HKfree wiki - Příspěvky uživatele [cs]

Robot pro omezení zahlcujícího provozu

2005-08-24T10:44:16Z

10.107.3.77:

Postaveno na http://ipband.sourceforge.net/

Vyžaduje adresář /var/lib/kladivo - zrobíme snadno:
# mkdir /var/lib/kladivo

Potřebný záznam pro běh v crontabu:

*/5 * * * * /root/kladivo.sh cronjob

Někde v init skriptech je záhodno nastartovat sledování pomocí:
/root/kladivo.sh startwatch

Skript /root/kladivo.sh:

(proměnné v hlaviččne si račte upravit k obrazu svému, nezapomenout do sledovanych sítí přidat i veřejné IP)

#!/bin/sh

# Verze 1.04 -> doplnujte aktualni verzi
# autor pavkriz@hkfree.org
# iptables rules kendy@hkfree.org
# detekce casoveho useku jezz@hkfree.org

# rychlostni limit v kB/s
LIMIT=70

# maximalni doba na jakou lze prekrocit limit (minut)
MAXOVERTIME=15

# doba, na jakou danou IP zabanujeme (minut)
BANTIME=180

# interface ktery sledujeme
WATCHIF=eth2

# podsite ktere sledujeme
WATCHNET=10.107.12.0/24:10.107.42.0/24

# jak je definovana denni doba (7:00-23:00)
# muze se prehoupnout pres pulnoc, pak je prvni cislo vetsi nez druhe (700-200)
# v noci se banovani vypina (bany bezi casove dal, ale nejsou "provadeny")
DAYTIME="700-2300"

KLADIVO=/root/kladivo.sh
LISTDIR=/var/lib/kladivo

TMP=/tmp
IPTABLES=/sbin/iptables
IPBAND=/usr/sbin/ipband

case "$1" in
report)
# ziskame obsah reportu do tempfile
TMPF="$TMP/kladivo.$$.tmp"
cat - > "$TMPF"
# ziskame IP ktere se report tyka
IP=`awk '/Network: / { print $2 }' $TMPF`
# ziskame cas z reportu (jak dlouho presahuje limit) - jako desetinne cislo v minutach
OVERTIME=`awk '/exceeded for: / { print $7 }' $TMPF`
# odsekneme desetinnou cast
OVERTIME="${OVERTIME%%.*}"
# debug
###echo $IP $OVERTIME
if [ "$OVERTIME" -gt "$MAXOVERTIME" ]; then
# limit prekrocen na dobu delsi nez je povolena -> zabanovat
FILE="$LISTDIR/$IP"
if [ ! -e "$FILE" ]; then
# pokud jeste neni zabanovan, tak zalozime soubor se znackou pro zabanovani
# vypocteme timestamp do kdy budem IP banovat
NOW="`date +%s`"
BANTOTIME="$(($BANTIME * 60 + $NOW))"
# zapiseme timestamp do souboru
echo "$BANTOTIME" > "$FILE"
# zapiseme report na jehoz zaklade ban vznikl
echo "" >> "$FILE"
cat "$TMPF" >> "$FILE"
fi
fi
rm "$TMPF"
exit 0
;;

cronjob)
# vyprazdnit chain
$IPTABLES -F SOSACI
NOW="`date +%s`"
NOWTIME="`date +%k%M`"
DAYTIME1="${DAYTIME%%-*}"
DAYTIME2="${DAYTIME##*-}"
# projit vsechny zabanovane
for FILE in $LISTDIR/* ; do
if [ -e "$FILE" ]; then
BANTO="`head -n 1 "$FILE"`"
if [ "$BANTO" -lt "$NOW" ]; then
# uz vyprsel ban
# smazat znacku o zabanovani (casem asi presunout do nejakeho archivu)
rm "$FILE"
else
# je-li stale zabanovan, obnovit banovani
BANME='no'
if [ "$DAYTIME1" -gt "$DAYTIME2" ]; then
if [ "$NOWTIME" -ge "$DAYTIME1" ]; then
BANME='yes'
elif [ "$NOWTIME" -lt "$DAYTIME2" ]; then
BANME='yes'
fi
elif [ "$NOWTIME" -ge "$DAYTIME1" -a "$NOWTIME" -lt "$DAYTIME2" ]; then
BANME='yes'
fi

if [ "$BANME" = 'yes' ]; then
IP="${FILE##*/}"
$IPTABLES -I SOSACI -p ! icmp -s $IP -m limit --limit 10/s -j ACCEPT
$IPTABLES -I SOSACI 2 -p ! icmp -s $IP -j DROP
$IPTABLES -I SOSACI -p ! icmp -d $IP -m limit --limit 10/s -j ACCEPT
$IPTABLES -I SOSACI 2 -p ! icmp -d $IP -j DROP
fi
fi
fi
done
exit 0
;;

startwatch)
# vytvorit chain kam strkame banovaci pravidla
$IPTABLES -N SOSACI && $IPTABLES -I FORWARD -j SOSACI
# spustit sledovaci ipband, ktery nam bude posilat reporty a detekovanych prekroceni
$IPBAND -F -L $WATCHNET -m 32 -b $LIMIT -a 60 -r 240 -t 5 -M root@localhost -T "$KLADIVO report" $WATCHIF
exit 0
;;

stopwatch)
killall $IPBAND
exit 0
;;

