По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Приходишь ты такой в офис, уже налил чашечку кофе, поболтал у кулера, садишься за рабочее место и начинаешь писать: “уважаемые коллеги, бла бла бла”, и тут, после того, как все коллеги уважены в твоем обращении, ты вдруг задумываешься - а как это работает? Почему моя почта доходит до уважаемых коллег? Очень просто - сейчас расскажем как.
Для начала разделим работу электронной почты на две части - отправка и получение.
Отправка
Начнём с отправки. Как только ты дописал своё письмо и нажал на кнопку “Отправить”, твой почтовый клиент (Outlook, Thunderbird, Gmail или Yandex Mail) отправит его на сервер по протоколу SMTP - Simple Mail Transfer Protocol, что переводится как простой протокол передачи почты. И тут начинаются первые проблемы. Дело в том, что этот протокол действительно “простой”. Он увидел свет аж в 1982 году, а как ты помнишь, тогда на безопасность было вообще пофиг, поэтому все письма отправлялись в открытом виде, пользователи никак не аутентифицировались, а хакеры успешно применяли его для рассылки спама.
Поэтому, в 2008 году ему решили добавить фич в виде поддержки шифрования, авторизации, 8-битных наборов символов и ещё много всего полезного и назвали это все ESMTP, где Е означает extended, то есть расширенный. Но даже после этого протокол называют просто - SMTP.
Короче, SMTP работает по клиент серверной модели. Он передает на почтовый сервер команды и получает от него ответы с результатами их обработки.
Ответы от сервера - это кодовые значения, которые делятся на 5 типов. Те у которых код 200, означают что всё ок, а те что с кодом 500 - не ок.
Ничего не напоминает? Да, очень похоже на HTTP
При стандартной отправке письма происходит следующее:
Твой клиент подключается к серверу
Сервер выдаёт ему список доступных команд
Твой клиент отправляет команды, которые содержат адрес отправителя, получателя и собственно само сообщение
Сервер помещает твоё сообщение в очередь на отправку и если всё ок - отправляет его.
А в случае если ты сын маминой подруги и позаботился о безопасности, клиент также пройдёт процедуру аутентификации и шифрования, прежде чем отправить письмо.
Кстати, ты можешь указать в адресе отправителя что угодно и тебе за это ничего не будет. Дело в том, что в SMTP нет встроенных проверок подлинности отправителя, для этого используются внешние механизмы. Самый простой - это сопоставление домена и IP-адреса отправителя через DNS-запрос. Так что если ты решишь прикинуться Илоном Маском и написать кому нибудь письмо с просьбой отсыпать немножко биткоинов, то скорее всего оно попадёт в спам.
SMTP используется не только для отправки писем от клиента к серверу, но и для передачи твоего письма между почтовыми серверами.
Допустим, если ты напишешь Илону, то сначала твоё письмо попадёт на твой локальный сервер, который скорее всего не находится в домене spacex.com, поэтому твой сервер будет по тому же DNS искать в Интернетах почтовый сервер, отвечающий за маршрутизацию электронной почты домена Space X. Это кстати называется MX-запись. Когда эта информация будет найдена, то сервер пульнёт туда твоё письмо по протоколу SMTP.
Для работы SMTP был зарезервирован TCP порт 25, но есть ещё 2 порта - это 465 и 587, оба они предназначены для связи клиента с сервером по защищенным механизмам, а 25 предназначался только для связи между собой почтовых серверов.
Отлично, теперь твоё письмо, пройдя все системы антиспама и проверки лежит на почтовом сервере получателя и дожидается когда же его прочитают, а мы переходим ко второму действию - получение.
Получение
Тут возможны 2 варианта. Либо твой клиент будет получать почту по протоколу IMAP - Internet Message Access Protocol, либо по протоколу с не очень приличным названием POP3 - Post Office Protocol 3.
Для POP3 почтовый сервак выступает в роли временного хранилища писем. Клиент, настроенный на работу с POP3, будет периодически обращаться на сервак и спрашивать: - “Есть чё по письмам?”, Сервер ответит ему: - “Ага есть”, тогда клиент ответит: - “Зашибись, а ну гони всё сюда и удали все копии, чтоб письма были только у меня”
Именно так, в случае POP3 клиент будет хранить все письма только у себя, но в этом есть плюс - даже если у тебя пропадёт Интернет, ты всё равно сможешь получить доступ к своим письмам. Надо сказать, что с помощью самого клиента (но не POP3), можно попросить сервер всё таки хранить копии писем.
