Записки IT специалиста

Лендинг на основе описания бизнеса За 15 минут создадим лендинг на основе описания бизнеса. Сэкономить время на... Узнать больше #реклама bibanin-v-digital.clients.site О рекламодателе

Еще раз про «соединения» WireGuard Очень часто от коллег, да и в материалах в сети можно встретить упоминания о «соединениях», «подключениях» или «переподключениях» относительно WireGuard, что создает неправильное и искаженное восприятие происходящих процессов. Это сильно мешает пониманию работы протокола, отладке и поиску неисправностей. Поэтому давайте разберемся как работает WireGuard на самом деле. Протокол изначально разрабатывался с прицелом на простоту и эффективность, поэтому он делает одно дело, но делает его хорошо – а именно устанавливает защищенный туннель между двумя узлами. Туннель WireGuard относится к туннелям без сохранения состояния (stateless), так же, как и туннели GRE или IP-IP. Это означает, что он не запоминает предыдущего состояния и не имеет никакого представления о состоянии противоположного узла. Тем более, что в качестве транспорта используется UDP – транспортный протокол без подтверждения доставки. В момент запуска службы WireGuard читает конфигурационные файлы и создает туннельные интерфейсы, если конфигурация не содержит ошибок, то интерфейс переходит в состояние Активен (UP) вне зависимости от состояние противоположной стороны. И это произойдет даже в том случае, если противоположный узел выключен или недоступен. Косвенно о работе туннеля можно судить по времени с последнего рукопожатия (handshake), однако это очень и очень косвенный признак. Например, при блокировках данного протокола у операторов связи рукопожатия могут проходить, но сам трафик в туннеле не ходит, но сам интерфейс будет показывать вам что все отлично и с точки зрения WireGuard это действительно так. Его задача получить пакет, попадающий под одно из правил криптографической маршрутизации (не путать с маршрутизацией пакетов L3), зашифровать нужным ключом и отправить противоположному узлу (peer). А дойдет пакет или не дойдет локальный экземпляр WireGuard не волнует, у него все хорошо, он работает. Точно также и с входящими пакетами, если пакет подпадает под правила – расшифровываем, нет – отбрасываем. Погодите, погодите, а как же «WireGuard-сервер», адрес которого мы указываем в настройках «клиента»? Мы не даром взяли эти термины в кавычки, на самом деле их использование некорректно. Все узлы WireGuard равнозначны и самодостаточны. Тот узел, который инициирует подключение называется инициатором, тот, который его принимает – ответчиком или респондером. Один и тот же узел может быть и ответчиком и респондером одновременно. Но классического соединения в понимании сеанса связи не устанавливается. Инициатор и ответчик выполняют рукопожатие, формируют общий ключ и забывают друг о друге. Затем, получив пакет попадающий под правила криптографической маршрутизации узел проверяет срок действия ключа, при необходимости выполняет повторное рукопожатие и формирование нового ключа и отправляет пакет противоположному узлу, после чего полностью забывает про него. Получили ответ хорошо, нет – тоже хорошо. WireGuard это не волнует, эти вопросы должно решать сетевое ПО, которое использует туннель. А как же опция persistent-keepalive? Но она также никак не связана с «поддержанием» соединения. Ее задача совсем в ином. Если инициатор находится за NAT, то при первом обращении к ответчику в брандмауэре создается установленное соединение (ESTABLISHED) и формируются таблицы трансляции NAT. Если после этого в туннеле не было активности, то соединение в брандмауэре будет закрыто по истечению таймаута, также будет очищена таблица трансляции и все входящие пакеты от ответчика будут отброшены, также ответчик не сможет инициировать новое рукопожатие. Внешне это будет выглядеть как отвал пира инициатора со стороны ответчика. При первом же пакете от инициатора к ответчику связь снова будет восстановлена. Для сохранения состояния брандмауэра и таблиц трансляции WireGuard может отправлять ответчику нулевой пакет через промежуток времени указанный в опции persistent-keepalive.

Вебинар 10.06.2026: про быстрый запуск ИИ-моделей в прод Приглашаем ИТ-специалистов, ML-инженеров и всех, кто внедряет ИИ в компаниях! Запуск ИИ-моделей может превратиться в головную боль: нужно собирать стек, нанимать DevOps/ML-инженеров, вручную управлять серверами с GPU и переплачивать за простой. А мониторинг показывает только «железо», но не поведение самой модели как сервиса. На вебинаре расскажем про готовую среду для запуска моделей — Inference Platform, чтобы вы могли перейти от настройки инфраструктуры к использованию моделей. Вы узнаете: • Как использовать ваши модели без DevOps инженеров • Как экономично работать с переменной нагрузкой • Как запускать большие модели для агентских сценариев • Как разработчик AI-ассистента развертывает модели и масштабирует ресурсы без простоя Приходите! Смотреть #реклама 16+ rt-dc.mts-link.ru О рекламодателе

