Archive

文章標籤 ‘smtp’

SSL/TLS verify after Heartbleed bug discovery

2014年4月15日 評論已關閉

自從上星期的Heartbleed事件, 更多人開始留意網絡加密的安全性。

雖然公司大部份服務器都是Windows,未會有HeartBleed 這類大問題產生。但普片SSL測試網站也包括了上年的NSA加密破解事件中提及的RC4/SSLv2/SSLv3 容易被破解的測試。

Cipher

在WIKI上找到的資料,3DES、DES、RC2、RC4 基本上可以定議為容易破解的加密算法,而SSLv2, SSLv3 協定基本上也需要停用。所以兩日前開始就對公司的Web Servers 及Mail Servers 再一次lockdown。

今次用了NARTAC SOFTWARE的IIS Crypto 1.4來修改Windows Registry
IIS Crypto

只要選Best Practices 就設定好 TLS 1.1/1.2開啟、SSLv2或以下關閉、RC4 128bit以下全關閉,以及修改次序以 TLS 1.2 優先 (要REBOOT才生效)

重啟服務器後再用CheckTLS 及SSLLAB網頁工具測試。

TLSSSL Report

但是昨日發生了問題, Mdaemon 寄信到幾個DOMAIN/ISP出現問題 (SSL negotiation failed, error code 0x80090326)

原來設定了Cipher Suite Order令到SMTP 寄出信件到TLS支援的服務器可能遇到 STARTTLS HANDSHAKE 不了。

最後解決方法是Cipher Suite Order 用返DEFAULT,但就令到Overall Raiting 得返A-。

A-

 

Links

Categories: 網絡, 軟件 Tags: , , , , ,

Email 到 yahoo.com 的問題

2010年3月23日 評論已關閉

繼上年YAHOO.COM.CN個Outdated Bogon BGP 事件, 同YAHOO的 technical support 交手以後. 今年又要面對 YAHOO.COM 的postmaster.

因為見到有幾封十幾MB的郵件在mail server loop 了很久,才發現 send 到 yahoo.com 經常發生drop connection 的問題.

大郵件發送到YAHOO.COM會無原因地被對方斷開。由於沒有 SMTP Status code*1,E Mail server 會即時重試另一MX*2。 YAHOO.COM 的DNS記錄總共有 8個 MX RECORD。如事者,一封20MB 的電郵每次會傳到YAHOO.COM 的 8個 MX IP,每個IP傳20MB資料。

我地Server 每半小時重試一次,24小時不能成功遞送才會放棄。

即是寄一封20MB的信件到YAHOO.COM會花了20MB x 8 x 2 x 24 = 7.68GB的bandwidth。平均全日0.7Mbps (7680MB * 8bit / 86400sec).

以Singtel 去海外每Mbps每月約$1,000計算, 一封信花了$1,000 * 0.7 / 30 = $23.

*1 Enhanced Mail System Status Codes - rfc3463
*2 MX = Mail Exchange - rfc1035
Categories: 網絡 Tags: , ,