Doku

SMTP mi vrací chybu: 550 Recipient address rejected: User unknown in virtual mailbox table. Ale adresa určitě existuje.
Problém může být způsoben situací, kdy partner má u domény na kterou je odesíláno nastavenu službu Mail nebo Mail alias, ale nemá vytvořeny mailboxy, např z důvodu služba v tuto chvíli běží jinde. Mail server ale jako první používá právě nastavení IPSA, až pokud nenajde v ISPA doručuje na cizí mail servery.
Řešení - zrušit zvolenou Mail službu nebo založit mailboxy.
Tento problém bude odstraněn oddělením smtpc.UH na vyhrazenou IP a port 587.

Uvedená zpráva byla zaslána registrovanému uživateli, který vyslovil souhlas se zasíláním. Nejedná se tedy o spam. Odkaz pro odhlášení je také uveden.

Uvedená zpráva byla vrácenkou na spam zprávu, se spam score nižším než je nutné pro neposílání vrácenky. Vrácenka je dle RFC legitimní a jejich vypnutí by nebylo dobře pro zákazníky.

Dobrý den,
detekovali jsme rozesílání spamu z uvedeného emailu,
dostali jsme stížnost na rozesílání spamu z uvedeného emailu,
předpokládáme krádeží přihlašovacích údajů k emailu.
V ukázce spamu níže je odesílatelem IP adresa z $country

Po zjištění bylo zablokováno odesílání emailů přes zákaznické SMTP pro uvedený emailový účet.
Pro odblokování stačí změnit heslo.
https://faq.unihost.cz/doku.php/email#zmena-hesla-emailu
Geografické omezení přihlášení bylo/je nastaveno: EU
Nově bylo nastaveno geografické omezení přihlášení: EU

Požádejte prosím zákazníka aby přijal vhodná opatření - kontrola přítomnosti virů apod v jeho PC, smartphone, …
Doporučený postup US-CERT (United States Computer Emergency Readiness Team) https://www.us-cert.gov/sites/default/files/publications/trojan-recovery.pdf

# Ukázka emailu
…
## KONEC ukázky

INSERT email_block VALUES ('$email', NOW());

spam z $FROM (doz)
@d.2

zákazník $FQDN

Dobrý den,
detekovali jsme následující mailing, vykazující znaky SPAMu. Všechny emaily ve frontě od spamujícího odesílatele byly proto smazány.

Požádejte prosím zákazníka aby se rozesílání SPAMu pro příště zdržel, jelikož porušuje smluvní podmínky i zákon.

Email obsahuje doznání, že jde o SPAM.
Způsob získání je v rozporu se zákonem, příjemce musí vždy udělit souhlas předem.
Dle stanoviska UOOU nelze elektronickými prostředky nikoho požádat o udělení souhlasu se zasíláním obchodních sdělení. Taková žádost je sama obchodním sdělením v režimu ZIS. Jedná o porušení ZIS.
ZIS = § 7 zákona č. 480/2004 Sb., o některých službách informační společnosti

Ukázka emailu

spam odkazující na $HOST (innoc)
@i.1

zákazník $FQDN

Dobrý den,
detekovali jsme následující mailing, vykazující znaky SPAMu. Všechny emaily ve frontě od spamujícího odesílatele byly proto smazány.
dostali jsme stížnost na následující mailing.

Požádejte prosím zákazníka
- v případě korektního mailingu, o doplnění zákonem požadovaných náležitostí, nejlépe dle námi doporučené formy
http://faq.unihost.cz/doku.php/php#rozesilani-mailingu

Zpráva neobsahuje žádnou z požadovaných náležitostí - označení obchodního sdělení, odhlášení, doporučené prokázání souhlasu.

- aby doložil prokázání souhlasu se zasíláním obchodních sdělení.

- v případě NEkorektního mailingu aby se spamování pro příště zdržel, jelikož porušuje smluvní podmínky i zákon. V případě opakování SPAMu mu bude u nás ukončena služba.

Ukázka emailu

@internal Cs $ID, SpamCop

spam odkazující na $HOST (rea)
@r.1

zákazník $FQDN

Dobrý den,
dostali jsme stížnost na následující mailing. Prosím o doložení korektnosti obchodního sdělení - doložit datum+čas, IP adresu z které byl vysloven souhlas nebo jiný zákoný způsob jakým byl tento email získán.
Prosím požádejte zákazníka aby co nejdříve vyřadil stěžovatele z jeho mailingů.

obsah

@internal Cs $ID, SpamCop

Vazeny zakazniku,
posilam Vam informace v souvislosti se zakazanim Vasi IP, pro pristup k emailum, kvuli opakovanym chybnym pristupum.

