Администрирование доменных имен *

Кратко: у основного домена Сбербанка (sberbank.ru) некорректная SPF-запись. Это приводит к тому, что у злоумышленников есть возможность делать фальшивые рассылки электронной почты от имени Сбербанка. Сама запись настроена хорошо, годно, но с ошибкой, сводящей к нулю все усилия.

> host -t txt sberbank.ru
sberbank.ru descriptive text "v=spf1 mx mx:shark11.sberbank.ru mx:shark12.sberbank.ru mx:shark13.sberbank.ru mx:shark14.sberbank.ru mx:email1.sberbank.ru -all"

Счастливый финал: в течение дня запись исправили, теперь она соответствует RFC.

> host -t txt sberbank.ru
sberbank.ru descriptive text "v=spf1 mx -all"

Ну, а для тех кто осилит прочитать — добро пожаловать под кат.

Компания ХостТрекер началась с простенького сайта на базе не менее простенького скрипта, предоставлявшего бесплатные услуги всем желающим. Но за несколько лет работы сервис, развиваясь как стартап, обзавелся солидным инструментарием для решения разнообразных задач людей, так или иначе причастных к Сети. В серии публикаций мы решили подробно описать функции нашего сервиса, поделиться опытом развития подобных проектов, упомянуть интересные задачи, с которыми нам пришлось столкнуться. Отметим, что зачастую разработка новых функций происходит с оглядкой на наши личные потребности, поэтому наша история может еще стать хорошим примером того, как «продать то, что сделано для себя».

«… ты приходишь и просишь что-то у меня, но ты просишь без уважения …»
Вито Корлеоне

Фишинг все еще самый популярный и самый успешный тип хакерских атак. Все просто, атакуются не софт, не сервера, не сети, а самые уязвимые компоненты информационных систем – пользователи. Я часто встречаюсь с фишингом, как единичными, направленным на личные адреса, так и массовыми атаками. В большинстве случаев это неумело составленные письма и коряво сварганенные фишинг страницы. До недавнего времени большинство таких атак срывалось уже на уровне пользователей: письма или сразу игнорировались (так как признаки фишинга были очень явными) или, в худшем случае, письма перенаправлялись в службу поддержки с вопросом «безопасно ли вводить пароль на этой странице?». Конечно, какая-то часть пользователей все-таки попадалась, но в процентном соотношении это был реально минимум. Но буквально на прошлой неделе я столкнулся с фишинг атакой, уровень которой меня удивил. Я провел небольшой анализ, и выяснил как именно она была организована и какие инструменты были при этом использованы.

Тема получения сертификата Let's Encrypt уже подымалась на хабре (см. тут), да и в сети можно найти много рецептов разного качества.

Читал я и ужасался: одни пишут, что то нужно nginx или apache остановить («на пару минуточек всего»), другие предлагают файлы подкладывать в папку веб-сервера (в соседней ssh-сессии), третьи — о том, как важно соблюсти правильный Content-type для файлов проверки домена…

Давайте попробуем обойтись без всего этого: чтобы не было мучительно больно ни на стадии установки, ни очередном продлении — даже если придётся обновлять сразу много доменов. Собственно, вот и вся цель моей небольшой заметки: это не пошаговый степ-бай-степ, не длинная теоретическая статья о том, как функционирует Let's Encrypt — просто описывается правильный на мой взгляд подход, который будет правилен для конфигурации любой сложности.

Вся суть в двух словах: пусть Let's Encrypt запустит веб-сервер на 9999 порту, а мы допишем конфиг nginx, чтобы он пробросил запрос на этот бекенд. Кому интересны детали — прошу под кат

Для того, чтобы зарегистрировать домен, нужны следующие данные:

• Владелец домена;
• Администратор;
• Технический контакт;
• Контакт для счетов;
• Группа nameserver'ов.

Но некоторым координаторам доменных зон весьма скучно и, забавы ради, они выдумывают задачки для владельцев доменов и разработчиков. Расскажу о дополнительных данных для регистрации домена, которые нужно складывать в блок extension.

Домены: .cat, .scot, .gal, .eus

Текстовое поле: intendedUse — для описания цели использования домена. Мало ли что!

