Esa Jokinen's questions

自 Certbot 2.0 起， Let's Encrypt 已开始默认颁发 ECC 证书。对于现代 Web 浏览器来说这不是问题，但 Let's Encrypt 证书也可以用于 HTTPS 之外的其他用途。即，某些 SMTP 服务器尚不支持 ECC 证书。STARTTLS如果此类服务器尝试与使用 ECC 证书的 Postfix建立连接，则会失败。

日志表明不存在共享密码，尽管 Wireshark 显示 TLS 握手中的客户端 Hello 显然具有通过配置的列表的公共密码smtpd_tls_mandatory_ciphers = medium。

postfix/smtpd[1337]: connect from mail.example.net[198.51.100.1]
postfix/smtpd[1337]: SSL_accept error from mail.example.net[198.51.100.1]: -1
postfix/smtpd[1337]: warning: TLS library problem: error:0A0000C1:SSL routines::no shared cipher:../ssl/statem/statem_srvr.c:2220:
postfix/smtpd[1337]: lost connection after STARTTLS from mail.example.net[198.51.100.1]
postfix/smtpd[1337]: disconnect from mail.example.net[198.51.100.1] ehlo=1 starttls=0/1 commands=1/2

该问题是由证书类型引起的。是否可以使用 Certbot 从 Let's Encrypt 获取 ECC 和 RSA 证书？如何配置 Postfix 同时使用它们？

ClamAV 的电子邮件病毒过滤器包装器clamassassin将其标头附加到邮件标头。

X-Virus-Status: No
X-Virus-Checker-Version: clamassassin 1.2.4 with clamscan / ClamAV 1.0.3/27134/Mon Dec 25 11:40:06 2023

最好是任何传送邮件的 MTA 仅在标头前面添加，如RFC 5322, 3.6所建议的那样：

然而，就本规范而言，当传输或转换消息时，头字段不应重新排序。更重要的是，跟踪头字段和重发头字段不得重新排序，并且应该保留在消息前面的块中。更多信息请参见第 3.6.6和3.6.7节。

例如，spamassassin将其X-Spam-*标头添加到现有标头上方。为什么clamassassin不这样做，以及如何改变这种行为？例如，如果.procmailrc具有以下内容，我希望这些标头出现在同一位置。

:0 fw
| clamassassin

:0 fw
| spamassassin

BIND 9 管理员参考手册（例如9.14.11或9.17.1版）在

• 5.2. 配置文件语法
  • category短语 _
    • queries

查询日志条目首先以@0x<hexadecimal-number>格式报告客户端对象标识符。

在 ARM 的其他任何地方都没有提到这个术语，而且它是唯一提到任何对象标识符的地方。

• 它似乎与发送查询的客户端无关：

  • 对于来自许多不相关 IP 地址的查询可能是相同的，但
  • 来自同一 IP 地址的两个查询可能会有所不同。

• 例如@0x123456789abc

  • 上半场123456似乎总是一样
  • 下半场789abc不时变化。

• 在查询日志示例中，它可以是 32-bit@0xffffffff或 48-bit @0xffffffffffff。

• Alan Clegg 在 2019 年 10 月的这个BIND Logging演示文稿中，仅通过它不是什么来描述它：

  A@0x后跟客户端对象标识符（与客户端地址无关）

它是什么以及如何计算？
我们能从中得到什么信息？为什么它仍然被记录？

HP EliteBooks（使用 Windows 10）在建立 VPN 连接时不断关闭 WiFi，因为虚拟网络适配器被识别为有线连接，导致两者都失败。

尽管在 BIOS 设置中禁用了 LAN/WLAN 切换并关闭了适配器的电源管理，但仍会发生这种情况。

有许多关于如何在您最喜欢的 Linux 风格上设置 OpenDMARC 的教程，但它们都侧重于单服务器配置。我的目标是保留备用辅助 MX 服务器，但强制RejectFailures true要求 DMARCp=reject真正得到满足。

这导致了一个问题：示例配置具有TrustedAuthservIDs HOSTNAME上行 SPF 和 DKIM 源。如果这用于列出辅助 MX 服务器，它将允许在具有单个伪造标头的主 MX 上完全绕过 OpenDMARC 检查。

Authentication-Results: <HOSTNAME>;
        dkim=pass (1024-bit key; unprotected) header.d=example.com [email protected];

如何在没有此缺陷的情况下配置主 MX 和辅助 MX 之间的信任？

这是对 Server Fault 范围内关于 Security Stack Exchange的另一个问题的重写。

环境：公司网络在总部有一个带有 Total Security Suite 的 Firebox M 系列设备。每个分支机构都有一个较小的 T 系列 Firebox，没有订阅服务。因此，来自分支机构的所有流量都通过总部的 M 系列设备进行路由。一些分支机构 Firebox 具有静态 IP，一些通过 DHCP 获得。

有时隧道可能会出现一些问题（例如，如果 HQ 网络出现故障）。因此，分支机构 Firebox 需要能够放弃0.0.0.0/0通过隧道的路由并独立工作一段时间，因为 BO Internet 连接对业务至关重要。这适用于 BO 虚拟接口，但不适用于0.0.0.0/0BO GW & Tunnel。

