Zpožděné doručování e-mailů z Gmail.com

By

Přibližně od konce srpna mohou uživatelé Gmail.com a uživatelé využívající Google Apps na vlastní doméně pociťovat zpožďování odchozích e-mailů odeslaných z těchto služeb, kdy může docházet ke zpoždění až 24 hodin při doručování. Důvodem je to, že mnoho SMTP serverů této služby se ocitlo na respektovaných blacklistech (například SORBS) a jsou tedy na internetu ve velké míře blokovány. Zpoždění potom vznikne tak, že Gmail se snaží doručit e-mail, je blokován protistranou, zkusí to tedy z jiného serveru, a to se opakuje, dokud se mu e-mail nepodaří odeslat (trefí jeden ze svých serverů, které nejsou na blacklistu).

Pokud jste tedy zaznamenali opožděný e-mail z těchto služeb, problém není u nás. Abychom tento problém pro uživatele našich hostingových služeb minimalizovali, umístili jsme téměř všechny SMTP servery Gmailu na tzv. whitelist, čili pro tento případ budeme blacklisty ignorovat a e-maily přijmeme. Podobné problémy se mohou vyskytovat i u emailů odeslaných ze služeb Amazon SES, případně ZOHO mail.


Blueboard.cz nabízí SSL certifikáty pro všechny klienty zdarma

By

SSL certifikát umožní, aby váš web mohl fungovat na protokolu https. Oproti klasickému http jde o šifrovaný přenos dat, což například zabrání tomu, aby někdo odposlechl údaje, které zadávají návštěvníci vašeho webu.

 

Takhle bude vypadat váš zabezpečený web v prohlížeči
Takhle bude vypadat váš zabezpečený web v prohlížeči

 

Navíc Google už více než rok zvýhodňuje weby, které jsou na https. Takže je to lepší pro SEO vašeho webu.

Až doposud se za certifikáty platilo a navíc instalace certifikátu trvala delší dobu, protože proces nebyl automatický.

Před pár dny se však všechno změnilo, protože společnost Let’s Encrypt začala poskytovat certifikáty zdarma a umožňila jejich strojové zpracování.

Neváhali jsme a ihned jsme začali pracovat na tom, abychom je mohli nabídnout co nerychleji a nejjednodušeji našim klientům. A už je hotovo.

Každý nový hosting u nás tak dostane pro své domény zdarma SSL certifkát. Stávající klienti si jej samozřejmě mohou také aktivovat v Administraci.

Co je potřeba udělat, aby můj web běžel na https?

  1. Pokud ještě nemáte, aktivovat si SSL certifikát v Administraci (Moje domény -> zvolte doménu -> tlačítko Aktivovat certifikát)
  2. Přepnout webové stránky na https. Jak?
    1. Pokud máte WordPress, nainstalujte si plugin Really Simple SSL, který vám zapne celý WP na protokolu https (včetně adminu, obrázků a skirptů)
    2. Pokud máte svůj vlastní web, můžete přesměrování na https vynutit souborem .htaccess. Vytvořte ho v rootu webu s následujícím obsahem (případně pokud ho už máte, doplňte tyto řádky na jeho začátek), nezapomeňte nahradit vasedomena.koncovka za název vaší domény:
      RewriteEngine on
      RewriteCond %{HTTPS} off
      RewriteCond %{HTTP_USER_AGENT} !(BlackBerry)
      RewriteCond %{HTTP_HOST} ^(www\.)?vasedomena.koncovka 
      RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
  3. Hotovo, máte zabezpečený web!

DOPLNĚNO:

Jaký certifikát instalujeme?

Jde o certifikát od certifikační autority Let’s Encrypt, za kterou stojí Internet Security Research Group (ISRG) a hlavními sponzory jsou EFF, Mozilla Foundation, Akamai a Cisco Systems. Další partneři projektu jsou: certifikační autorita IdenTrust, University of Michigan, Stanford Law School nebo třeba Linux Foundation (zdroj: root.cz).