Бренды Очень часто в обсуждениях железа можно встретить категоричные заявления – мол только бренд NAME и больше ничего, потому что они … далее сами подставьте список достоинств, а остальные… точно также подставляем список недостатков. Я и сам когда-то давно был таким и предпочитал видеть в своем домашнем ПК продукты именно определенного бренда, ну или нескольких. Работа на сисадминских должностях в обычных фирмах тоже только лишь укрепляла в этом мнении и покупать даже на работу я старался продукцию любимого бренда, хотя это и было дороже. Но я считал, что покупаю надежность и стабильность бренда в пику разному дешману. Все изменилось, когда я пошел работать в компьютерную фирму, в те времена в провинции работали в основном под заказ и по приходу машины из Москвы все, от мала до велика, невзирая на основную специальность, становились на сборку. В те годы основной сборкой была материнская плата Acorp на 478 сокете и Celeron 1.7 ГГц на ней. Платка была бюджетная и, мягко скажем, убогонькая. Не блистала ни возможностями расширения, ни производительностью. Но отличалась вполне приличным качеством, гарантийных случаев с ней было не много. Это был хит продаж, мы собирали их десятками и уже сразу могли сказать, если что-то шло не так. А вот брендовых сборок было немного, а когда они были, то я стремился взять их себе, мол это же бренд. Коллеги посмеивались и ничего не имели против. И очень скоро пришло первое разочарование, брендовые и, следовательно, более дорогие платы ничего нового не показывали, работали они примерно также как бюджетный Acorp и ничем таким не выделялись. Зато добавляли заморочки при сборке и настройке. Там могли быть нестандартные пин-панели, нестандартные наборы DIP переключателей, нестандартные режимы памяти. Все это было интересно, но требовало времени и пока ты собирал одну сборку, твой коллега успевал скрутить полторы или две. А оплата труда шла сдельная. Попутно с этим приходило понимание, что в масс-сегменте бренды не способны предложить ничего принципиально нового, все тоже самое, только дороже. И когда меня знакомые начинали спрашивать, а что бы нам купить для учебы или в офис, то я отвечал Acorp + Celeron 1.7. Недорого и сердито. Надежность на уровне, а в случае чего сразу можно поменять по месту, возили этих плат много, запас всегда был. В тоже время брендовые материнки для замены уходили в Москву и человек вынужден был ждать две недели. Кто-то сейчас скажет, мол автор ничего не понимает и любая, даже недорогая плата бренда лучше означенного Acorp так как может поддерживать более новое, более быстрое, лучше работает в каких-либо режимах и т.д. и т.п. Да, все это так. Но кому это нужно? Обычный пользователь ПК он и слов таких не знает. Ему нужно включить и работать: писать реферат, слушать музыку, убирать красные глаза с фоточек или считать бухгалтерию. Работает? Не глючит? И хорошо. Максимум, что потом сделают с этим ПК – это поменяют диск или добавят память. А цена часто становится одним из важнейших факторов. Другое дело если вы энтузиаст, любите поковыряться с железом, покупаете топовые комплектующие, тогда да – ваш выбор бренды, причем бренды первого эшелона и их топовые линейки. Там много всего интересного, но вы должны прекрасно понимать для чего и зачем вы платите те деньги, которые за них просят. И что вы потом со всеми этими гигагерцами и гигабайтами будете делать. А становиться в позицию, что в линейные офисные станции закупаем только SSD Samsung – это глупость и снобизм, а также необоснованный расход средств работодателя. Так как можно спокойно взять немного более медленные, но гораздо более дешевые Kingston или ADATA. С надежностью у которых дела обстоят ничуть не хуже. А провалы, скажем так, потому что на язык просилось совсем другое слово, бывают у всех. В свое время IBM, признанный лидер рынка жестких дисков, эпично сел в лужу со своими DTLA. Относительно недавно Samsung выпустил крайне неудачную серию пятисоток 870 EVO. Поэтому – не создаем кумиров, а просто работаем с тем, что недорого и доступно.

80% инцидентов, с которыми работает Лаборатория цифровой криминалистики F6, — атаки с использованием шифровальщиков. Это один из самых разрушительных сценариев для бизнеса, поэтому важно своевременно начать процесс реагирования и восстановления. От того, насколько быстро и грамотно вы отреагируете, зависят: — масштаб ущерба — скорость восстановления — сохранность цифровых улик — юридические и репутационные последствия ❗️ Эффективность реагирования на подобные инциденты во многом зависит от организационной и технической работы, проведенной до атаки. А попытки исправить ситуацию самостоятельно почти всегда делают только хуже. Специалисты Лаборатории F6 составили алгоритм действий: как подготовиться заранее и что делать, если атака уже произошла. Читать гайд → #реклама О рекламодателе

