===== Mail =====

==== Chyba 550 Recipient address rejected ... na smtp.UH ====
SMTP mi vrací chybu: 550 Recipient address rejected: User unknown in virtual mailbox table. Ale adresa určitě existuje. \\
Problém může být způsoben situací, kdy partner má u domény na kterou je odesíláno nastavenu službu Mail nebo Mail alias, ale nemá vytvořeny mailboxy, např z důvodu služba v tuto chvíli běží jinde. Mail server ale jako první používá právě nastavení IPSA, až pokud nenajde v ISPA doručuje na cizí mail servery. \\
Řešení - zrušit zvolenou Mail službu nebo založit mailboxy. \\
Tento problém bude odstraněn oddělením smtpc.UH na vyhrazenou IP a port 587. \\

==== Report mailingu jako spam ====
Uvedená zpráva byla zaslána registrovanému uživateli, který vyslovil souhlas se zasíláním. Nejedná se tedy o spam. Odkaz pro odhlášení je také uveden.

==== Report vrácenky jako spam ====
Uvedená zpráva byla vrácenkou na spam zprávu, se spam score nižším než je nutné pro neposílání vrácenky. Vrácenka je dle RFC legitimní a jejich vypnutí by nebylo dobře pro zákazníky.

==== Report zneužití emailu ====
Dobrý den, \\
detekovali jsme rozesílání spamu z uvedeného emailu, \\
//dostali jsme stížnost na rozesílání spamu z uvedeného emailu,// \\
předpokládáme krádeží přihlašovacích údajů k emailu. \\
V ukázce spamu níže je odesílatelem IP adresa z $country \\

Po zjištění bylo zablokováno odesílání emailů přes zákaznické SMTP pro uvedený emailový účet. \\
Pro odblokování stačí změnit heslo. \\
https://faq.unihost.cz/doku.php/email#zmena-hesla-emailu \\
Geografické omezení přihlášení bylo/je nastaveno: EU \\
//Nově bylo nastaveno geografické omezení přihlášení: EU// \\

Požádejte prosím zákazníka aby přijal vhodná opatření - kontrola přítomnosti virů apod v jeho PC, smartphone, ... \\
Doporučený postup US-CERT (United States Computer Emergency Readiness Team) https://www.us-cert.gov/sites/default/files/publications/trojan-recovery.pdf \\

# Ukázka emailu \\
... \\
## KONEC ukázky

<code sql>INSERT email_block VALUES ('$email', NOW());</code>
==== Report spam ====
=== doz ===
spam z $FROM (doz) \\
@d.2

zákazník $FQDN

Dobrý den, \\
detekovali jsme následující mailing, vykazující znaky SPAMu. Všechny emaily ve frontě od spamujícího odesílatele byly proto smazány.

Požádejte prosím zákazníka aby se rozesílání SPAMu pro příště zdržel, jelikož porušuje smluvní podmínky i zákon.

Email obsahuje doznání, že jde o SPAM. \\
Způsob získání je v rozporu se zákonem, příjemce musí vždy udělit souhlas předem. \\
Dle stanoviska UOOU nelze elektronickými prostředky nikoho požádat o udělení souhlasu se zasíláním obchodních sdělení. Taková žádost je sama obchodním sdělením v režimu ZIS. Jedná o porušení ZIS. \\
ZIS = § 7 zákona č. 480/2004 Sb., o některých službách informační společnosti

Ukázka emailu 

=== innoc ===
spam odkazující na $HOST (innoc) \\
@i.1

zákazník $FQDN

Dobrý den,\\
detekovali jsme následující mailing, vykazující znaky SPAMu. Všechny emaily ve frontě od spamujícího odesílatele byly proto smazány. \\
dostali jsme stížnost na následující mailing.

Požádejte prosím zákazníka \\
- v případě korektního mailingu, o doplnění zákonem požadovaných náležitostí, nejlépe dle námi doporučené formy \\
http://faq.unihost.cz/doku.php/php#rozesilani-mailingu

Zpráva neobsahuje žádnou z požadovaných náležitostí - označení obchodního sdělení, odhlášení, doporučené prokázání souhlasu.

- aby doložil prokázání souhlasu se zasíláním obchodních sdělení.

- v případě NEkorektního mailingu aby se spamování pro příště zdržel, jelikož porušuje smluvní podmínky i zákon. V případě opakování SPAMu mu bude u nás ukončena služba.