Домены: .nz

Текстовое поле: authCode
Если ты хочешь зарегистрировать hobbit.nz и есть уже домен hobbit.co.nz, то будь добр, введи код авторизации, иначе ты получишь… ничего не получишь (уточнил, сейчас требование уже снято, но пункт оставил в качестве примера).

Сегодня, 25 июня 2015 года в 12:00 компания ICANN приостановила аккредитацию компании Freenom, являющуюся администратором популярных доменных зон, таких как .TK и других условно- бесплатных доменов верхнего уровня. Причиной для столь серьезного решения стало то, что компания занималась киберсквоттингом в отношении своих прямых конкурентов — других регистраторов доменов.

По имеющимся данным, есть информация о том, что Freenom с 8 июля до 6 октября не сможет регистрировать новые домены и получать деньги за регистрационные услуги, если она не представит ICANN полный список доменов, зарегистрированных со злым умыслом.

Недавно пришлось столкнуться со спамящим php-скриптом. Виновник был найден и уничтожен, дыра закрыта… Оставался вопрос с блэклистами. В частности перестала доходить почта на Gmail (reject).
Решил я настроить почту «как надо» — SPF, DKIM и попробовать настроить DMARC.
Оговорюсь сразу — я даже не пробовал разобраться с макросами и не настраивал aspf/adkim (хоть и написал о них).

Что такое DMARC?

Описан в RFC7489.
DMARC задает политику как проверять приходящую почту в этом домене и что делать если письма не проходят аутентификацию SPF или DKIM. На картинке показано на каком этапе вступает в работу DMARC.

Несколько часов назад были разделегированы домены регистратора REG.ru, у которых в качестве ns-серверов были указаны собственные доменные имена. В техподдержке reg.ru мне сказали, что проблема массовая и сейчас решается специалистами компании.

domain:        SETNS.RU
state:         REGISTERED, NOT DELEGATED, VERIFIED
person:        Private Person
registrar:     REGRU-RU
admin-contact: http://www.reg.ru/whois/admin_contact
created:       2011.06.06
paid-till:     2015.06.06
free-date:     2015.07.07
source:        TCI

Я проверил выборочно несколько доменов по базе statonline.ru/domains?tld=ru&registrar=REGRU-RU и действительно — домены при схожих условиях имеют статус NOT DELEGATED. И, соответственно, недоступны.

Пишите в комментариях, кого затронула данная проблема.

Доменное имя с расширением для Стамбула (.ist и .istanbul) пользуется огромным спросом. Такие домены стали доступны в прошлом месяце, сообщает Rusturkey, и с тех пор активно раскупаются владельцами бизнеса в Стамбуле и иностранными компаниями.

Сегодня пользователи из Крыма, которые зарегистрировали свои домены у крупнейшего в мире регистратора доменных имен GoDaddy получили сообщение о том, что в связи с санкциями 31 января регистрация их доменных имен будет удалена и эти имена могут быть зарегистрированы иными людьми.

Сервис регистрации доменов, запущенный Google полгода назад и до сегодняшнего дня работавший только по инвайтам, стал доступен для всех*. К сожалению, пока только для *всех US residents, жителям остальных государств предлагается указать свою страну и подождать уведомления на почту о начале будущей международной экспансии.

Цены на домены начинаются от $12 за регистрацию в традиционных gTLD (.com .net .org .biz .info). За эти деньги, кроме стандартных услуг, более-менее одинаковых у большинства регистраторов, клиенты получают приватную регистрацию без дополнительной платы, возможность создать до 100 поддоменов 3-го уровня и телефонный саппорт в рабочее время.
Также клиенты могут мгновенно связать только что зарегистрированный домен со своим блогом на Blogger.com и воспользоваться одним из нескольких конструкторов сайтов: Shopify, Squarespace, Wix, Weebly.

Сидя на диване и в очередной раз придумывая безумную идею, из разряда того что глобально, а я на уровне хобби этим еще не позанимался, мне эта идея все таки пришла :).

Прикинув, что у того у кого информация, у того и возможности для работы с аудиторией, я задался вопросом почему так мало поисковиков в интернете. Ну гугл, яндекс, рамблер, ну и что то там еще, что пересчитать по пальцам легко. А ведь они аккумулируют практически подавляющие большинство пользователей интернета. Через них проходят большое число пользователей и от них же в определенной мере зависит куда направить пользователя. Да и фирмы в определенной мере раскручиваются не хитрыми способами влияния на ботов того же гугла.