Своя почта, что говорит статистика?   Обсуждать достоинства и недостатки того или иного способа хостинга почты можно бесконечно, приводя самые различные доводы и контрдоводы. Но лучше всего обратиться к статистике, которая беспристрастно покажет текущий расклад и тенденции.   Такая статистика существует и основана она на реальном анализе интернет-трафика, мы будем опираться на академическое исследование IMC 2025 (Internet Measurement Conference). В его рамках были проанализированы реальные пути прохождения почтового трафика и собрана статистика по используемой участниками переписке инфраструктуре.   Статистика распределилась следующим образом:   🔹 Облака и публичные сервисы: 82,7% всех писем полностью используют облачные инфраструктуры 🔹Полный самохостинг: 14,3% писем отправляются и принимаются через полностью собственные сервера доменов 🔹Гибридные схемы: 3,0% писем   👉 Однако исследователи отдельно выявили некоторые региональные феномены, так, например, в России и Беларуси около 30% почтовых путей являются самохостинговыми.   При этом общий тренд показывает отход от самостоятельного хостинга в пользу облаков и публичных сервисов, так по сравнению с исследованием IMC 2021 доля доменов использующих самохостинг почты снизилось с 11,7% до 7,9%.   Также интересна статистика распределения аккаунтов по типам. Потребительская почта (аккаунты на публичных серверах, не имеющие собственного домена) составляют 74-75% от общего числа почтовых аккаунтов, но более 80% трафика генерируют не они, а корпоративные аккаунты.   Теперь перейдем к распределению трафика по типам бизнес-пользователей, данная часть отчета основана на маркетинговых исследованиях и в основном отражает ситуацию на общемировом/западном рынке.   🔸 Малый бизнес – практически 100% использование облачных сервисов, причем львиная доля использует именно потребительские аккаунты. Мотивация тут проста – содержание собственного сервера обходится дорого. И речь тут не только о прямых затратах, а о совокупной стоимости владения.   🔸 Средний бизнес – основная опора самохостинга, количество собственных серверов в этом сегменте находится на уровне 32% и принадлежит компаниям, имеющим штат IT от 5 человек и более.   Здесь складывается достаточно интересная картина, бизнес уже вырос до состояния позволяющего самостоятельно поддерживать сложные инфраструктуры, но все еще неустойчив финансово. Поэтому покупка облачных решений на выросшее количество пользователей может стать серьезной расходной статьей бюджета.   Поэтому самохостинг почты для многих выглядит достаточно привлекательно, но почта пока не входит в стратегически важный инструмент и допускает перебои в предоставлении услуг.   🔸 Крупный бизнес – с дальнейшим ростом снова все меняется, и почта из отдельной службы превращается в целый департамент с собственной инфраструктурой, которая требует значительных затрат на поддержку и обеспечение высокой доступности.   К этому добавляются различные требования регуляторов, например, в области защиты персональных данных, финансовой информации и т.д. и т.п. Это требует дополнительной экспертизы, аудита и сертификации. Крупные облачные провайдеры имеют сертифицированные услуги разом снимая с бизнеса этот пласт проблем.   А в последнее время собственная почта стала сильным тормозом цифровой трансформации и технологического развития в основном связанным с внедрением ИИ. Согласно данным AWS использование ИИ бизнесом выросло с 55% в 2023 году до 78% в 2025.   Крупные провайдеры сейчас предлагают ИИ бесплатно, в рамках существующих тарифных планов, в то время как самостоятельное внедрение его в собственные системы требует привлечения серьезных инвестиций.   👉 Таким образом ситуация сегодня такова ,что малый бизнес преимущественно поголовно сидит на публичной пользовательской почте, а крупный давно мигрировал в корпоративные облака. А основной нишей самохостинга был и остается средний бизнес или специфические ниши, требующие именно собственного контроля над почтой.

🔥Приглашаем на открытый вебинар курса "Архитектор 1С". Пройдите регистрацию, чтобы не пропустить. Участие бесплатно. 📌 О чём поговорим: — Зачем нужны правила проекта 1С для эффективной работы ИИ — Актуальные ИИ-инструменты и MCP-серверы для 1С-разработки в 2026 году — Карта практических сценариев: поиск по метаданным, анализ кода, работа с BSL, GitHub, 1С:Напарник и автотесты — Как собрать собственный ИИ-контур вокруг 1С-проекта: что подключать в первую очередь, что опционально, а что пока рискованно 🎯 В результате вебинара вы получите: — Чёткое понимание, зачем нужны правила проекта для ИИ — Актуальную карту ИИ-инструментов и MCP-серверов 2026 года — Практическую основу для внедрения ИИ в свою разработку — Понимание последовательности подключения инструментов с минимальными рисками 👉 Регистрация открыта https://tglink.io/31fb040c4d613c?erid=2W5zFGbxFTF #реклама О рекламодателе