Existenci zakazu si muzete overit z logu zakazanych IP adres
https://isp.unihost.cz/email-ban.log
kdy Vasi aktualni IP adresu zjistite zde
http://www.whatsmyip.org/
zakaz trva vzdy 1 hodinu, pak je pristup automaticky znovu povolen.

Hesla >8 znaků jsou zbytečná/shodná.

http://wiki.apache.org/spamassassin/RulesList

pravidla máme výchozí pro SpamAssassin (= spam filtr), který používá většina Linux Mail serverů v Internetu. Takže stejný problém může mít také u jiných příjemců. Bylo by proto vhodné odstranit problémy přímo u odesílatele. Pokud to ale není průchozí, můžeme zákazníkovi přidat odesílatele na white-list.

• score pro email z Internetu / přes naše zákaznické SMTP (= smtpc port 587, přihlášen)
• 2.6 - označení SPAMMY do subjectu
• 4.7 / 6 - vrácení odesílateli jako spam
• 8 / nikdy - zahození emailu jako 100% spam

Zákazník má DNS u nás a zadává MX mimo nás. Pak krom vlastních MX záznamů je dobré aby zadal také SPF politiku. Její součástí by obvykle měl být web = a.
Případně aby nastavil DKIM, veřejný klíč který bude zveřejněn v DNS mu předá provozovatel MX (mail serveru).
V neposlední řadě by měl vytvořit email noreply@.
Příklad pro Gmail:

• MX - Google Apps MX record values
• SPF - Configure SPF records to work with Google Apps
• DKIM - Generate the domain key

Příklad pro MS Outlook:

• SPF - Create DNS records for Office 365
• DKIM - není potřeba, MS Outlook vystavuje podpisy sám pod doménou $zákazník.onmicrosoft.com

• centrum.cz 20MB
• gmail.com 25MB

Zimbra Tech Center - pěkné vysvětlení s obrázky

Limit list files/dirs

pro ww2, testujeme upload 20MB PDF souboru, dle upload rychlosti připojení
lftp -u fx2.unihost.cz,xxx ww2.unihost.cz -e “put test-upload.pdf; rm test-upload.pdf; quit;”

• rychlost připojení = rychlost uploadu
• 1Mbps = 120KBps (4.1.2016 MF UPC, client lftp)
• 10Mbps = 1MBps (4.1.2016 lucka ethernet Speed: 10Mb/s, client lftp)
• 30Mbps = 1.4MBps (20.2.2016 MF UPC, client lftp)
• 100Mbps = 36MBps (4.1.2016 ns2.unihost Poda housing, client lftp)

PHP opcode cache APC je vypnuta, protože na hostingu způsobovala httpd segfault. Lze na žádost zapnout per doména. Na dedik serverech se problémy nevyskytly. Na žádost lze vyhradit paměť pro cache aplikací. Zpoplatněno.

Google posílá notifikaci Subject: Malware notification regarding dom.tld,
na emaily: abuse@ admin@ administrator@ contact@ info@ postmaster@ support@ webmaster@

Dear site owner or webmaster of dom.tld,
We recently discovered that some of your pages can cause users to be infected with malicious software. We have begun showing a warning page to users who visit these pages by clicking a search result on Google.com.
...

Imho není možné měnit.
Předání Return-Path do mail(..., $additional_headers) neprojde.
Změna přes mail(..., $additional_parameters) není možná: disabled in safe_mode.
Předání $mail→Sender do PHPMailer neprojde.
mail.force_extra_parameters je php.ini only.
sendmail_from je pro Windows.
Tested on PHP 5.3.16

PHP má max_execution_time, u nás 60 sec (default 30).
Apache čeká na odpověď PHP po N sekund, u nás 60 sec (default 30). Pokud nic nedostane, vrátí error HTTP/1.1 500 Internal Server Error.
Což nezmění ani zvýšení PHP set_time_limit a průběžné echo. Pokud PHP není vykonáno do -idle-timeout, skončí na výše uvedenou chybu.

Apache + FastCGI / FPM FastCgiExternalServer -idle-timeout
The number of seconds of FastCGI application inactivity allowed before the request is aborted and the event is logged (at the error LogLevel). The inactivity timer applies only as long as a connection is pending with the FastCGI application. If a request is queued to an application, but the application doesn't respond (by writing and flushing) within this period, the request will be aborted. If communication is complete with the application but incomplete with the client (the response is buffered), the timeout does not apply.

Pro HTTPS weby, aby prohlížeč nezobrazoval varování Connection Partially Encrypted!
https://en.wikipedia.org/wiki/Wikipedia:Protocol-relative_URL

Vážený zákazníku,

dostali jsme stížnost na rozesílání spamu z uvedeného webu.
detekovali jsme rozesílání spamu z uvedeného webu.

Pravděpodobně je napaden virem.