*)
echo "usage: $0 startwatch"
exit 1
;;
esac

CGI skript pro sledování stavu černé listiny:

#!/bin/sh
#
#Verze 1.01
#Autor PavKriz
#
LISTDIR=/var/lib/kladivo

SEP="--------------------------------------------"
echo "Content-type: text/plain"
echo ""
TODAY=`date`
echo "Report k datu: $TODAY"
echo $SEP
NOW=`date +%s`

for FILE in $LISTDIR/* ; do
if [ -e "$FILE" ]; then
IP=`basename $FILE`
HOST=`host $IP | awk "{ print \\$5 }"`
BANTO=`head -n 1 $FILE`
UNBAN=`expr $BANTO - $NOW`
UNBAN=`expr $UNBAN / 60`
# print report
echo "Host: $HOST"
echo "Minutes to unban: $UNBAN"
echo "Ban-causing report:"
tail +8 $FILE
echo
fi
done

Robot pro omezení zahlcujícího provozu

2005-08-24T10:40:32Z

10.107.3.77:

Postaveno na http://ipband.sourceforge.net/

Vyžaduje adresář /var/lib/kladivo - zrobíme snadno:
# mkdir /var/lib/kladivo

Potřebný záznam pro běh v crontabu:

*/5 * * * * /root/kladivo.sh cronjob

Někde v init skriptech je záhodno nastartovat sledování pomocí:
/root/kladivo.sh startwatch

Skript /root/kladivo.sh:

(proměnné v hlaviččne si račte upravit k obrazu svému, nezapomenout do sledovanych sítí přidat i veřejné IP)

#!/bin/sh

# Verze 1.04 -> doplnujte aktualni verzi
# autor pavkriz@hkfree.org
# iptables rules kendy@hkfree.org
# detekce casoveho useku jezz@hkfree.org

# rychlostni limit v kB/s
LIMIT=70

# maximalni doba na jakou lze prekrocit limit (minut)
MAXOVERTIME=15

# doba, na jakou danou IP zabanujeme (minut)
BANTIME=180

# interface ktery sledujeme
WATCHIF=eth2

# podsite ktere sledujeme
WATCHNET=10.107.12.0/24:10.107.42.0/24

# jak je definovana denni doba (7:00-23:00)
# muze se prehoupnout pres pulnoc, pak je prvni cislo vetsi nez druhe (700-200)
# v noci se banovani vypina (bany bezi casove dal, ale nejsou "provadeny")
DAYTIME="700-2300"

KLADIVO=/root/kladivo.sh
LISTDIR=/var/lib/kladivo

TMP=/tmp
IPTABLES=/sbin/iptables
IPBAND=/usr/sbin/ipband

case "$1" in
report)
# ziskame obsah reportu do tempfile
TMPF="$TMP/kladivo.$$.tmp"
cat - > "$TMPF"
# ziskame IP ktere se report tyka
IP=`awk '/Network: / { print $2 }' $TMPF`
# ziskame cas z reportu (jak dlouho presahuje limit) - jako desetinne cislo v minutach
OVERTIME=`awk '/exceeded for: / { print $7 }' $TMPF`
# odsekneme desetinnou cast
OVERTIME="${OVERTIME%%.*}"
# debug
###echo $IP $OVERTIME
if [ "$OVERTIME" -gt "$MAXOVERTIME" ]; then
# limit prekrocen na dobu delsi nez je povolena -> zabanovat
FILE="$LISTDIR/$IP"
if [ ! -e "$FILE" ]; then
# pokud jeste neni zabanovan, tak zalozime soubor se znackou pro zabanovani
# vypocteme timestamp do kdy budem IP banovat
NOW="`date +%s`"
BANTOTIME="$(($BANTIME * 60 + $NOW))"
# zapiseme timestamp do souboru
echo "$BANTOTIME" > "$FILE"
# zapiseme report na jehoz zaklade ban vznikl
echo "" >> "$FILE"
cat "$TMPF" >> "$FILE"
fi
fi
rm "$TMPF"
exit 0
;;

