Rohan's questions

Portanto, no SES - existem duas maneiras de verificar identidades, como posso ver:

1. Identidades de e-mail
2. Identidades de domínio

Com identidades de domínio - é mais fácil corrigir os cabeçalhos "assinado por" e "enviado por" nos e-mails de saída. Se os registros DNS DKIM/SPF estiverem configurados corretamente - funciona bem.

Mas com identidades de e-mail - o AWS SES adiciona algo como "via amazonses.com". Agora estou procurando corrigir isso com a marca do meu aplicativo. Assim, quando meus clientes querem apenas verificar identidades de e-mail e não domínios inteiros - eles podem enviar e-mails pelo meu aplicativo (e nos bastidores via SES), mas quando os e-mails são enviados - em vez de dizer "via amazonses.com", deveria coloque meus aplicativos como "via example.com" em vez das identidades de e-mail.

Como posso conseguir isso? :)

EDITAR:

1. Alguém verifica uma identidade de e-mail - [email protected] - quero que diga "via mydomain.com" em vez de "via amazonses.com"
2. Alguém verifica clientdomain.com - quero que diga "signed-by: clientdomain.com" e o "via...." será removido

O número 2 é simples e posso conseguir isso com o EasyDKIM no SES, mas estou tendo problemas para descobrir como alcançar o número 1

Estou trabalhando em uma ferramenta que ajuda os usuários a enviar e-mails. Pretendo usar um MTA (Mail Transfer Agent) no back-end como AWS-SES ou Sendgrid etc. Para que os e-mails cheguem com sucesso nas caixas de entrada das receitas, os usuários terão que configurar o DKIM/SPF configurando o DNS configurações de seus respectivos domínios.

Agora, se eu pegar o SES por exemplo, sei que eles têm uma API que me permite adicionar uma "Identidade" e recuperar todos os registros DNS necessários para isso usando a API. Tenho certeza de que o Sendgrid e outros MTAs têm APIs semelhantes que permitem adicionar identidades e devolver os registros DNS para o usuário aplicar.

Eu mostro as configurações de DNS DKIM retornadas para o usuário, e eles as adicionam ao seu provedor de DNS e, depois disso, quando enviam e-mails, as receitas as obtêm corretamente (sem qualquer coisa "via amazonses.com" nos cabeçalhos)

Agora, por exemplo - vamos supor que a ferramenta que estou construindo esteja hospedada em chillybilly.xyz e um dos usuários que usa minha ferramenta, eles têm um domínio chamado frankthetank.xyz que eles querem usar para enviar e-mails através da minha plataforma .

Quando o usuário tentar verificar seu domínio por meio da minha plataforma, acessarei a API mencionada acima no AWS SES - e mostrarei algo assim para o usuário:

Depois disso, eles podem adicionar esses registros CNAMES e TXT para DKIM/SPF bem-sucedidos e podem começar a enviar e-mails. Mas se você olhar de perto, eles podem ver que estou usando SES por causa dos valores desses registros CNAMES e TXT. E isso é algo que eu quero evitar, em vez disso, eu quero ter aqueles chamados algo como 7nuk24xywyawocu6ctqjxmjasiaiq3vq.dkim.chillybilly.xyzo que mostraria minha marca, mas no fundo ainda apontará para o SES correto.

Agora estou ciente de que isso é possível porque quando me inscrevi no ConvertKit, eles me mostraram algo assim:

Esses dois valores, como você pode ver, estão apontando para converkit.com, MAS quando eu os executo através de uma pesquisa de DNS:

https://dnschecker.org/all-dns-records-of-domain.php?query=spf.dm-5mk8zo6m.sg7.convertkit.com.&rtype=ALL&dns=google

https://dnschecker.org/all-dns-records-of-domain.php?query=dkim.dm-5mk8zo6m.sg7.convertkit.com.&rtype=ALL&dns=google

Eu posso ver que no fundo ele aponta para os registros MX e TXT que pertencem ao Sendgrid. Como posso conseguir isso? (Acredito que os mesmos princípios se aplicarão ao SES ou a qualquer outro MTA também)

EDIT: Eu tentei algumas coisas - E eu configurei o CNAME, MX e TXT em chillybilly.xyz (domínio do meu projeto) e apontei dois CNAMES para ele de frankthetank.xyz chamado spf.frankthetank.xyzedkim.frankthetankxyz

https://dnschecker.org/all-dns-records-of-domain.php?query=spf.frankthetank.xyz&rtype=ALL&dns=google

https://dnschecker.org/all-dns-records-of-domain.php?query=dkim.frankthetank.xyz&rtype=ALL&dns=google

Como você pode ver, consegui obter resultados muito semelhantes ao que o ConvertKit está fazendo com o Sendgrid. Mas não está sendo verificado dessa maneira. :(

A única diferença que vejo quando verifico essas pesquisas de DNS (links acima) é que os CNAMEs também aparecem na pesquisa para mim, mas não no caso do convertkit. Então, acho que estou perto de uma solução, mas não tenho certeza do que estou perdendo, alguma ideia? :)

Tentando aprender mais sobre o exploit de 0 dia descoberto recentemente

Esta é uma lista de softwares afetados que encontrei -> https://github.com/NCSC-NL/log4shell/tree/main/software

Ele só diz nginx em uma nota para F5.

Se estou usando um servidor Ubuntu com nginx para servir arquivos pela internet, preciso me preocupar?