И снова про свою почту В комментариях к нашей заметке про проблемы самохостинга почты были высказаны несколько мнений, начиная от «вы просто не умеете» до «ну ничего сложного и нерешаемого там нет». И мы, в общем и целом, с ними согласны. Проблемы поднять свою почту сейчас нет, есть куча продуктов, в том числе абсолютно бесплатных, которые буквально за 15 минут поднимут вам готовый почтовый сервер. Причем он будет сделан технически грамотно и, если вы также грамотно настроите все остальное, что у вас будет идеальный почтовый сервер… в вакууме. Почему? Потому что ваш сервер будет вынужден функционировать с другими почтовыми серверами, в т.ч. с крупными почтовыми хостингами. А это высшая лига, где свои правила, т.е. все почтовые сервера равны, но некоторые равнее. Это как раз про них, доставка почты с этих серверов априори доверенная, как на другие крупные хостинги, так и на мелкие частные сервера, которые используют сторонние базы антиспама. Да, там может быть контроль по содержимому и т.д., но такое письмо уже по факту отправителя получает положительные баллы. А со своим сервером все наоборот, адрес, с которого раньше не посылалась почта автоматически получает отрицательные баллы и его нужно прогревать письмами, которые ни в коей мере не похожи на спам. Если ваш адрес входит в пул адресов для выдачи обычным пользователям (не хостинги и датацентры), то вы сразу получаете еще больше отрицательных баллов, потому что у обычных пользователей почтовых серверов быть не должно. Но даже если вы раскачали свой адрес, и он теперь считается валидным, то все могут испортить соседи, если из вашей подсети зараженные машины обычных пользователей начали слать спам, то в блок попадет целая подсеть, если не вся AS. Ходи потом, рассказывай, что ты не верблюд. Постойте, скажет иной читатель, но это же обычные технические проблемы, которые должен уметь решать и умеет любой администратор почтовых систем. Все решаемо, зачем сгущать краски. А затем, что почта для бизнеса является основным и максимально критичным каналом коммуникаций. Хотя бы даже потому, что почтовая переписка принимается судами как юридически значимая, в отличие от переписки в мессенджерах. И проблемы с доставкой или приемом могут нести очень серьезные последствия, такие как срывы сроков, сорвавшиеся сделки, пропуск сроков давности и т.д. Но вся беда заключается в том, что о таких проблемах невозможно узнать, читая логи, о них вам не сообщит система мониторинга и вы будете пребывать в блаженной уверенности, что все хорошо до тех пор, пока не произойдет событие, связанное с недоставкой. О том, что поставщик перестал получать ваши письма вы узнаете уже после того, как письмо было отправлено, но не доставлено. И это произойдет не сразу, а только при выходе за рамки бизнес-процессов. Скажем менеджер скинул заявку в пятницу, сроки поставки вторник-среда. Поэтому до этих пор никто и не почешется. А все начнется примерно в среду, когда поставщику зададут вопрос: а чего вы вчера ничего не привезли, не успели, сегодня привезете? А поставщик честно скажет, что заявки не было. Как не было? Почему? Мы отсылали! Пока проблема дойдет до IT-отдела пройдет еще половина дня. Еще сколько-то времени понадобиться на разбор ситуации. Но письмо должно было быть доставлено еще в пятницу, а еще вчера торговая точка должна была получить товар. Но ничего этого не случилось и проблемы не только на почтовом сервере, проблемы у всего бизнеса – нарушилась цепочка поставки. Бизнес стоит без товара, несет убытки. И что толку от того, что админы завтра разберутся и все уладят? Проблемы уже возникли и принесли реальный материальный ущерб. И хорошо, если вы просто отделались малой кровью, потому что там мог быть и важный контракт и переписка с контролирующими органами, да и просто ваши маркетологи запустили очередную акцию. Да, вы разобрались, связались, настроили, подстроили и снова все как часы, но бизнес уже раз обжегся и посматривает на вас и вашу почту косо.

Яндекс Музыка до 360 дней бесплатно Яндекс Музыка для вас и 3-х ваших близких. Кинопоиск и Яндекс Книги тоже в подписке. Попробуйте бесплатно❤️ Слушать #реклама 18+ music.yandex.ru О рекламодателе