А вот тебе ещё несколько неприятных фактов про POP3:
Он работает только на одном клиенте, то есть если ты открыл клиент с POP3 на компе, то с мобильного телефона уже не сможешь посмотреть свою почту.
А ещё нельзя разнести письма по папкам, настроить фильтры, пометить важность и т.д.
А? Ну как тебе, удобно? Ладно, давай посмотрим какие ещё есть варианты.
Ты можешь настроить свой клиент на работу с протоколом IMAP, тогда всем движем будет управлять почтовый сервак. В этом случае, твой почтовый клиент будет нужен только как интерфейс для работы с почтой. Зато ты сможешь получить доступ к своему почтовому ящику откуда угодно и с чего угодно. Сидишь за рабочим местом - читаешь почту с компа, отошёл в уборную - с мобилки, можно использовать веб-клиент и заходить через Интернет.
Ах да, приятным бонусом будет то, что с помощью IMAP ты можешь настроить под себя папки, помечать письма как важные, запрашивать статус о прочтении письма, выполнять сложные поиски по письмам и многое другое.
Но в этом есть и недостатки. Из-за того, что с IMAP всё слишком сложно, обработка писем серваком происходит гораздо дольше и “вообще то место на нём не резиновое”. Если постоянно хранить все письма без ротации, то рано или поздно почтовый ящик забьётся.
На днях к нам в офис пришел четырехпортовый FXO шлюз китайской компании Dinstar DAG100-4O. За относительно небольшие деньги, этот шлюз способен обработать до 4-х аналоговых линий. Помимо этого, имеет 4 Ethernet интерфейса – 3 по LAN и 1 под WAN подключение. Помимо обычного функционала стыка аналоговой телефонной сети и VoIP, этот аппарат умеет работать в режиме маршрутизатора в сети. Перейдем к распаковке:
Обзор шлюза
Коробка обычная, не фирменная - без символики компании.
Внутри коробки находится сам аппарат, блок питания, mini CD диск, обжатый с двух сторон патчкорд Ethernet и телефонный провод с коннектором RJ -11. Были приятно удивлены наличием соединительных шнуров, так как уже подготовились обжимать провода.
Вынимаем все оборудование из коробки.
На фронтовой панели DAG1000-4O находятся элементы индикации, а именно:
PWR – индикация наличия питания
RUN – работа шлюза
WAN – статус подключения по WAN интерфейсу
LAN – статус портов для подключения к LAN
FXO (0-4) – состояние FXO портов шлюза
Важно отметить, что индикация на FXO интерфейсах маршрутизатора является не постоянной. Порты индицируют только при входящем/исходящем вызовах. Не стоит забывать, что это все-таки аналог. Хочется отметить, что устройство немного «люфтит». Это означает, что при переносе был слышен дребезг металлического корпуса устройства.
На задней панели шлюза Dinstar располагаются порты для подключение FXO, LAN, WAN и питание.
На нижней части шлюза находится инструкция по настройке шлюза. Вот что необходимо сделать для подключения к графическому интерфейсу шлюза:
Подключить DAG1000-4O к сети через интерфейс LAN0.
Подключить телефонные линии в FXO интерфейсы.
На компьютере, подключенном в тот же сетевой сегмент сети что и шлюз, ввести IP адрес 192.168.11.199, маску подсети 255.255.255.0 и шлюз по умолчанию 192.168.11.1.
Применить изменения, открыть в интернет браузере адрес 192.168.11.1 и ввести логин и пароль admin/admin.
Конфигурация DAG1000-4O
Перейдем к непосредственной настройке шлюза. Первым делом, подключившись к WEB – интерфейсу необходимо поменять IP – адрес шлюза (мы ведь не можем каждый раз менять IP – адрес NIC своего ПК чтобы администрировать шлюз). Делается это во вкладке Network -> Local Network. Выставляем настройки и нажимаем на Save. Важно отметить, что шлюз может работать как в режиме маршрутизатора, так и в режиме моста. Ниже представлен интерфейс для настройки в режиме моста.
При настройке в режиме маршрутизатора (Route), в конфигурации прибавляется возможность настройки WAN порта шлюза.
Перейдем к настройке SIP сервера в соответствующую вкладку SIP Server и настроим коннект между шлюзом и Asterisk. Здесь необходимо указать IP – адрес, порт и интервал регистрации.