POZOR! Certifikát nefunguje na zařízeních Blackberry

Jelikož nemůžeme ke každému certifikátu dát vlastní IPv4 adresu (ta se dnes cení přibližně na 50 Kč/měsíc), je certifikát poskytován metodou SNI. Tato metoda pak musí být podporována i v prohlížeči. Některé starší nebo velmi málo používané prohlížeče ji zatím však nepodporují, proto při použití certifikátu nebude web možné v těchto prohlížečích zobrazit. Jsou to napříkad prohlížeče na zařízeních Blackberry OS 10.

Tento certifikát není možné použít pro subdomény

Tento certifikát bohužel není možné použít pro subdomény. Je nastaven pouze na hlavní doménu s nebo bez www. Pokud byste chtěli mít všechny subdomény také na https, je potřeba již zakoupit tzv. wildcard certifikát, který je zatím placený a stojí 1990 Kč na rok včetně DPH.


Zavedli jsme DKIM

By

Email s DKIM

Co to je?

DKIM znamená, že podepisujeme speciálním podpisem (klíčem) všechny emaily, které od nás odešlete. Protistrana si potom může ověřit platnost tohoto klíče a potvrdí si tak pravost emailu. To udělá na základě klíče v emailu a veřejného klíče uvedeného v DNS vaší domény.

K čemu je to dobré?

Je to dobré k tomu, že vaše emaily nebudou označovány za spam. Například Seznam.cz zavádí od 1. dubna povinnost těchto klíčů u hromadných emailů. Pokud byste tedy chtěli posílat na Seznam více emailů, bez DKIM by určitě byly označeny jako SPAM.

S DKIM také není možné, aby někdo posílal emaily, kde vás uvede jako odesílatele, a nemůže se za vás tedy nikdo vydávat (pokud to protistrana ověřuje).

DKIM je lepší než SPF, kvůli kterému je problém přeposílat emaily, jak jsme psali v předchozím článku. S DKIM lze emaily přeposílat bez obav, že by je protistrana zahazovala.

Co to není

DKIM není elektronický podpis. Neříká, KDO (jaká osoba) email odeslal, ale ODKUD (z jaké domény) přišel.

Jak si to zapnu?

Pokud máte doménu na hostingu Blueboard.cz, máte aktivní DKIM na každé doméně automaticky a zdarma.

 

Více podrobností o DKIM se můžete dočíst v následujících článcích:

 


Nenechávejte si přeposílat emaily

By

Některé vám totiž nemusí dorazit. Důvodem je ochrana proti „padělaným“ emailům, které se zneužívají ke spamování.

Co označuji za „padělaný“ email? Je to email, který odešlu z účtu na své doméně (blueboard.cz), ale jako odesílatele nastavím třeba zeman@hrad.cz. To jde udělat velmi jednoduše, umí to každý emailový klient. Ano, i vy můžete mít zítra ve schránce pozvání od Zemana na skleničku.

A jak to souvisí s přeposíláním emailu? Přeposílání totiž funguje tak, že přesměrovaná schránka přijme email a znovu ho pošle dál. Přitom ale ponechá původního odesílatele, a sebe jako odesílatele nepřizná. Tedy email vlastně „padělá“.

Jednoho dne se poskytovatelé rozhodli proti padělaným emailům bránit. Začali tedy zjišťovat, zda server, od kterého email přichází, souhlasí s doménou odesílatele (vysvětluji na konci článku). Pokud ne, emaily svým klientům do schránek nedoručí a zahodí je. Samozřemě včetně všech přesměrovaných.

Pokud jsem předchozí odstavec vysvětlil srozumitelně, mělo by z něho být jasné, že pokud přeposílací schránka a cílová schránka jsou u stejného poskytovatele, tak email se vždy doručí. Pokud to tak máte, nemusíte se ničeho bát.

Jak to tedy vyřešit?

Ideálně emaily nepřeposílejte. Vžijte se do toho odesílatele. Pošlete zprávu na email A a někdo vám odpoví z emailu B.

Zrušte si přesměrování a připojujte se do ostatních schránek přímo ze svého emailového klienta. Většina klientů již umí účty sjednotit do jedné doručené pošty, takže pohodlnost by měla zůstat.

Jak to funguje z technického hlediska?