cronjob)
# vyprazdnit chain
$IPTABLES -F SOSACI
NOW="`date +%s`"
NOWTIME="`date +%k%M`"
DAYTIME1="${DAYTIME%%-*}"
DAYTIME2="${DAYTIME##*-}"
# projit vsechny zabanovane
for FILE in $LISTDIR/* ; do
if [ -e "$FILE" ]; then
BANTO="`head -n 1 "$FILE"`"
if [ "$BANTO" -lt "$NOW" ]; then
# uz vyprsel ban
# smazat znacku o zabanovani (casem asi presunout do nejakeho archivu)
rm "$FILE"
else
# je-li stale zabanovan, obnovit banovani
BANME='no'
if [ "$DAYTIME1" -gt "$DAYTIME2" ]; then
if [ "$NOWTIME" -gt "$DAYTIME1" ]; then
BANME='yes'
elif [ "$NOWTIME" -lt "$DAYTIME2" ]; then
BANME='yes'
fi
elif [ "$NOWTIME" -ge "$DAYTIME1" -a "$NOWTIME" -lt "$DAYTIME2" ]; then
BANME='yes'
fi

if [ "$BANME" = 'yes' ]; then
IP="${FILE##*/}"
$IPTABLES -I SOSACI -p ! icmp -s $IP -m limit --limit 10/s -j ACCEPT
$IPTABLES -I SOSACI 2 -p ! icmp -s $IP -j DROP
$IPTABLES -I SOSACI -p ! icmp -d $IP -m limit --limit 10/s -j ACCEPT
$IPTABLES -I SOSACI 2 -p ! icmp -d $IP -j DROP
fi
fi
fi
done
exit 0
;;

startwatch)
# vytvorit chain kam strkame banovaci pravidla
$IPTABLES -N SOSACI && $IPTABLES -I FORWARD -j SOSACI
# spustit sledovaci ipband, ktery nam bude posilat reporty a detekovanych prekroceni
$IPBAND -F -L $WATCHNET -m 32 -b $LIMIT -a 60 -r 240 -t 5 -M root@localhost -T "$KLADIVO report" $WATCHIF
exit 0
;;

stopwatch)
killall $IPBAND
exit 0
;;

*)
echo "usage: $0 startwatch"
exit 1
;;
esac

CGI skript pro sledování stavu černé listiny:

#!/bin/sh
#
#Verze 1.01
#Autor PavKriz
#
LISTDIR=/var/lib/kladivo

SEP="--------------------------------------------"
echo "Content-type: text/plain"
echo ""
TODAY=`date`
echo "Report k datu: $TODAY"
echo $SEP
NOW=`date +%s`

for FILE in $LISTDIR/* ; do
if [ -e "$FILE" ]; then
IP=`basename $FILE`
HOST=`host $IP | awk "{ print \\$5 }"`
BANTO=`head -n 1 $FILE`
UNBAN=`expr $BANTO - $NOW`
UNBAN=`expr $UNBAN / 60`
# print report
echo "Host: $HOST"
echo "Minutes to unban: $UNBAN"
echo "Ban-causing report:"
tail +8 $FILE
echo
fi
done

Veřejné IP

2005-04-04T01:05:03Z

10.107.3.77: /* Uživatel */

==Postup, kterak k veřejné IP adrese přijíti==
===Zásady===
*počet IP adres je omezen max. na '''1 člen''' HKfree = '''1 IP adresa''', toto platí i pro správce, i členy VV.
*(neblokovaná) veřejná IP adresa vyžaduje pokročilou počítačovou gramotnost a zodpovědnost - nemáte-li '''nastavený firewall''' a '''aktuální antivir''', může vaše hacknuté PC způsobit více škody, než užitku. Počítejte s tím, že zodpovědnost za zabezpečení svého počítače nesete vy. Pokud o zabezpečení nedbáte, ani o veřejnou IP nežádejte. Samozřejmostí je také '''záplatovaný operační systém''' (obzvláště ten od Microsoftu)

Doufám, že jste se dostatečne vyděsili a nebudete to brát na lehkou váhu! :-)

===Uživatel===

*Zažádám o přidělení IP na ip@hkfree.org (uvedu ID, oblast, mail na správce a proč ji chci) a ! kopii pošlu na mail správce oblasti !

*Až mi tato adresa příjde, sdělím tuto skutečnost správci, který ji zadá do userdb

*Nastavím si ji na svém počítači s maskou 255.255.254.0 (/23) a bránou 85.132.160.1 (pokud mám operační systém (Linux, BSD, ...), který umí pointopoint interface, mohu si nastavit tuto IP i s maskou /32)

*Nezapomenu si nastavit jako druhou IP na svoji kartu tu, kterou jsem měl původně (10.107.x.x) včetně původní brány. Zároveň si opravím směrovací tabulku, aby po hkfree byla používána IP 10.107.x.x a ne veřejná. (Veřejná IP uvnitř hkfree nevadí, ale někteří uživatelé mají ve svých firewallech povolený jen hkfree rozsah 10.107.x.x, takže se pak nemusíte dostat na jejich ftp, stahovat od nich na DC apod.)

