邮件防伪造

背景:电子邮件是最古老的互联网协议之一,今天看来有很多漏洞可钻,尤其是伪造邮件的问题,在标准协议中无解。因此 IETF 补充了几个协议 RFC 6376、RFC 7208、RFC 7489 用于邮件防伪。

注意:这些防伪都是发件方保护自己邮件的,因此都需要收件方支持相关功能。

假设发信域是 example.com

DKIM、SPF、DMARC

DKIM

DKIM (DomainKeys Identified Mail) 是对邮件内容的保护,保证邮件内容在传输过程中没有被篡改,原理:

  1. 在发件服务器端设置一个私钥,发邮件时结合邮件内容计算出一个数字签名附在邮件头中,类似这样:“DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;…”
  2. 设置一个 TXT 记录, tag._domainkey.example.com ,内容包含相关的公钥,类似这样: “v=DKIM1; k=rsa; p=MIGfMA…”,tag 在 DKIM-Signature 中声明
  3. 收件服务器收到邮件后根据 邮件内容 + DKIM-Signature 计算出校验值,跟 公钥 进行比对。 如果不符,说明邮件在传输过程中被篡改,不再可信了。

继续阅读“邮件防伪造”

lastpass firefox 淘宝 自动填写

Firefox 的 lastpass 插件总是不能自动填充淘宝,发现点填充时有个报错

Not filling because tld mismatch between https://g.alicdn.com/alilog/oneplus/blk.html#coid=......&noid= and taobao.com,taobao.com,tmall.com,alimama.com,1688.com

在 Lastpass 保险库的等效域名里添加一项:

taobao.com, tmall.com, alimama.com, 1688.com, alicdn.com

就可以自动填写了

微软账号隐藏链接

微软账号功能很强大,系统、生活、办公方方面面都涉及到了。
可似乎又太强大了,超出了网站维护人员的能力,很多功能链接都没有列出,在此记录一下,遇到一个记一个。

你已授予访问权限的应用和服务 Apps and services you’ve given access
https://account.live.com/consent/Manage

BitLocker 恢复密钥 BitLocker recovery keys
https://account.microsoft.com/devices/recoverykey

Office 绑定序列号
https://setup.office.com

win10关机慢,要安全还是要方便?

一直不怎么关机,Win10的关机时间也没注意。最近几次下班前点更新并关机后竟然要三四分钟才关机,实在是闹心坏了。上网搜了了一下大多数都说把关闭服务的等待时间改成1000,感觉这个不太对。
最后发现,Win10 出于安全考虑,默认关机清空虚拟内存,这就难怪了……16G的文件,确实要搞上几分钟,开机应该也会受影响,不过没那么明显罢了。
从安全角度讲关机清空虚拟内存没毛病,关键现在内存都8G起,关个机好几分钟,有那么点影响体验,况且开启 Bitlocker 就不用清空了,也不判断一下,还是不够智能啊。
修改下面的项就行了:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
ClearPageFileAtShutdown 0

Win10 + Thunderbird雷鸟 总是提示 默认客户端 的解决

最近重装系统,安装 Thunderbird 45.5 出现了问题,每次启动都会弹框“系统集成”,要求设置默认客户端,不管是在 系统设置 和 控制面板里 设置了默认客户端,还是去掉“启动 Thunderbird 时总是进行此项检查”的勾选,都没有效果,每次启动都会弹出这个提示,很烦人。
这似乎是 45.5 版本引入的一个Bug,反正 50.0b3 也被影响了。
解决方法是进入 工具 >选项 >高级 >常规 >配置编辑器,修改 mail.winsearch.firstRunDone 的值为 true。

或者下载最新的 release 版本 45.6.0 (官网还没更新链接)。

Linode + CentOS7 + Kernel4.9 + TBP-BBR

Linode定制内核不能开BBR,自己装的内核默认不能加载,记录下CentOS7升级内核、加装grub2、配置启动的过程:

装elrepo编译好的最新内核和grub2
rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
rpm -Uvh http://www.elrepo.org/elrepo-release-7.0-2.el7.elrepo.noarch.rpm
yum --enablerepo=elrepo-kernel install kernel-ml grub2

修改 /etc/default/grub
# vim /etc/default/grub
GRUB_TIMEOUT=2
GRUB_CMDLINE_LINUX="console=ttyS0,19200n8"
GRUB_DISABLE_LINUX_UUID=true
GRUB_SERIAL_COMMAND="serial --speed=19200 --unit=0 --word=8 --parity=no --stop=1"
GRUB_TERMINAL=serial

生成grub配置文件
grub2-mkconfig -o /boot/grub2/grub.cfg
ln -s /boot/grub2/grub.cfg /boot/grub/grub.cfg

访问 https://manager.linode.com/linodes 进入相关Linode,点击 Edit

Kernel 选择 “GRUB 2”

在 Dashboard 中重启。

 

如果要通过 Lish via SSH 查看启动状态,需要访问 https://manager.linode.com/profile/lish 在 Lish Keys 添加一个SSH Key 。

顺利重启的话就可以继续开启BBR了:
su 到 root 用户
# echo fq > /proc/sys/net/core/default_qdisc
# echo bbr > /proc/sys/net/ipv4/tcp_congestion_control

至此已开启了BBR,可以使用以下命令关闭 BBR 查看效果。
# echo cubic >/proc/sys/net/ipv4/tcp_congestion_control

觉得满意的话编辑 /etc/sysctl.d/99-sysctl.conf 在最后添加两行固化新的内核参数:
net.core.default_qdisc=fq
net.ipv4.tcp_congestion_control=bbr

不测试直接编辑 /etc/sysctl.d/99-sysctl.conf 后执行
sysctl -p
也可以。

extmail自动添加目录

通过LDAP方式验证的extmail不能自动添加用户的文件夹,要改下源码才行

编辑 extmail/libs/Ext/Storage/Maildir.pm

在89行左右(定义了$CFG{path}参数之后,chdir(untaint($CFG{path}))之前)添加代码

 

克隆 ssh 连接

SecureCRT有个很好用的功能:Clone Session,这个功能的好处在于复用 ssh 连接,要求 Security token 的登录不用每次找 token 输入密码了。

不过,OSX、Linux之类原生ssh的,为了这么个功能还装个图形 ssh 客户端?成本未免高了点。

既然 SecureCRT 只是个客户端,这个功能肯定得是 ssh 本身就支持的,只不过默认没打开。

方法:

在 ~/.ssh/config 里添加几行:

Host * #对所有服务器生效,或者 name1.domain name2.domain,不需要的不加可以节省资源。
ControlMaster auto #开启 session 复用,值可以是yes和ask,不过都不是我们需要的。
ControlPath ~/.ssh/ssh-%r@%h:%p #指定控制文件,%r 用户名 %h 机器名 %p 端口号。建议都加上,具体的前缀和连接符随意。
ControlPersist yes #这个就是比 SecureCRT 强大的地方了,保留连接,除了yes还可以指定保留 s|S 秒 m|M分钟 h|H小时 d|D天 w|W周,默认是秒。

 

Outlook不加入域记住Exchange密码

我的Windows一直没加入域,每次打开Outlook登录Exchange邮箱都要输入密码,昨天终于忍不了决定解决这个问题了。

http://social.microsoft.com/Forums/zh-CN/exchangeserverzhchs/thread/08690fab-bf3a-4b38-a3a8-5edc1e8f8915#8

根据这个说明,在“控制面板”- “用户帐户和家庭安全” 下的 “凭据管理器”里找到Exchange所在的机器域名,编辑,把用户名改成 domainname\username 的形式,搞定。