Задать вопрос
z3apa3a

Владимир Дубровин

Ответы

  • Как привязать почту от домена к Mail.ru, чтобы через mail.ru заходить в ящик?

  • Как грамотнее реализовать spf?

    z3apa3a
    @z3apa3a
    Проблема с большим количеством доменов действительно решается через include: или redirect=.
    В SPF политике достаточно прописывать ip. Это является наиболее правильным решением, при условии что количество IP не превышает разумного и не будет приводить, например, к превышению размера DNS-ответа.
    В таком случае можно использовать SPF с макроподстановками, например

    v=spf1 exists:%{ir}._spf.dnsdomain.ru ~all
    или
    v=spf1 exists:%{ir}._spf.%{d} ~all

    и прописывать разрешеные почтовые серверы для каждого домена в отведенной зоне. Но делать так в ситуации, когда можно обойтись перечислением адресов и сетей через ip4: я бы не рекомендовал.
    Ответ написан
    8 комментариев
    8 комментариев

  • Как исключить пропажу изображений в теле письма?

    z3apa3a
    @z3apa3a
    GMail не всегда показывает внешние картинки, и особенно не любит письма с динамическими картинками (т.к. картинку можно подменить). Можно либо попробовать сделать так, чтобы адрес картинки походил на статический, что все равно не гарантирует результата, либо использовать для HTML multipart/related часть с инлайн-картинками

    Content-Type: multipart/related; boundary="123"

--123
Content-Type: text/html ...
Content-ID: ...
Content-Disposition: inline
...
--123
Content-Type: image/jpeg ...
Content-ID: <imgjpg1@message>
Content-Disposition: inline
...
--123
Content-Type: image/jpeg ...
Content-ID: ...
Content-Disposition: inline
...
--123-
    -

    картинку включать как

    <img src="cid:imgjpg1@message">
    Ответ написан
    1 комментарий
    1 комментарий

  • Как в yandex dns установить TXT запись длинее 255 символов?

    z3apa3a
    @z3apa3a
    Видимо никак, разбивать на 2 записи DKIM нельзя, это в явном виде запрещено в стандарте (запись для селектора должна быть одна) можно делать одну запись из нескольких текстовых строк

    s._domainkey TXT "abc" "def"

    Если интерфейс этого не позволяет - то вы так не сделаете.
    Используйте 1024-битный ключ, на текущий момент это вполне достаточно для DKIM и гарантировано не вызывает проблем. Либо обратитесь в сапппорт с просьбой добавить возможность добавлять TXT-записи из нескольких строк.
    Ответ написан
    1 комментарий
    1 комментарий

  • Как внедрить dll файл в процесс lsass.exe?

    z3apa3a
    @z3apa3a
    Инжектите-то как, через CreateRemoteThread?
    Нужно либо использовать SeDebugPrivilege
    https://support.microsoft.com/en-us/help/131065/ho...
    либо запускать свое приложение с правами локальной системы, это можно сделать через шедулер или установив приложение как сервис.
    И DLL и приложение должны быть 64-битными (для 64-битного lsass.exe), общий порядок есть здесь.
    Ответ написан
    5 комментариев
    5 комментариев

  • Через какой софт настроить подключение через SOCKS5 с авторизацией на WIndows 10?

    z3apa3a
    @z3apa3a
    можно поднять локальный 3proxy с конфигурацией

    auth iponly
    fakeresolve
    internal 127.0.0.1
    allow *
    parent 1000 socks5+ адрес_сокс порт_сокс логин пароль
    proxy -p3128

    и прописать прокси (общий для всех протоколов) 127.0.0.1 порт 3128, браузер будет обращаться к локальному прокси, а локальный прокси ходить в socks с авторизацией.

    Либо, если прокси свой, лучше поднять http прокси вместо или в дополнение к socks, авторизация для него поддерживается в браузерах.
    Ответ написан
    Комментировать
    Комментировать

  • Как сделать шифрованный канал между 2 приложениями?

    z3apa3a
    @z3apa3a
    Да, это, разумеется, возможно.
    Сертификат сервера будет проверять ваше клиентское приложение. При этом вы можете задать свою функцию для проверки сертифката через options.checkServerIdentity()
    https://nodejs.org/api/tls.html#tls_tls_checkserve...

    Обычно в таких случаях проверяется не имя и не цепочка доверия, а просто хэш сертификата сервера (fingerprint или fingerprint256 ) и годится совершенно любой самоподписанный сертификат, причем это гораздо безопасней и надежней чем доверие к корневым CA. Такой прием в приложениях обычно называют Certificate pinning.
    Ответ написан
    5 комментариев
    5 комментариев

  • Можно ли на mail.ru дать доступ только к определенному ящику?

    z3apa3a
    @z3apa3a
    Можно, например перенаправляя трафик на прокси, который будет подменять сертификат и запретить на нем запросы без разрешенного адреса в Cookie или запретить запросы на метод авторизации в которых не будет разрешенного адреса.