Ukázka emailu

@internal Cs $ID, SpamCop

=== rea ===
spam odkazující na $HOST (rea) \\
@r.1

zákazník $FQDN

Dobrý den, \\
dostali jsme stížnost na následující mailing. Prosím o doložení korektnosti obchodního sdělení - doložit datum+čas, IP adresu z které byl vysloven souhlas nebo jiný zákoný způsob jakým byl tento email získán. \\
Prosím požádejte zákazníka aby co nejdříve vyřadil stěžovatele z jeho mailingů.

obsah

@internal Cs $ID, SpamCop

==== Odpověď banned IMAP/POP3 ====
Vazeny zakazniku, \\
posilam Vam informace v souvislosti se zakazanim Vasi IP, pro pristup k emailum, kvuli opakovanym chybnym pristupum. \\
\\
Existenci zakazu si muzete overit z logu zakazanych IP adres \\
https://isp.unihost.cz/email-ban.log \\
kdy Vasi aktualni IP adresu zjistite zde \\
http://www.whatsmyip.org/ \\
zakaz trva vzdy 1 hodinu, pak je pristup automaticky znovu povolen. \\

==== Dlouhá hesla ====
[[:mail-filtr#dlouha-hesla|Hesla >8 znaků jsou zbytečná/shodná.]]

==== Význam klíčů v X-Spam-Status ====
[[http://wiki.apache.org/spamassassin/RulesList]]

pravidla máme výchozí pro SpamAssassin (= spam filtr), který používá většina Linux Mail serverů v Internetu. Takže stejný problém může mít také u jiných příjemců. Bylo by proto vhodné odstranit problémy přímo u odesílatele. Pokud to ale není průchozí, můžeme zákazníkovi přidat odesílatele na white-list.
==== Spam score označování a nedoručení ====
  * score pro email z Internetu / přes naše zákaznické SMTP (= smtpc port 587, přihlášen)
  * 2.6 - označení SPAMMY do subjectu
  * 4.7 / 6 - vrácení odesílateli jako spam
  * 8 / nikdy - zahození emailu jako 100% spam

==== MX mimo nás ====
Zákazník má DNS u nás a zadává MX mimo nás. Pak krom vlastních MX záznamů je dobré aby zadal také **SPF** politiku. Její součástí by obvykle měl být web = ''a''. \\
Případně aby nastavil **DKIM**, veřejný klíč který bude zveřejněn v DNS mu předá provozovatel MX (mail serveru). \\
V neposlední řadě by měl vytvořit email [[https://faq.unihost.cz/doku.php/email#co-je-email-noreply|noreply@]]. \\
Příklad pro Gmail:
  * [[https://support.google.com/a/answer/174125|MX - Google Apps MX record values]]
  * [[https://support.google.com/a/answer/178723|SPF - Configure SPF records to work with Google Apps]]
  * [[https://support.google.com/a/answer/174126|DKIM - Generate the domain key]]

Příklad pro MS Outlook:
  * [[https://support.office.com/en-us/article/Create-DNS-records-for-Office-365-at-any-DNS-hosting-provider-7b7b075d-79f9-4e37-8a9e-fb60c1d95166#BKMK_add_TXT|SPF - Create DNS records for Office 365]]
  * DKIM - není potřeba, MS Outlook vystavuje podpisy sám pod doménou ''$zákazník.onmicrosoft.com''

==== Max velikost emailu ====
  * centrum.cz 20MB
  * gmail.com [[https://support.google.com/mail/answer/6584?p=MaxSizeError&visit_id=0-636536242305777190-4199331298&rd=1#limit|25MB]]

==== SPF, DKIM, DMARC ====
[[https://wiki.zimbra.com/wiki/Best_Practices_on_Email_Protection:_SPF,_DKIM_and_DMARC|Zimbra Tech Center]] - pěkné vysvětlení s obrázky
===== FTP =====
[[unihost:services:ftp|Limit list files/dirs]]

==== Rychlost uploadu ====
pro ww2, testujeme upload 20MB PDF souboru, dle [[http://www.speedtest.net|upload rychlosti připojení]] \\
''lftp -u fx2.unihost.cz,xxx ww2.unihost.cz -e "put test-upload.pdf; rm test-upload.pdf; quit;"''
  * //rychlost připojení = rychlost uploadu//
  * 1Mbps = 120KBps (4.1.2016 MF UPC, client lftp)
  * 10Mbps = 1MBps (4.1.2016 lucka ethernet Speed: 10Mb/s, client lftp)
  * 30Mbps = 1.4MBps (20.2.2016 MF UPC, client lftp)
  * 100Mbps = 36MBps (4.1.2016 ns2.unihost Poda housing, client lftp)
===== WWW, PHP =====


==== PHP opcode cache ====
PHP opcode cache APC je vypnuta, protože na hostingu způsobovala httpd segfault. Lze na žádost zapnout per doména.
Na dedik serverech se problémy nevyskytly.
Na žádost lze vyhradit paměť pro cache aplikací. Zpoplatněno.






