• Как легализовать рассылку клиентам

    • Tutorial
    image

    Недавно мы разместили в свободном доступе бесплатный образец Пользовательского соглашения для сайта. Теперь хотим рассказать, как на его основе легализовать новостную рассылку пользователям.

    Каждый из нас сталкивается с проблемой СПАМа. Согласитесь, неприятно получать рассылку из неизвестных источников. С другой стороны, любой владелец сайта задавался вопросом, как донести сообщение до пользователя, минуя СПАМ-фильтры и корзину.

    Помимо этого рассылки пользователям могут нарушать законодательство. Отметим минимум две проблемы:

    1. Закон «О рекламе» запрещает распространение рекламы по сетям электросвязи, в том числе Интернет при отсутствии предварительного согласия абонента или адресата на получение рекламы (ч.1 ст.18 ФЗ-38).
    2. Закон «О персональных данных» требует получение согласия субъекта персональных данных на обработку его персональных данных и регистрацию в Роскомнадзоре в качестве оператора персональных данных (п.1 ч.1 ст.6 и ч.1 ст.22 ФЗ-152).

    Об ответственности за рассылку информация ниже, а сейчас о простом способе выкинуть страхи из головы и заняться делом.
    Читать дальше →
  • Подделка письма электронной почты почти от любого человека менее чем за 5 минут и способы защиты



      Что такое аутентификация электронной почты?


      На протяжении большей части последних 40 лет пользователям приходилось совершать прыжок веры каждый раз, когда они открывали электронную почту. Считаете ли вы, что письмо действительно приходит от того, кто указан в графе отправителя? Большинство легко ответит «да» и на самом деле очень удивится, узнав как легко подделать электронную почту почти от любого отправителя.

      При создании Интернета изначально не было разработано никакой возможности проверить личность отправителя. Во время разработки основных протоколов электронной почты, затраты на вычислительную мощность, реализацию и простоту использования были уравновешены с риском мошенничества. Тяжело было предположить, что 84% всей электронной почты в будущем будут иметь вредоносную нагрузку и являться фишингом или спамом.

      Результатом является то, что заголовки писем, включая поля «From: » и «Reply-to: », очень легко подделать. В некоторых случаях это так же просто, как набрать «john@company.com» в поле «From: ». Объединив это с неподозрительным содержанием, убедительной графикой и форматированием, вполне возможно обмануть людей, подумавших, что сообщение в их почтовом ящике действительно пришло от банка, ФНС, руководителя или президента США.



      Приняв во внимание повсеместное распространение электронной почты, вы осознаете основу нашего нынешнего кризиса информационной безопасности. Слабость в электронной почте привела к массе фишинговых атак, направленных на то, чтобы заставить людей нажимать на вредоносные ссылки, загружать и открывать вредоносные файлы, отправлять форму W-2 (аналог 2-НДФЛ в США) или переводить средства на счета преступников.
      Читать дальше →
    • Проблема с письмами в текстовом формате

      • Перевод
      Статья для подписчиков LWN

      Манифест Mozilla декларирует приверженность организации определённым принципам, в том числе приватности пользователей и праву человека контролировать свою работу в интернете. В результате, когда Mozilla недавно объявила о намерении убрать поддержку текстового формата в почтовых списках рассылки — чтобы отслеживать получение писем адресатами — реакция оказалась, мягко говоря, не совсем положительной. Текстовый формат оставили, но причины, по которым его хотели отменить никуда не исчезли. Они указывают на проблемы, с которыми сталкиваются отдельные отправители электронных писем.

      В сентябре Мишель Уортер анонсировала отказ от текстового формата писем (анонс опубликован в списке рассылки mozilla-governance). Вскоре стало понятно, что сообщество немного скептично настроено по поводу этой идеи, так что Уортер объяснила причину изменений:

      К сожалению, текстовые письма не обеспечивают такой же цикл обратной связи, как письма в формате HTML. Конечно, многие считают это благом. Но непреднамеренным результатом отсутствия таких сигналов является негативное влияние на рейтинг нашей репутации: из-за использования текстового формата нас чаще вносят в серые/чёрные списки, а обычно это значит, что мы уже *никому* не можем отправить письмо, пока проблема не разрешится.
      Читать дальше →
    • Настройка DKIM, SPF и DMARC в Zimbra Collaboration Suite

        Если при попытке отправить сообщение на почтовые сервера Gmail вы вдруг получили ошибку типа «Our system has detected that this message is 550-5.7.1 likely unsolicited mail. To reduce the amount of spam sent to Gmail, 550-5.7.1 this message has been blocked.», то это почти всегда значит, что на вашем почтовом сервере не настроены DKIM, SFP и DMARC. Крупные почтовые серверы (Gmail, mail.ru, Яндекс) требуют наличие данных записей. Сегодня мы расскажем, как это сделать в Zimbra Collaboration Suite.