    Но что помешает вашим пользователям читать почту Mail.Ru на Yandex или GMail (или наоборот) ? Сейчас любой почтовый сервер позволяет работать с "чужими" ящиками.
    Ответ написан
    Комментировать
    Комментировать

  • Как запустить сервер в локальной сети, для запуска медиа файлов?

    z3apa3a
    @z3apa3a
    Подозреваю, что вы хотите что-нибудь типа Plex.
    Ответ написан
    Комментировать
    Комментировать

  • Проблема с отправко и получением почты на домен, как исправить?

    z3apa3a
    @z3apa3a
    У вас одновременно есть CNAME и A запись для mail, стандартом это недопустимо (CNAME не должен сочетаться с любым другим типом записи), оставьте что-то одно (удалите CNAME).

    У вас 3(!) SPF политики для основного домена. Это недопустимо, такой SPF считается невалидным, оставьте одну.
    "v=spf1 ip4:88.198.230.107 ~all"
    Ответ написан
    Комментировать
    Комментировать

  • Правильные настройки SPF в случае если домен почтового сервера и отправителя отличаются?

    z3apa3a
    @z3apa3a
    Настраивать SPF нужно для домена который используется в envelope-from, обычно в полученном письме этот адрес виден как reuturn-path. Если он совпадет с info@company.com, то публиковать SPF надо для него, но указть IP-адрес (или адреса) сервера

    company.com. TXT "v=spf1 ip4:1.2.3.4 ~all"

    где 1.2.3.4 - адрес сервера. Можно использовать и конструкцию

    company.com. TXT "v=spf1 a:mail.server.com ~all"
    но предпочтительней использовать IP-адреса.
    Ответ написан
    Комментировать
    Комментировать

  • Как настроить SPF и DMARC для satellite хостов?

    z3apa3a
    @z3apa3a
    У вас для домена postgres.inf вообще SPF не настроен, вы SPF-запись то опубликуйте.

    SPF проверяется по домену envelope-from, это адрес который в полученному письме видно в заголовке Return-Path
    Ответ написан
    Комментировать
    Комментировать

  • Лучший прокси сервер для VPS с UI?

    z3apa3a
    @z3apa3a
    В 3proxy есть поддержка и socks и http-проксирования, веб интерфейс есть, его функционал весьма ограничен, но просматривать трафик по пользователям можно. Конфиг текстовый, но достаточно простой.
    Ответ написан
    Комментировать
    Комментировать

  • Как лучше всего сделать авторизацию на сайте?

    z3apa3a
    @z3apa3a
    Если это простой, нерспределенный сайт для которого не планируется больших нагрузок и масштабирования, то обычно после ввода логина/пароля проставляется сессионная кука (с флагом HTTPOnly). При всех запросах проверяется валидность куки. Возможно:
    1. Использовать стандартные сессии/сессионные куки PHP, при аутентификации по логину и паролю проставлять для сессии флаг авторизации и id пользователя. Самый простой и распространенный способ.
    2. Выставлять свою куку и проверять куки на валидность по базе на каждом запросе. Плюсы - возможность создавать persitent-сессии, легко завершить сеанс - сессия инвалидируется в базе. Минусы - обращение к базе на каждом запросе.
    3. Выдавать куки с подписью сервера, проверять подпись на запросах без обращения к базе. Минус - нельзя инвалидировать куки на стороне сервера.
    4. Использовать сессионную куку, которую выдавать за логин и пароль и хранить в базе + access-куку, которую выдавать по сессионной куке и подписывать, в access-куку включать timestamp чтобы она быстро устаревала, при устаревании - проверять сессионную куку по базе и проставлять новую access-куку. Так не надо лазить в базу на каждом запросе, только когда протухает access-кука.

    Если требуется распределенный масштабируемый сервис, то все становится сложнее. Например, у нас реализована вот такая схема.
    Ответ написан
    Комментировать
    Комментировать

  • Best practices: регистрация на основе номера телефона в мобильной разработке (как)?

    z3apa3a
    @z3apa3a
    Чаще всего делается схема refresh token + access token, т.к. она является легко масштабируемой.
    1. Пользователь авторизуется на сервере авторизации по телефону, приложение получает refresh token (постоянно действующий), постоянно хранит этот токен безопасным способом.
    2. При старте приложения и с некоторой регулярностью (например раз в 10 минут) или при необходимости обращения к определенному API фронт-сервера, приложением дергается API сервера авторизации с refresh token и получается access token, короткоживущий (например 15 минут). access token может быть некоторой информацией - id пользователя, timestamp, запрошенный тип сервиса и т.п. - подписанной (или зашифрованной) ключом сервера авторизации.
    3. Приложение обращается к API front-серверов с access token, фронт-сервер валидирует токен
    4. При разлогине (или смене пароля если он будет) инвалидируется refresh token. access token'ы "протухают" самоходом в течении интервала жизни.