Jak si server příjemce ověřuje, zda email přichází ze správného serveru? Používají se k tomu tzv. SPF záznamy, které se zapíší do DNS domény odesílatele. Do takového záznamu se napíše „Poštovní server odesílatele musí mít IP adresu 1.2.3.4“ (samozřemě je to zapsáno speciální syntaxí).

Takže server příjemce vidí IP, ze které email přichází a zeptá se SPF záznamu na povolené IP. Pokud nesouhlasí, email odmítne nebo označí jako spam. A u přeposlaného emailu tyto IP nesouhlasí, protože mailserver původního odesílatele má jinou IP než mailserver, který email přeposlal.

 


Držitelé generických domén: pozor na verifikační email

By

icannlogoNezisková organizace ICANN, zaštiťující všechny generické (.com, .net, .org, .info, .biz, .name) a nové domény prvního řádu, uvedla minulý rok aktualizovanou sadu pravidel pro tyto typy domén s názvem 2013 Registrar Accreditation Agreement. Jeho součástí je i sekce WHOIS ACCURACY PROGRAM SPECIFICATION, která vyžaduje kontrolu správnosti údajů a jejich potvrzení, případně změnu.

Tato změna pravidel, jejíž potvrzení vyžaduje ICANN po svých akreditovaných registrátorech, je určená přímo pro držitele domén. Na pozoru by se měli mít především držitelé generických domén:

  • které byly zaregistrovány od 1. ledna 2014
  • u nichž došlo od 1. ledna 2014 k transferu
  • u jejichž kontaktních údajů došlo od 1. ledna 2014 ke změně

Pokud máte generickou doménu registrovanou před 1. lednem 2014 a letos jste na ní žádné změny nedělali, ani jste ji nikam nepřesouvali, nutnost potvrdit verifikační email se vás netýká. Jakmile ale u generické domény transfer nebo změnu kontaktu provedete, s největší pravděpodobností se verifikačnímu emailu nevyhnete. Stejně tak se to bude týkat všech nově zaregistrovaných generických domén a nových koncovek.

Email, který přijde buď od domena.cz nebo od csl-registrar.com a bude pravděpodobně v angličtině, je nezbytně nutné potvrdit do několika dnů. Jinak dojde k nasměrování domény na servery registrátora, kde už dojde k nahrazení vašeho webu speciální stránkou s veškerým potřebným vysvětlením. Vedle něj tam dole najdete i tlačítko pro opětované zaslání verifikačního emailu na email držitele domény.

Verifikační email nelze zaslat jinam, než na email držitele domény – pokud tedy zjistíte, že email držitele není aktuální a nemáte k němu přístup, napište nám. O změnu se společně postaráme. Své kontaktní údaje u domén vždy jednou za čas prověřujte a udržujte je aktuální. Jedině tak se vyhnete nepříjemným překvapením ve formě nefunkčního emailu, který pak musíte měnit přes papírový formulář s úředně ověřeným podpisem.


Rostoucí důležitost SSL certifikátů pro SEO

By

securityO vzestup SSL certifikátů, kterých bylo dříve jako šafránu, se postaral Facebook. Ten pro své aplikace protokol HTTPS vyžaduje, ale pravý boom SSL je teprve před námi. Neiniciuje ho nikdo jiný, než Google. Není to tak dávno, co sám dokončil nasazení certifikátů na všechny své služby a teď naznačuje, že bude očekávat něco podobného i od vás. Volání internetového giganta po větší bezpečnosti budou muset začít všichni webmasteři chtě nechtě naslouchat.

Google totiž nedávno oznámil, že nově ve svém algoritmu pro řazení výsledků vyhledávání začíná SSL certifikáty zohledňovat. Zatím jen nepatrně a dle jeho slov to má v současné době vliv na méně než procento globálních výsledků vyhledávání. Primárním kritériem pro řazení výsledků je pro Google pořád kvalitní obsah, ale naznačil, že v budoucnu může klást na SSL certifikáty mnohem větší důraz.

Jestliže provozujete eshop, nebo máte na webu registrační či jiný formulář, který nějakým způsobem nakládá s osobními údaji vašich návštěvníků, měli byste SSL certifikát mít bez ohledu na Google. A jestli chcete zabezpečit vaše návštěvníky napříč celým vaším webem, podobně jako to děláme my, můžete si certifkát zakoupit přímo z naší Klientské sekce.

