Názory k článku Proč je Česko druhou zemí na světě, která nařizuje pro zabezpečení e-mailů zavést DANE?

DANE je krasna vec, ale provozovatele sluzeb naseho e-govermentu maji problem i se zakladnim nastavenim SMTP serveru. To co predvadi u notifikaci z datovych schranek je jednim slovem katastrofa a absence TLS na transportu je uz jen tresnicka na dortu.

Neodpovida FQDN (reverzy MTA), s DKIM podpisem se neztraci cas, SPF s ~all, samozrejme bez DMARC... jo, uz se tesim, az se zas nekde bude brecet, jak chodej podvrzeny maily s tim a onim... ale pro omezeni dlouhodobe znamych rizik se nedela vubec nic.

Zrovna nukib.cz na internet.nl hází chybu:

Failed : Mail server connection not or insufficiently secured (STARTTLS and DANE)

Tolik ke kázání vody.

Je to super počin a za toto zaslouží NÚKIB pochvalu.

Ještě by to chtělo osvětu třeba s CZ.NICem, aby toto zavedly i freemaily, aby to mělo pro většinu lidí smysl.

A palec nahoru za DANE!
MTA-STS je takový truc podnik Googlu, navic komplikovanější a méně bezpečný.

Pokud znate svou vlastni infrastrukturu a delate veci poradne, SPF -all vubec zadny problem neni. Samozrejme pokud se veci stavi u mnohych oblibenym systemem "nejak to osolichat a rychle jit od toho", problemy nastat muzou.

Tedy a že bych se zeptal, co to znamená pro koncového uživatele.

Ten potřebuje jediné, odeslat e-mail na zadanou adresu. Přičemž to mohou být i důležité věci (vůči úřadům, firmám a pod,). A vůbec si tedy nebude předem zjištovat jaké technické podmínky splňuje mail server příjemce.
Takže ten , namísto doručení dostane zpět, s nějakou časovou prodlevou chybovou zprávu "bla bla bla not found DANE)? To nevypadá moc optimisticky, když třeba kvůli tomu nedoručení mailu v platné době může platit i penále, nebo mít jiné škody?

Jo, to je presne ten pohled adminu, kteri nevidi dal, nez za svoji infrastrukuru a pak se divi, ze jsou maily od nich nedorucitlene. Resim to dcela casto.

CZNIC na to ma i kurz v ramci Akademie...
https://akademie.nic.cz/akademie/course/221/detail/

Mozna ten spravny cas vymenit DNS hosting... :-) Spousta poskytovatelu vam to da v cene sluzby.

Zkusil jsem Seznam, Gmail a Outlook. Seznam z testů vypadl nejlépe, ale stejně podporu DANE nemá.

Hazi to proto, ze mx2.cesnet.cz, ktery NUKIB pouziva pouziva slabe DH a nema preferovane poradi sifer.

To si uz holt budete muset vyridit s poskytovatelem vasich emailovych sluzeb. Nebo k odesilani vybrat jinou sluzbu, u ktere tyto problemy nebudou.

Tak a netrvalo to dlouho a mame tam...
Email test: nukib.cz The domain nukib.cz has a test score of 100%.

Dobrý den,

u některých by i stačilo, kdyby měli korektně nastavené DNS záznamy. Premiantem je cpost.cz kde mají volnou SPF politiku a pak chodí jejich jménem vesele PISHING i když by jej jinak mohl chytat SPF ... každá iniciativa, která zvedne bezpečnost je vítána ...

Pavel

Příklad (místo otazníku by mělo být minus):
cpost.cz. 0 IN TXT "v=spf1 mx include:spf.pro­tection.outlo­ok.com ?all"

To se již vůbec nezmiňuji o existenci DKIM a DMARC ... výše uvedené považuji za úplný základ ... měl jsem za to že česká pošta je státní podnik a že se na ni IT pravidla vztahují...

Ochranné opatření vydané NÚKIB nařizuje i zavedení těchto technologií (SPF, DKIM, DMARC).

Registratora od poskytovatele DNS sluzby je mozne oddelit. Hromada i .cz domen najdete na nameserverech Cloudflare. Chapu, administrativne jsou to dve smlouvy... ale ono hledani/ocekavani jedne genialni sluzby s vasimi pozadavky je ponekud komplikovany orisek (aneb u kazdeho me napada neco, co by vam v tom baliku mohlo chybet).