Переходим к настройка Asterisk. В нашем случае, мы пользуемся графической оболочкой FreePBX. Заходим во вкладке Connectivity -> Trunks и создаем новый транк с такими параметрами:
Производим настройку транка, в соответствие с вышеуказанными параметрами. В данном случае, 192.168.1.110 – это адрес шлюза. Жмем Submit, а затем Apply Config.
Возвращаемся на шлюз и идем во вкладку Advanced -> FXS/FXO. Указываем страну, в которой находимся. Мы указали Russia. В сегменте FXO Parameter указываем Detect CID, отмечая галочку на соответствующем поле, и выбираем Send Original CID when Call from PSTN, чтобы получить номер звонящего из публичной сети. Жмем сохранить.
Переходим во вкладку Port. Нажимаем на Add и настраиваем FXO порт №0. Вводим данные, как мы создали на Asterisk в настройках транка. Offhook Auto-Dial это в нашем случае номер, на который шлюз пробрасывает пришедший вызов. На стороне Asterisk настроен входящий маршрут на этот DID, 2253535, который уже и проводим манипуляции с вызовом. Жмем Save.
Идем во вкладке Call & Routing и выбираем Tel->IP/Tel Routing. В данной статье мы покажем как настраивать входящую из PSTN маршрутизацию вызовов. Отметим, что исходящая маршрутизация настраивается аналогично. В указанной вкладке меню жмем Add.
Здесь настроено следующее правило:
Все звонки с FXO порта №0 (Call From) с любым префиксом отправлять на SIP сервер (Calls to). Вот и все, теперь наш шлюз будет отправлять все вызовы с порта 0 на Asterisk.
Заходим во вкладку Status & Statistics -> Registration и видим, что наш порт зарегистрирован на Asterisk.
Теперь можно принимать вызовы с настроенной аналоговой линии через шлюз.
Много раз в день вы посещаете веб-сайты, на которых вас просят войти под своим именем пользователя, адресом электронной почты и паролем. Банковские сайты, сайты социальных сетей, почтовые службы, сайты электронной коммерции и новостные сайты - это всего лишь несколько типов сайтов, использующих этот механизм.
Каждый раз, когда вы входите на один из этих сайтов, вы, по сути, говорите: «Да, я доверяю этому сайту, поэтому я хочу поделиться с ним своей личной информацией». Эти данные могут включать ваше имя, пол, физический адрес, адрес электронной почты, а иногда даже информацию о кредитной карте.
Но откуда вы знаете, что можете доверять определенному веб-сайту? Иными словами, что делает веб-сайт для защиты вашей транзакции, чтобы вы могли доверять ей?
Эта статья направлена на демистификацию механизмов, которые делают сайт безопасным. Мы начнем с обсуждения веб-протоколов HTTP и HTTPS и концепции безопасности транспортного уровня (TLS - Transport Layer Security), которая является одним из криптографических протоколов. Затем мы объясним центры сертификации (CA - Certificate Authorities) и самозаверяющие сертификаты и как они могут помочь защитить веб-сайт. Наконец, я представлю некоторые инструменты с открытым исходным кодом, которые вы можете использовать для создания и управления сертификатами.
Защита маршрутов через HTTPS
Самый простой способ понять защищенный веб-сайт - это увидеть его в действии. К счастью, сегодня найти защищенный веб-сайт гораздо проще, чем незащищенный веб-сайт в Интернете. Но, поскольку вы уже находитесь на сайте wiki.merionet.ru, будем использовать его в качестве примера. Независимо от того, какой браузер вы используете, вы должны увидеть значок, который выглядит как замок рядом с адресной строкой. Нажмите на значок замка, и вы должны увидеть что-то похожее на это.
По умолчанию веб-сайт не является безопасным, если он использует протокол HTTP. Добавление сертификата, настроенного через хост сайта, может преобразовать сайт из незащищенного сайта HTTP в защищенный сайт HTTPS. Значок замка обычно указывает, что сайт защищен через HTTPS.
Нажмите на сертификат, чтобы увидеть CA сайта. В зависимости от вашего браузера вам может понадобиться скачать сертификат, чтобы увидеть его.
Здесь вы можете узнать кое-что о сертификате, кем, кому и когда был выдан. Эта информация о сертификате позволяет конечному пользователю проверить, что сайт безопасен для посещения.
