主页 / user-293542

comfreak's questions

Martin Hope
comfreak
Asked: 2017-08-06 01:07:18 +0800 CST
  • 0

我想设置一个主和一个从 BIND 名称服务器,其中主隐藏并且当前在动态 IP 上。我在一个单独的域上为它设置了一个动态 DNS 服务。

到目前为止,我阅读的文档仅在masters该部分的字段中显示 IP 地址而没有主机名zone

是否也可以在那里使用主机名?

bind
Martin Hope
comfreak
Asked: 2017-07-07 07:36:48 +0800 CST
  • 3

我在本地网络中将 Unbound 设置为本地 DNS 解析器。我注意到它不会过滤已解析域中的任何私有 IP 地址并转发域解析到的任何 IP 地址。

为了防止 DNS 重新绑定,我想让 Unbound 不会将任何私有 IP 地址从公共域返回给客户端,但是我没有从官方文档中找到任何相关信息。显然 dnsmasq 默认情况下会提供这种保护。

domain-name-system
Martin Hope
comfreak
Asked: 2017-02-20 06:24:32 +0800 CST
  • 4

我的问题与类似,但我正在运行更新版本的 Postfix,并且那里的答案并没有真正回答我的问题。

我正在使用 Postfix 2.11 运行 Debian Jessie 服务器。

到目前为止,我了解到 Postfix 有这些检查:

  • smtpd_client_restrictions
  • smtpd_helo_restrictions
  • smtpd_sender_restrictions
  • smtpd_relay_restrictions
  • smtpd_recipient_restrictions

根据我阅读的内容,Postfix 将按上述顺序处理它们。

  1. 现在我的问题是,当任何限制中的条目匹配到时会发生什么OK?这是否意味着 Postfix 将跳过该特定 *_restriction的剩余检查,还是会一起跳过所有 *_restrictions检查?

  2. 除了这些检查的正确值之外OK,是否还有其他结果?REJECT

  3. 如果大多数教程只提到or ,其他_restrictions用途是什么?smtpd_client_restrictionssmtpd_recipient_restrictions

我想要实现的是:

  • 阻止以发送垃圾邮件而闻名的 MTA 客户端(例如,动态 IP 或黑名单中列出的其他客户端)和/或不符合 RFC(例如,非 FQDN 地址等)。
  • 同时允许某些客户端基于白名单绕过这个
  • 仅允许经过 SASL 身份验证的客户端将邮件中继到其他服务器,而不是每个列入白名单的域
  • 阻止冒充其他服务器的客户端(即 SPF),包括那些以前列入白名单的客户端(换句话说,让列入白名单的服务器只传送他们的邮件)
  • 为新服务器添加延迟以进一步增强垃圾邮件保护 (Postgrey)。这已经很有效了,我还为它创建了必要的白名单。

现在,如果您以任何一种方式回答问题 1,将所有检查放入*_restrictions上述其中之一,很可能不会成功,因为例如白名单会覆盖 SPF 检查。

因此,我的配置如下所示:

# basic configuration (myorigin, mydomain, etc.)

smtpd_helo_required = yes

smtpd_client_restrictions = check_client_access hash:/etc/postfix/blackwhitelists/whitelisted_client_addresses, 
    check_reverse_client_hostname_access hash:/etc/postfix/blackwhitelists/blacklisted_reverse_hostnames, 
    reject_rbl_client zen.spamhaus.org, reject_rbl_client bl.spamcop.net,
    reject_rbl_client dnsbl.sorbs.net, reject_unknown_client

smtpd_helo_restrictions = permit_sasl_authenticated, permit_mynetworks,
    reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname,
    reject_unknown_helo_hostname, reject_unauth_pipelining

smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks,
    check_sender_access hash:/etc/postfix/blackwhitelists/blacklisted_sender_addresses

smtpd_relay_restrictions = permit_sasl_authenticated, permit_mynetworks,
    reject_unauth_destination

smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks,
    reject_unauth_destination, reject_unauth_pipelining, 
    check_sender_access hash:/etc/postfix/blackwhitelists/whitelisted_sender_addresses, reject_non_fqdn_sender,
    reject_unknown_sender_domain, check_policy_service unix:private/policyd-spf, 
    check_policy_service unix:/var/spool/postfix/postgrey/socket

smtpd_etrn_restrictions = permit_sasl_authenticated, permit_mynetworks, reject

# more basic configuration

如您所见,许多选项现在会重复出现,因为我不确定是否在其他限制中也需要它们。总而言之,我也认为这很混乱。

我还在为通过所有这些检查的邮件运行 SpamAssassin。

email smtp postfix
Martin Hope
comfreak
Asked: 2017-02-04 06:50:59 +0800 CST
  • 10

由于我想在我的 SSL 证书中设置“必须装订”属性,因此我正在做一些研究以了解我的所有服务是否都支持 OCSP 装订。到目前为止,我发现 Apache 确实可以使用 SSLLabs.com 进行确认。

但除此之外,我无法确认我的其他两个服务(SMTP 和 IMAP)是否也支持 OCSP 装订。现在我的问题是,Postfix 和 Dovecot 是否也支持它?