'''10.107.x.x''' - moje dosavadní IP v hkfree

'''85.132.16x.x''' - moje veřejná IP

'''10.107.GW.IP''' - moje dosavadní brána

'''Linux (kompletní nastavení):'''
ip link set dev eth0 up
ip address add 85.132.16x.x/32 dev eth0
ip address add 10.107.x.x/nn brd + dev eth0
ip route add 10.0.0.0/8 dev eth0 via 10.107.'''GW.IP''' src 10.107.x.x
ip route add default dev eth0 via 10.107.'''GW.IP''' src 85.132.16x.x
kde nn je moje podsíť

ukázka z konkrétního /etc/network/interfaces v Debianu:
iface eth0 inet manual
up ip link set dev eth0 up
up ip address add 85.132.161.215/32 dev eth0
up ip address add 10.107.3.77/27 brd + dev eth0
up ip route add 10.0.0.0/8 dev eth0 via 10.107.3.65 src 10.107.3.77
up ip route add default dev eth0 via 10.107.3.65 src 85.132.161.215
down ip address flush dev eth0
down ip link set dev eth0 down
dns-nameservers 10.107.3.65 10.107.3.1 10.107.4.100
dns-search JNet.hkfree.org d-network.hkfree.org hkfree.org

''Malá poznámka k sambě:''

Pokud chcete, aby vám chodila správně samba i poté co si nastavíte veřejnou IP adresu, musíte do /etc/samba/smb.conf do sekce global uvést řádek

interfaces = 10.107.x.x/nn

a samozřejmě doplnit i další interfacy na kterých má samba poslouchat (třeba interface do lokální sítě).

Bez téhle úpravy se bude samba snažit posílat UDP pakety na broadcast veřejné IP adresy, takže vás ostatní neuvidí v okolních počítačích a vy je také neuvidíte.

'''WinXP:''' IP přidat tlačítkem Upřesnit v konfiguraci TCP/IP protokolu.

'''Win9x:''' [http://www.windowsnetworking.com/articles_tutorials/multiipa.html Eng návod]
'''Pozor! Tento návod znamená úpravu registru systému, nic tam neměňte, pokud nevíte co děláte!'''

A ve windows spustit:
route ADD 10.0.0.0 MASK 255.0.0.0 10.107.'''GW.IP''' -p

U win95 je potřeba příkaz route spustit po každém restartu, ve win98 nevím. Ve win XP parametr -p udělá routu permanentní. Smázne ji parametr -f.

===Pro správce===
Už by to mělo být celkem použitelné, připomínky hlašte, ať můžem návod zlepšit.

*Nejdříve je potřeba přidat cestu (routu) k přidělené IP (idealně do zebra.conf)

Příklad:

eth0 je interface na který je připojen klient a 85.132.160.55 je přidělená IP.

ip route 85.132.160.55/32 eth0

Pokud se bude přes jeden interface připojeno víc lidí s veřejnou IP vedle sebe, tak je lepší dávat do zebra.conf i routy s větší maskou. (''Vlastně je to více než vhodné!'')

*Zapnu proxy_arp (a hodím do nějakého init scriptu)

echo 1 > /proc/sys/net/ipv4/conf/all/proxy_arp
echo 1 > /proc/sys/net/ipv4/ip_nonlocal_bind

*Přidám na router IP '''85.132.160.1''' a ujistím se, že není ! distribuovaná ! přes ospf (nemělo by se stát ani při redistribute static, redistribute kernel). Tato IP slouží jako brána pro uživatele. (Protože není distribuovaná, tak nikde nemůže vzniknout její duplicita - stejný funkční efekt by měl statický arp záznam, ale klient pak nemůže bránu pingnout, což není správně)
Tu IP by mělo stačit dát na jeden interface na routru a okamžitě by mělo být možné ji pingnout ze všech ostatních ifaců (díky arp_proxy). Pokud ne, přidám tuto IP na potřebné ifacy. I když jde o podsíť /23, stačí mít bránu jako /32, ale není to nutné.
ip addr add 85.132.160.1/32 dev eth0

*Upravím DNS záznam na charonu v /etc/bind/master/85.132.160 nebo /etc/bind/master/85.132.161, /etc/bind/master/hkfree.org a /etc/bind/master/hkfree.org-out a změním serial (o přístup žádejte na ip@hkfree.org se svým loginem na charona). Dám si pozor na to, abych needitoval tyto soubory, kdyz je edituje nekdo jiny.

