mail stop в адресе

Login or register (free and only takes a few minutes) to participate in this question.

You will also have access to many other tools and opportunities designed for those who have language-related jobs (or are passionate about them). Participation is free and the site has a strict confidentiality policy.

Источник

Никогда не проверяйте e-mail адреса по стандартам RFC

Множество сайтов требуют от пользователя ввода адреса электронной почты, и мы, как крутые и щепетильные разработчики, всегда стремимся проверять формат введенных адресов строго по стандартам RFC. Благодаря этому наши приложения и сайты проверяют формат e-mail корректно и не имеют проблем с юзабилити, а мы сладко спим, потому что уверены, что все работает как надо.
Ага, как бы не так!
Приведенные выше аргументы звучат круто и железобетонно, но проблема здесь заключается в том, что в адресе почты могут находиться совершенно бессмысленные вещи, и, на деле, проверка адресов по стандартам RFC может, наоборот, все жутко запутать.
Почему так? Существует множество способов сформировать адрес почты, который будет одновременно и корректным и бредовым. Отчасти это происходит из-за того, что некоторые почтовые службы в целях обратной совместимости позволяют представлять адреса в форматах, которые давно устарели. Например это электронная почта существовавшая до появления DNS и до появления современного формата user@domain.tld: тогда использовались UUCP ”bang path” — адреса, которые представляли собой список всех узлов по маршруту ответственных за доставку.

Внутренности адреса почты

Адрес e-mail выглядит так:

Тут mailbox может быть локальным аккаунтом пользователя, аккаунтом роли или маршрутизатором автоматизированной системы такой, например, как список рассылки, а в качестве hostname может быть использован любой узел, если о нем известно DNS-серверу, к которому обращается почтовик при доставке.
Кроме того, некоторые системы позволяют добавлять теги к адресу. Обычно это происходит в формате:

где тег и разделитель (обычно это «+», но qmail использует «-» по-умолчанию, хотя может быть сконфигурирован и иначе) игнорируются при доставке. Обычно это используется для фильтрации почты по папкам и автоматизации, но может быть использовано и для разделения введенных адресов по получателям и выявления злоупотреблений персональными данными.
Итак, в адресе в формате «mailbox@hostname», «mailbox» является пользовательским аккаунтом, приложением или аккаунтом системной роли, но может содержать и такие экстравагантные вещи, как информацию для дальнейшей маршрутизации или идентификаторы используемые для сортировки, автоматизации или отслеживания, а «hostname» — обычно доменное имя, но может являться и субдоменом, сервером, сервисом, ip-адресом или просто именем хоста.

Корректные имена ящика с точки зрения RFC

Специцификация одобряет довольно странные адреса, и было бы накладно поддерживать их все потому, что некоторые слишком сложны, и не слишком много людей обладают достаточными знаниями чтобы выделывать такие пируэты в нейминге. Поддержка таких адресов затруднит поддержку таких аккаунтов вашими сотрудниками, к тому же они почти никогда не используются в быту.
Ящик может содержать пробелы. Насколько я помню, доинтернетовский AOL разрешал пробелы в «Imya Polzovatelya», которые использовались еще и как почтовые ящики с вырезанными оттуда пробелами: «imyapolzovatelya@aol.com», однако ж согласно RFC вы можете использовать двойные кавычки вокруг ящиков содержащих пробелы:

Кстати говоря, по этой логике, ящик содержащий всего лишь пробел корректен:

А вот еще один корректный адрес, он создан из допустимых для адреса символов:

Кстати, проверяйте апострофы, апострофы должны поддерживаться:

Апострофы не должны закавычиваться или эскейпиться, но когда вы сохраняете такие адреса в базу или передаете еще куда-то, убедитесь, что всё чики-пуки.
В Википедии есть еще куча примеров.
Нужна ли полная совместимость с RFC? Вам выбирать, но я не советую — пробелы и нестандартные символы в адресе довольно необычная штука и чаще всего являются просто опечаткой. Крупные e-mail провайдеры не разрешают использовать это примерно по тем же причинам; таким образом обычно достаточно дозволять буквы, цифры, точки, подчеркивания, дефисы, апострофы и плюсы.