ВНИМАНИЕ: Если вы не видите знак сертификата на веб-сайте или если вы видите знак, указывающий на то, что веб-сайт не защищен, пожалуйста, не входите в систему и не выполняйте действия, требующие ваших личных данных. Это довольно опасно!
Если вы видите предупреждающий знак, который редко встречается на большинстве общедоступных веб-сайтов, это обычно означает, что срок действия сертификата истек или используется самозаверяющий сертификат вместо сертификата, выпущенного через доверенный CA.
Интернет-протоколы с TLS и SSL
TLS - это текущее поколение старого протокола Secure Socket Layer (SSL). Лучший способ понять его место - посмотреть на модель OSI.
Есть шесть уровней, которые составляют Интернет, каким мы его знаем сегодня: физический, данные, сеть, транспорт, безопасность и приложения. Физический уровень является базовой основой, и он наиболее близок к реальному оборудованию. Прикладной уровень является наиболее абстрактным и ближайшим к конечному пользователю. Уровень безопасности можно рассматривать как часть уровня приложений, а TLS и SSL, которые являются криптографическими протоколами, разработанными для обеспечения безопасности связи по компьютерной сети, находятся на уровне безопасности.
Основным вариантом использования TLS является шифрование связи между веб-приложениями и серверами, такими как веб-браузеры, загружающие веб-сайт. Протокол TLS также можно использовать для шифрования других сообщений, таких как электронная почта, обмен сообщениями и передача голоса по IP (VOIP).
Центры сертификации и самозаверяющие сертификаты
Центр Сертификации (CA) - это доверенная организация, которая может выдавать цифровой сертификат.
TLS и SSL могут сделать соединение безопасным, но для механизма шифрования необходим способ его проверки - это сертификат SSL/TLS. TLS использует механизм, называемый асимметричным шифрованием, который представляет собой пару ключей безопасности, называемых закрытым ключом (private key) и открытым ключом (public key). Важно знать, что центры сертификации, такие как GlobalSign, DigiCert и GoDaddy являются внешними доверенными поставщиками, которые выпускают сертификаты, которые используются для проверки сертификата TLS/SSL, используемого веб-сайтом. Этот сертификат импортируется на хост-сервер для защиты сайта.
Прежде чем какой-либо крупный веб-браузер, такой как Chrome, Firefox, Safari или Internet Explorer, подключится к вашему серверу по протоколу HTTPS, он уже имеет в своем распоряжении набор сертификатов, которые можно использовать для проверки цифровой подписи, найденной в сертификате вашего сервера. Эти цифровые сертификаты веб-браузера называются сертификатами CA. Если с сертификатом на сервере все ок, то мы попадаем на сайт, а если нет, то браузер покажет нам предупреждение. Закрытые ключи, используемые для подписи сертификатов сервера, уже имеют соответствующие пары открытых ключей в веб-браузерах пользователей.
Однако CA может быть слишком дорогим или сложным, когда вы просто пытаетесь протестировать веб-сайт или услугу в разработке. У вас должен быть доверенный ЦС для производственных целей, но разработчикам и администраторам веб-сайтов необходим более простой способ тестирования веб-сайтов, прежде чем они будут развернуты в рабочей среде - именно здесь приходят самозаверяющие сертификаты.
Самозаверяющий сертификат - это сертификат TLS/SSL, подписанный лицом, которое его создает, а не доверенным центром сертификации. Создать самозаверяющий сертификат на компьютере очень просто, и он может позволить вам протестировать защищенный веб-сайт, не покупая дорогой сертификат, подписанный СА, сразу. Хотя самозаверяющий сертификат определенно рискованно использовать в производственной среде, он является простым и гибким вариантом для разработки и тестирования на подготовительных этапах.
Инструменты с открытым исходным кодом для генерации сертификатов
Для управления сертификатами TLS/SSL доступно несколько инструментов с открытым исходным кодом. Наиболее известным из них является OpenSSL, который включен во многие дистрибутивы Linux и в macOS. Тем не менее, другие инструменты с открытым исходным кодом также доступны.
OpenSSL - Самый известный инструмент с открытым исходным кодом для реализации библиотек TLS и шифрования Apache
EasyRSA - Утилита командной строки для создания и управления PKI CA
CFSSL - PKI/TLS "Швейцарский нож" от Cloudflare
Lemur - Инструмент создания TLS от Netflix