==== Malware na stránkách ====
Google posílá notifikaci Subject: Malware notification regarding dom.tld, \\
na emaily: abuse@ admin@ administrator@ contact@ info@ postmaster@ support@ webmaster@
<code text>
Dear site owner or webmaster of dom.tld,
We recently discovered that some of your pages can cause users to be infected with malicious software. We have begun showing a warning page to users who visit these pages by clicking a search result on Google.com.
...
</code>

==== Změna Return-Path v PHP ====
Imho není možné měnit. \\
Předání ''Return-Path'' do [[http://cz.php.net/manual/en/function.mail.php|mail(..., $additional_headers)]] neprojde. \\
Změna přes [[http://cz.php.net/manual/en/function.mail.php|mail(..., $additional_parameters)]] není možná: disabled in safe_mode. \\
Předání ''$mail->Sender'' do [[http://code.google.com/a/apache-extras.org/p/phpmailer/|PHPMailer]] neprojde. \\
[[http://cz.php.net/manual/en/ini.list.php|mail.force_extra_parameters]] je php.ini only. \\
[[http://cz.php.net/manual/en/mail.configuration.php|sendmail_from]] je pro Windows. \\
Tested on PHP 5.3.16

==== PHP a timeout ====
PHP má [[http://cz1.php.net/manual/en/info.configuration.php#ini.max-execution-time|max_execution_time]], u nás **60 sec** (default 30). \\
Apache čeká na odpověď PHP po N sekund, u nás **60 sec** (default 30). Pokud nic nedostane, vrátí error ''HTTP/1.1 500 Internal Server Error''. \\
Což nezmění ani zvýšení PHP [[http://cz1.php.net/manual/en/function.set-time-limit.php|set_time_limit]] a průběžné ''echo''. Pokud PHP není vykonáno do ''-idle-timeout'', skončí na výše uvedenou chybu.

Apache + FastCGI / FPM FastCgiExternalServer ''-idle-timeout'' \\
//The number of seconds of FastCGI application inactivity allowed before the request is aborted and the event is logged (at the error LogLevel). The inactivity timer applies only as long as a connection is pending with the FastCGI application. If a request is queued to an application, but the application doesn't respond (by writing and flushing) within this period, the request will be aborted. If communication is complete with the application but incomplete with the client (the response is buffered), the timeout does not apply.//

==== Protocol relative URL ====
Pro HTTPS weby, aby prohlížeč nezobrazoval varování ''Connection Partially Encrypted''! \\
https://en.wikipedia.org/wiki/Wikipedia:Protocol-relative_URL

==== Report zneužití webu - spam ====
Vážený zákazníku,

dostali jsme stížnost na rozesílání spamu z uvedeného webu. \\
detekovali jsme rozesílání spamu z uvedeného webu.

Pravděpodobně je napaden virem. \\

//Jde dle logu o špatně chráněný (kontaktní) formulář - roboti jej mohou zneužívat.// \\
//Obvykle stačí doplnit captcha ochranu// \\
https://en.wikipedia.org/wiki/CAPTCHA \\

Přijměte prosím vhodná opatření, která povedou k ukončení tohoto incidentu a k zamezení vzniku podobných incidentů do budoucna. \\
Přímé rozesílání emailů z Vašich www stránek je dočasně *zakázáno*. Jakmile provedete opravu, informujte nás a bude zpátky povoleno. \\
Prosíme o rychlou opravu, abychom nebyli nuceni web vypnout. \\
O přijatých opatřeních nás prosím informujte. \\

V případě open-source instalací (WordPress, Joomla, ...) doporučujeme zálohovat k sobě stávající web, \\
kompletně smazat obsah webu, \\
nahrát čistou instalaci, \\
dohrát zkontrolovaný uživatelský upload, šablony, atd.

# Ukázka emailu \\
log/smtp.log \\
log/mail-php.log \\
... \\
## KONEC ukázky
==== Report zneužití webu - botnet ====
Vážený zákazníku,

dostali jsme stížnost na zneužívání uvedeného webu. \\
detekovali jsme zneužívání uvedeného webu.

Pravděpodobně je napaden virem. \\
Přijměte prosím vhodná opatření, která povedou k ukončení tohoto incidentu a k zamezení vzniku podobných incidentů do budoucna.

Vzhledem k silnému aktivnímu útoku vedeného z uvedeného webu, \\
jsme museli web okamžitě VYPNOUT. \\
Tedy wwwroot byl přejmenován na web.BAK.

Po opravě a kontrole stačí smazat stávající složku web \\
a přejmenovat novou.

O přijatých opatřeních nás prosím informujte.

