Безпечна роботa при розсиланні запрошень електронною поштою

💡Хочу поділитися основами безпечної роботи при розсиланні запрошень електронною поштою 📧.

Сьогодні отримав запрошення 📩 яке попередній раз попало до спаму ⛔, а сьогодні Ґуґл попередив 🏷️ що можливо цей лист шахрайській ⚔️, чому ?

Одна з причин це порушення принців конфіденційності персональних даних при використанні адресатів в полі кому.

Чому?

Тому що їх бачать 📖 всі отримувачі, і база клієнтів - витікає 💧.

  Поле "кому"

Нові правила в Європі такі як GDPR регулюють деякі питання з цього.

🏆 Рішення?

Є - використовувати поле прихована копія або CC (Carbon Copy).
 

Поле "Прих. копія" (СС)

Нотатка. Django. E-mail. User Certificate. EmailBackend.

Для відправлення листів електронною поштою на певних поштових системах потрібно застосовувати свій персональний сертифікат користувача, у парі з закритим ключем.

Властивості сертифіката для підключення клієнта

Але, пробуючи відправити листа у Django з'ясував що листи не відправляються з помилкою:

SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1000)')

Аналізуючи приклад з прямим надсиланням email через smtplib, з'ясував - що працює відправлення коли контекст створений з використанням purpose  = ssl.Purpose.SERVER_AUTH.

nginx як проксі для серверів pop3, imap. Додаткова авторизація через ssl client, та блокування у fail2ban.

Задача

Є задача підключити nginx як ssl proxy для служб електронної пошти, з перевіркою авторизації у nginx. Використання nginx дозволить використати сучасні ssl сертифікати, у випадку коли поштові сервіси не можуть це зробити за певних умов. Наприклад коли необхідна додаткова перевірка авторизації через сертифікати ssl клієнта. 

Додаткова авторизація через SSL client certificate.

Для підтримки авторизації через SSL client certificate сторона сервера посилає додатковий запит клієнту на те що очікує від нього особистого сертифікату. Запит описує чи має бути відновіть від клієнта з особистим сертифікатом клієнту обов'язковим чи за бажанням. Надалі клієнт надсилає, а сервер перевіряє отриманий особистий сертифікат клієнту чи був він виданий певним центром сертифікації (CA) та чи він не був відкликаний, або не слив термін придатності. На цьому перевірка закінчена, будь який дійсний сертифікат виданий центром сертифікації (CA) буде прийнятним для сервера.

Free DNS he.net + Free SSL Certificates Let's Encrypt

dns.he.net

Якщо у Вас є домен в DNS службі https://dns.he.net, то можна оновлювати TXT записи через динамічний ключ, а це надає можливість отримати безкоштовні сертифікати через Let's Encrypt у випадку коли у Вас наприклад поштовий сервер.

Рішення що є pligin до certbot - he.net DNS Authenticator plugin for Certbot потребує повний доступ через login/password до Вашого he.net акаунта, як на мене це жирно :)

Тому було знайдено рішення оновлення через динамічний ключ для оновлення тільки одного TXT запису.

he.net TXT

Для отримання ключа його можна згенерувати, наприклад: aJoSWOFyLD1A3iDG

he.net dynamic key

MTA Postfix with HAProxy + pfSense GUI

Якщо треба збалансувати навантаження на поштові сервери, можна створити це за допомогою HAProxy.

 

https://www.haproxy.com/.../efficient-smtp-relay.../

Якщо треба додати опцію "send-proxy" у pfSense GUI для backend можна зробити це в розділі "Per server pass thru"

send-proxy opton for backend

 

Mozilla Thunderbird з версії 78 : Як дозволити застарілий та не рекомендований до використання протокол TLS 1.0 та 1.1

З нової 78 версії поштової програми "Mozilla Thunderbird" введено обмеження на використання застарілих і небезпечних протоколів безпеки.
Якщо у Вас застарілий поштовий сервер то головна проблема використання є те що програма про це ніяк не повідомляє - просто пошта не приходить, але з'єднання є.
За логами поштового сервера можна з'ясувати це:

Nov  8 22:01:00 dovecot: imap-login: Disconnected (no auth attempts): rip=XX.XX.XX.XX, lip=YY.YY.YY.YY, TLS handshaking: SSL_accept() failed: error:1409442E:SSL routines:SSL3_READ_BYTES:tlsv1 alert protocol version 

Щоб ТИМЧАСОВО дозволити роботу поштового клієнта є рішення як дозволити підключення з TLS 1.0.

pfSense email update notification about packages

Є задача отримувати на пошту результати періодичної перевірки застарілих застосунків що встановлені додатково до pfSense на кшталт squid, pfBlockerNG ...