Certifikáty se, podobně jako domény či hosting, předplácí alespoň na jeden rok dopředu a základní SSL certifikát pro jednu adresu vás vyjde na 590 Kč vč. DPH. Web navíc většinou nemusíte kvůli zabezpečení nijak upravovat, stačí nám říct na jakou adresu ho chcete a my se už o zbytek postaráme.


Pozor na spam z vaší vlastní domény

By

Možná se také řadíte mezi uživatele, kterým v posledních dnech přišla zpráva z povědomé adresy. Mohla vypadat jako debt@vasevlastnidomena.cz a nabádat vás ke splacení dluhu. Nelekejte se, přílohu ve formátu .zip neotevírejte a email s klidným svědomím smažte.

Vedle podivné přílohy, obvykle špatné češtiny a vůbec podezřelého obsahu je dobrým indikátorem rozpoznání spamu odesílatel. Známé firmy á la nigerijský “obchodník”, londýnský „bankéř“ nebo činský spambot to tentokrát nejsou. Píše vám vaše vlastní doména a navíc umí docela slušně česky.

Ke zneužití vaší domény nedošlo

Není potřeba si měnit heslo, s vaší doménou se nic nestalo. Nemusíte být totiž počítačový odborník, abyste mohli odeslat email vydávající se za někoho jiného.

Naopak. Jde o standardní funkci emailových klientů a například v Thunderbirdu ji najdete ve Správci identit. Je až nebezpečně jednoduché odeslat email, který bude vypadat jako by ho odeslal například váš šéf. Stačí v nastavení vašeho účtu nastavit jeho Identitu.

Pokud by vám někdo na takový email odepsal, neskončila by zpráva ve vaší schránce, ale přímo u šéfa. Vy jste tak od případné další komunikace odstřihnutí a šéf se o dozví o všem…

Autorizovaně

Možnost měnit identity je také jedním z důvodů, proč u nás na hostingu pro většinu úkonů požadujeme odeslání Autorizovaného požadavku. Email nám může vaším jménem poslat kdokoliv a teprve díky Autorizovanému požadavku (který je přístupný pouze z Klientské sekce) si můžeme být stoprocentně jistí, že jste to vy.


Novinky 2012, 2013

By

blog-raketa

Možná jste za poslední dva roky nepostřehli všechny novinky, které jsme stihli uvést v život. Proleťte si tedy tento shrnující seznam a budete vědět o těch důležitých. Ostatní drobnosti se dovídáte za čerstva na našem Twitteru.

Permanentní slevy na delší období

Zavedli jsme permanentní slevy pro delší předplacené období. Pokud si tedy hositng zaplatíte na 2 roky, máte 10% slevu, na 3 roky 20%.

Předělali jsme správu emailů

Starý podivný software (qmailadmin) jsme nahradili vlastním MailAdminem, kde si můžete emaily spravovat zvlášť pro každou doménu. Veškeré nastavení emailů je ale i přímo v Klientské sekci.

Zprovoznili jsme Git

Většině z vás to asi nic neříká, ale je to úžasná technologie na verzování vašich stránek a jejich posílání přímo na server.

Miniserver dostal nový kabát

A to jak svého prezentačního webu, tak administrace. Také jsme Miniserver  zlevnili na 1500 Kč bez DPH, což je srovnatelná cena s konkurencí. I když se setkáváme s názory, že je to dost drahé, jsme schopni lehce vysvětlit, že není. A desítky našich Miniserverových klientů to vědí. Jsou to věci, které poznáte, až když to máte. Vysoký výkon a nejnovější technologie. Bez potřeby vědět, co je to server a jak se ovládá.

Zálohy zdarma pro všechny. A ihned

Typický háček jiných „levných hostingů“. Mlaskáte si, jak jste ušetřili za hosting a najednou jéje – potřebujete zálohu. „Za poplatek, pane“. U nás je máte vždy po ruce na FTP, samozřejmě už rozbalené, 14 dní zpět.

