra hardware required. You can seamlessly extend program windows across multiple screens like it would be a single big monitor. Increase your productivity by using multiple monitors.

http://www.maxivista.com/

Synergy – freeware

Synergy lets you easily share a single mouse and keyboard between multiple computers with different operating systems (Windows, Unix, Mac OS), each with its own display, without special hardware. It’s intended for users with multiple computers on their desk since each system uses its own monitor(s).

Redirecting the mouse and keyboard is as simple as moving the mouse off the edge of your screen. Synergy also merges the clipboards of all the systems into one, allowing cut-and-paste between systems. Furthermore, it synchronizes screen savers so they all start and stop together and, if screen locking is enabled, only one screen requires a password to unlock them all.

http://synergy2.sourceforge.net/

Jak vyexportovat nainstalované ovladače z počítače?

Možná to znáte. Máte před sebou kompletně nainstalovaný systém včetně všech ovladačů a software. Jednoho dne se rozhodnete změnit počítač a ouha. Před instalací nového stroje zjistíte, že jste ztratili instalační CD s drivery ke čtečce karet, wireless adaptéru a ještě pár dalších. Pokud není odkud ovladače stáhnout z internetu, nabízí se DriverMax. Umí vyexportovat vybrané ovladače ze stávajícího systému a ty pak můžete nainstalovat do nového počítače. Jednoduché, účinné, doporučuji. Podporuje Windows XP, Vista a Server 2003.

DriverMax: http://www.innovative-sol.com/drivermax/

SBS 2003 – Jak probudit počítač přes Vzdálené webové pracoviště?

Narazil jsem na zajímavý doplněk pro Small Business Server 2003. Přináší do rozhraní Remote Web Workplace (Vzdálené webové pracoviště) nové tlačítko pro vzdálené probuzení počítače, ke kterému se chcete připojit. Software plně využívá RWW a pomocí Wake on LAN technologie rozširuje jeho možnosti.

Vše vypadá velmi jednoduše i pro uživatele. Zatím jsem neměl možnost tento software vyzkoušet, ale pokud získáte nějakou praktickou zkušenost, budu velmi rád, když se o ni podělíte.

Podrobnější informace najdete na: http://dnn.sbstools.de/produkte/WakeOnLANfürRemoteWebArbeitsplatzRWW/tabid/654/Default.aspx

Zajímavé nástroje na měření propustnosti sítě

V praxi jsem mnohokrát narazil na úžasné hodnoty přenosové rychlosti, kterou deklarují výrobci u svých síťových produktů. Nutno dodat, že mnohokrát nejde jen o marketing a rychlost je opravdu zajímavá, ale skutečná využitelná rychlost přenosu pro data je mnohdy o hodně nižší. Není nad to, proměřit si vlastními silami propustnost sítě a zjistit, kde by případně mohlo být ono úzké hrdlo a na základě výsledků se zaměřit na jeho minimalizaci. Rychlost a latence jsou velmi ožehavým tématem bezdrátových sítí, a tak je testování reálné rychlosti přenosu celkem na místě.

Zaměřil jsem se hlavně na příkazové utility, které není problém spustit téměř kdekoliv. Navíc jsou velmi malé, a tak se vejdou i na sebemenší flash disk. Všechny zmíněné nástroje fungují na bázi klient server. Na jednom stroji spustím listener, z druhého se připojím a měření může začít. Kandidátem na vítěze by mohl být Iperf, který se mimo jiné pyšní podporou řady platforem, a a tak není problém ho provozovat pod Windows, Mac OS, Linuxem či Solaris. Podporuje ale také navíc logování výstupu a umí běžet jako služba pod Windows či démon pod Unixem. To se může hodit při měřeních, která běží několik hodin či dnů.

TTCP

Test TCP (TTCP) is a command-line sockets-based benchmarking tool for measuring TCP and UDP performance between two systems. It was originally developed for the BSD operating system starting in 1984. The original TTCP and sources are in the public domain, and copies are available from many anonymous FTP sites.

Web: http://www.pcausa.com/Utilities/pcattcp.htm

Iperf

While tools to measure network performance, such as ttcp, exist, most are very old and have confusing options. Iperf was developed as a modern alternative for measuring TCP and UDP bandwidth performance.
Iperf is a tool to measure maximum TCP bandwidth, allowing the tuning of various parameters and UDP characteristics. Iperf reports bandwidth, delay jitter, datagram loss.