PS:我知道证书在邮件传输方面似乎并不重要,但我想避免任何可能的问题,如果我添加属性并且客户端可能因此拒绝工作,而其他人可以从中受益。

postfix ssl dovecot ocsp
Martin Hope
comfreak
Asked: 2016-10-21 10:59:35 +0800 CST
  • 17

自从我更换了处理器后,我更新了这篇文章,但我的问题的核心(不幸的是结果也是如此)是相同的。

我构建了我的第一个 FreeNAS 盒子并想使用 ECC RAM,因为我想存储关键数据。因为我的预算有限,所以我想选择仍然支持 ECC RAM 的最实惠的解决方案。

经过一番研究,我发现我需要一块支持 ECC 的主板、内存和 CPU。我选择的主板是“Gigabyte X150M-Pro ECC”,它有 C232 芯片组、DDR4 和 LGA1151 插槽。

我还购买了由金士顿制造的两个 DIMM 套件,型号为“KVR21E15S8K2/8”(规格表)。技嘉发布了一份经过测试的内存模块列表,我的模块似乎支持工作 ECC(支持的模块列表)。

内存标签

由于预算有限,我需要一个支持 ECC 的经济实惠的 Skylake CPU。根据英特尔的说法,赛扬 G3900 确实支持 ECC,所以我选择了那个。

构建计算机后,我想验证我的系统确实使用 ECC 内存运行并进入主板的 BIOS。从各种互联网站点,我发现一些主板有一个特殊的部分,应该告诉 ECC 是否工作,但我的主板似乎没有。我检查了所有菜单,但找不到类似的部分。

在做了更多的研究后,发现了一篇关于 Unix&Linux stackexchange 的帖子并没有解决我的问题。我尝试了最新memtest86+的,据我所知,它甚至没有显示值“ECC”。我尝试了Puget 系统使用的旧 4.20 版本,它显示“ECC:关闭”。然而,在阅读了前面提到的帖子之后,我怀疑它是否说实话(也许这就是该功能被删除的原因?)。两个版本也没有读出 DIMM 的正确速度和延迟,这增加了我对memtest86+.

memtest86+截图

另一种流行的确定 ECC 是否正常工作的方法是发出dmidecode -t memory命令并读出Total Widthand Data Width。我的结果分别是128 Bits64 Bits。输出的一部分显示了有关具有键值对的内存阵列的详细信息Error Correction Type: Single-bit ECC

我期待72 bits的是Total Width,所以我认为它可能与双通道有关,并将内存模块移动到两个相邻的插槽中,这应该防止双通道,但结果是一样的。这是完整的输出dmidecode -t memory

我什至试用了 Puget 系统发布的有趣的C 程序,但结果是0,表明不支持 ECC。

现在我开始怀疑英特尔自己网站上的数据是否正确,而我的 CPU 实际上并不支持 ECC。内存和主板都特别标有“ECC”,所以我可以排除这些。

BIOS 版本是否可能需要更新(目前没有)才能启用 ECC,或者 ECC 实际上已经在工作而我只是无法验证它?或者如果我想运行 ECC 内存并且英特尔的网站是错误的/误导性的,我对 CPU 的选择是否错误?

如果我的 CPU 被证明是错误的选择,那么“预算 ECC CPU”的下一个最佳选择是什么?

更新:我看到一些新迹象表明我的系统实际上可能在启用 ECC 的情况下运行,并且该dmidecode工具只报告奇怪的数据。在 FreeNAS 论坛上,用户 Dusan 正在使用服务器级硬件(SuperMicro MB、Xeon CPU、金士顿 DIMM),并且具有类似的输出128 Bits。但他写道,他不确定自己是否真的有效。

更新 2:正如 yagmoth555 在对这个问题的回答中提到的那样,我的主板似乎只支持带有 Xeon 处理器的 ECC,尽管我认为该注释是从以前的手册中复制过来的。我想这意味着我需要研究 Xeon 处理器.. :-/

更新 3:我现在购买了 Xeon E3-1220v5,它当然支持 ECC,应该满足手册的要求。我再次运行所有测试以检查 ECC 功能,结果基本相同:

ecc_check 和 dmidecode

从 Puget Systems 的评论来看,该ecc_check.c程序似乎也不适用于 Xeon 和 Core i7 处理器.. :-/

memtest86+这次我又检查了一些,我相当肯定它根本不支持 DDR4 或 C232 芯片组,因为它不仅报告错误的速度和时序,而且报告 DDR3 而不是安装的 DDR4。但是,它检测到处理器就好了,但是我仍然得到了两个版本的相同最终结果memtest86+