    Это дает:
    1. совместимость с OAuth, можно использовать вход через сторонние сервисы и наоборот предоставлять им возможность что-то делать за пользователя.
    2. централизованную авторизацию пользователя и управление сессиями (все токены раздаются сервером авторизации)
    3. возможность завершения сессии на стороне сервера (сервер авторизации инвалидирует refresh token)
    4. возможность централизовано давать или не давать доступ к отдельным концам API или серверам (через включения типа сервиса в сессионный токен, для каждого API или сервиса можно запрашивать разные токены, которые будут действительны только для них). Так же можно разделить зоны безопасности, например запрашивать отдельный токен для обращения к менее защищенным сервисам, который не даст доступа к более привилегированным сервисам.
    5. фронт-серверам не требуется проверять каждый запрос на сервере авторизации, они самостоятельно могут проверить правильность таймстампа/подписи и соответсвтие типа токена запросу.

    Использование JWT или других механизмов уже определяется структурой приложения. Лучше использовать стандартный механизм, чтобы избежать "самопальной" криптографии.

    P.S.
    иногда схема усложняется до refresh_token (постоянный) + session_token (временный) + access_token (на доступ к кокретной ручке или сервису)
    Ответ написан
    Комментировать
    Комментировать

  • Можно ли в 3proxy ограничить количество запросов в единицу времени для каждого user?

    z3apa3a
    @z3apa3a
    Можно ограничить в devel-версии с помощью команды connlim
    https://3proxy.ru/doc/man3/3proxy.cfg.3.html
    Ответ написан
    Комментировать
    Комментировать

  • Как создать прокси для Telegram?

    z3apa3a
    @z3apa3a
    в 3proxy можно реализовать примерно так:

    auth strong
users tguser:CL:tgpass

allow tguser * 149.154.160.0/20
socks

    по крайней мере для Европы это работает.
    Ответ написан
    Комментировать
    Комментировать

  • Есть ли расширения для Chrome, которые будут пропускать по прокси все не https сайты?

    z3apa3a
    @z3apa3a
    Расширение не требуется, можно использовать PAC-файл (или WPAD чтобы автоматически выполнять такую конфигурацию).
    Например, для PAC-файла, сделайте файл, c:\proxy\proxy.pac примерно с таким содержимым:

    function FindProxyForURL(url, host)
{
 if (url.substring(0, 5)=="http:") RETURN "PROXY 1.2.3.4:8080";
 return "DIRECT";
}

    этот скрипт направляет http:// трафик на прокси, остальной трафик - напрямую. Пропишите

    file:///c:/proxy/proxy.pac

    В настройках сети/использовать сценарий автоматической настройки/адрес
    (так же можно положить этот файлик на внутренний сервер и указать там URI или прописать этот файлик как wpad.dat для WPAD)
    Ответ написан
    Комментировать
    Комментировать

  • Как настроить Vestacp, если письма попадают в спам?

    z3apa3a
    @z3apa3a
    Чтобы использовать для shop.kttsoft.tk отдельную DNS-зону, в зоне kttsoft.tk необходимо добавить DNS-записи

    shop.kttsoft.tk. NS  ns1.shop.kttsoft.tk.
ns1.shop.kttsoft.tk. A 159.65.125.18


    либо прописывать все записи в самой зоне kttsoft.tk, иначе вашу зону не видно.

    P.S. а еще вам надо у хостера прописать PTR для 159.65.125.18.

    P.P.S. но даже если вы все сделаете правильно - не факт что ваши письма перестанут попадать в спам. Не стоит под что-то серьезное, тем более магазин, регистрировать домен в бесплатной зоне.
    Ответ написан
    2 комментария
    2 комментария

  • Можно ли потребовать деньги назад за сложное электронное устройство, если оно находится на гарантийном сроке?

    z3apa3a
    @z3apa3a
    ЗЗПП по этому поводу говорит следующее:

    В отношении технически сложного товара потребитель в случае обнаружения в нем недостатков вправе отказаться от исполнения договора купли-продажи и потребовать возврата уплаченной за такой товар суммы либо предъявить требование о его замене на товар этой же марки (модели, артикула) или на такой же товар другой марки (модели, артикула) с соответствующим перерасчетом покупной цены в течение пятнадцати дней со дня передачи потребителю такого товара. По истечении этого срока указанные требования подлежат удовлетворению в одном из следующих случаев:
    обнаружение "существенного недостатка" товара;
    нарушение установленных настоящим Законом сроков устранения недостатков товара;
    невозможность использования товара в течение каждого года гарантийного срока в совокупности более чем тридцать дней вследствие неоднократного устранения его различных недостатков.


    При этом из Постановление Пленума Верховного Суда РФ от 28.06.... существенным недостатком в технически сложны товарах в частности считается

    д) недостаток, который проявляется вновь после его устранения, - недостаток товара, повторно проявляющийся после проведения мероприятий по его устранению.


    т.е. если у вас повторно возникает та же неисправность - вы можете смело требовать замены или возврата денег.
    Ответ написан
    Комментировать
    Комментировать