Я хочу все сделать технически правильно, но мой работодатель препятствует этому С подобной ситуацией сталкиваются многие коллеги, особенно молодые и искренне недоумевают почему так происходит. Почему бизнес не хочет делать правильно, а требует костылей, полумер и половинчатых решений. Мол работает и хорошо, а когда перестанет – вот тогда и подумаем. Обычно в этой ситуации винят руководство, которое представляется жадным и недалеким, плюс ничего не смыслящем в IT-технологиях. Но на самом деле все обстоит по-другому, просто надо посмотреть на ситуацию с другой стороны. Стороны бизнеса, который оперирует совсем иными понятиями. Цель любого бизнеса – заработать деньги, а вовсе не сделать все красиво и правильно. Поэтому любой бизнес будет стремиться увеличить прибыль и уменьшить издержки. IT-отдел – это сугубо расходная статья любого бизнеса, прибыли он не приносит. Поэтому, как и любые другие расходные статьи, он будет финансироваться по принципу оптимального минимума. Как определяется этот минимум? Далеко не техническими показателями, о них руководство может ничего не знать, да и не обязано. А финансовыми. Грубо говоря, если проблема решается деньгами, то это не проблема, а расходы. Размер расходов, которые фирма может себе одноразово позволить руководству известен. Как правило он коррелируется с операционной прибылью. Т.е. общей выручкой за вычетом постоянных расходов. Чем выше этот показатель, тем больше средств фирма может выделить на то, чтобы залить проблему деньгами. И это вполне нормальная практика. Потому что когда с одной стороны стоят некоторые расходы здесь и сейчас, а с другой возможная проблема где-то там, которая может быть, а может не быть, то включается простой финансовый расчет. Вот приходит администратор и говорит, что нужно сделать то, то и это. Все это, несомненно правильно и грамотно. Согласно лучшим практикам и рекомендациям. А руководство его и спрашивает, что будет, если мы это не сделаем? Админ отвечает, мол то и это, такой-то простой или такая-то потеря данных, ну и прочие негативные факторы. Следующий вопрос: а какая вероятность этого события. Как часто вообще у нас такое происходило и происходит? Дальше берется калькулятор и считается количество денег, которые потеряет фирма в результате наступления события, либо какое количество денег понадобится чтобы устранить последствия. Если эта цифра сравнима с тем, что требуется выделить здесь и сейчас или выше ее, то бизнес деньги выделит. Если же ниже, либо вероятность такого события крайне низка, то в финансировании будет отказано. Кроме того, есть ряд событий, которые несут угрозу, но вкладывать средства в защиту от них одного только IT не имеет смысла. Вот приходит админ просить деньги на новые бесперебойники. Сразу вопрос, а зачем? Ответ, чтобы час тянули, а не 15 минут как сейчас. Бизнес при этом смотрит шире, и задает встречный вопрос: а зачем нам нужно чтобы сервера работали час, если у нас все рабочие места выключатся через 15 минут? В результате денег на это, конечно же не дадут. Потому что просто расход в никуда, не несущий для бизнеса практического смысла. Можно, конечно, нагнать жути и финансирование выбить. Но может так случиться, что указанное событие возьмет и произойдет. И при этом выяснится, что на самом деле все не так уж и страшно, а денег в свое время было выделено неоправданно много. Возможно, конкретных оргвыводов и не последует, но денег вам больше не дадут или будут делить ваши запросы на некий известный только им коэффициент. А еще хуже, если средства выделили, событие произошло, но отработать так как было заявлено вы его не смогли. Тут уже точно будут и оргвыводы, и неудобные вопросы по поводу того, на что и как были потрачены деньги. Поэтому, во многих случаях, лучше не бежать с техническими решениями впереди паровоза, т.е. реальных потребностей бизнеса, а трезво оценивать ситуацию, в том числе и с финансовой стороны, что позволит избежать множества недоразумений и конфликтных ситуаций

Пора отходить от парадигмы «мы неинтересны хакерам». Вопрос уже не в самом факте атаки, а в том, насколько бизнес готов к последствиям утечки данных, простоя или компрометации критичных систем. В F6 рассматривают оценку рисков ИБ не как формальность для аудита, а как инструмент принятия решений: какие угрозы действительно актуальны для компании, какие сценарии атак наиболее вероятны и куда стоит инвестировать в первую очередь. В материале «Процедура оценки рисков ИБ» специалисты F6 разобрали, почему классические подходы часто дают субъективную картину рисков и как data-driven подход помогает сфокусироваться на реально опасных сценариях атак. Для CISO, владельцев бизнеса и риск-менеджеров. Скачайте white paper или поделитесь ссылкой с коллегой → #реклама О рекламодателе

