[00:37] <soyeomul> 안녕하세요~
[00:37] <soyeomul> 어부이날 다들 꽃 달아드렸는지요~
[00:38] <soyeomul> 전 큰딸이 핵교서 만든거 엄니께 오늘 아침 달아드렸네유
[00:38] <soyeomul> 큰딸에겐 할머니, 저에겐 어머니
[00:38] <soyeomul> 그라고 요즘은 어버이날 이런거 날짜 안맞추고 
[00:39] <soyeomul> 어버이날 근처 아무때나 고향 한번 찾아뵙고 어머니/아부지께 안부 여쭙는게 일반사
[00:39] <soyeomul> 같아유
[00:39] <soyeomul> 5월 8일이 바쁘면 5월 5일도 찾아뵙고 인사드리는거지유
[00:39] <soyeomul> 6일도 좋고요
[00:39] <soyeomul> 처가에도 큰딸이 맨든 카네이션 하나 전해드렸어유
[00:39] <soyeomul> 아이에겐 외할아버지, 저에겐 장인어른
[00:40] <soyeomul> 므 그렇게 살고 있어유~~~
[00:41] <soyeomul> 한달반 정도 투자해서 포워딩 전용 메일서버 만들었네유
[00:41] <soyeomul> https://gitlab.com/soyeomul/Gnus/-/tree/master/DKIM
[00:41] <soyeomul> 서버 설정파일들을 다 정리해서 올려놨어요
[00:42] <soyeomul> 메일링에 등록된 계정이 soyeomul@doraji.xyz 인데,,, 한 8군데 정도에서
[00:42] <soyeomul> 메일이 들어옵니다.
[00:42] <soyeomul> 그럼 그 받은 메일들을 soyeomul@gmail.com 으로 포워딩합니다
[00:42] <soyeomul> 이때 스팸메일들은 포워딩하면 안되기에, 자체 필터링을 하구요.
[00:43] <soyeomul> 정상메일들만 Gmail 서버로 보냅니다.
[00:43] <soyeomul> 보낼때는 아웃본드에서 마지막 절차로 반다시 dkim서명을 추가로 해줍니다.
[00:43] <soyeomul> d=doraji.xyz s=yw-1204-doraji-xyz
[00:43] <soyeomul> 어떤 의미냐...
[00:45] <soyeomul> 도라지에서 Gmail 당신쪽으로 포워딩되는 메일들은 도라지쪽에서 책임(보증)을 질테니 Gmail
[00:45] <soyeomul> 에선 그렇게 알고 포워딩 메일들을 받아주세요~
[00:45] <soyeomul> 라는건데요,,,
[00:45] <soyeomul> 이렇게 하는곳이 많이 없습니다.
[00:45] <soyeomul> 좀 위험부담이 있거등요
[00:45] <soyeomul> 자칫 포워딩 되는 메일에 스팸이 섞이면 낭패거등요
[00:45] <soyeomul> 그 위험부담을 줄이고자 스팸 필터링 수준을 엄청 높엿어요
[00:46] <soyeomul> yw-0919 가 inbound 서버인데.. 여기에 일단 접근하려면 반드시 tls 를 켜야지만 접근 가능합니다
[00:47] <soyeomul> 저 옵션 하나로 십만개의 메일서버중 구만개의 메일서버가 드랍됩니다...
[00:47] <soyeomul> 거의 90% 의 메일서버들이 tls 없이 통신하고 있는거 같더이다...
[00:48] <soyeomul> 그럼 그 10% 의 메일서버들중에서 또 FCRDNS 체크를 통과한 메일서버들만 또 받아들입니다.
[00:48] <soyeomul> 그 10% 중에서 또 90 % 가 걸러집니다...