A nepomohlo by, kdyby freemaily zacaly do nezabezpecene prijatych mailu vkladat nejake varovani typu "Tento email nebyl prijat zabezpecenou cestou. Udaje v nem mohou byt pozmeneny ci podvrzeny utocniky. Problem byl se servery provider1.cz a provider2.com." Pak by mozna lidi zacali plasit a hlasit to jako bug, dokud by se vetsina provideru nedokopala to DANE zavest.

A co casto delaji uzivatele, kdyz na ne vyskoci takove varovani o neplatnem certifikatu? :-) Nebo co udelaji, kdyz na ne nekde vyskoci dialog "a opravdu chcete..."? Takovej mail proste nesmi vubec dojit, to jiny reseni nema, kdyz uz teda masivne pouzivame tak blbej protokol, co tyhle podvrhy umoznuje.

SPF ~all je v pořádku, naopak -all dělá víc problémů než užitku. Ale jinak souhlas.

A to je presne ten pohled "adminu", co plne nerozumi sve praci a spravuji servery metodou copy&paste :-)

Pro koncového uživatele to má tu výhodu, že komunikace je postě zabezpečená a nemůže ji jen tak nějakej šmírák číst. Takže komunikace na úřady, nemocnice apod. bude o něco víc soukromá.

Obecně to funguje tak, že DANE je volitelné. Tzn. pokud odesílatel i příjemce podporují DANE a je to správně nastavené, tak je komunikace zabezpešená.
Pokud DANE některá strana neumí, tak se odešle tak jako dosud.

Odeslání selže v momentě kdy je vše správně nastavené a selže ověření serveru.

Co jsem viděl tak Postfix i Exim se takhle chovaji standardně v doporučené konfiguraci.

Navic každý server by měl umět i emaily bez šifrování a neblokovat je.

Je tu jedna věc... Tak nějak tiše automaticky se předpokládá že se bavíme o doméně cz. (ano, u úřadů to asi je samozřejmost) Ale ti ostatní si DNSSEC těžko zařídí. Některý registrátor nezná v e svém ajaxovém editoru DNS záznamy jiné než txt,a,aaaa,mx,cname (kontra sshfp, tlsa,...). a nebo ani neumí možnost editovat dns přes api nebo ani únikovou cestu delegovat dns jinam

Nas DNS hosting chtel pred par lety za zapnuti DNSSEC asi 1500E rocne. Ze pry zvysene naroky na servery bo co.

Ochranné opatření vyžaduje i správné nastavení SPF: „Výchozí politika SPF musí být nastavena na soft fail (~all) nebo hard fail (-all).”

Bacha na id:caracho, to vas za tenhle nazor sezere :-)

A jaky konkretni duvod je mit nesifrovany transport u SMTP v roce 2022? :-) Argumentaci "proc ne" si dovolim pouzit podobnou jako v pripade HTTP.

Např. GoDaddy chce za DNSSec docela velkou platbu navíc.
Google Domains v Česku nefunguje, Cloudflare zase nenabízí CZ doménu (aspoň když jsem koukal naposledy), NameCh*** (detekce SPAMu) apod. mají zase jiné problémy. Regionální poskytovatelé nemívají API, nebo DNSSec podporují tak, že to moc důvěry nevzbuzuje.

Má někdo slušné doporučení pro českou firmu, kterého registrátora/ DNS hosting použít pro:
- CZ, DE, COM apod. domény
- má rozumné API na správ záznamů
- Podporuje i méně běžné záznamy a ten DNSSec
- má ideálně i rozumnou latenci a redundanci, aby lidi po světě nečekali na DNS
- nabízí služby i v Česku

Ideálně hardfail...

Není jednodušší provozovat vlastní server DNS?

Ano, mohl bych samozřejmě provozovat vlastní nameserver(y). Znamenalo by to ale provozovat nejméně dva další servery, kvůli redundanci. Zrovna DNS by mělo fakt šlapat, protože jinak nemusí dojít ani emaily...
No a latenci tím na druhé straně zeměkoule taky nepomůžu.