Своя почта, проблемы очевидные и не очень Снова о своей почте, точнее повторимся, для охлаждения горячих голов. О возможных проблемах, связанных с содержанием своего почтового сервера. Почта – это сложная и комплексная система, предусматривающая взаимодействие множества разных компонентов, что требует от обслуживающего его администратора определенной квалификации, либо затрат на квалифицированное внешнее сопровождение. Почта очень критична к настройкам DNS и многие записи напрямую отвечают за то, как ваш почтовый сервер будут видеть получатели и насколько высокий уровень проверки на спам получит ваше письмо. Поэтому вам или понадобится DNS-хостинг или потребуется развернуть службу DNS-собственными силами. Отдельный вопрос – если вы хотите развернуть почту не на хостинге, на собственных мощностях, здесь вы можете столкнуться с ситуацией, когда диапазон адресов вашего провайдера, из которого он выдаст вам адреса будет находиться в «домашнем» диапазоне и этот диапазон будет в различных списках антиспам-фильтров. Если не вдаваться в подробности, то если диапазон входит в пул для выдачи частным пользователям, то считается, что почтовых серверов там быть не должно и вся исходящая оттуда почта сразу получает один из признаков спама. Если вы попали на такой адрес, то узнаете о нем только тогда (если сразу не догадались проверить), когда ваши письма не будут доходить до некоторых адресатов. Это решаемо, но требует времени и понимания что делать. И это мы еще даже сервер не разворачивали, а уже получили определенный набор проблем и сложностей. Далее, сам сервер. Если вы не специалист в области почты, то сразу забудьте про ручные сборки Postfix + Dovecot + какой-нибудь веб-интерфейс. Это не почта, это зачаток почты. Современная почта требует шифрования, подписи DKIM, антивируса и антиспама. Оно конечно можно настроить все вручную, но сколько это займет времени и сколько времени уйдет на наладку? Тем более что почта – это как правило критичный сервис и основной рабочий инструмент. Поэтому здесь проще взять одну из готовых сборок и в этом случае вы получите гарантированно рабочую конфигурацию без грубых ошибок и неоптимальных настроек. Поставили, настроили, можно выдохнуть? Нет, рано. Начинаем со всеми любимого спама. С ним придется работать и по первым порам работать много. Потому как если система пропускает много спама – это плохо, срабатывает на обычные письма – тоже плохо. И ваша задача будет найти золотую середину между этих двух зол. Возможно, что вам придется для этих целей использовать отдельный продукт – пограничный почтовый шлюз, например, от Proxmox. Это позволит вывести борьбу со спамом на новый уровень, но потребует дополнительных затрат на инфраструктуру. После того, как решили вопрос со спамом начнется другая, не менее «увлекательная» эпопея с гарантированной доставкой писем. Чаще всего такая проблема возникает с другими частными серверами, где местные админы могут накрутить весьма причудливые конфигурации антиспама. И хорошо если он сразу и безоговорочно будет отсекать ваши письма, в этом случае проблема будет замечена сразу. Куда хуже, если ваше письмо получает на их сервере какое-то близкое к пограничному значение баллов антиспама. И шаг вправо, шаг влево – важное письмо не дошло, но одновременно было доставлена куча неважных. На эту проблему наслаивается и низкая квалификации админов, для которых почта – черный ящик и они не могут ни нормально отследить ваше письмо и сказать какой именно фильтр на него сработал, ни нормально настроить свою систему, которая базируется на находках из интернет, чаще всего скомпилированных из разных источников. Ну и не забываем про бекапы. Которые тоже нужно где-то хранить и хранить надежно. Что снова выдвигает требования к инфраструктуре. А так как почта – критичный сервис, то сразу вспоминаем про модель резервного копирования 3-2-1. Поэтому, размышляя о собственном почтовом сервере всегда нужно иметь ввиду указанные сложности и соотносить их с ценой готового решения в облаке.

Получи грант до 1,35 млн руб. на обучение в магистратуре Хочешь развиваться в сфере ИТ и получить фундаментальные знания с практикой? Поступай в магистратуру Центрального университета! — 4 офлайн программы по востребованным направлениям ИТ — 2 онлайн-программы: машинное обучение и продуктовый менеджмент — 550 грантов до 75% — Вечерние занятия и учеба по выходным — удобно совмещать с работой — Обучение по модели STEM-образования: на стыке науки, технологий и бизнеса — Возможность стажировок и трудоустройства в ведущих компаниях — Государственный диплом за 2 года Магистратура в Центральном университете — это современный подход к образованию, сильный преподавательский состав и актуальные кейсы от индустрии. Оставляй заявку на грант уже сейчас! Зарегистрироваться #реклама 16+ cu.ru О рекламодателе

Надо больше золота, больше, еще больше!!! Яндекс продолжает крутить гайки. Ну а куда вы с подводной лодки денетесь в текущих условиях? Ждем пока подтянется Mail.ru/VK, они сейчас могут красиво сыграть от противного, но в условиях отсутствия фактической конкуренции, сразу после набора пользовательской массы, может произойти все тоже самое. Какие варианты? Да особо никаких, или платим, благо не сильно дорого, или поднимаем что-то свое и не факт, что это выйдет проще и дешевле.

760+ млн строк данных пользователей утекло в 2025 году — данные F6 Пока топ-менеджмент в Петербурге обсуждает стратегии, злоумышленники не берут паузу. Регулярные утечки ПДн — это не только возможный штраф до 500 млн ₽ по статье 13.11 КоАП РФ, но и репутационный удар, после которого партнеры и инвесторы начинают задавать неудобные вопросы. Большинство компаний узнают о проблемах с защитой ПДн слишком поздно: — на плановой проверке регулятора; — после инцидента с утечкой; — когда партнер запрашивает подтверждение соответствия. ❗️Выстроить систему заранее всегда дешевле, чем разбираться с последствиями. Консультанты F6 помогают найти, где реально есть пробелы: аудит процессов, модель угроз, документация, обучение команды. Оставьте заявку — разберем вашу ситуацию и покажем, где риски. #реклама О рекламодателе