*Oznámím svém připojenci, že by mu to mělo jet.

*Příchozí spojení uživateli zablokuji následujícím pravidlem, pokud bude potřeba
iptables -A FORWARD -d '''komu''' -p tcp --syn -j REJECT --reject-with tcp-reset

Emaily v HKfree

2005-02-27T09:14:34Z

10.107.3.77:

==Základní informace==

*POP3: charon.hkfree.org (nebo pop3.hkfree.org) - příchozí pošta - jen pokud máte v hkfree schránku

*IMAP: charon.hkfree.org (nebo imap.hkfree.org) - příchozí pošta - jen pokud máte v hkfree schránku

*SMTP: charon.hkfree.org (nebo smtp.hkfree.org) - odchozí pošta

uživatel pop3 serveru je Vaše celá emailová adresa, např: somebody@hkfree.org

heslo je to co máte na registračním formuláři nebo to, na co jste si ho změnili.

Doporučuji zapnout v poštovním klientovi používání ssl (šifrování) pro pop a imap. Je možné zapnout podporu šifrování (TLS) i pro odchozí poštu.

Webmail je přístupný na adresách [http://webmail.hkfree.org/ http://webmail.hkfree.org/] a [https://webmail.hkfree.org/horde https://webmail.hkfree.org/horde]

==Filtrování emailů==

Emaily přicházející do hkfree jsou kontrolovány na výskyt virů a spamu. Jako antivir je v hkfree zaměstnán [http://www.clamav.net/ clamav], o identifikaci spamu se pokouší [http://spamassassin.apache.org/ spamassassin] s pomocí programů [http://razor.sf.net/ razor] a [http://www.rhyolite.com/anti-spam/dcc/ dcc].
Pokud si antivir myslí, že email obsahuje virus, pouze příjemce varuje a email je přesto doručen. I antivir se může mýlit, takže zahazavat zavirované emaily automaticky by nebylo nejlepší řešení... Nemusím snad dodávat, že otevírat zavirovanou přílohu bez dodatečného otestování nebo vyléčení domácím antivirem není moc chytré...

Email je doručen také jedná-li se o spam. V tom případě je položka "X-Spam-Flag:" v hlavičce emailu nastavena na YES a do položky "Subject" je přidáno "***SPAM***". Je tedy možné viry a spam v poštovním klientu filtrovat do jiné složky, než ve které se nacházejí "nezávadné" emaily.

==Spamassassin==

Spamassassin používá analýzu textu (Bayes) jako jednu z metod rozpoznání spamu. Aby byl úspěšný, musí se hodně učit. Učí se ze zpráv, které se mu dostanou "pod ruku". Občas se ale splete a pak je dobré ho opravit. Jak praví známé přísloví, Spamassassin se chybami učí. Spamassassin může naštěstí udělat jen dvě chyby: buč označit korektní email jako spam, nebo označit spam jako korektní email. V prvním případě email přepošlete na adresu notspam@hkfree.org, ve druhém případě na adresu spam@hkfree.org. Tyto dvě adresy používejte jenom pokud se spamassassin splete, posílat např. správně rozpoznaný spam na spam@hkfree.org nemá žádný smysl. Bohužel Spamassassinu nestačí obyčejné přeposlání zprávy (forwardování), protože se tak zničí spousta důležitých informací uložených v hlavičce emailu. Jak správně vzdělávat Spamassassin pomocí běžných poštovních klientů je popsáno na následujících řádcích:

*Eudora: vyberte zprávu, jděte do menu "Message", vyberte "redirect", vyplňte adresu a odešlete

*Evolution: vyberte zprávu, jděte do menu "Akce", vyberte podmenu "Přeposlat jako", vyberte "Přesměrovat", vyplňte adresu a odešlete

*KMail: ve verzi 1.6 a pozdější je potřeba nejdříve zkopírovat zprávu do složky "odeslané" a pak vybrat "Poslat znovu..." z menu "Zpráva"

*Lotus Notes: nejspíš neumí znovu poslat zprávu

*Microsoft Outlook 97: dvojitě klikněte na zprávu, takže se otevře v novém okně. Klikněte na "Nástroje", "Přeposlat tuto zprávu". Objeví se varování, že nejste původní odesilatel zprávy. Klikněte na OK. Objeví se okno zprávy. Upravte položku "Komu:" a klikněte na "Odeslat".

