14 Октябрь 2016

Автоматическая ротация ключей DKIM


Использование механизма DKIM в системе оборота электронной почты в последние годы получило широкое распространение.

Вкратце, суть его состоит в использовании цифровой подписи (пара открытый и закрытый ключи) к набору заголовков и тексту сообщения, которая позволяет подтвердить легитимность его происхождения. Благодаря этому DKIM в связке с механизмом SPF в надстройке в виде политик DMARC, в настоящее время являются одними из популярных способов борьбы с несанкционированными рассылками (спамом).

Как и во всякой другой системе, которая базируется на цифровой подписи, хорошим тоном считается периодическая ротация ключей в целях поддержания высокого уровня безопасности и защиты информации. Однако, небольшое исследование, которое провёл автор "в живой природе" показало, что большинство администраторов почтовых систем не уделяют этому моменту никакого внимания — единожды созданные пары ключей годами остаются неизменными повышая, тем самым, риск компрометации системы со стороны злоумышленников, которые вполне могут либо путём хищения закрытого ключа, либо его создания эквивалентного через bruteforce по открытому (особенно если при их создании использовался SHA1), создавать поддельные письма для данного домена и использовать их в своих целях.

В этой связи, актуальным становится вопрос ротации ключей DKIM и автоматизации её процесса.

Читать далее

4 Октябрь 2016

Технология HTTP Public Key Pining: внедрение и автоматизация совместно с Let's Encrypt


На страницах этого блога уже неоднократно затрагивались вопросы, связанные с защитой передаваемых по сети данных с использованием технологии SSL / TLS. Вопрос надёжности защищённых соединений в последнее время стал особенно актуальным для России, где на государственном уровне предполагается внедрение механизма для тотальной дешифровки всего трафика в Интернет одним из наиболее вероятных способов реализации которого, как раз, и может стать внедрение промежуточного сертификата для защищённых соединений.

В развитие темы, предлагаю вашему вниманию статью о внедрении относительно и новой пока малораспространённой технологии HTTP Public Key Pining (HPKP) и её использованию совместно с удостоверяющим центром Let's Encrypt.

Стандарт HPKP или key pining изложен в документе RFC7469 и описывает механизм, который призван повысить уровень защиты в WWW через дополнительную идентификацию и проверку того факта, что используемый в ходе защищённого соединения сертификат действительно принадлежит посещаемому сайту и не был подменён тем или иным заинтересованным лицом или структурой для несанкционированного доступа к передаваемой информации, то есть нейтрализации атак Man in the Middle (MitM).

Читать далее

27 Сентябрь 2016

Использование анализа MIME средствами Exim 4.88


SMTP-сервер Exim снискал большую популярность благодаря гибкости и поддержке современных технологий. Он занимает в настоящее время доминирующее положение в области средств доставки электронной почты в сети Интернет.

Несмотря на то, что последним опубликованным релизом на момент публикации этой статьи является версия 4.87, анализ грядущих в ближайшем будущемизменений и, возможно, необходимая последующая адаптация конфигурации Exim к этим переменам, несомненно, будет не только не лишней, но и полезной.

Просматривая changelog грядущего релиза 4.88 я обратил внимание на следующий абзац в списке изменений.

JH/02 The obsolete acl condition "demime" is removed (finally, after ten years of being deprecated). The replacements are the ACLs acl_smtp_mime and acl_not_smtp_mime.

Читать далее

18 Сентябрь 2016

Настройка первичного DNS-сервера на базе NSD


Как известно, основной функцией DNS-сервера является преобразование текстовых имён узлов в сети Интернет (доменов) в числовые IP-адреса, с помощью которых и осуществляется маршрутизация данных. Помимо этого на базе той же технологии Domian Name System в настоящее время реализуются многие технологии, связанные с обеспечением безопасности, аутентификации и политики доступа, а также автоматизации настроек клиентского программного обеспечения.

В подавляющем большинстве случаев DNS-серверы, которые поддерживают информацию о том или ином доменном имени, размещаются у регистраторов доменов, провайдеров хостинга или услуг досупа в Интернет. Такой подход, с одной стороны, снимает вопросы базовой настройки, поддержания и обеспечения надёжности с владельца доменного имени, а, с другой, имеет ряд ограничений связанных с тонкой настройкой, оперативной актуализацией содержащихся в DNS-записях сведений и необходимой в ряде случаев автоматизацией этих процессов. Кроме того, далеко не все предоставляющие услуги DNS-хостинга организации поддерживают современные типы ресурсных записей.

Для решения этих проблем разумным решением представляется организация своего собственного первичного DNS на базе программного решения, которое будет поддерживать современные технологии. К числу подобных, безусловно, относится и DNS-сервер NSD.

Читать далее

14 Сентябрь 2016

Плагин Ads4U для Bludit


Представляю вашему вниманию новое раcширение для системы управления контентом Bludit на которой, как нетрудно заметить, работает данный сайт, под названием Ads4U.

С его помощью можно добавить HTML код рекламного (впрочем, и любого другого) содержания в конце страниц или публикаций на сайте под управлением этой CMS.

Установка плагина традиционно бесхитростна - достаточно скачать папку Ads4U из резервной копии данного сайта на MEGA и скопировать её в стандартное место размещения плагинов - bl-plugins. Надеюсь, что в ближайшее время данный плагин также будет доступен для скачивания из стандартного репозитория расширений Bludit.

После этого плагин должен автоматически появиться в списке доступных расширений на административной странице CMS Bludit, где его можно будет активировать и настроить.

Ввиду того, что вставляемый на сайт код никак не экранируется и может, помимо HTML содержать и фрагменты JavaScript или PHP, будьте аккуратны с его использованием.



6 Сентябрь 2016

Использование статистики Spamassassin в конфигурации Exim


В предыдущей статье "Подсистема оценки репутации антиспам пакета Spamassassin", помимо отражённых в заголовке, были затронуты вопросы того, как антиспам пакет Spamassassin накапливает и хранит данные об отправителях сообщений.

Если внимательно посмотреть на набор хранимых данных, то становится очевидным, что их можно применить и при конфигурировании начальных стадий процесса приёма сообщений SMTP-сервера. Учёт данных о репутации, к примеру, IP-адреса можно использовать для ограничения частоты рассылки спама с данного адреса. Это позволит, как уменьшить объёмы нежелательной почты, так и существенно сэкономить ресурсы почтового сервера. Кроме того, в данном случае будет отсутствовать необходимость в отдельной реализации специального механизма чёрных список вместе с сопутствующим ему программным кодом и базами данных.

Итак, рассмотрим пример использования данного подхода на базе использования его при конфигурировании Exim.

Читать далее