Tag: Návody

Jak nastavit Sender Policy Framework (SPF) záznam?

Co  vlastně SPF znamená?

Jak už název Sender Policy Framework napovídá, jedná se o technologii, která na základě adresy odesílatele e-mailu ověřuje, zda je poštovní server, ze kterého zpráva přisla, autorizován odesílat e-maily pro danou doménu.

Jinak řečeno. Za pomoci SPF jsem schopen definovat, kterým poštovním serverům dám možnost odesílat poštu za mou organizaci. Všechny ostatní zakáži.

Tak například – z ryze administrátorského hlediska. Mám ve firmě dva poštovní servery. Chci, aby oba mohli nadále odesílat a přijímat poštu pro firemní domény, ale chci zabránit, aby někdo cizí odesílal podvržené zprávy, tvářící se, že pocházejí z naší firmy. Nastavím tedy SPF. Oba naše poštovní servery jsou vedeny v MX záznamu na našem DNS serveru. Vyhovuje nám tedy následující podoba záznamu: “v=spf1 mx -all”. Problém vyřešen.

Co mi SPF přinese?

V prvé řadě bude moci každý cílový poštovní server, kam posíláte e-mail, ověřit, že zpráva pochází z vašeho poštovního serveru a nejedná se o podvržený e-mail, tvářící se, že přichází z vaší organizace. Funguje to i naopak. Pokud váš mail server podporuje SPF technologii, každý příchozí e-mail do vaší firmy, bude prověřen, zda pochází z autorizovaného zdroje.

Jaké jsou nevýhody této technologie?

Asi nejpodstatnější nevýhodou se zdá být zvýšený počet DNS dotazů, což vede k vyššímu vytížení DNS serverů. Pokud se ve vašem záznamu použijete příkaz include, pak se cílový server dotazuje vaší domény a k tomu ještě includované domény. Jestli vám include nic neříká, pro tuto chvíli na něj klidně zapoměňte. Dočtete se o něm dále.

Pro koho je SPF vhodné?

SPF by mělo zajímat každého správce poštovního serveru a každou organizaci, která si alespoň trošku základá na důvěryhodnosti své elektronické poštovní komunikace.

Pro koho SPF není vhodné?

Obecně se uvádí, že se Sender Policy Framework mohou mít problém mobilní uživatelé, kteří za den vystřídají několik různých připojení, poskytovatelů a hlavně poštovních serverů. Ale v dnešní době jsou pěkná řešení i na tuto problematiku. Možností je opravdu hodně, zmiňme například možnost VPN připojení do firemní sítě, Outlook Anywhere (RPC over HTTPS) či Outlook Web Access.

Je potřeba záznam nějak průběžně měnit nebo ho stačí nastavit jednorázově?

Odpověď je v zásadě jednoduchá. Záznam jednou vytvoříte a nemusíte se o něj nikterak starat. Rozumné je ale vše zkomunetovat a především mít na paměti, že nějaký takovýto záznam pro vaší doménu používáte. Úpravu SPF je třeba provést zpravidla v případě změny vašeho ISP, hostingu a změny vašeho poštovního řešení.

Co pro oživení SPF musím udělat?

Na vašem DNS serveru je potřeba přidat SPF záznam ve formátu TXT. Tím je vše hotové. Některé firmy  používají DNS servery svých wehosterů či providerů. Změnu DNS záznamů je pak potřeba provést přes webové rozhraní či písemným požadavkem.

Chcete-li kontrolovat příchozí poštu pomocí SPF, zapněte tuto funkci na vašem poštovním serveru. Zprávy přijaté od neautorizovaných serverů, pak budou zahazovány a bezpečnou cestou tak snížíte množství příchozího spamu a podvržených e-mailů.

Jak to funguje?

1. Jirka z firmy1 odesílá e-mail kolegovi Petrovi z firmy2.

2. Poštovní server firmy1 zprávu zpracovává a odesílá pomocí SMTP na server firmy2, kde pracuje Petr.

3. Firma2 používá na svém poštovním serveru antispamové řešení, které mimo jiné umí vyhodnocovat SPF. Zpráva od Jirky je přijata a podléhá spamové kontrole a ověření pomocí SPF. Server se dotazuje DNS serveru, který drží SPF záznam pro firmu1.

4. Ten pak odpovídá a vrací výsledek dotazu.

5. Server firmy2 zjistí ze SPF záznamu, zda je server firmy1 oprávněn odesílat poštu za doménu firma1.cz. Pakliže ano, je zpráva doručena Petrovi. V opačném případě je e-mail označen jako spam.

Správná syntaxe záznamu a příklady

Nyní už víme, že SPF je TXT záznamem v DNS a jak přibližně vypadá komunikace mezi servery. Pojďme přejít k samotné podobě záznamu.