*Microsoft Outlook 2000 a vyšší: stejné jako u Outlooku 97, jenom místo menu "Nástroje" použijte menu "Akce"

*Microsoft Outlook Express: nejspíš neumí znovu poslat zprávu

*Mozilla Thunderbird: sama o sobě neumí poslat znovu zprávu, ale můžete ji to naučit nainstalováním redirect pluginu [http://mailredirect.mozdev.org/ mailredirect]

*Mutt: vyberte zprávu a použijte příkaz bounce stisknutím klávesy "b"

*Netscape Communicator 4.x a 7.x: nejspíš neumí znovu poslat zprávu

*OS/X Mail.app: otevřete nebo vyberte zprávu, vyberte menu "Message" a vyberte "Bounce to sender" nebo "Redirect"

*Pegasus Mail: klikněte na "Forward" a vyberte "Forward the messages without editing (redirect, or bounce)"

*Sylpheed: klikněte na zprávu, vyberte menu "Message", vyberte "Redirect", vyplňte položku "To:" a odešlete.

*TheBat!: vyberte zprávu, stiskněte klávesy Ctrl+F6, vyplňte položku To:, odešlete

Čím víc budete Spamassassin vzdělávat, tím úspěšnější bude při rozpoznávání spamu.

==Lokální emaily na Charonovi==

Uživatelé vlastnící [http://charon.hkfree.org/shell.html shell konto] na Charonovi mají k dispozici emailovou adresu ve tvaru login@charon.hkfree.org. Emaily přicházející na tuto adresu je možné číst a vybírat přes imap a pop3. Login a heslo jsou stejné jako při přihlašování na Charona.

Pokud chcete číst lokální emaily přímo na Charonovi, musíte provést drobné úpravy v nastavení vašeho oblíbeného poštovního programu. Lokální schránky už totiž nejsou umístěny ve /var/mail/vas_login ve formátu mailbox, ale v ~/Maildir/ ve formátu maildir.

*mutt: spusťte mutt s parametrem -f ~/Maildir/, nebo přidejte do souboru ~/.muttrc tento řádek:
set spoolfile="$HOME/Maildir/"

*mailx: neumí pracovat se schránkami ve formátu maildir. Použijte program [http://nail.sf.net/ nail], který má podobné ovládání jako mailx (man 1 nail).

==Přístup z Internetu==

Emaily ze schránky jmeno@hkfree.org je samozřejmě možné vybírat odkudkoli - jak z hkfree, tak z Internetu. Pro odchozí poštu je ale možné používat server smtp.hkfree.org jen zevnitř hkfree. Důvodem je, aby náš smtp server nemohl sloužit jako tzv. "open relay" např. spammerům. Pokud ale chcete používat smtp.hkfree.org i z Internetu (např. vás nebaví na notebooku pořád měnit nastavení podle toho, přes kterého poskytovatele jste zrovna připojeni), jedna možnost tu je. Nutností je mít v hkfree poštovní schránku (jmeno@hkfree.org). V nastavení serveru pro odchozí poštu ve vašem poštovním klientu si zaškrtněte položku "smtp server vyžaduje přihlášení" (nebo tak podobně). Přihlašovací jméno vyplňte stejné jako při vybírání pošty, tj. jmeno@hkfree.org. Heslo je také stejné (poštovní klient se na heslo zeptá většinou až při prvním pokusu o odeslání emailu). Pro větší bezpečnost (hlavně kvůli přihlašovacím údajům) vyberte také použití šifrovaného přenosu (TLS, SSL, ...).

Emaily v HKfree

2005-01-11T00:01:36Z

10.107.3.77: /* Základní informace */

==Základní informace==

*POP3: charon.hkfree.org (nebo pop3.hkfree.org) - příchozí pošta

*IMAP: charon.hkfree.org (nebo imap.hkfree.org) - příchozí pošta

*SMTP: charon.hkfree.org (nebo smtp.hkfree.org) - odchozí pošta

uživatel pop3 serveru je Vaše celá emailová adresa, např: somebody@hkfree.org

heslo je to co máte na registračním formuláři nebo to, na co jste si ho změnili.

Doporučuji zapnout v poštovním klientovi používání ssl (šifrování) pro pop a imap. Podpora TLS pro smtp je v plánu...

Webmail je přístupný na adresách [http://webmail.hkfree.org/ http://webmail.hkfree.org/] a [https://webmail.hkfree.org/horde https://webmail.hkfree.org/horde]

==Filtrování emailů==

Emaily přicházející do hkfree jsou kontrolovány na výskyt virů a spamu. Jako antivir je v hkfree zaměstnán [http://www.clamav.net/ clamav], o identifikaci spamu se pokouší [http://spamassassin.apache.org/ spamassassin] s pomocí programů [http://razor.sf.net/ razor] a [http://www.rhyolite.com/anti-spam/dcc/ dcc].
Pokud si antivir myslí, že email obsahuje virus, pouze příjemce varuje a email je přesto doručen. I antivir se může mýlit, takže zahazavat zavirované emaily automaticky by nebylo nejlepší řešení... Nemusím snad dodávat, že otevírat zavirovanou přílohu bez dodatečného otestování nebo vyléčení domácím antivirem není moc chytré...

