Как-то раз помогал пользователю удалённо и заметил, что она использовала сохранённые пароли. Когда начал ей рассказывать, что пароль может быть "угнан". Она сказала, что это прекрасно понимает, поэтому хранит там только первую часть пароля, а вторую часть она вбивает руками. :-)
Спасибо за развёрнутую статью. Заказчик видимо было очень большой, если смогли позволить себе такую инфраструктуру. Хотя поиск "пропавших писем" в ней ещё то удовольствие. :-)
"Валидация публичных DNS-записей на предмет гигиены. Необходимо избегать прямых указаний на почтовые сервера при использовании DDOS фильтров" Мне не приходилось настраивать DDOS фильтры, можете подробнее расписать о чём речь?
Немного комментариев по поводу рекомендаций по защите:
"Модификация стандартных портов, если это допустимо по функциональному уровню.Например, не 587, а 5588 и т.д." Допустим от скрипто-сканеров из Инета это поможет, хотя RDP и SSH на кастомных портах со временем находят, но если речь про настоящих профи, то это для них не препятствие.
Использование только STARTTLS для SMTPs во внешний мир. Ключевое слово 'ТОЛЬКО'. С одной стороны это правильно, с другой -- рано или поздно какая-нибудь гостиница со скриптом отправки почты с сайта не сможет доставить сообщение и начнётся открывание тикетов :-)
Шифрование для почтовых баз данных. Даже думать не хочу, что будет с поиском писем при их большом количестве. А резервное копирование и восстановление как, обычно это отдельные программы, которые должны уметь расшифровывать?
Запрет на типовые имена DNS при публикации. Необходимо скрывать информацию о вендоре, ПО, сервисе и IP. Это вообще не препятствие для реальных хакеров. У МС даже была бумага, что нет смысла скрывать имена внутренних серверов в Internet header, т.к. сервера всё равно существуют. Хотя я их режу всё равно при возможности :-).
Обезличивание SMTP баннера. Опытный админ по ответам сервера поймёт, что за сервер отвечает.
Обезличивание и ограничение деталей в NDR. NDR то генерит сервер отправителя, а запускать все письма для домена не проверяя получателя такое себе.
Хочется пожелать удачи @myoffice_ru на российском рынке. Пока это самый слабый продукт из российских офисов, простейшие операции, к которым привыкли пользователи, пока не реализованы.
Надеюсь, что компания МойОфис серьезна взялась за разработку продукта, догонят и перегонят MS Office. Да, это будет не завтра, но догонять проще, чем идти первым.
Но кроме офиса важен и почтовый клиент на замену Outlook. Те, кто привык к MS Outlook, жалуются на ограничения веб доступа к почте. Вчера читал новости, что МойОфис планирует создать почтового клиента к концу следующего года, хочется верить, что так и будет.
Задача спамера - быстро "выпулить" кучу писем, пока IP не попадёт в DNSBL, потом поменять сервер с другим IP и выпуливать дальше. Я просто уверен на 100%, что ни один рассыльщик спама не будет тратить время на обработку вернувшихся писем и уж переходить по каким то там ссылкам. Поэтому ваще не понял, зачем это всё нужно.
Я как-то съездил на курсы CEH и три дня сидел с выпавшей челюстью, после этого вернулся домой и все свои пароли сделал уникальными. У меня порядка 500 паролей, и хранить их в голове не получится. Я тогда посмотрел и выбрал для себя LastPass, года три или четыре платил и всё меня устраивало. В этом году, если честно, не охота искать вариант с оплатой, посмотрел Kaspersky Password Manager, за 900р в год вполне приличный продукт и импорт есть из CSV. Поэтому я просто "импортозаместился" :-)
Блин, а ведь я это чувствовал. Пользуюсь нетбуками последних года два или даже три. Новых моделей просто давно не было, вот и подумал, что похоже ASUS линейку закрывает.
Keenetic конечно звучит лучше, чем Netcraze, кто название то такое придумал.