内存测试86+ v5.01

4.20 版甚至没有正确检测到我的处理器..

memtest86+ v4.20

任何关于我如何测试 ECC 的想法都非常感谢。

central-processing-unit memory freebsd ecc truenas
Martin Hope
comfreak
Asked: 2016-07-03 05:44:14 +0800 CST
  • 3

我目前正在为我的托管虚拟服务器使用 StartCom 的证书。由于 StartCom 的 OCSP 服务器有时非常不稳定,我正在考虑迁移到 Let's Encrypt。他们的服务使用起来也不那么麻烦。

据我所知,当我请求新证书时,Let's Encryptcertbot会创建新的密钥对,至少是第一次使用它时。

由于我的服务器使用 HPKP 标头运行,因此我不能只替换密钥对,因为我将其配置为固定公钥。

现在我的问题是,我可以告诉 Let's Encryptcertbot为新证书使用给定的密钥吗?或者是否有其他解决方案可以切换到 Let's Encrypt with HPKP?

更新:我刚刚在 Let's Encrypt 社区论坛上发现了一篇帖子,上面说截至 2015 年 11 月,Let's Encrypt 客户端目前不支持它。https://community.letsencrypt.org/t/hpkp-best-practices-if -you-choose-to-implement/4625 现在唯一的选择是固定中间公钥,并使用备用密钥与不同的 CA 一起使用。

如果有人知道一些最近的消息或有不同的想法,我很高兴听到。

ssl-certificate lets-encrypt
Martin Hope
comfreak
Asked: 2015-10-19 04:33:01 +0800 CST
  • 37

我正在运行一个电子邮件服务器,该服务器当前设置为在发送和接收电子邮件时尽可能使用 TLS。

当您阅读有关此的文档时,还可以选择强制执行 TLS 并且不接受电子邮件的纯文本传输。它还警告您,某些邮件服务器可能还不支持加密,强制加密可能会阻止这些服务器。

但这仍然是一个应该考虑的问题,还是可以肯定地说强制加密不再是问题?

是否可能有一些大型提供商已经在这样做,或者您认为这些天的最佳做法是什么?

encryption
Martin Hope
comfreak
Asked: 2015-10-07 07:12:49 +0800 CST
  • 1

我正在运行带有 Postfix 2.9.6 和 Spamassassin 3.3.2 的 Debian 7.9 服务器。

Spamassassin 的一项标准检查是检查 rDNS 记录。我假设它Received: from ...从 Postfix 传递的消息的标题中获取该信息。

现在,Postfix 经常无法解析 IP 地址的主机名,这不必要地给出了比它应得的更差的分数,因为几乎所有时候,主机名确实存在。如果我手动检查这些消息,我可以看到提到的标题经常说Received: from example.com (unknown [1.2.3.4]) by ...,同时如果我尝试自己解析 IP 地址(在服务器的 shell 中)它可以正常工作。

这里有什么问题?是否有一个过于激进的超时,没有给它足够的时间?如果是这样,有没有办法调整这个超时?我的服务器每分钟没有收到数千条消息,所以再等几秒钟不会有什么坏处。切换到基于 TCP 的 DNS 会帮助解决这个问题吗?如果是这样,我如何告诉 Postfix 使用 TCP 进行 DNS 查询?

postfix
Martin Hope
comfreak
Asked: 2015-09-06 03:52:58 +0800 CST
  • 3

我正在使用名为dnsmasq(version 2.72-3+deb8u1) 的 DNSSEC 验证 DNS-Resolver 运行本地 Debian 8.1 安装。

如果它无法验证启用 DNSSEC 的域,我将其设置为返回 a SERVFAIL,即如果域具有 DNSSEC 条目,它必须正确验证才能转发到客户端。

今天在浏览时,我想访问IETF相当有名的站点,但我不能,因为无法解析域。我检查了命令行来验证这一点,我确实得到了一个SERVFAIL. 我检查了谷歌 DNS 服务器(8.8.8.8),SERVFAIL只得到了 IP 地址。