Jde dle logu o špatně chráněný (kontaktní) formulář - roboti jej mohou zneužívat.
Obvykle stačí doplnit captcha ochranu
https://en.wikipedia.org/wiki/CAPTCHA

Přijměte prosím vhodná opatření, která povedou k ukončení tohoto incidentu a k zamezení vzniku podobných incidentů do budoucna.
Přímé rozesílání emailů z Vašich www stránek je dočasně *zakázáno*. Jakmile provedete opravu, informujte nás a bude zpátky povoleno.
Prosíme o rychlou opravu, abychom nebyli nuceni web vypnout.
O přijatých opatřeních nás prosím informujte.

V případě open-source instalací (WordPress, Joomla, …) doporučujeme zálohovat k sobě stávající web,
kompletně smazat obsah webu,
nahrát čistou instalaci,
dohrát zkontrolovaný uživatelský upload, šablony, atd.

# Ukázka emailu
log/smtp.log
log/mail-php.log
…
## KONEC ukázky

Vážený zákazníku,

dostali jsme stížnost na zneužívání uvedeného webu.
detekovali jsme zneužívání uvedeného webu.

Pravděpodobně je napaden virem.
Přijměte prosím vhodná opatření, která povedou k ukončení tohoto incidentu a k zamezení vzniku podobných incidentů do budoucna.

Vzhledem k silnému aktivnímu útoku vedeného z uvedeného webu,
jsme museli web okamžitě VYPNOUT.
Tedy wwwroot byl přejmenován na web.BAK.

Po opravě a kontrole stačí smazat stávající složku web
a přejmenovat novou.

O přijatých opatřeních nás prosím informujte.

V případě open-source instalací (WordPress, Joomla, …) doporučujeme zálohovat k sobě stávající web,
kompletně smazat obsah webu,
nahrát čistou instalaci,
dohrát zkontrolovaný uživatelský upload, šablony, atd.

https://codex.wordpress.org/FAQ_My_site_was_hacked
https://codex.wordpress.org/Hardening_WordPress

Ukázka
…
## KONEC ukázky

Vážený zákazníku,

Vaše www stránky jsou zneužitelné k útokům typu: SQL injection zachyceno opakovaně, například

$mysql-query

Kontrola access logu na všechny požadavky z IP útočníka bude na místě.

prosíme o zajištění nápravy. Vzhledem k rozsahu incidentu NENí nutné www stránky obratem vypnout. Nicméně rozsah zneužívání může být větší, prosíme o důkladné prověření.

Pokud budete potřebovat další informace, prosím, neváhejte nás kontaktovat.

Děkujeme Vám předem za Vaši spolupráci.

odkazy na návody

• Active 24
• Czechia - Zoner
• Forpsi, pro .CZ domény
• Ignum - domena.cz
• Subreg - Přehled domén → Editace → Nameservery, viz také strohé Subreg help

Dobrý den,
pro spuštění Vašich nových www stránek prosíme o následující změny v DNS domény
dom.tld

www CNAME ww2.unihost.cz.
@ A 81.0.236.12

Doména má registrovány následující DNS
…

Web je již připraven a běží, administrátor může toto ověřit lokální změnou směrování na nový server.

Problém vznikne pokud má doména naše DNS (autoritativní NS) a u registrátora nastaven DNSSEC registrátora (například A24-KEYSET) nebo jiného subjektu.
Smazání DNSSEC / KEYSET řeší problém.
Tyto domény jsou reportovány v ISPA týdenní kontrole jako domény s neexistujícím DNS.
Problém = neexistující DNS = nejde web atd, se pak projevuje na DNS cache serverech s podporu DNSSEC (například ns2.casablanca.cz nebo Google Public DNS) nebo Let's Encrypt nemůže vystavit / prodloužit certifikát - protože se jim doména jeví jako neexistující (není v DNS).

Backorder SK

SmartEmailing Nastavení domény
jejich Typ TXT je TXT v ISPA, tedy 1:1
Zvláštnost je akorát DKIM sek1._domainkey… CNAME …, což je CNAME subdoména 4 level. V ISPA je možné ale nastavit pouze 3d. Proto je to vyřešeno takto: nastavte 3d Jméno = sek1-domainkey a CNAME dkim.smartemailing.cz. (včetně tečky na konci). Do poznámky je možné přidat sek1._domainkey CNAME dkim.smartemailing.cz.
Kontrola DNS v ISPA 3d není ohnuta (zatím), bude ukazovat CNAME pro web.

• Mail - Upozorňuji, že bude možné obnovit pouze zprávy, které v okamžiku zálohování byly uloženy na serveru, zprávy které měl uživatel staženy na svůj počítač pochopitelně nebudou v naší záloze.
• www - chcete zálohu dodat jako archiv tar.gzip, nebo wwwroot jednotlivé adresáře + soubory, nebo přímo přehrát stávající verzi?

• HTTP Slowloris