简化（只有一个 External 和 Trusted if）相关配置，一个带有 DHCP 的分支机构。

• Firebox-HQ ( 10.9.0.1) - M670 [Fireware OS v12.2.1.B572649]
  • 接口（路由模式）
    • eth0: ISP1 [外部] - 198.51.100.123/24(静态)
    • eth1: 受信任 [受信任] -10.9.0.1/24
  • VPN 接口 ( bvpn20): BovpnVif.BO20 [IKEv1]
    • 路线到10.9.20.0/24
• Firebox-BO20 ( 10.9.20.1) - T55 [Fireware OS v12.2.1.B572649]
  • 接口（路由模式）
    • DNS 服务器：192.0.2.10& 192.0.2.20（ISP2 的 DNS 服务器）
    • eth0: ISP2 [外部] - 203.0.113.33/24(DHCP)
    • eth1: 受信任 [受信任] -10.9.20.1/24
  • VPN 接口 ( bvpn1)：BovpnVif.HQ [IKEv1]
    • 路线到0.0.0.0/0
    • VPN 设置：[x] 当 BOVPN vif 的隧道关闭时删除 VPN 路由。

当隧道关闭时，一切都按预期工作。Firebox-BO20 可以用作其eth1网络的 DNS 解析器。10.9.20.0/24和 Firebox 本身都可以访问 Internet 。

问题：当隧道开通并添加0.0.0.0/0路由时bvpn1，客户端eth1可以通过VPN和总部的所有资源（包括DNS服务器）访问Internet。

IPv4 Routes
------------
Destination     Gateway         Genmask         Flags   Metric    Interface   
0.0.0.0         0.0.0.0         0.0.0.0         U       1         bvpn1       
0.0.0.0         203.0.113.1     0.0.0.0         UG      5         eth0        
10.9.20.0       0.0.0.0         255.255.255.0   U       0         eth1        
203.0.113.0     0.0.0.0         255.255.255.0   U       0         eth0        
127.0.0.0       0.0.0.0         255.0.0.0       U       0         lo           

但是，Firebox 停止作为 DNS 解析器工作，并失去自己的 Internet 连接。这是因为 Firebox 自己的连接也开始使用该路由。

• ISP2 的 DNS 服务器无法从 ISP1 访问192.0.2.10。192.0.2.20
• 网络上的设备10.9.20.0/24可以通过bvpn1.
• Firebox 不10.9.20.1通过隧道使用其内部 IP，但203.0.113.33.
• 防火墙规则Any From Firebox-00是硬编码的，不会显示在策略管理器中。否则很容易强迫它eth0与<policy-routing>.

有防火墙策略允许两个设备上的所有必要流量；因此，问题仅限于路由。

这是一个关于解释元数据中讨论的 GDPR的规范问题。

当您在实施与法规相关的事情时遇到特定问题时，Server Fault 可能会为您提供帮助，但有关 GDPR 合规性的一般问题过于广泛，我们不是可以解释法律问题的律师，而且 Q/A 风格不允许深入讨论需要了解您组织中的所有细节，以确保您真正遵守。

我有一个关于通用数据保护条例(GDPR)、欧盟条例 2016/679 的问题。

• 如何遵守 GDPR？
• 我的组织准备好接受 GDPR 了吗？
• 我应该做 X 以遵守 GDPR 吗？
• GDPR 是否禁止我做 Y？
• GDPR 仍然允许 Z 吗？

我正在使用带有 PHP-FPM7.0.26-2和5.6.32-1来自存储库 deb.sury.org 的 Debian 9。相同的配置在带有 PHP-FPM 的 Debian 8 服务器上运行良好5.6.30

• 我已经pool.d/user.conf从该服务器复制了。
• 这两个php.ini文件都有cgi.fix_pathinfo=1.
• 该参数也被强制使用php_admin_value[cgi.fix_pathinfo] = 1。

• <VirtualHost>两台服务器从上下文中类似地使用此池：

  ProxyPassMatch ^/(.*\.php(/.*)?)$ unix:/run/php/user.sock|fcgi://localhost/home/user/public_html
  

现在，有一个 AJAX 页面需要从PATH_INFO（可能PATH_TRANSLATED）读取路径。然而，虽然这些变量在 Debian 8 服务器上具有正确的内容：

["SCRIPT_NAME"]=>
string(14) "/path/ajax.php"
["ORIG_SCRIPT_NAME"]=>
string(25) "/path/ajax.php/para/meters"
["PATH_INFO"]=>
string(12) "/para/meters"
["PATH_TRANSLATED"]=>
string(34) "/home/user/public_html/para/meters"

它们在新的 Debian 9 + dub.sury.org 上的工作方式似乎有所不同：

["SCRIPT_NAME"]=>
string(25) "/path/ajax.php/para/meters"
["PATH_TRANSLATED"]=>
string(22) "/home/user/public_html"

和参数ORIG_SCRIPT_NAME完全PATH_INFO丢失。

出于某种原因，我的客户端的 AD 域上禁用了 Windows 防火墙。RSoP 报告显示该设置源自默认域策略上 的额外注册表设置。

如果这是在任何其他 GPO 上，我可以将其删除，但它是Default Domain Policy。在域控制器上没有设置控制这些注册表项的 ADM/ADMX 模板，因此我无法使用组策略管理编辑器对其进行编辑。（可能某个管理员在某个时候在安装了远程服务器管理工​​具的外部计算机上安装了一个。）

删除这些设置的正确方法是什么？我应该找到并安装正确的 ADM(X) 模板还是有任何快捷方式？（我实际需要的所有设置都可以在下面找到Network\Network Connections\Windows Firewall\，但这会使 Windows 防火墙对公共和家庭网络禁用。）