Регистрозависимые адреса

Согласно RFC уникальность адреса определяется его регистрозависимой уникальностью, однако 99,9% провайдеров считают иначе и не позволяют регистрировать VasyaPetrov@example.com, если vasyapetrov@example.com уже зарегистрирован. Считайте, что имя почтового ящика регистронезависимо:

Небольшая кучка систем использует полную проверку регистра, позволяя лишь адрес Allen@example.com и отбрасывая входящую корреспондецию всех остальных АлЛеНоВ, однако это не работает на практике, поскольку пользователь не привык различать регистр в адресах почты.
Должны ли вы тут сохранять совместимость с RFC? Конвертируя адреса в нижний регистр перед сохранением вы можете доставить проблем небольшому количеству пользователей (вы не сможете посылать им письма), но отослав миллионы e-mail я столкнулся с этим всего несколько раз.
Конвертация в адреса в нижний регистр является неплохой идеей в плане нормализации данных, так как домен всегда регистронезависим и должен быть в нижнем регистре. Если же вы решите сохранять адрес так, как он введен, добавьте поле, в котором будет хранить каноническую версию.

Нестандартные символы

Gmail тут отличился: в то время как стандарт включает в себя точку как стандартный символ, Gmail не делает различий между адресами ящиков с точками и без. Эти адреса указывают на один и тот же почтовый ящик:

Обратите внимание, что Google Apps позволяет использовать Gmail на любом домене.
Основная проблема здесь заключается в поиске адреса в базе в том виде, в котором он был изначально введен, что может доставить немало геморроя как пользователю, так и службе поддержки, а также и программистам с тестировщиками. Тут то вам и пригодится вторая, канонiческая форма адреса, но об этом позже.

Расширенная форма названия ящиков с использованием тегов.

Но нужно ли вычищать теги из адреса ящика?
НЕТ! Будьте дружелюбны к своим пользователям, и пользователи проникнутся верой, что вы не осуществите хищение и сбыт их персональных данных с целью наживы. Даже если вы пытаетесь запретить регистрацию дополнительных аккаунтов с существующим ящиком, представьте себе, насколько просто в наше время тупо зарегистрировать еще один ящик чтобы снова зарегистрироваться у вас — не сложнее создания алиаса или папки(но об алиасах, папках и тегах, наоборот, мало кто знает).
Итак, еще раз. Создание второй, канонической, формы сохранения адреса в базе может неплохо прикрыть вашу за вас в случае неприятностей. Убедитесь, что вы ликвидировали из нее все теги, точки и т. д. и можете сравнивать с ней свежевведенные адреса.

Юникод и интернационализированные имена ящиков

Доменные имена

У почтовых доменов те же самые ограничения как и в HTTP: они регистронезависимые, так что их следует нормализовывать в нижний регистр.

Поддомены

Некоторые адреса содержат ненужные поддомены: например, «email.msn.com» и «msn.com» являются одним и тем же почтовым доменом, кроме того, такие истории часто случаются в корпоративной среде (и это еще один хороший кандидат для каноникализации).