Проблема истечения срока действия корневых сертификатов Secure Boot   Уже сейчас в технических кругах разгоняется хайп  и всякого рода страшилки об истечении срока действия корневых сертификатов Secure Boot, которые были выпущены Microsoft в 2011 году и истекают в 20 числах июня  2026 года.   Давайте начнем по порядку, основной вопрос – а причем тут Microsoft и как это должно касаться меня, если я не использую продукты этой компании.   Вернемся немного в историю, технология Secure Boot блокирует любой загрузчик, если он не подписан подписью, для которой у системы есть цепочка доверия. Для этого в UEFI загружаются корневые сертификаты производителя ПО.    С выходом Windows 8 и Server 2012 Secure Boot стал обязательным и Microsoft продавила производителей на то, что для получения статуса «совместимо с Windows» они должны обязательно разместить ключи их CA в своих UEFI.   А что же Linux? В силу фрагментации и небольшой рыночной доли заинтересованности производителей включать в прошивку ключи Linux не было, да и попробуй включи все 100500 дистрибутивов.   В итоге сообщество пошло другим путем, был разработан промежуточный загрузчик Shim (дословно – прокладка), он был проверен и подписан ключом Third-Party UEFI CA Microsoft.   Теперь при старте системы UEFI видел подписанный Shim и не блокировал его загрузку, а дальше управление передавалось родному загрузчику Linux.   Таким образом Microsoft стал практически монопольным CA для Secure Boot. Первые сертификаты были выпущены в 2011 году и истекают в июне 2026, новые сертификаты выпущены в 2023 и будут работать до 2038 года.   Что будет, если вы их не обновите? Ничего страшного, система продолжит работать как ни в чем не бывало, потому что применяется мягкая проверка подписи. Если загрузчик подписан истекшим ключом до окончания его срока действия, то такая подпись продолжает считаться действительной.   Но вот загрузиться с новым загрузчиком, который подписан подписью 2023 года на такой системе не получится, ну или придется отключить Secure Boot, что резко снизит безопасность системы.   Для пользователей Windows сильно переживать нечего, обновления с новыми ключами получат все пользователи Windows 11, а также Windows 10 22H2, все LTSC начиная с 2019 и, неожиданно, старая 1604.   Windows Server получит обновления начиная с 2016 и новее, для пользователей Server 2012 обновления доступны только по программе ESU.   Но даже если вы используете неподдерживаемую версию Windows, вы всегда можете вручную обновить BIOS, если производитель вашей системы выпустил прошивку с новыми сертификатами.   В Linux все сложнее, возможность обновить сертификаты в прошивке имеют далеко не все, их список ограничивается ведущими дистрибутивами, сотрудничающими с Microsoft, в их число входят Ubuntu 22.04/24.04+, RHEL 9+, Debian 12+ и некоторые другие.   В остальных случаях дистрибутивы могут обновить Shim, но для его поддержки вам придется прошить BIOS вручную.   Если же производитель не предоставляет обновлений прошивки и ваше ПО не получает обновлений, то вы можете всегда загрузить сертификаты Microsoft или собственные сертификаты вашего ПО через экран MOK (Machine Owner Key), который знаком всем пользователям Ventoy.   В целом какой-то критичной проблемы нет, но знать о ситуации с истечением срока корневых сертификатов Secure Boot нужно, равно как и трезво представлять все возможные проблемы и сложности.

Мужской жилет Prada – 16.000 ₽ STYLAR: брендовая одежда, обувь и аксессуары ✅ Премиальные бренды, которые ты знаешь — без лишних наценок и напрямую от поставщиков. Работаем уже более 5 лет! ⚡ Tom Ford, EA7, Burberry, Premiata, Moncler, Chrome Hearts, Loro Piana, Prada, Brunello Cucinelli, Hugo Boss, LV, Tommy Hilfiger, D&G, Polo Ralph Lauren, Hermes и др. 🚗 Доставка с примеркой по Москве, в другие города России и СНГ — быстро, надёжно и без задержек. 💰 Скидки до -80% в нашем дисконт Telegram-канале. ❤️ Тысячи моделей в наличии, новинки каждый день — без переплат и лишней суеты! Посмотреть каталог #реклама О рекламодателе