А есть ли результат? У кого нибудь есть представление о том, сколько существует русскоязычных ресурсов? А есть ли возможность посмотреть их ранжированные списки как по частоте использования и тематическому разделению. Пытаются говорить о семантическом интернете, а вот такого даже элементарного порядка в структурировании похоже нет. Сказав себе «кто же если не мы», я пошел реализовывать эту идею и подходы к её решению. Но главное понял основную сложность, которая как и много где просто упирается в ресурсы, в данном случае процессорного времени. Тем кому интересны изыскания новичка в обозначенной области, но со свежим взглядом, прошу под кат.

Вид бизнеса, осуществляемый в интернете, и подразумевающий регистрацию или приобретение зарегистрированных доменных имен, называется киберсквоттингом. Эксперты все еще спорят о законности деятельности таких бизнесменов.

Сегодня обнаружил интересную особенность, связанную с появлением для открытой регистрации нового доменного имени *.москва и *.moscow. Цены в первые дни регистрации ставятся запредельные! Пока читаете тизер, подумайте, сколько бы вы отдали за какой-нибудь классный домен, типа «квартиры.москва». Уверяю вас, настоящая цена точно выше предполагаемой.

Известный регистратор доменных имён Namecheap.com объявил о запуске акции Namecheap for education, позволяющая получить студентам Англии, Америки и Канады (а суть — владельцам ящика в зоне *.edu входящим в белый список) домен в зоне .me на год.

Для тех, кому не особо нужен .me, можно приобрести по дешевке .com, .io, .rocks и .link:



Кроме этого, бонусом идёт подключение электропочты для домена, аккаунт на гитхабе и премиум страничка на about.me, но это нас должно мало интересовать — важнее зарегистрировать домен ни минуты ни побыв канадским студентом.

Вслед за кирилличными зонами Российской Федерации (.РФ), Украины (.УКР), Сербии (.СРБ), Монголии (.МОН), и Казахстана (.ҚАЗ), ICANN одобрил заявку Белоруссии на (.БЕЛ).

Этот пост, по своей сути, состоит из одних вопросов, на каждый из которых вы отвечаете сами того не замечания по несколько раз на дню. Причем совершенно бессознательно. А сможете ли вы это бессознательное описать сейчас словами?

Очень хочется узнать ваши мнения вот по какому вопросу. Представьте, что вы набрали в Яндексе или в Гугле какой-то новый для себя запрос. Из области, в которой вы не знаете никаких авторитетных ресурсов. Как вы потом, глядя на поисковую выдачу, решаете куда кликнуть?

Понятно, что вы смотрите на название ссылки и на сниппет (текст под ссылкой). Представим, что все они вас не смущают и сосредоточимся на другом. Скажите, влияет ли название самого домена, на ваше решение о переходе? И как влияет?

Недавно поймал себя на мысли, что несмотря на «доменную революцию», и на то, что сейчас существуют более 140 тематических доменов, я с трудом воспринимаю домены, отличные от .ru/.com/.net/.org. Иногда вижу .me и.рф, но не больше. А ведь есть уже и .LUXURY (со стоимостью регистрации в почти 1000 долларов) и уж совсем непонятные .IMMOBILIEN и .DEMOCRAT. Расскажите, сталкиваетесь ли вы с подобными доменами, используете ли вы их в работе, и нормально ли они воспринимаются вами?

Социальная сеть Facebook неожиданно выпустила собственный мессенджер под названием Slingshot, который можно скачать для iOS и Android.

    В этой статье я рассмотрю по шагам подготовку к использованию Samba4 в роли контроллера домена вкупе с дополнительным файловым сервером так же на базе Samba4. Что в итоге мы получим? Два настроенных сервера с samba4, первый в роли domain controller, второй в роли member server с файлами пользователей. Функционирования этой связки я добивался около месяца, за сим, не поделится конечным рецептом просто не имею права…



    Немного предыстории: в компании используется файловый сервер на базе samba3.6 с LDAP Backend, который содержит список всех пользователей и групп с правами доступа. Права доступа на каталоги выставляются с помощью xattr_acl (Extended file attributes), в LDAP хранится список пользователей с соответствием группам доступа. Собственно требуется переехать с этой инфраструктуры на samba4…