Web: http://dast.nlanr.net/projects/Iperf/

Net IO

This is a network benchmark for, OS/2 2.x, Windows NT/2000 and Unix. It measures the net throughput of a network via NetBIOS, TCP and UDP protocols (Unix only supports TCP and UDP) using various different packet sizes. One instance has to run on one machine as a server process, another instance is used on another machine to perform the benchmark. When executed without arguments, the program will explain its usage.

Web: http://www.ars.de/ars/ars.nsf/docs/netio

MicroTik Bandwidth test tool for Windows

V tomto případě se jedná o grafickou utilitu fungující na stejném principu jako výše uvedené. Oproti Iperfu jsou možnosti této utility poměrně omezené. Zkoušel jsem verzi 0.1, takže snad přístí verze nabídnou větší nastavitelnost.

Web: http://www.mikrotik.com/download.html

Zkratky pro Windows Vista aneb jak rychle otevírat dialogy, konzoly a programy

Urychlete si správu Windows Vista. Velkou řadu dialogů a konzolí lze otevřít zadáním odpovídajícího příkazu do příkazového řádku. Kromě toho je můžete vyvolat pouhým vepsáním do řádku pro hledání, který se najdete ve spodní části Start menu.

Dialogy

appwiz.cpl – Program and Features
bthprops.cpl – Bluethoot properties
collab.cpl – Poeple Near Me
desk.cpl – Display settings
firewall.cpl – Windows Firewall settings
hdwwiz.cpl – Add Hardware
inetcpl.cpl – Internet Explorer properties
intl.cpl – Regional and Language Options
irprops.cpl – Infrared
javacpl.cpl – Java Control Panel
joy.cpl – Game controllers
main.cpl – Mouse properties
mmsys.cpl – Sound
ncpa.cpl – Network connections
powercfg.cpl – Power option
sysdm.cpl – System properties
tabletpc.cpl – Pen and Input Devices
telephon.cpl – Phone and Modem Options
timedate.cpl – Date and Time
wscui.cpl – Windows Security Center

Microsoft managment console

azman.msc – Autorization Manager
certmgr.msc – Certificates Manager
comexp.msc – Component Services
compmgmt.msc – Computer Management
devmgmt.msc – Device Manager
diskmgmt.msc – Disk Managemet
eventvwr.msc – Event Viewer
fsmgmt.msc – Shared Folder
gpedit.msc – Group Policy Object Editor
gpmc.msc – Group Policy Management Console
lusmgr.msc – Local Users and Groups
napclcfg.msc – NAP Client Configuration
perfmon.msc – Reliability and Performance Monitor
printmanagement.msc – Print Management
rsop.msc – Resultant Set of Policy
secpol.msc – Local Security Policy
services.msc – Services
taskschd.msc – Task Scheduler
tpm.msc – Trusted Platform Module
wf.msc – Windows Firewall with Advanced Security
wmimgmt.msc – WMI Management