Email je doručen také jedná-li se o spam. V tom případě je položka "X-Spam-Flag:" v hlavičce emailu nastavena na YES a do položky "Subject" je přidáno "*****SPAM*****". Je tedy možné viry a spam v poštovním klientu filtrovat do jiné složky, než ve které se nacházejí "nezávadné" emaily.

==Spamassassin==

Spamassassin používá analýzu textu (Bayes) jako jednu z metod rozpoznání spamu. Aby byl úspěšný, musí se hodně učit. Učí se ze zpráv, které se mu dostanou "pod ruku". Občas se ale splete a pak je dobré ho opravit. Jak praví známé přísloví, Spamassassin se chybami učí. Spamassassin může naštěstí udělat jen dvě chyby: buč označit korektní email jako spam, nebo označit spam jako korektní email. V prvním případě email přepošlete na adresu notspam@hkfree.org, ve druhém případě na adresu spam@hkfree.org. Bohužel Spamassassinu nestačí obyčejné přeposlání zprávy (forwardování), protože se tak zničí spousta důležitých informací uložených v hlavičce emailu. Jak správně vzdělávat Spamassassin pomocí běžných poštovních klientů je popsáno na následujících řádcích:

*Eudora: vyberte zprávu, jděte do menu "Message", vyberte "redirect", vyplňte adresu a odešlete

*Evolution: vyberte zprávu, jděte do menu "Akce", vyberte podmenu "Přeposlat jako", vyberte "Přesměrovat", vyplňte adresu a odešlete

*KMail: ve verzi 1.6 a pozdější je potřeba nejdříve zkopírovat zprávu do složky "odeslané" a pak vybrat "Poslat znovu..." z menu "Zpráva"

*Lotus Notes: nejspíš neumí znovu poslat zprávu

*Microsoft Outlook 97: dvojitě klikněte na zprávu, takže se otevře v novém okně. Klikněte na "Nástroje", "Přeposlat tuto zprávu". Objeví se varování, že nejste původní odesilatel zprávy. Klikněte na OK. Objeví se okno zprávy. Upravte položku "Komu:" a klikněte na "Odeslat".

*Microsoft Outlook 2000 a vyšší: stejné jako u Outlooku 97, jenom místo menu "Nástroje" použijte menu "Akce"

*Microsoft Outlook Express: nejspíš neumí znovu poslat zprávu

*Mozilla Thunderbird: sama o sobě neumí poslat znovu zprávu, ale můžete ji to naučit nainstalováním redirect pluginu [http://mailredirect.mozdev.org/ mailredirect]

*Mutt: vyberte zprávu a použijte příkaz bounce stisknutím klávesy "b"

*Netscape Communicator 4.x a 7.x: nejspíš neumí znovu poslat zprávu

*OS/X Mail.app: otevřete nebo vyberte zprávu, vyberte menu "Message" a vyberte "Bounce to sender" nebo "Redirect"

*Pegasus Mail: klikněte na "Forward" a vyberte "Forward the messages without editing (redirect, or bounce)"

*Sylpheed: klikněte na zprávu, vyberte menu "Message", vyberte "Redirect", vyplňte položku "To:" a odešlete.

*TheBat!: vyberte zprávu, stiskněte klávesy Ctrl+F6, vyplňte položku To:, odešlete

Čím víc budete Spamassassin vzdělávat, tím úspěšnější bude při rozpoznávání spamu.

==Lokální emaily na Charonovi==

Uživatelé vlastnící [http://charon.hkfree.org/shell.html shell konto] na Charonovi mají k dispozici emailovou adresu ve tvaru login@charon.hkfree.org. Emaily přicházející na tuto adresu je možné číst a vybírat přes imap a pop3. Login a heslo jsou stejné jako při přihlašování na Charona.

Pokud chcete číst lokální emaily přímo na Charonovi, musíte provést drobné úpravy v nastavení vašeho oblíbeného poštovního programu. Lokální schránky už totiž nejsou umístěny ve /var/mail/vas_login ve formátu mailbox, ale v ~/Maildir/ ve formátu maildir.

*mutt: spusťte mutt s parametrem -f ~/Maildir/, nebo přidejte do souboru ~/.muttrc tento řádek:
set spoolfile="$HOME/Maildir/"

*mailx: neumí pracovat se schránkami ve formátu maildir. Použijte program [http://nail.sf.net/ nail], který má podobné ovládání jako mailx (man 1 nail).