[00:48] <soyeomul> FCRDNS 라 함은... 서버 ip가 1.1.1.1 이라 카면
[00:49] <soyeomul> 그 서버의 ptr 이 있어요 그 ptr 이 가령 one.one.one.one 이라 할때
[00:49] <soyeomul> one.one.one.one 을 또 dns 조회를  했을때 1.1.1.1 이 나왔을때 비로소 fcrdns 체크를 통과합니다.
[00:50] <soyeomul> 이런 서버가 10만개중에서 500여개 밖에 안됩니다.
[00:50] <soyeomul> 대략...
[00:50] <soyeomul> 500여개도 많네요 200여개...
[00:50] <soyeomul> 하여간 스팸 필터링 수준이 하도 높아서
[00:51] <soyeomul> 서버 로그가 깨끗합니다.
[00:51] <soyeomul> 그래서 순수 메일링리스트 서버들만 접근하여 메일을 yw-0919 로 전달합니다.
[00:52] <soyeomul> 참 옵션으로 dnswl dnsbl 두개도 접근 옵션에 추가했어요
[00:52] <soyeomul> 전자는 무조건 통과/ fcrdns 통과한 서버도 dnsbl 로 한번더 거릅니다
[00:52] <soyeomul> 필터링을 5단계로 하고 있네요
[00:53] <soyeomul> 최후로 통과한 메일들은 마지막 절차로 header_checks 로 rfc2822 점검을 합니다.
[00:53] <soyeomul> 어설픈 헤더가 발견되면 spam@yw-0919.doraji.xyz 로 리다이렉트 시킵니다.
[00:54] <soyeomul> 원래 목적지는 soyeomul+gcp@gmail.com 인데요 스팸필터링으로 걸러진 메일만 저 위의 spam@ 으로 보냅니다.
[00:54] <soyeomul> 주말이라 조용하네유
[00:54] <soyeomul> 커피 한잔 할께유~~~
[00:56] <soyeomul> 아 조위에 fcrdns 설명이 좀 헤깔리게 해놔서 다시 갑니다
[00:56] <soyeomul> 메일서버 ip 가 1.1.1.1 이라 가정하면,
[00:56] <soyeomul> 먼저 1.1.1.1 의 ptr 조회를 합니다. 없으면 바로 거절이거,
[00:57] <soyeomul> 있으면 그게 one.one.one.one 이라 할때...
[00:57] <soyeomul> one.one.one.one 을 다시 a 레코드 조회를 합니다.
[00:57] <soyeomul> 그게 1.1.1.1 이 나왔을때 fcrdns 체크 통과입니다.
[00:58] <soyeomul> 아따 말이 엄청 복잡하네유
[00:59] <soyeomul> 걍 하는말로 하면 아이피 ptr 이 있는디 시방 그 ptr 을 다시 조회했을때 처음의 ip 가 나와야
[00:59] <soyeomul> 한다는 거요
[00:59] <soyeomul> 실제 서버!
[00:59] <soyeomul> yw-0919.doraji.xyz 로 합시다. doraji.xyz 의 MX 입니다.
[01:00] <soyeomul> yw-0919 ip 조회를 하면 35.197.33.243 이 나옵니다.
[01:01] <soyeomul> 이 35.197.33.243 의 ptr 이 yw-0919.doraji.xyz 가 나오면 fcrdns 체크 통과입니다.
[01:01] <soyeomul> 243.33.197.35.in-addr.arpa domain name pointer yw-0919.doraji.xyz.
[01:01] <soyeomul>  
[01:02] <soyeomul> 저걸 통과할 수 있는 서버가 우리나라에선 전체 메일서버의 0.1 %
[01:02] <soyeomul> 일천대의 메일서버가 있다치면 1대 정도 비율만 통과...
[01:02] <soyeomul> 아니 그럼 소여물씨는 우리나라 메일서버랑은 통신 안하겠단 말인가요?
[01:04] <soyeomul> 그건 아니구요 걍 우짜다보이꺼네 그리되었는데... 소통이 필요하면 그땐 soyeomul@gmail.com 씁니다
[01:04] <soyeomul> doraji.xyz 는 진짜 메일링리스트 용도로만 쓰게 될거 같아유
[01:04] <soyeomul> 메일링리스트 구독.