Programy

calc.exe – Kalkulačka
cleanmgr.exe – Disk Cleanup
cmd.exe – Command Prompt
colorcpl.exe – Color Manager
CompMgmtLauncher.exe – Computer Management
ComputerDefaults.exe – Set Program Access and Computer Defaults
Control.exe – Control Panel
CredWiz.exe – Backup and restore your stored name and password
dfrgui.exe – Disk Defragmenter
dpiscaling.exe – DPI Scaling
dvdplay.exe – Windows Media Player
dxdiag.exe – DirectX Diagnostic Tool
uedcedit.exe – Provate Character Editor
eventvwr.exe – Event Viewer
FirewallControlPanel.exe – Firewall Control Panel
FirewallSettings.exe – Firewall Settings
hdwwiz.exe – Add Hardware Wizard
charmap.exe – Charakter Map (Mapa znaků)
lpksetup.exe – Language Pack Installer
magnify.exe – Magnificer (Lupa usnadnění)
mblctr.exe – Mobility center
mmc.exe – Microsoft Management Console
mrt.exe – Microsoft Windows Malicious Software Removal Tool
msconfig.exe – System Configuration
msdt.exe – Microsoft Diagnostic Tool
msinfo32.exe – System Information
mspaint.exe – Paint (Malování)
msra.exe – Microsoft Remote Asistance
mstsc.exe – Remote Desktop Connection
narrator.exe – Narrator (Hlasový výstup Windows)
netplwiz.exe – User Accounts
notepad.exe – Notepad (Poznámkový blok)
odbcad32.exe – ODBC Administration
OptionalFeatures.exe – Windows Features
osk.exe – On Screen Keyboard
perfmon.exe – Reliability and Performance Monitor
presentationSettings.exe – Presentation Settings
printbrmui.exe – Printer Migration
regedt32 – Registry Editor
rekeywiz.exe – Encrypting File System
rstrui.exe – System Restore
sdclt.exe – Backup Status and Configuration
shrpubw.exe – Share Creation Wizard
sigverif.exe – File Signature Verification
slui.exe – Windows Activation
sndvol.exe – Sound Volume
snippingtool.exe – Snipping Tool (Tvorba Screenshootů)
soundrecorder.exe – Sound Recorder
StikyNot.exe – Sticky Notes
sysedit.exe – System Configuration Editor
syskey.exe – Security the Windows Account Database
SystemPropertiesAdvanced.exe – System Properties Advanced
SystemPropertiesComputerName.exe – System Properties Computer Name
SystemPropertiesDataExecutionPrevention.exe – System Properties Dataexecution Prevention
SystemPropertiesHardware.exe – System Properties Hardware
SystemPropertiesPerformance.exe – System Properties Performance
SystemPropertiesProtection.exe – System Properties Protection
SystemPropertiesRemote.exe – System Properties Remote
taskmgr.exe – Task Manager
utilman.exe – Ease of Access Center
verifier.exe – Driver Verifier Manager
wercon.exe – Problem Reports and Solutions

Zdroj: www.sokolik.cz

Nastavení TCP/IP protokolu ve Vistě z příkazového řádku

Posledních pár týdnů jsem nastavoval přibližně dvě desítky Wireless Access Pointů a následně jsem testoval funkčnost několika různých podsítí. Pokud jste něco takového dělali, asi si dovedete představit, kolikrát během těchto úkonů potřebujete změnit IP adresu, masku, bránu, DNS servery. Navíc ve Vistě je dialogové okno pro tyto operace hluboko ukryté v grafickém rozhraní (Centrum sítí a sdílení -> Spravovat síťová připojení -> Připojení k místní síti -> Vlastnosti -> Protokol TCP/IPv4 -> Vlastnosti). Pokud jde o jednu změnu, prostě to naklikáte. Podruhé už se vám to do dostává do prstů a potřetí je to rutina.

Pokud jako já potřebujete měnit síťové nastavení pětkrát a více za den, asi mi dáte za pravdu, že je rozumné začít hledat cestu, jak si jednoduše pomoci skriptem a měnit adresu elegantně a mnohem rychleji přímo z Příkazového řádku. Dal jsem si práci a dohledal všechny parametry jednotlivých příkazů. Tady jsou dvě ukázky, zachycující obě běžné konfigurace IP protokolu. Nemohu si je vynachválit.

V ideálním případě stačí příkazy nasypat do batch soubotu (.BAT). Poté povolit funkci Spustit jako správce (to proto, že je potřeba spouštět příkazy s administrátoskými právy a kvůli UAC). Rekonfigurace je pak otázkou spuštění dávky a cca 3s než vše proběhne a aplikuje se nastavení.

Nastavení získávání IP konfigurace včetně DNS z DHCP serveru

netsh interface ipv4 set address name="LAN" source=dhcp netsh interface ipv4 set dnsserver name="LAN" source=dhcp ipconfig /flushdns ipconfig /renew LAN

Pozn.: LAN je název mého adaptéru. Výchozí název v české Vistě je Připojení k místní síti.

Nastavení statické IP adresy a statických DNS serverů

netsh interface ipv4 set address name="LAN" static 192.168.1.1 255.255.255.0 192.168.1.1 1 netsh interface ipv4 set dnsserver name="LAN" static 192.168.1.1 primary netsh interface ipv4 add dnsserver name="LAN" 192.168.1.2 index=2 ipconfig /flushdns

Obdobně lze provést nastavení i ve Windows XP.