        image
        Читать дальше →
      • Загадки и мифы SPF

        • Tutorial


        SPF (Sender Policy Framework), полное название можно перевести как «Основы политики отправителя для авторизации использования домена в Email» — протокол, посредством которого домен электронной почты может указать, какие хосты Интернет авторизованы использовать этот домен в командах SMTP HELO и MAIL FROM. Публикация политики SPF не требует никакого дополнительного софта и поэтому чрезвычайно проста: достаточно добавить в зону DNS запись типа TXT, содержащую политику, пример записи есть в конце статьи. Для работы с SPF есть многочисленные мануалы и даже онлайн-конструкторы.


        Первая версия стандарта SPF принята более 10 лет назад. За это время были созданы многочисленные реализации, выработаны практики применения и появилась свежая версия стандарта. Но самое удивительное, что почему-то именно SPF, более чем любой другой стандарт, оброс за 10 лет невероятным количеством мифов и заблуждений, которые кочуют из статьи в статью и с завидной регулярностью выскакивают в обсуждениях и ответах на вопросы на форумах. А протокол, казалось бы, такой простой: внедрение занимает всего пару минут. Давайте попробуем вспомнить и разобрать наиболее частые заблуждения.


        TL;DR — рекомендации в конце.

        Читать дальше →
      • Кибербезопасность: листаем годовой отчет Cisco

        • Перевод
        image

        Вдогонку к нашей статье про телефонный фрод и методы защиты от него делимся выкладками на тему кибербезопасности вообще от Cisco. Под катом — основные выводы исследования Cisco 2017 Midyear Cybersecurity Report.
        Читать дальше →
      • AdBlock похитил этот баннер, но баннеры не зубы — отрастут

        Подробнее
        Реклама
      • Locky жив: 23 миллиона заражённых писем за сутки

          Согласно недавнему исследованию, проведённому тремя экспертами из Google, именно вирус-вымогатель Locky является самым результативным по размеру собранных с жертв средств. При этом WannaCry даже не входит в ТОП-10.


          Основная волна заражений пришлась на начало 2016 года. С тех под Locky уступил лидерство и количество известных случаев заражения резко снизилось. Но всякий раз, когда мы начинаем думать, что шифровальщик «Локки» мёртв, печально известная угроза возвращается с новым ударом.
          Читать дальше →
          • +11
          • 8,3k
          • 3
        • BanMoron — инструмент активной защиты WEB-сервера от взлома



          Небось снова про блокчейн, только в профиль?

          — А вот и не угадали! На этот раз – ничего ни про блокчейн, ни про Emercoin! В конце концов, имеем же мы право делать что-либо помимо основного проекта!


          А сделали мы на этот раз утилиту для защиты веб-сервера от вездесущих кульхацкеров, которые постоянно пытаются залить эксплойт в веб-сайт и получить неавторизованный доступ к серверу, чтобы потом прямо на Вашей площадке заниматься всякими непотребствами. Вот об этой утилите под названием BanMoron и пойдёт речь ниже.
          Читать дальше →
        • Очищение потока звонков без магии и SMS

            image

             

            Компании вкладываются в привлечение звонков потенциальных клиентов, а другие компании хотят на этом заработать. Причем не всегда честно. Например, создавая большой поток обращений, которые никогда не приведут к сделке. Наша Виртуальная АТС борется с недобросовестными поставщиками звонков.

            Читать дальше →
          • Petya.A, Petya.C, PetrWrap или PetyaCry? Новая вирусная угроза для компаний России и Украины

              Не так давно мы выпустили статью по комплексной проактивной защите от направленных атак и вирусов-шифровальщиков, которая содержала в том числе последние крупные вирусные заражения вредоносным ПО типа Ransomware, в копилку можно добавить еще один пример.

              27 июня 2017 г. зарегистрирована масштабная хакерская атака на серверы и рабочие станции сетей крупных российских, украинских компаний, организаций по всему миру, перечень которых пополняется непрерывно и в соцсетях появляется все больше подобных фотографий:



              Вирусом является модификация нашумевшего в 2016 году шифровальщика-вымогателя Petya.A/Petya.C. Распространяется новый вирус Petya.C несколькими способами:

              • путем эксплуатации уязвимости в SMB MS17-010 (аналогично майскому Wanna Cry);
              • путем направленной отправки вредоносного ПО по электронной почте
              • использующаяся уязвимость для исполнения вредоносного кода: CVE-2017-0199
              • использующаяся уязвимость для распространения и заражения: CVE-2017-0144, он же EternalBlue
              Читать дальше →
            Самое читаемое