Рішення:

1. Створюємо Email Report, додаємо опис, налаштовуємо періодичність, зберігаємо.
2. Повертаємося до редагування щойно створеного  Email Report, і додаємо команду: '/usr/local/sbin/pfSense-upgrade -c', зберігаємо.

Email Report pfSense-upgrade -c

За матеріалами:

• https://www.facebook.com/groups/pfsense.official/permalink/2005509943090559
• https://forum.netgate.com/topic/137707/auto-update-check-checks-for-updates-to-base-system-packages-and-sends-email-alerts/2

Офшор, і данні українських державних установ майже у сусідів з MAIL.RU

Не перший раз, вже бачу як рекламують, і застосовують дивний домен поштової системи @MAIL.UA. На перший погляд дуже патріотично, український домен .UA. Також відомо що отримати його не так швидко і просто, потрібна торгова марка. Регламент особливостей реєстрації приватних доменних імен другого рівня в домені .UA:
"3.3. Приватні доменні імена другого рівня в домені .UA делегуються виключно у
разі, якщо відповідне доменне ім`я повністю, або його компонент другого рівня
(до знака ".", але не включаючи цей знак), за написанням співпадає із Знаком,
права на використання якого на території України належать відповідному
реєстранту.".

Ось приклад використання на сайті Прозоро інформація про певну державну організацію котра використовує пошту у домені MAIL.UA.

Сайт ProZorro

Blocking ip by list of numbered dns names

Щось дістали записи у протокольних фалах від не бажаної пошти, вирішив заблокувати по IP.
Таким скриптом перебираю адреси, шукаю усі їх IP, колекціюю до файлу, сортую у пошуках унікальних, і передаю адресу скрипту з блокування адрес фаєрволом на певний час.

#!/bin/sh

echo "START"
for i in $(jot - 1 99); do
 hip="m$i.esputnik.com";
 ip=$(host -t a $hip | awk '{print $4}');
 for addr in $ip
  do
  echo "$addr" >> block_ip_loop.txt
 done
done

for addr in $(sort -u  block_ip_loop.txt).
do
 echo "blocking $addr"
 ./ipfw-blockip-by-hand.sh 9999999 $addr
done
rm  block_ip_loop.txt
echo "END" 

Mozilla Thunderbird : Blinking Alert : нові листи прийшли !!!

Mozilla Thunderbird : Blinking Alert : нові листи прийшли !!!

Mozilla Thunderbird досить приємна альтернатива "монопольним" поштовим програмам.
Навіть маючи ліцензію на "Microsoft Office", встановлюю "Thunderbird" користувачам котрим потрібна тільки пошта, але з деякими налаштуваннями. Ось зараз піде мова про привернення уваги про нові листи.
За замовчуванням, вікно що спливає про новий лист з'являється на певний час і зникає. А якщо не було за комп'ютером користувача у цей час то можна не звернути увагу про це.  Дуже гарно це зроблено у програмі The Bat! за допомогою "поштового бігунка".
Якщо використати розширення Blinking Alert автор kzmi, то вікно про сповіщення можна залишити на екрані , і навіть зробити його блимаючи.