Как-то раз помогал пользователю удалённо и заметил, что она использовала сохранённые пароли. Когда начал ей рассказывать, что пароль может быть "угнан". Она сказала, что это прекрасно понимает, поэтому хранит там только первую часть пароля, а вторую часть она вбивает руками. :-)
Спасибо за развёрнутую статью. Заказчик видимо было очень большой, если смогли позволить себе такую инфраструктуру. Хотя поиск "пропавших писем" в ней ещё то удовольствие. :-)
"Валидация публичных DNS-записей на предмет гигиены. Необходимо избегать прямых указаний на почтовые сервера при использовании DDOS фильтров" Мне не приходилось настраивать DDOS фильтры, можете подробнее расписать о чём речь?
Немного комментариев по поводу рекомендаций по защите:
"Модификация стандартных портов, если это допустимо по функциональному уровню. Например, не 587, а 5588 и т.д." Допустим от скрипто-сканеров из Инета это поможет, хотя RDP и SSH на кастомных портах со временем находят, но если речь про настоящих профи, то это для них не препятствие.
Использование только STARTTLS для SMTPs во внешний мир. Ключевое слово 'ТОЛЬКО'. С одной стороны это правильно, с другой -- рано или поздно какая-нибудь гостиница со скриптом отправки почты с сайта не сможет доставить сообщение и начнётся открывание тикетов :-)
Шифрование для почтовых баз данных. Даже думать не хочу, что будет с поиском писем при их большом количестве. А резервное копирование и восстановление как, обычно это отдельные программы, которые должны уметь расшифровывать?
Запрет на типовые имена DNS при публикации. Необходимо скрывать информацию о вендоре, ПО, сервисе и IP. Это вообще не препятствие для реальных хакеров. У МС даже была бумага, что нет смысла скрывать имена внутренних серверов в Internet header, т.к. сервера всё равно существуют. Хотя я их режу всё равно при возможности :-).
Обезличивание SMTP баннера. Опытный админ по ответам сервера поймёт, что за сервер отвечает.
Обезличивание и ограничение деталей в NDR. NDR то генерит сервер отправителя, а запускать все письма для домена не проверяя получателя такое себе.
Я так, подискутировать по доброму :-)
Хм, а я думал, что русской версии не будет, а она вроде есть.
https://software-static.download.prss.microsoft.com/dbazure/888969d5-f34g-4e03-ac9d-1f9786c66749/26100.1742.240906-0331.ge_release_svc_refresh_SERVER_EVAL_x64FRE_ru-ru.iso
Хочется пожелать удачи @myoffice_ru на российском рынке. Пока это самый слабый продукт из российских офисов, простейшие операции, к которым привыкли пользователи, пока не реализованы.
Надеюсь, что компания МойОфис серьезна взялась за разработку продукта, догонят и перегонят MS Office. Да, это будет не завтра, но догонять проще, чем идти первым.
Но кроме офиса важен и почтовый клиент на замену Outlook. Те, кто привык к MS Outlook, жалуются на ограничения веб доступа к почте. Вчера читал новости, что МойОфис планирует создать почтового клиента к концу следующего года, хочется верить, что так и будет.
Задача спамера - быстро "выпулить" кучу писем, пока IP не попадёт в DNSBL, потом поменять сервер с другим IP и выпуливать дальше. Я просто уверен на 100%, что ни один рассыльщик спама не будет тратить время на обработку вернувшихся писем и уж переходить по каким то там ссылкам. Поэтому ваще не понял, зачем это всё нужно.
Я как-то съездил на курсы CEH и три дня сидел с выпавшей челюстью, после этого вернулся домой и все свои пароли сделал уникальными. У меня порядка 500 паролей, и хранить их в голове не получится. Я тогда посмотрел и выбрал для себя LastPass, года три или четыре платил и всё меня устраивало. В этом году, если честно, не охота искать вариант с оплатой, посмотрел Kaspersky Password Manager, за 900р в год вполне приличный продукт и импорт есть из CSV. Поэтому я просто "импортозаместился" :-)
А можно поподробнее, плиз.
Пойду приглядывать себе ультрабук.