Интернационализированные домены (IDN )

IDN были созданы для того чтобы использовать местные символы Юникода в названиях доменов, кроме того, возможно создать домен и со специальными символами:

этот классно описывает круговорот воды в природе.
Как и HTTP, SMTP поддерживает лишь 7-битную кодировку, и для того чтобы справиться с этим несчастьем IDN конвертируются в Punycode, что позволяет имени домена конвертироваться в представление Юникод и обратно:

Очень жаль, но существует возможность фишинга при использовании IDN. Юникод содержит несколько разных экземпляров некоторых символов ASCII. Это позволяет злоумышленнику создать сайт, название которого выглядит точно также как и оригинал из-за того, что некоторые символы в названии совпадают внешне, но не внутренне.
Это порождает несколько вопросов на которые следует ответить:
Должны ли мы дозволять IDN-адреса? Можем ли мы обеспечить саппорт пользователей службой поддержки (откуда у саппорта, например, клавиатуры с китайскими иероглифами?) Должны ли мы сохранять их в Юникоде или Punycode? Если мы сохраняем каноничные адреса, то в какой кодировке это делать? Поддерживает ли вообще наш почтовик (MTA) IDN, и в какой форме он ждет адреса при отправке писем?

IP Address syntax

Использование IP-адресов допустимо:

Однако такие адреса выглядят подозрительно, и вряд ли им стоит доверять.

Временные почтовые адреса

Существует множество сервисов, которые предоставляют пользователям временные почтовые адреса. Обычно это используется для анонимности или для того чтобы регистрироваться на недоверенных сайтах.
Даже такие сервисы как Hotmail и Yahoo предоставляют алиасы, которые могут быть использованы примерно тем же способом, то есть уничтожены через некоторое время. Не существует единой техники выявления таких адресов — в конце концов именно для этого они и предназначены. Они используют большущий набор доменных имен с постоянной ротацией для того чтобы быть на шаг впереди тех, кто пытается пресечь их деятельность.

Источник

Почтовый сервер

Настройка почтового сервера
В наше время этим никого не удивишь, но возможно кому-то статья будет полезна
К почтовой системе предъявлялись следующие требования:

Начнем:
ось: Ubuntu 20.04.1 LTS
Шифрация файловой системы /data — Veracrypt
MTA: Postfix + postscreen + postgrey + opendkim
IMAP: Dovecot
SSL сертификаты: certbot
Доступ web: Nginx + Roundcube
Ограничения от китайцев и других «друзей» жаждущих ssh: GeoIP iptables
За перебором паролей присматривает: fail2ban

С интернета с внешнего IP адреса пробрасываются несколько TCP портов:
TCP 80 nginx для обеспечения работы certbot
TCP 443 nginx для roundcube и web доступа к почте
TCP 465 postfix для отправки почты с почтового агента на телефоне
TCP 993 dovecot для доступа почтового агента на телефоне

Информации много, свел все в разделы, в окончании раздела эта штука [END] подскажет что читаемый раздел закончился.

Базовая настройка выполняется довольно просто

В проекте использовался veracrypt, установить его на базовую ось несложно, останавливаться на этом не буду. Почтовый сервер работает на esx, при перезагрузке почтового сервера или просто при включении, базовая операционная система на почтовом сервере должна подняться, все модули ОС должны запустится, но почтовый функционал должен быть недоступен, до входа оператора (или администратора) и монтирование файловой системы с обязательным вводом пароля от файловой системы.
Два диска, один sda для системы, второй sdb для veracrypt

Создаем fdisk на sdb партицию sdb1

Создаем каталог /usr/local/veracrypt в нем создаем несколько файлов

Создаем пользователя и отключаем ему доступ через SSH, для обеспечения безопастности

Создаем сценарии монтирования раздела, перезапуска прикладной части:

Добавим в sudoers, чтоб пользователь data мог после входа, монтировать раздел и перезапускать службы

На этом настройка veracrypt вроде окончана, для примера листинг монитирования:

Как в наше время без SSL, а если быть точнее без TLS 1.1 или 1.2
Сертификат будет один, на один адрес и им будут пользоватся несколько служб:

Настроим nginx для certbot

Сертификат на 3 месяца, для обновления сертификата добавим в планировщик:

Создадим исполняемый файл /etc/letsencrypt/certbot-renew.sh

Должны появится три файла:
/etc/letsencrypt/live/mail.хххх.ru/fullchain.pem
/etc/letsencrypt/live/mail.хххх.ru/privkey.pem
/etc/letsencrypt/live/mail.хххх.ru/fullchain.pem
На этом думаю настройка certbot заканчивается
[END]