Извлечение контейнера ЭП из ESMART и JaCarta Как вытащить неэкспортируемый ключ из Рутокен знают даже дети. Отдельное спасибо говорим компании Контур за предоставленные инструменты. С другими моделями токенов все сложнее и если jaCarta – это редкий и исчезающий вид токенов, то ESMART встречается все чаще и чаще. Можно ли вытащить оттуда неэкспортируемый контейнер ключа? Можно, но с особенностями. Методику мы тут приводить не будем, она общеизвестна и легко находится. Вам обязательно понадобится для этого: Windows 7, некая DLL-библиотека и перловый скрипт. Ну и сопутствующее ПО, но там уже, понимая процесс, можете использовать что хотите и, как хотите. А вот сам процесс достаточно интересен, по факту это атака на протокол APDU по которому общаются между собой криптопровайдер, в нашем случае Крипто-Про и токен. А библиотека из набора – ничто иное как сниффер APDU-трафика и перехватывает любое общение криптопровайдера с токеном. Поэтому такие вещи нужно делать на отдельной изолированной машине и подальше от чужих глаз. Хотя сам процесс сборки контейнера из полученного дампа вы можете выполнять где угодно. Но тут, в отличие от метода с Рутокен есть очень неочевидные и неоднозначные вещи. Там мы использовали легальные инженерные утилиты производителя, а данная библиотека – по сути эскплойт, выполняющий атаку на уязвимости протокола APDU, о чем сам автор первоначальной методики (а не перепечаток) пишет открытым текстом. А дальше мы снова уходим из технической плоскости в юридическую. Прямого запрета копировать ЭП в 63‑ФЗ «Об электронной подписи», однако соглашаясь с выпуском подписи у УЦ ФНС вы в форме договора присоединения соглашаетесь с Регламентом УЦ, который прямо запрещает так делать. Скопировав ЭП, вы не совершаете уголовного преступления или административного правонарушения, за исключением случая, если вы несанкционированно скопируете чужую подпись – тут ч. 1 ст. 272 УК РФ. Все что вы нарушили – это гражданско-правовой договор с УЦ, за что УЦ имеет полное право эту подпись отозвать, на этом последствия для правомерного владельца подписи заканчиваются. А вот в случае с нашим методом, где мы выполняем атаку на APDU библиотека может легко и непринужденно быть оценена как вредоносная компьютерная программа и мы получаем уже ч.1 ст. 273 УК РФ, которая наказывает создание, распространение и использование такой информации. И накажут вас тут не за копирование ЭП, а именно за создание и использование, а если еще и заметку в блог тиснули – то и за распространение. Да, в сети хватает статей, хотя, по сути, это перепечатка одного и того же материала и вроде как никого не трогают, но раз в году и палка стреляет. А тот, кого тронули, скорее всего быстренько снесет свой сайт и не будет никому ничего рассказывать. Мораль тут будет простая: надо – делайте, способ рабочий. Но не афишируйте свою деятельность и не храните инструменты в открытом доступе.

Тёмный металл, грозные аккорды, власть ритма… ⚫️🌑🎻 готов сыграть с нуля уже через 15 минут? Переходи в каталог Пианико, активируй промокод PIANOSPRING и сыграй первую мелодию уже сегодня. Пианико - сервис для тех, кто умеет качать нейронные связи. #реклама О рекламодателе

Извлечение контейнера ЭП из ESMART и JaCarta Как вытащить неэкспортируемый ключ из Рутокен знают даже дети. Отдельное спасибо говорим компании Контур за предоставленные инструменты. С другими моделями токенов все сложнее и если jaCarta – это редкий и исчезающий вид токенов, то ESMART встречается все чаще и чаще. Можно ли вытащить оттуда неэкспортируемый контейнер ключа? Можно, но с особенностями. Методику мы тут приводить не будем, она общеизвестна и легко находится. Вам обязательно понадобится для этого: Windows 7, некая DLL-библиотека и перловый скрипт. Ну и сопутствующее ПО, но там уже, понимая процесс, можете использовать что хотите и, как хотите. А вот сам процесс достаточно интересен, по факту это атака на протокол APDU по которому общаются между собой криптопровайдер, в нашем случае Крипто-Про и токен. А библиотека из набора – ничто иное как сниффер APDU-трафика и перехватывает любое общение криптопровайдера с токеном. Поэтому такие вещи нужно делать на отдельной изолированной машине и подальше от чужих глаз. Хотя сам процесс сборки контейнера из полученного дампа вы можете выполнять где угодно. Но тут, в отличие от метода с Рутокен есть очень неочевидные и неоднозначные вещи. Там мы использовали легальные инженерные утилиты производителя, а данная библиотека – по сути эскплойт, выполняющий атаку на уязвимости протокола APDU, о чем сам автор первоначальной методики (а не перепечаток) пишет открытым текстом. А дальше мы снова уходим из технической плоскости в юридическую. Прямого запрета копировать ЭП в 63‑ФЗ «Об электронной подписи», однако соглашаясь с выпуском подписи у УЦ ФНС вы в форме договора присоединения соглашаетесь с Регламентом УЦ, который прямо запрещает так делать. Скопировав ЭП, вы не совершаете уголовного преступления или административного правонарушения, за исключением случая, если вы несанкционированно скопируете чужую подпись – тут ч. 1 ст. 272 УК РФ. Все что вы нарушили – это гражданско-правовой договор с УЦ, за что УЦ имеет полное право эту подпись отозвать, на этом последствия для правомерного владельца подписи заканчиваются. А вот в случае с нашим методом, где мы выполняем атаку на APDU библиотека может легко и непринужденно быть оценена как вредоносная компьютерная программа и мы получаем уже ч.1 ст. 273 УК РФ, которая наказывает создание, распространение и использование такой информации. И накажут вас тут не за копирование ЭП, а именно за создание и использование, а если еще и заметку в блог тиснули – то и за распространение. Да, в сети хватает статей, хотя, по сути, это перепечатка одного и того же материала и вроде как никого не трогают, но раз в году и палка стреляет. А тот, кого тронули, скорее всего быстренько снесет свой сайт и не будет никому ничего рассказывать. Мораль тут будет простая: надо – делайте, способ рабочий. Но не афишируйте свою деятельность и не храните инструменты в открытом доступе.