V případě open-source instalací (WordPress, Joomla, …) doporučujeme zálohovat k sobě stávající web, \\
kompletně smazat obsah webu, \\
nahrát čistou instalaci, \\
dohrát zkontrolovaný uživatelský upload, šablony, atd.

https://codex.wordpress.org/FAQ_My_site_was_hacked \\
https://codex.wordpress.org/Hardening_WordPress

Ukázka \\
... \\
## KONEC ukázky
==== Report zneužitelnost SQL injection ====
Vážený zákazníku, 

Vaše www stránky jsou zneužitelné k útokům typu: SQL injection
zachyceno opakovaně, například

''$mysql-query''

Kontrola access logu na všechny požadavky z IP útočníka bude na místě.

prosíme o zajištění nápravy.
Vzhledem k rozsahu incidentu NENí nutné www stránky obratem vypnout.
Nicméně rozsah zneužívání může být větší, prosíme o důkladné prověření.

Pokud budete potřebovat další informace, prosím, neváhejte nás kontaktovat.

Děkujeme Vám předem za Vaši spolupráci.
===== DNS =====

==== Změna NSSETu u jiných registrátorů ====
odkazy na návody
  * [[https://faq.active24.com/cz/186351-Zm%C4%9Bna-nameserver%C5%AF-u-dom%C3%A9ny|Active 24]]
  * [[https://help.czechia.com/clanek/zmena-sady-nameserveru-domeny/|Czechia - Zoner]]
  * [[https://support.forpsi.com/kb/a2531/zmna-dns-serveru.aspx|Forpsi]], [[https://support.forpsi.com/kb/a2429/zmna-nssetu-dns-serveru-u-domeny-_cz-pres-administraci.aspx|pro .CZ domény]]
  * [[https://napoveda.ignum.cz/content/17/33/cs/zm%C4%9Bna-nameserver%C5%AF-cz-domen.html|Ignum - domena.cz]]
  * Subreg - Přehled domén -> Editace -> Nameservery, viz také strohé [[https://subreg.cz/cz/login/help/dns/80/04-jak-nastavit-k-domene-dns-servery/|Subreg help]]
==== Žádost o změnu záznamu v DNS třetí strany ====
Dobrý den, \\
pro spuštění Vašich nových www stránek prosíme o následující změny v DNS domény \\
dom.tld \\
\\
www CNAME ww2.unihost.cz. \\
@ A 81.0.236.12 \\
\\
Doména má registrovány následující DNS \\
... \\
\\
Web je již připraven a běží, administrátor může toto ověřit lokální změnou směrování na nový server. \\

==== DNSSEC a sluzby check DNS ====
Problém vznikne pokud má doména naše DNS (autoritativní NS) a u registrátora nastaven ''DNSSEC'' registrátora (například A24-KEYSET) nebo jiného subjektu. \\
Smazání ''DNSSEC / KEYSET'' řeší problém. \\
Tyto domény jsou reportovány v ISPA týdenní kontrole jako domény s neexistujícím DNS. \\
Problém = neexistující DNS = nejde web atd, se pak projevuje na DNS cache serverech s podporu DNSSEC (například ns2.casablanca.cz nebo [[https://developers.google.com/speed/public-dns/|Google Public DNS]]) nebo Let's Encrypt nemůže vystavit / prodloužit certifikát - protože se jim doména jeví jako neexistující (není v DNS).

==== Historie stavu SK domén ====
[[http://www.backorder.sk/|Backorder SK]]

==== Nastavení SmartEmailing DKIM + SPF ====
[[https://www.smartemailing.cz/sluzby/nastaveni-domeny/|SmartEmailing Nastavení domény]] \\
jejich ''Typ TXT'' je TXT v ISPA, tedy 1:1 \\
Zvláštnost je akorát DKIM sek1._domainkey... CNAME ..., což je CNAME subdoména 4 level. V ISPA je možné ale nastavit pouze 3d. Proto je to vyřešeno takto: nastavte ''3d'' ''Jméno = sek1-domainkey'' a ''CNAME dkim.smartemailing.cz.'' (včetně tečky na konci). Do poznámky je možné přidat ''sek1._domainkey CNAME dkim.smartemailing.cz.'' \\
Kontrola DNS v ISPA 3d není ohnuta (zatím), bude ukazovat CNAME pro web.
===== Backup =====
  * **Mail** - Upozorňuji, že bude možné obnovit pouze zprávy, které v okamžiku zálohování byly uloženy na serveru, zprávy které měl uživatel staženy na svůj počítač pochopitelně nebudou v naší záloze.
  * **www** - chcete zálohu dodat jako archiv tar.gzip, nebo wwwroot jednotlivé adresáře + soubory, nebo přímo přehrát stávající verzi?

===== DoS =====
  * [[https://en.wikipedia.org/wiki/Slowloris_(computer_security)|HTTP Slowloris]]