之后,我为每个 dns 请求启用了日志记录并检查了结果。看来我的感觉是对的,DNSSEC 验证失败了,尽管它从 DNS 转发器得到了与我从谷歌得到的相同的响应。

这里是 my 的相应行syslog

Sep  5 13:27:13 dnsmasq: query[A] www.ietf.org from 192.168.1.10
Sep  5 13:27:13 dnsmasq: forwarded www.ietf.org to 81.3.21.188
Sep  5 13:27:13 dnsmasq: forwarded www.ietf.org to 178.63.73.246
Sep  5 13:27:13 dnsmasq: dnssec-query[DNSKEY] ietf.org to 81.3.21.188
Sep  5 13:27:13 dnsmasq: dnssec-query[DS] ietf.org to 81.3.21.188
Sep  5 13:27:13 dnsmasq: dnssec-query[DNSKEY] org to 81.3.21.188
Sep  5 13:27:13 dnsmasq: dnssec-query[DS] org to 81.3.21.188
Sep  5 13:27:13 dnsmasq: dnssec-query[DNSKEY] . to 81.3.21.188
Sep  5 13:27:13 dnsmasq: reply . is DNSKEY keytag 1518
Sep  5 13:27:13 dnsmasq: reply . is DNSKEY keytag 19036
Sep  5 13:27:13 dnsmasq: reply org is DS keytag 21366
Sep  5 13:27:13 dnsmasq: reply org is DS keytag 21366
Sep  5 13:27:13 dnsmasq: reply org is DNSKEY keytag 19629
Sep  5 13:27:13 dnsmasq: reply org is DNSKEY keytag 21366
Sep  5 13:27:13 dnsmasq: reply org is DNSKEY keytag 9795
Sep  5 13:27:13 dnsmasq: reply org is DNSKEY keytag 12023
Sep  5 13:27:13 dnsmasq: reply ietf.org is DS keytag 45586
Sep  5 13:27:13 dnsmasq: reply ietf.org is DS keytag 45586
Sep  5 13:27:13 dnsmasq: reply ietf.org is DNSKEY keytag 45586
Sep  5 13:27:13 dnsmasq: reply ietf.org is DNSKEY keytag 40452
Sep  5 13:27:13 dnsmasq: dnssec-query[DNSKEY] cloudflare-dnssec.net to 81.3.21.188
Sep  5 13:27:13 dnsmasq: dnssec-query[DS] cloudflare-dnssec.net to 81.3.21.188
Sep  5 13:27:13 dnsmasq: dnssec-query[DNSKEY] net to 81.3.21.188
Sep  5 13:27:13 dnsmasq: dnssec-query[DS] net to 81.3.21.188
Sep  5 13:27:13 dnsmasq: reply net is DS keytag 35886
Sep  5 13:27:13 dnsmasq: reply net is DNSKEY keytag 45464
Sep  5 13:27:13 dnsmasq: reply net is DNSKEY keytag 35886
Sep  5 13:27:13 dnsmasq: reply cloudflare-dnssec.net is DS keytag 537
Sep  5 13:27:13 dnsmasq: reply cloudflare-dnssec.net is BOGUS DNSKEY
Sep  5 13:27:13 dnsmasq: validation result is BOGUS
Sep  5 13:27:13 dnsmasq: reply www.ietf.org is <CNAME>
Sep  5 13:27:13 dnsmasq: reply www.ietf.org.cdn.cloudflare-dnssec.net is 104.20.0.85
Sep  5 13:27:13 dnsmasq: reply www.ietf.org.cdn.cloudflare-dnssec.net is 104.20.1.85

现在我不确定该域是否暂时配置错误,或者我的连接是否被篡改,或者我的 DNS 服务器是否配置错误,即使到目前为止所有其他域都运行良好,包括“ietf.org”(没有 www)。

如果有人可以帮助我追踪问题,我将不胜感激。

dnsmasq
Martin Hope
comfreak
Asked: 2015-08-10 03:59:45 +0800 CST
  • 5

我目前正在尝试弄清楚如何删除 Debian 服务器上 Maildir 安装的一个文件夹中的旧电子邮件。基本上我想要做的是每天运行一个 cron 作业,以便检查 Maildir 中的特定文件夹是否有旧电子邮件,如果它们超过设定的天数,则将其删除。

有没有一种简单的方法可以按日期过滤来自 Maildir 的电子邮件,或者我必须以文本形式阅读每封电子邮件,查找时间戳,转换它,减去提到的天数,然后将其与当前的天数进行比较日期?

如果那里已经有更好的轮子,我不想发明轮子,所以如果有人可以帮助我做这件事,我会很高兴。

谢谢!

注意:我正在使用带有 Postfix 2.9.6 和 Dovecot 2.1.7 的 Debian 7.8

email
Martin Hope
comfreak
Asked: 2015-06-11 12:56:40 +0800 CST
  • 1

您好 StackExchange 的成员,

我正在运行一个带有全盘加密的 Debian 8.0 服务器,当我进行一些加固时,我经历了/etc/fstab一些分区,我想知道是否真的需要自动挂载某些分区。

经过一些研究,我发现显然没有必要自动挂载/boot分区,因为它正在被读取,我不希望某些程序可能会在这个相当关键的区域写入。

但是由于我的文件系统是加密的,我不确定是否仍然如此,以及总的来说该答案是否正确。

如果有人能给我一个答案,我会很高兴。

提前致谢!

debian