Emaily v HKfree

2004-12-21T21:54:29Z

10.107.3.77:

==Důležité adresy==

POP3: charon.hkfree.org (nebo pop3.hkfree.org)

IMAP: charon.hkfree.org (nebo imap.hkfree.org)

SMTP: charon.hkfree.org (nebo smtp.hkfree.org)

Doporučuji zapnout v poštovním klientovi používání ssl (šifrování) pro pop a imap. Podpora TLS pro smtp je v plánu...

Webmail je přístupný na adrese [http://webmail.hkfree.org/ http://webmail.hkfree.org/]

==Filtrování emailů==

Emaily přicházející do hkfree jsou kontrolovány na výskyt virů a spamu. Jako antivir je v hkfree zaměstnán [http://www.clamav.net/ clamav], o identifikaci spamu se pokouší [http://spamassassin.apache.org/ spamassassin] s pomocí programů [http://razor.sf.net/ razor] a [http://www.rhyolite.com/anti-spam/dcc/ dcc].
Pokud si antivir myslí, že email obsahuje virus, pouze příjemce varuje a email je přesto doručen. I antivir se může mýlit, takže zahazavat zavirované emaily automaticky by nebylo nejlepší řešení... Nemusím snad dodávat, že otevírat zavirovanou přílohu bez dodatečného otestování nebo vyléčení domácím antivirem není moc chytré...

Email je doručen také jedná-li se o spam. V tom případě je položka "X-Spam-Flag:" v hlavičce emailu nastavena na YES a do položky "Subject" je přidáno "*****SPAM*****". Je tedy možné viry a spam v poštovním klientu filtrovat do jiné složky, než ve které se nacházejí "nezávadné" emaily.

==Spamassassin==

Spamassassin používá analýzu textu (Bayes) jako jednu z metod rozpoznání spamu. Aby byl úspěšný, musí se hodně učit. Učí se ze zpráv, které se mu dostanou "pod ruku". Občas se ale splete a pak je dobré ho opravit. Jak praví známé přísloví, Spamassassin se chybami učí. Spamassassin může naštěstí udělat jen dvě chyby: buč označit korektní email jako spam, nebo označit spam jako korektní email. V prvním případě email přepošlete na adresu notspam@hkfree.org, ve druhém případě na adresu spam@hkfree.org. Bohužel Spamassassinu nestačí obyčejné přeposlání zprávy (forwardování), protože se tak zničí spousta důležitých informací uložených v hlavičce emailu. Jak správně vzdělávat Spamassassin pomocí běžných poštovních klientů je popsáno na následujících řádcích:

*Eudora: vyberte zprávu, jděte do menu "Message", vyberte "redirect", vyplňte adresu a odešlete

*Evolution: vyberte zprávu, jděte do menu "Akce", vyberte podmenu "Přeposlat jako", vyberte "Přesměrovat", vyplňte adresu a odešlete

*KMail: ve verzi 1.6 a pozdější je potřeba nejdříve zkopírovat zprávu do složky "odeslané" a pak vybrat "Poslat znovu..." z menu "Zpráva"

*Lotus Notes: nejspíš neumí znovu poslat zprávu

*Microsoft Outlook 97: dvojitě klikněte na zprávu, takže se otevře v novém okně. Klikněte na "Nástroje", "Přeposlat tuto zprávu". Objeví se varování, že nejste původní odesilatel zprávy. Klikněte na OK. Objeví se okno zprávy. Upravte položku "Komu:" a klikněte na "Odeslat".

*Microsoft Outlook 2000 a vyšší: stejné jako u Outlooku 97, jenom místo menu "Nástroje" použijte menu "Akce"

*Microsoft Outlook Express: nejspíš neumí znovu poslat zprávu

*Mozilla Thunderbird: sama o sobě neumí poslat znovu zprávu, ale můžete ji to naučit nainstalováním redirect pluginu [http://mailredirect.mozdev.org/ mailredirect]

*Mutt: vyberte zprávu a použijte příkaz bounce stisknutím klávesy "b"

*Netscape Communicator 4.x a 7.x: nejspíš neumí znovu poslat zprávu

*OS/X Mail.app: otevřete nebo vyberte zprávu, vyberte menu "Message" a vyberte "Bounce to sender" nebo "Redirect"

*Pegasus Mail: klikněte na "Forward" a vyberte "Forward the messages without editing (redirect, or bounce)"

*Sylpheed: klikněte na zprávu, vyberte menu "Message", vyberte "Redirect", vyplňte položku "To:" a odešlete.

Čím víc budete Spamassassin vzdělávat, tím úspěšnější bude při rozpoznávání spamu.