[01:05] <soyeomul> 참 한메일/네이버 서버들은 fcrdns 확인해보니 통과했씁니다
[01:05] <soyeomul> 그리고 fcrdns 보다 더 수준 높은 필터링이 MTA-STS 입니다
[01:06] <soyeomul> MTA-STS 는 fcrdns + certificate 
[01:06] <soyeomul> certificate 에 그 호스트이름이 있자나유
[01:07] <soyeomul> 그 호스트이름과 fcrdns 호스트이름과 일치여부를 검증하는건데
[01:07] <soyeomul> 지금 mta-sts 통과하는 서버는 지구상에서 gmail 과 마이크로소프트 두 회사 밖에 없어유
[01:08] <soyeomul> 참 testing 모드로 doraj.xyz 는 현재 mta-sts 적용하여 운영중인데요
[01:08] <soyeomul> testing 모드로 쭈우우욱 갈거 같아요
[01:08] <soyeomul> enforce 하게되면 난리납니다
[01:08] <soyeomul> 한 노르웨이 메일서버 관리자가 
[01:09] <soyeomul> mta-sts 가 므길래 이리 난리냐하면서
[01:09] <soyeomul> 자기가 운영하는 서버에다 mta-sts enforce 를 했더니...
[01:09] <soyeomul> 아웃룩 메일서버가 어느날 자기 메일서버에서 오는 메일들을 다 거부하더래요
[01:10] <soyeomul> 그래서 원인분석했더니 mta-sts 체크 결과 certificate 중 하나가 셀프-싸인 이라서 
[01:10] <soyeomul> mta-sts 조건 만족 실패가 되어서
[01:10] <soyeomul> 그런 참사가 발생햇는데
[01:11] <soyeomul> 해당 메일서버 관리자는 다음번엔 mta-sts 는 안하게따고...
[01:11] <soyeomul> 학을 떼더랍니다... postfix 메일링에서 봤던글입니다
[01:12] <soyeomul> 그래서 우리나라 앞으로 화이또해커 10만 양병설이 살곰살곰 불을 지피는데
[01:12] <soyeomul> 혹여라도 그쪽에서 일하는 분들이 메일서버 보안에도 관심이 있으면 "MTA-STS" 를 반드시
[01:12] <soyeomul> 탐독하시고 테스트 해보셔야 할거에요
[01:12] <soyeomul> SPF 는 아니에요
[01:13] <soyeomul> spf 는 보안의 범주가 아니에요
[01:13] <soyeomul> spf 는 절대 아니에요 
[01:13] <soyeomul> 메일서버 보안 이야기하려면 기본은 dkim
[01:13] <soyeomul> 좀 앞서가는 보안전문가는 mta-sts 를 이야기할 수 있어야 합니다!
[01:15] <soyeomul> 그리고 스팸필터링을 다 통과한 메일들은 outbound 인 yw-1204 쪽으로 메일을 넘깁니다
[01:15] <soyeomul> 그 outbound 에서 dkim 서명을 하구요
[01:15] <soyeomul> 그리고 gmail 서버로 연결하여 메일을 넘겨줍니다.
[01:16] <soyeomul> gmail 로 연결할땐 tls_policy 가 verify 입니다.
[01:16] <soyeomul> 저 verify 가 mta-sts 검증을 요구하는건데요
[01:16] <soyeomul> mta-sts 수준의 점검을 통과하면 Gmail 서버가 확실하다는거지요
[01:17] <soyeomul> 하도 요즘 보안 보안 보안 피싱 피싱 피싱 이런 이야길 만이들 하기에
[01:17] <soyeomul> 메일서버 분야에선 무엇이 보안인가를 잠시 생각해봤어요~
[01:17] <soyeomul> 아직 우리나라엔 몇군데 빼고 안보입니다
[01:18] <soyeomul> 네이버와 카카오(다음)는 tls+certificate 까진 해놨어도 아직 mta-sts 도입은 안한거 같더이다...