Nejjednodušší záznam vypadá takto: “v=spf1 -all”

Co to znamená? Vaše doména nepoužívá e-mail. Máte na ní například jen webové stránky a poštu odesíláte z jiné domény k tomu určené. Jakýkoliv e-mail pocházející z domény s tímto záznamem bude po vyhodnocení SPF zahozen, případně označen jako spam. “-all” na konci znamená, že žádný autorizovaný server neexistuje.

O poznání zajímavější je: “v=spf1 mx -all”

Výraz se vyhodnocuje zleva doprava. MX znamená, že všechny servery, které jsou uvedeny ve vašich MX záznamech budou považovány za důvěryhodné a SPF je vyhodnotí jako autorizované. Všechny ostatní budou díky “-all” označeny jako neautorizované.

“v=spf1 mx mx:mail.firma1.cz -all”

Má stejný výsledek jako předchozí výraz s tím rozdílem, že mezi oprávněné servery získáné z MX záznamů přidáváme mail.firma1.cz.

“v=spf1 include:mujisp.cz -all”

Dejme tomu, že jsme malá firma a chceme ušetřit za investice do vlastního serveru. Náš ISP bude firma mujisp.cz. Domluva zní tak, že poštu budeme posílat přes jeho server. Náš SPF záznam tedy může vypadat právě takto. Include zajistí, že se přečte SPF záznam z domény providera mujisp.cz a jeho obsah bude považován za náš. Provider musí mít SPF nastaven.

“v=spf1 ip4:192.168.0.1/16 -all”

Poslední ukázka demonstruje přidání poštovních serverů z IP rozsahu 192.168.0.1 – 192.168.255.255 mezi důvěryhodné. Všechny ostatní vyhodnotí jako zakázáné.

Závěr

SPF není všelék na spam, ale rozhodně stojí za to, ho zavést. Vytvoření zabere jen několik desítek minut a pak již vše pracuje za vás. K dispozici jsou také velmi povedené nástroje pro vytvoření a případně i ověření správnosti vašeho SPF záznamu.

Zdroje

Nástroje pro vytvoření: http://old.openspf.org/wizard.html
Nástroje na otestování: http://www.openspf.org/Tools
Microsoft SPF Record Wizard: http://www.microsoft.com/…/wizard/
Syntaxe: http://www.openspf.org/SPF_Record_Syntax
Časté chyby: http://www.openspf.org/FAQ/Common_mistakes

Video – Jak nastavit SPF?

Jak vypnout STP protokol na ASUS WL-500g a WL-500gP?

O víkendu jsem se věnoval security hardeningu svého domácího routeru a kontroloval nastavení. Při zachytávání paketů Wiresharkem jsem zjistil, že router kromě jiného posílá každé 2 sekundy BPDU Spanning Tree Protokolu (STP). Jelikož v síti nemám více prvků a na smyčky si dávám pozor, rozhodl jsem se STP zakázat. Proč zbytečně posílát něco, co nepotřebuji?

Jak na to? Přes webové rozhraní tuto funkci nenastavíme. Musíme se k routeru připojit pomocí telnetu. Váš telnet klient se připojí k routeru a uvidíte příkazový řádek, kde vše pomocí několika málo příkazů nastavíme.

1. Spusťte vašeho telnet klienta. Příklady telnet klientů: Putty, Microsoft Telnet Client (integrovaný ve Windows XP)

Poznámka pro uživatele Windows Vista: Váš operační systém neobsahuje po výchozí instalaci Microsoft Telnet klienta a je potřeba si ho doinstalovat nebo použít jiný nástroj.

2. Připojte se k zařízení. Pro zjednodušení budu od této chvíle v návodu používat Microsoft Telnet klienta. Není potřeba ho nijak nastavovat, a tak ho stačí jen spustit a zadávat příkazy.

Do Start -> Spustit vepište příkaz ve tvaru “telnet 192.168.101.1”, kde 192.168.101.1 je IP adresou vašeho routeru.

Pokud se vám nedaří spojit přes telnet, ověřte si přes webové rozhraní routeru, že máte přístup pomocí tohoto protokolu povolený: http://192.168.101.1 -> System Setup -> Services -> Enable telnet access

Poznámka: Doporučuji vše konfigurovat z lokální sítě – tedy nikoliv z WAN. Používat telnet skrz WAN prostředí není bezpečné.

3. Přihlašte se jako administrátor. Výchozí uživatelské jméno je admin. Po zadání jména a hesla stiskněte vždy klávesu Enter.

4. Zjistěte si aktuální stav protokolu spanning tree pomocí příkazu “brctl show”. Stav protokolu je buď yes – zapnuto nebo no – vypnuto.

5a. Dočasné vypnutí STP lze provést příkazem ” brctl stp br0 off”. Zapnutí pak obdobně pomocí “brctl stp br0 on”.