Нравится он мне в настройке, безопастный, несложный в настройке, гибкий

Проверьте у себя если нужно подправьте

smtpd_sender_login_maps = ldap:/data/etc/postfix/ad_sender_login.cf
Почтовая система при отправке письма, ищет в AD объект objectClass=user, после чего проверяет добавлен ли он в группу безопастности в AD CN=MailUserGroup,OU=Groups,OU=хххх,DC=хххх,DC=ru, далее ищет либо по доменному имени sAMAccountName=%u либо по почте mail=%s
Если находит пользователя по почте или по его доменному имени, письмо принимается к доставке, если не находит — футболит

Тест по имени пользователя в AD
Например пользователь user1 ( почта у пользователя user_email1@хххх.ru )

Тест по электронке пользователя в AD
Например пользователь user1 ( почта у пользователя user_email1@хххх.ru )

virtual_mailbox_maps = ldap:/data/etc/postfix/ad_local_recipients.cf
Почтовая система производит поиск электронной почты в AD по атрибутам mail=%s или otherMailbox=%u@%d при этом учетка пользователя не должена быть заблокирована sAMAccountType=805306368

Например пользователь user1 ( почта у пользователя user_email1@хххх.ru )
Если существует:

Если не существует почты

virtual_alias_maps = ldap:/data/etc/postfix/ad_mail_groups.cf, ldap:/data/etc/postfix/ad_virtual_alias_maps.cf
Почта которая должна доставлятся локально либо через наследования через AD группу ad_mail_groups.cf либо напрямую пользователю ad_virtual_alias_maps.cf

Например группа в AD veeam_backup в атрибутах добавлена почта veeam_backup@хххх.ru и добавлены два пользователя user1 и user2
user1 ( почта у пользователя user_email1@хххх.ru )
user2 ( почта у пользователя user_email2@хххх.ru )

Sender Policy Framework, SPF (инфраструктура политики отправителя) — расширение для протокола отправки электронной почты через SMTP. SPF определен в RFC 7208. Благодаря SPF можно проверить, не подделан ли домен отправителя.
В файле /data/etc/postfix/main.cf строка

В файле mcedit /data/etc/postfix/master.cf

Нужно убедится что файл /usr/sbin/postfix-policyd-spf-perl запускается и никаких ошибок не выдает, например так:

этого достаточно чтоб spf заработал

Postgrey хорошая штука
В файле /data/etc/postfix/main.cf строка

Postgrey настраивается очень просто:

Смотрим со стороны открытых сетевых портов:

Ну хорошо, если служба работает и порт открыт, значит postgrey будет применятся при попытке отправить сообщения на почтовый сервер.

DomainKeys Identified Mail — метод E-mail аутентификации, разработанный для обнаружения подделывания сообщений, пересылаемых по email. Метод дает возможность получателю проверить, что письмо действительно было отправлено с заявленного домена. DKIM упрощает борьбу с поддельными адресами отправителей, которые часто используются в фишинговых письмах и в почтовом спаме.

Необходимо создать TXT-записи следующего вида в DNS зоне:

Добавляем в /etc/postfix/main.cf если не добавлен:

перезапускаем postfix и opendkim:
root@mail:

# /etc/init.d/opendkim restart
root@mail:

# /etc/init.d/postfix restart
root@mail:

# echo «Test mapping» | sendmail user_email1@хххх.ru

В конфигурации main.cf, есть упоминания об

Это есть ничто иное как передача полученных и проверенных сообщений в dovecot для их сохранение в mailbox пользователя
[END]

Dovecot мы будем использовать для хранения почты пользователей и доступа по IMAPS
Конфигурации в каталоге /data/etc/dovecot/
Почтовые ящики пользователей в каталоге /data/mail/
Логи лежат тут /data/var/log/