[01:18] <soyeomul> testing 정도는 괜찮거등요
[01:18] <soyeomul> 구글에서 보고서 보내줍니다 매일매일
[01:19] <soyeomul> 만약 하게된다면 카카오보다 네이버가 먼저 할 거 같아보이더이다
[01:19] <soyeomul> 네이버는 dkim 을 현재 하고 있고 카카오는 dkim 없어요
[01:20] <soyeomul> 그리고 네이버는 자체 Root CA 가 되었자나요
[01:20] <soyeomul> 저도 최근 mta-sts 작업 하다가 알게된건데요
[01:20] <soyeomul> 네이버는 자체 Root CA 자격을 획득했어요
[01:20] <soyeomul> 언제 했는지는 모르겠는데...
[01:20] <soyeomul> 엄청난 사건이 분명합니다.
[01:21] <soyeomul> 네이버 개발자들도 모를거에요 자기 회사가 Root CA 자격 획득한거요
[01:22] <soyeomul> 아이고 커피나 한잔 더 해야것어유
[01:28] <soyeomul> 우분투 22.04 후기들 읽어보니...
[01:28] <soyeomul> 역시!
[01:28] <soyeomul> 여전히 xorg 랑 웨이랜드랑 갑론을박이 심하네요
[01:28] <soyeomul> 아이고 걍 싸그리 xorg 없애고 웨이랜드로 못박았음 좋겠는디
[01:29] <soyeomul> 24.04 쯤 되어야 이런 갑론을박 사라질지...
[01:30] <soyeomul> 크롬북에서 데비안 11 쓰는 제가 오히려 다행이라 생각해요
[01:30] <soyeomul> 후기들 보고 느낀점이
[01:30] <soyeomul> 그 이유가 있습니ㅏ
[01:30] <soyeomul> 크롬북에선 xorg 를 선택할 선택지가 없어요
[01:30] <soyeomul> 모든게 스택을 구글에서 새로 짰기에
[01:31] <soyeomul> 선택지는 Wayland 하나 밖에 없어요
[01:31] <soyeomul> 그리고 그 Wayland 엔진도 구글에서 만든거에용
[01:31] <soyeomul> 이름이 좀 길어요
[01:31] <soyeomul> SOMMELIER_VERSION=0.20
[01:31] <soyeomul>  
[01:32] <soyeomul> sommerier 이란 물건입니다 저게 구글 크롬북 웨이랜드 엔진이어용
[01:32] <soyeomul> 저위에서 데비안 GUI 돌립니다
[01:32] <soyeomul> 요 이맥스도 마찬가지구요
[01:33] <soyeomul> 그놈 터미날도 마찬가지구용
[01:33] <soyeomul> 그러니까 데비안 그놈 전체가 sommerier 위에서 돌아갑니다
[01:33] <soyeomul> 구글 개발자들 하여간 대단하고 무서븐 사람들
[02:17] <soyeomul> 엇
[02:17] <soyeomul> 아직 살아있네유
[02:17] <soyeomul> 저 이만 들어갑니다~
[02:17] <soyeomul> 모두다 존 주말요~~~
[02:17] <soyeomul> 꾸벅
[10:10] <soyeomul> 안녕하세요~
[11:05] <youngbin[m]> 안녕하세요
[11:25] <soyeomul> 엇
[11:26] <soyeomul> 회장님 안녕하세요~
[11:26] <youngbin[m]> 안녕하세요 :)
[11:26] <soyeomul> 우따 이만 들어갈시간인지라
[11:26] <soyeomul> 급하게 인사드립니다
[11:26] <soyeomul> 나중에 다시 접속할께요~
[11:26] <soyeomul> 꾸벅