5b. Trvalé zakázání STP zařídíte následujícími dvěma příkazy a restartem zařízení.

“nvram set lan_stp=0”
“nvram commit”
“reboot”

Jak vyexportovat nainstalované ovladače z počítače?

Možná to znáte. Máte před sebou kompletně nainstalovaný systém včetně všech ovladačů a software. Jednoho dne se rozhodnete změnit počítač a ouha. Před instalací nového stroje zjistíte, že jste ztratili instalační CD s drivery ke čtečce karet, wireless adaptéru a ještě pár dalších. Pokud není odkud ovladače stáhnout z internetu, nabízí se DriverMax. Umí vyexportovat vybrané ovladače ze stávajícího systému a ty pak můžete nainstalovat do nového počítače. Jednoduché, účinné, doporučuji. Podporuje Windows XP, Vista a Server 2003.

 DriverMax: http://www.innovative-sol.com/drivermax/

Exchange 2003 SP2 IMF – ID události 7515

Před pár dny mě zaujala událost v Event logu s ID 7515, která se mi občas na pár serverech začala objevovat. O co tedy jde? V prvé řadě je třeba říci, že tento event je pozorovatelný na Exchange serveru se SP2 a spuštěným Intelligent Message Filterem (IMF). IMF je technologie pro detekci spamu na. Na základě analyzování každé jedné zprávy ohodnotí email patřičnou známkou, ukazující potenciální možnost, že jde skutečně o spam. S hodnoceními se pak dále pracuje.

Praxe je taková, že většina spamu dosahuje průměrné maximálně velikosti několika kB. Microsoft se tímto inspiroval i při vytváření IMF. Zprávy větší než 3 MB tak neprocházejí procesem analýzy, aby zbytečně nezatěžovaly server a jsou rovnou doručovány. Kromě toho je ale také generována událost do event logu s ID 7515.

Shrnuto podtrženo, máte-li aktivní IMF na vašem Exchange serveru, pak každá zpráva větší než 3 MB nebude filtrována a vygeneruje vám událost s ID 7515. Toť celé zajemství tohoto eventu. Je to tak dáno by design.

Blížší info můžete načíst v tomto KB907691.

Jak zakázat komprimaci v Outlook Expressu

Často se v praxi setkávám s klienty, kteří používají Outlook Express pro kompletní správu všech pracovních emailů. Proč ne, je to také poštovní klient, i když… Problém nastavá tehdy pokud mají ve složkách tisíce položek a jsou vyzváni ke spuštění komprimaci zpráv. Po klepnutí na ano se spouští proces komprimace. Pokud je ale uživatel netrpělivý a komprimaci vypne nebo případně nedočkav “sestřelí” proces Outlooku během komprimace, říká si tak o nenávratnou ztrátu pošty. Nepřerušujte tedy za žádnou cenu komprimaci, jsou-li vám vaše data milá.

Pokud potřebujete zakázat výzvu ke komprimaci proveďte následující kroky:

1. V nabídce Start zvolte volbu Spustit.

2. Do políčka vepište “regedit” (bez uvozovek) a potvrďte Enterem.

3. Ve větvi HKEY_CURRENT_USER\Identities\<číslo identity>\Software\Microsoft\Outlook Express\6.0 najděte dword hodnotu “Compact Check Count” a její hodnotu nastavte na “0” (nula bez uvozovek).

Na dalších 100 spuštění Outlooku pak máte klid. Po překročení této hodnoty se komprimace opět začne nabízet. Je tedy potřeba hodnotu v registrech znovu vynulovat a nebo ještě lépe naskriptovat automatickou úpravu registru.

Nástroj na automatické vypnutí komprimace

Jiří Nejedlý napsal šikovný nástroj pro úplné vypnutí komprimace. Provádí kontrolu hodnoty čítače v registrech a jakmile dosáhne hodnoty 11, provede jeho nastavení na nulu. Stručnou dokumentaci najdete v textovém souboru v archivu.

Stažení: Vypni_komprimaci.zip

Na Vista klientech nelze upravit text e-mailu pomocí Outlook Web Access

Windows Vista jakožto klient připojující se na webové rozhraní Exchange Serveru 2003, nepodporuje některé ActiveX komponenty, které jsou nutné pro správnou funkci editoru Outlook Web Access. Výsledkem je, že v okénku pro vepsání samotného textu e-mailu se objeví křížek, znemožňující jakýkoli vstup. Řešení tohoto problému popisuje KB 911829. Napravuje situaci hotfixem, který je třeba zaplikovat na Exchange Server. Po instalaci vše funguje tak, jak jste zvyklí z Windows XP.