Eu tenho um aplicativo Laravel rodando em produção, e existem algumas APIs que usaram muito. Algo estava criando um gargalo e costumava travar nossos servidores (3 com Load Balancer). Depois de otimizar o básico em Laravel, configuração de cache, rotas, dados e assim por diante, mesmo resolvendo todos os problemas n+1, ainda estávamos tendo problemas nos horários de pico. Alguém sugeriu que executássemos o strace em um dos trabalhadores do nginx para ver o que está acontecendo no nível do sistema, então fizemos, e interessante o suficiente, existem muitas chamadas de sistema redundantes onde o nginx tenta encontrar arquivos quando as APIs são chamadas:

Parte do rastreamento:

240498 stat("/var/www/html/myProject/current/public/APIRequest/3d4f7518e04e9", 0x7ffc7ee6ff70) = -1 ENOENT (No such file or directory)
240498 stat("/var/www/html/myProject/current/public/APIRequest/3d4f7518e04e9", 0x7ffc7ee6ff70) = -1 ENOENT (No such file or directory)
240498 lstat("/var", {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0
240498 lstat("/var/www", {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0
240498 lstat("/var/www/html", {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0
240498 lstat("/var/www/html/myProject", {st_mode=S_IFDIR|0777, st_size=4096, ...}) = 0
240498 lstat("/var/www/html/myProject/current", {st_mode=S_IFLNK|0777, st_size=48, ...}) = 0
240498 readlink("/var/www/html/myProject/current", "/var/www/html/myProject/release"..., 4095) = 48
240498 lstat("/var", {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0
240498 lstat("/var/www", {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0
240498 lstat("/var/www/html", {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0
240498 lstat("/var/www/html/myProject", {st_mode=S_IFDIR|0777, st_size=4096, ...}) = 0
240498 lstat("/var/www/html/myProject/releases", {st_mode=S_IFDIR|0775, st_size=4096, ...}) = 0
240498 lstat("/var/www/html/myProject/releases/20201202085755", {st_mode=S_IFDIR|0775, st_size=4096, ...}) = 0
240498 lstat("/var/www/html/myProject/releases/20201202085755/public", {st_mode=S_IFDIR|0775, st_size=4096, ...}) = 0

Agora, a API é chamada com o ID 3d4f7518e04e9nesse caso e tenta percorrer os diretórios para encontrar esse arquivo. Mas não é um arquivo, é uma API. Rodamos strace por menos de 30 segundos e temos 5k dessas chamadas que não fazem sentido para mim.

Então, essas ligações são necessárias? Acho que não, mas me diga se estou errado. E se eu estiver certo, como posso configurar melhor meu nginx para que essas chamadas possam ser "capturadas a tempo" e resolvidas adequadamente. Quaisquer ideias são bem-vindas. :)

PS: Tentamos o apache com configuração semelhante também, o mesmo problema no strace aparece.

Edit: Eu simplesmente preciso de algum tipo de diretiva de localização no meu site conf para resolver isso? Estou usando o nginx conf básico dos documentos oficiais https://laravel.com/docs/8.x/deployment#nginx com mais algumas adições como:

    location ~ \.php$ {
        fastcgi_pass unix:/var/run/php/php7.2-fpm.sock;
        fastcgi_index index.php;
        fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
        include fastcgi_params;

        fastcgi_buffer_size 128k;
        fastcgi_buffers 256 16k;
        fastcgi_busy_buffers_size 256k;
        fastcgi_temp_file_write_size 256k;
    }

    location ~ /\.(?!well-known).* {
        deny all;
    }

    client_body_buffer_size 10K;
    client_header_buffer_size 1k;
    client_max_body_size 8m;
    large_client_header_buffers 4 16k;

    client_body_timeout 12;
    client_header_timeout 12;
    keepalive_timeout 15;
    send_timeout 10;

EDITAR:

location / {
        try_files $uri $uri/ /index.php?$query_string;
    }

Eu tentei arquivos como sugerido por Danila Vershinin em uma resposta

Estou tentando me conectar a uma instância do EC2 e ela possui uma chave de segurança .ppk. Francamente, não sou um especialista em servidores e ainda tento descobrir as coisas por trilha e erro.

Normalmente, conecto-me ao meu servidor abrindo a linha de comando nativa no ubuntu e, em seguida, emitindo o seguinte comando:

ssh -i path/to/my_security_key.pem user_name@ip_address

Mas agora estou tentando me conectar a outro servidor que possui uma chave de segurança ppk em vez de pem e, quando tento me conectar, ele me pede para inserir uma senha. Perguntei ao administrador do servidor e ele disse que se conecta ao servidor usando o Putty e nunca é solicitado a senha. Eu tentei isso e funciona, mas eu quero saber por que não funcionaria de outra forma. Existe um parâmetro especial que devo passar para que ele se conecte usando a linha de comando?

Eu tenho 2 servidores diferentes e um nome de domínio. Posso usar 2 subdomínios diferentes para apontar para os dois servidores? É possível?

Eu tenho um certificado SSL padrão que acabei de comprar da Godaddy. Agora não permite que eu use um curinga para emitir o certificado para meu domínio. Diz que o curinga * não está incluído no meu produto. O que significa que só posso proteger um domínio como subdomain.example.com.

Agora minha dúvida é se eu conseguir o certificado emitido para subdomain.example.com, será válido para subdomain2.subdomain.example.comtambém?