Vdechli jsme život našim fakturám

Tedy těm nevystaveným, které nazýváme Výzvy k platbě. Můžete si z nich vyškrtávat položky nebo výzvu celou zrušit. Nebo si nastavit delší období, na které chcete hosting zaplatit a dostat slevu.

Zrušili jsme diskový limit pro emaily

Jedna schránka může mít až 6 GB, ale schránek můžete mít kolik chcete.

 tritecky

A to není vše. Právě teď pracujeme na dalších vylepšeních, se kterými vás seznamíme zase brzy tady na blogu. Takže doufám, že už naše RSS máte ve své čtečce.


To je hrůza. Sedm let.

By

Když někdo končí hosting, pokaždé nás to mrzí. Kdyby to bylo kvůli nespokojenosti, mohli bychom s tím něco udělat. Nejčastějším důvodem je ale konec byznysu nebo projektu, pro který byl hosting určen. Naštěstí se často stává, že při loučení nám zákazník vyjádří svou spokojenost, a to nás velmi potěší. Nejvíce mě ale dostal tento „rozlučkový“ email:

Dobrý den,

doménu ani hosting nebudu prodlužovat. S vašimi službami jsem byl po celých sedm ( to je hrůza 🙂 ) let spokojen, ale už webhosting nepotřebuju.

Takže díky a neshledanou.

S pozdravem, Michal K.

 


Útoky na WordPress a Joomlu

By

Používáte WordPress nebo Joomlu? Pak zbystřete. Je to teprve měsíc, co probíhal velký globální útok na webové stránky postavené na WordPressu a právě v těchto dnech přišla jeho druhá vlna. Ta s sebou nese i rozšíření útoku na Joomlu a tím pádem větší bezpečnostní rizika.

Co se děje

Podstata útoku spočívá v tom, že se neznámí útočníci pokouší z obrovského množství IP adres přihlásit do vašeho redakčního systému. Útok nemíří na slabiny WordPressu nebo našich serverů, ale slabiny ve vašich přihlašovacích údajích.

Nemalá část uživatelů WordPressu ponechá jako Uživatelské jméno základní “admin”, což útočníkům ulehčí práci.

Už jim totiž zbývá jenom uhodnout heslo. To se pokouší prolomit metodou zvanou Brute Force Attack. Tedy hrubou silou a stylem pokus – omyl, dokud se netrefí. Logicky se začíná u těch nejpoužívanějších hesel, která se dají jednoduše uhodnout.

Takovéto neustálé pokusy o přihlášení z mnoha IP adres způsobují velkou zátěž serveru a hrozilo i přerušení provozu.

Co jsme udělali my

Abychom zabránili kompletnímu přetížení a následnému výpadku serverů, zablokovali jsme všechny pokusy o přihlášení se do WordPressu a Joomly ze zahraničiních IP adres. Pokud se připojujete z České Republiky, neměl by se vás útok nijak dotknout.

Pro uživatele připojující se ze zahraničí jsme udělali jednoduché opatření – ještě před samotným loginem do redakčního systému vám vyskočí jedndouché přihlašovací okénko, kam stačí zadat login “bb” a heslo “bb”. Tyto údaje v okénku píšeme a po tomto ověření se už dostanete na standardní přihlášení do redakčního systému.

Útoky pořád probíhají a celou situaci neustále monitorujeme, ale největší nebezepečí jsme již zažehnali.

Obecná prevence proti podobným útokům

Vedle možného přejmenování vstupního souboru (wp-login.php, nebo index.php)  je dobrým základem pro prevenci zvolit jiné Uživatelské jméno. To můžete změnit jak ručně, tak pohodlněji s pomocí pluginu Admin renamer extended.

Nic nepokazíte ani silným heslem, které není kombinací přihlašovacích údajů, či jiných dostupných a známých jmen a názvů. Vyvarujte se především heslům jako je “password”, “123456” a podobným.

S bezpečností WordPressu by měly pomoct také pluginy Limit Login Attempts, Lockdown WP Admin, nebo robustnější Better WP Security, který dokáže útočníky po určitém počtu pokusů od přihlašovací stránky úplně odstavit.