Instalace Windows XP na SATA disk či RAID bez diskety

Výrobci základních desek začínají hojně na svých nových deskách implementovat SATA řadiče. Nejčastěji se poslední dobou setkávám hlavně s Intel Matrix Storage. Řada základních desek nabízí také funkcionalitu RAID. Problém s těmito novými SATA a RAID řadiči nastává ve chvíli, kdy na počítač instalujete Windows XP, případně Windows Server 2003. Pro SATA řadič je potřeba AHCI ovladač a pro RAID kontrolér je tomu obdobně. Nepřítomnost tohoto ovladače se projeví tak, že instalátor Windows nenajde v počítači žádný pevný disk, kam by bylo možné systém nainstalovat. Windows XP v sobě tyto ovladače nemají zakomponovány, protože se všechna výše zmiňovaná zařízení objevila teprve nedávno. Nabízí se hned několik řešení, jak tuto ošemetnou situaci vyřešit. Pojďme si je přiblížit.

Pokud se pustíte do práce s programem nLite, mohl by vás zajímat i článek Jak zaintegrovat Service Pack 3 přímo do instalačního CD Windows XP?.

Pokud máte v PC disketovou mechaniku, postup je přibližně následující.

  1. Po nastartování PC z instalačního CD Windows XP, se zobrazí výzva k stisku klávesy F6. Stiskněte ji.
  2. Systém vás zanedlouho vyzve k vložení diskety s ovladači k diskovému řadiči do floppy mechaniky.
  3. Ovladače se nainstalují a instalace pokračuje úspěšně dále.

V případě, že disketovou mechaniku nemáte a chcete si zachovat podporu nových funkcí SATA/AHCI, řiďte se těchto kroků.

  1. Stáhněte si program nLite a při ruce mějte originální instalační CD Windows XP.

  2. Pomocí nLite zkopírujete obsah instalačního CD na pevný disk počítače.
  3. Naimportujete do instalace Windows pomocí nLite váš AHCI či RAID ovladač, který jste obrželi od výrobce. V případě, že ho nemáte, naleznete ho většinou na webu výrobce počítače v sekci Support či Download.
  4. Proveďte import ovladače za pomoci nLite do nově vytvářeného CD Windows.
  5. nLitem vypalte upravené instalační CD Windows na prázdné médium. Tím získáte bootovací instalační CD Windows, obsahující kýžený ovladač.
  6. Z upraveného CD nabootujete a instalace běží standardně, tak jak ji znáte, s tím rozdílem, že ovladače automaticky nainstaluje. Pokud si takto připravený disk schováte, při příští přeinstalaci systému si ušetříte celý tento postup.

Pokud se nechcete zabývat žádnými složitostmi a jednoduše řečeno chcete s počítačem začít okamžitě pracovat, zvolte tuto cestu.

  1. Vstupte do BIOSu vašeho PC.
  2. Změňte položku “SATA Native Mode” z hodnoty Enabled na Disabled. Tím vypnete některé pokročilé funkce řadiče, které ovšem nebrání instalaci Windows a normálnímu používání PC.
  3. Nastartujte instalaci Windows XP z CD. Ta proběhne bez dožadování se ovladačů a vy se po jejím dokončení můžete věnovat své práci.

Z vašich ohlasů jsem zjistil, že na některých počítačích způsobuje vypnutí nativního módu pomalejší diskové operace. Většinou je ale snížení výkonu zanedbatelné. Pokud by vám přišlo například kopírování z disku pomalé, může být teoreticky problém tady.

Nejběžnější ovladač

Nedaří-li se vám najít ovladače k vašemu SATA řadiči na stránkách výrobce, můžete vyzkoušet použít tento nejrozšířenější ovladač označovaný jako Intel Matrix Storage Manager. Ten buď zaintegrujte do instalačního CD dle výše popsaného postupu nebo ho nechte na disketě a při instalaci ho pomocí klávesy F6 dejte k dispozici instalátoru Windows.

Další informace na toto téma

http://www.adminxp.cz/windowsxp/index.php?aid=234
http://www.nliteos.com
http://news.softpedia.com/news/Install-Windows-XP-On-SATA-Without-a-Floppy-F6-47807.shtml
http://www.mysuperpc.com/build/pc_sata_install_windows_operating_system.shtml
http://www.intel.com/support/chipsets/imst/sb/CS-020825.htm

Chyba při připojení PC do SBS 2003 prostředí pomocí průvodce

SBS 2003Až se budete stejně jako já jednou divit, pročpak že nejde připojit nový počítač do SBS domény, můžete se setkat se stejnou chybou jako já. Máte-li totiž ve firmě router, na kterém běží DHCP server, pak primární DNS pravděpodobně ukazuje na něj. A to je ten háček. Přidáváte-li klientské PC do tohoto prostředí, musíte nejdříve nastavit klientům IP adresu Small Business Serveru jako primární DNS. Pak spustíte průvodce http://sbs/connectcomputer a všechno proběhne v klidu. Pokud máte DNS nastavené jinak průvodce se zastaví hned na začátku.