Mozilla Thunderbird : SmartTemplate4 : шаблони для листів

Mozilla Thunderbird : SmartTemplate4 : шаблони для листів

Mozilla Thunderbird досить приємна альтернатива "монопольним" поштовим програмам.
Навіть маючи ліцензію на "Microsoft Office", встановлюю "Thunderbird" користувачам котрим потрібна тільки пошта, але з деякими налаштуваннями. Ось зараз піде мова про вставку шаблонів таких як привітання для нових повідомлень та відповідей.
За замовчуванням, при створенні листа ми маємо чистий лист з автоматичним підписом. А якщо потрібно вставити привітання чи поточну дату то можна використати додаток SmartTemplate4  автор Realraven (Axel Grude), Marky Mark DE

Mozilla Thunderbird : Minimize On Start and Close

Mozilla Thunderbird досить приємна альтернатива "монопольним" поштовим програмам.
Навіть маючи ліцензію на "Microsoft Office", встановлюю "Thunderbird" користувачам котрим потрібна тільки пошта, але з деякими налаштуваннями. Ось зараз піде мова про
автоматичний запуск програми згорнутою, і при закритті програми вона не закривається, а згортається до панелі завдань
Можна використати додаток Minimize On Start and Close автор KF Savje.

Mozilla Thunderbird : Quicktext : швидкі шаблони

Mozilla Thunderbird : Quicktext : швидкі шаблони

Mozilla Thunderbird досить приємна альтернатива "монопольним" поштовим програмам.
Навіть маючи ліцензію на "Microsoft Office", встановлюю "Thunderbird" користувачам котрим потрібна тільки пошта, але з деякими налаштуваннями. Ось зараз піде мова про вставку швидких шаблонів таких як привітання для нових повідомлень та відповідей.
За замовчуванням, при створенні листа ми маємо чистий лист з автоматичним підписом. А якщо потрібно вставити привітання чи поточну дату то можна використати додаток Quicktext  автор WizKid. Сторінка додатку http://extensions.hesslow.se/extension/4/Quicktext/.

Mozilla Thunderbird : сповіщення про доставку

Mozilla Thunderbird : сповіщення про доставку

Mozilla Thunderbird досить приємна альтернатива "монопольним" поштовим програмам.
Навіть маючи ліцензію на "Microsoft Office", встановлюю "Thunderbird" користувачам котрим потрібна тільки пошта, але з деякими налаштуваннями. Ось зараз піде мова про встановлення для нових повідомлень запиту про сповіщення про доставку, та прочитання.
За замовчуванням, ці параметри можна встановити з меню, і для кожного нового листа їх треба встановлювати постійно. Моє завдання зробити ці запити постійними при створенні листів.

Amavis переклад повідомлень системи що повертаються адресату

У випадку коли система "amavis-new" блокує повідомлення, вона може відсилати причину блокування адресату. По замовчуванню, текст шаблонів англійською мовою. Їх можна налаштовувати, описано це тут, але більш детально з особливостями і принципами відправлення DSN, можете знайомитися тут.
Тому для уникнення постійних роз'яснень що це за зміст, я зробив перескладений шаблон українською зі збереженням англійської. Приклади файлів англійською.

amavisd.conf:

Використання само підписаного сертифікату на стороні поштового клієнта

Проблема

Якщо використовувати на поштовому сервері само підписаний сертифікат та використовувати шифроване з'єднання SSL/TLS, то можливі проблеми підключення клієнтських поштових програм. Наприклад, якщо використовувати програму "Ritlabs The Bat!", та в налаштуваннях використовувати механізм Microsoft CryptoAPI (Рис. 1), то можуть бути проблеми позначені на  (Рис. 2) - відмова прийняття само підписаного сертифікату.

Рис. 1. The Bat!, механізм Microsoft CryptoAPI

Періодичне відсилання завеликого файлу електронною поштою

Завдання є завеликий файл який треба постійно відсилати поштою. Такий завеликий що поштовий сервер не приймає його.
Реалізація за допомогою архіватора 7-Zip, та поштової програми The Bat! та цього скрипта.
Ділиться файл D:\users\someI\temp\filename.jpg на частки розміром 20 Мбайт, і ставиться у чергу на  відсилання до "some.mr@some-mail" використовуючи обліковий запис "some.i@some-mail".
Файл для відсилання мітиться поточною датою, якщо файл вже відсилався сьгодні до додаєтеся індекс до імені.
Наприклад: filename-14.12.2001-2.7Z.001