Скопом привожу все конфигурации, для удобства

Тестирование порта IMAPS

Просмотр активных подключений

Очень удобно
Можно разрешить или запретить доступ к примеру к SSH на основании привязке к стране

Скачиваем https://github.com/mschmitt/GeoLite2xtables
Архив /data/_install/geoip/GeoLite2xtables.zip разорхивируем

Вносим свой ключ в файл
/data/_install/geoip/GeoLite2xtables-master/geolite2.license.example
Переименовываем файл geolite2.license.example в geolite2.license

Правило должно заработать:

Если что то не срослось, значит что то сделано не верно при конвертации, у меня тоже не спервого раза получилось, читал гуглил, работал напильником и наждачкой:

Конфиг nginx.conf приводил ранее, пришло время привести конфигурацию roundcube

Конструкция вида:
allow…
auth_basic «web»;
auth_basic_user_file /data/etc/nginx/webmail_htpasswd;

allow… обеспечивает доступ к web roundcube внутри компании, конечно почтовая авторизация внутри roundcube никуда не делась и это нормально.

Если обратится с публичной сети интернет на web сервер, то, до стандартного приглашения от roundcube, nginx выдаст вначале запрос с требованием auth_basic авторизации.
Если тот, кто пришел знает логин/пароль от auth_basic, он его вводит и nginx открывает доступ к roundcube, и почтовой авторизации.
Такая двойная авторизация позволяет уберечься от атак на возможные уязвимости в roundcube с интернета и задержать недоброжилателей еще на стадии auth_basic.

В файле /data/etc/nginx/webmail_htpasswd хранится одна пара логина и пароля, и наверно, как Вы дагадались эту пару знают все работающие коллеги кто обратился с вопросом, а как войти в почту со своего ноутбука или домашнего ПК. Небезопастно что один логин/пароль для auth_basic, возможно, но в тоже время авторизация auth_basic это простая учетка и простой пароль из нескольких цифр, и больше формальность, которая все же эффективно работает, а за динамикой неверного ввода логина и пароля следит fail2ban и блокирует нерадивых хацкеров кто пытается подобрать.
В тоже время никто не мешает разослать заранее всем работающим коллегам новый пароль от этой учетки и затем сменить одним движением, в период скажем раз в полгода или год.

Настроить roundcube не сложно, описывать тут как скачать архив, разложить его и настроить один конфиг не вижу смысла.

А как же пользователи заходят с телефона, просто, на Play Маркете понравился почтовый клиент TypeApp, довольно просто настроить, нет назойливой рекламы, нет неожиданностей вроде отправки почты или логинов/паролей на левые узлы.

TypeApp для входящей почты:
Почта user_email1@хххх.ru
Пароль
Сервер IMAP mail.хххх.ru
Безопастность SSL/TLS (проверка сертификата)
Аутентификация PLAIN
Порт 993

TypeApp для исходящей почты:
SMTP сервер mail.хххх.ru
Безопастность SSL/TLS (проверка сертификата)
Порт 465
Требуется авторизация — крыжик стоит
Аутентификация AUTOMATIC
Почта user_email1@хххх.ru
Пароль

Пользуемся TypeApp уже полгода вроде нормально
[END]

Не плохой получился инстанс
Работает шустро, перебор паролей к службам dovecot, nginx, postfix и ssh — fail2ban вовремя присекает + GeoIP iptables хорошее подспорье блокирует все левых желающих халявки

Источник

Вам также может понравиться

Ставка в одну к одному: смысл и значение выражения

Выражение «сто к одному» является привычным

Компромисс и согласие: Расшифровка выражения ‘стерпится-слюбится’

Выражение «стерпится-слюбится» является популярным

Анализ выражения стать поперек горла

Выражение «стать поперек горла»

Что значит выражение cтановиться на задние лапки

Выражение «становиться на задние лапки»