Opinie o nazwa.pl

[Gość nazwa.pl]

1 godzinę temu, Adam Szendzielorz napisał:

@Adam Szendzielorz

Protokół SMTP nie przewiduje weryfikacji rzeczywistego nadawcy widomości. Służy temu dopiero SPF, który definiuje z jakich adresów IP można wysłać pocztę z danej domeny. Po stronie serwera pocztowego odbiorcy wiadomości następuje więc decyzja czy korzystać z SPF, oraz co zrobić z wiadomością gdy w konfiguracji domeny brakuje rekordu SPF lub gdy ten rekord jest nie zgodny z adresem IP serwera nadawcy wiadomości. Pełną weryfikację tożsamości nadawcy można jednak uzyskać dopiero przy zastosowaniu DKIM, gdyż SPF nie spełnia swojej roli na przykład przy hostingu współdzielonym gdy wielu Klientów może wysłać wiadomość z tego samego numeru IP.

 

 

[kix]

Ale to jest znany problem, ba opisywany dość często:
https://zaufanatrzeciastrona.pl/post/uwaga-na-nowy-atak-ze-sprytna-sztuczka-wezwanie-do-zawarcia-ugody/

https://zaufanatrzeciastrona.pl/post/uzytkownicy-facebooka-uwazajcie-na-wiadomosci-wyludzajace-hasla/

https://zaufanatrzeciastrona.pl/post/uwaga-na-nowa-kampanie-zlosliwego-oprogramowania-platnosc-w-systemie-dotpay/

https://zaufanatrzeciastrona.pl/post/uwaga-na-nowy-atak-na-prawnikow-wykorzystujacy-najnowsza-sztuczke-z-wordem/

https://zaufanatrzeciastrona.pl/post/pozdrowienia-od-thomasa-czyli-nowy-zlosnik-ktory-odwiedza-z3s-pl/

 

Cytuj

Wiadomość jest – jak zawsze – wysłana z serwerów nazwa.pl

 

Było więcej czasu spędzić na wdrożeniu systemów antyfraudowych, a nie na DNSSEC, który zwykłemu użytkownikowi jest potrzebny jak okulary ślepemu - prędzej któryś z waszych klientów ściągnie ten zainfekowany załącznik niż będzie ofiarą MITM/dns cache poisoning/etc. Zapewnienie bezpieczeństwa powinno być oparte na analizie ryzyka a nie na randomowym wdrażaniu różnych usług.

A jak zamierzacie użyć argumentu zwiększenia bezpieczeństwa w przypadku DNSSEC -  DNSSEC sam w sobie niewiele daje jak nie ma SSL na usłudze - więc czemu nie wprowadziliście równocześnie Lets Encrypt, by zwiększyć bezpieczeństwo waszych klientów - pytanie retoryczne, wszyscy wiemy, że chodzi o pieniądze.

Edytowane 13 Lipca 2018 przez kix

[theqkash]

13 godzin temu, nazwa.pl napisał:

 

Punktowanie na podstawie revers DNS *.rev.netart.pl nie wydaje się być dobrym rozwiązaniem bo użytkownicy poczty na Pana serwach mogą przez to mieć problemy z otrzymywaniem poczty przychodzącej z ponad 600 tys. domen, które obsługuje nazwa.pl, czyli z co czwartej domeny w Polsce.

Nie uważacie jednak, że skoro gigantyczna ilość spamu pochodzi tylko z Waszych usług hostingowych, to coś nie do końca jest tak i zganianie tego na odbiorcę jest przynajmniej nie fair?

 

Takie OVH które oferuje DEDYKI i nie do końca ma możliwość śledzić to co klienci na nich robią, jest w stanie wyciąć cały ruch z określonego serwera w momencie gdy wysyłany jest z niego spam. W moim przypadku, jeśli chodzi o "zainfekowany skrypt" to właśnie raz na taką blokadę przez starego wordpressa wpadłem - potem wdrożyłem zabezpieczenia na poczcie wychodzącej u siebie i więcej się nie zdarzyła taka sytuacja. 

 

U Was jak widać przez długi czas wysyłka wychodzi z tych samych kont hostingowych i nic się w tym zakresie nie zmienia, a do tego jeszcze bezczelnie w mojej ocenie nakazujecie ofiarom tego spamu instalować u siebie filtry i chcecie, żeby zrobili coś, czego Wy jako firma nr 1 dbająca o bezpieczeństwo nie potraficie zrobić.

 

Tak jak wyżej wspomniano - fajnie, że macie możecie teraz marketingowo przepychać DNSSEC jako coś co Was wyróżnia wśród operatorów, ale jeśli nie chcecie przy okazji obrywać "złą sławą" to szczerze radzę rozważyć wprowadzenie takiego zabezpieczenia, abyście nie pojawiali się praktycznie w każdym artykule dotyczącym wysyłki spamu do polskich odbiorców do krajowego odbiorcy. O innych "dużych firmach" jakoś rzadziej można przeczytać i nawet ja mam z nimi mniejszy problem jeśli chodzi o przychodzący spam.

[Adam Szendzielorz]

19 godzin temu, nazwa.pl napisał:

Protokół SMTP nie przewiduje weryfikacji rzeczywistego nadawcy widomości. Służy temu dopiero SPF, który definiuje z jakich adresów IP można wysłać pocztę z danej domeny. Po stronie serwera pocztowego odbiorcy wiadomości następuje więc decyzja czy korzystać z SPF, oraz co zrobić z wiadomością gdy w konfiguracji domeny brakuje rekordu SPF lub gdy ten rekord jest nie zgodny z adresem IP serwera nadawcy wiadomości. Pełną weryfikację tożsamości nadawcy można jednak uzyskać dopiero przy zastosowaniu DKIM, gdyż SPF nie spełnia swojej roli na przykład przy hostingu współdzielonym gdy wielu Klientów może wysłać wiadomość z tego samego numeru IP.

 

Nie musicie mi tłumaczyć jak działa SPF i DKIM

 

Wszystkie spamy które obecnie wysyłacie - będą zarówno poprawne pod względem SPF jak i podpisane DKIMem - bo one wszystkie wychodzą za poprawną autoryzacją przez Wasz SMTP. Więc wprowadzenie SPF/DKIMa kompletnie nic nie zmieni pod tym względem.

[theqkash]

Tymczasem:

 

https://www.nazwa.pl/mailing-17-07-2018-komunikat-z-domenami-ssl/

 

https://www.wykop.pl/link/4422761/nazwa-pl-reklamuje-sie-wizerunkiem-zbrodniarza-wojennego/

 

 

[kankan]

przedlużenie domeny .eu z "darmowym certyfikatem" w nazwa.pl 123 zl. 

Przedłuzenie domeny w ovh 27 zł i darmowe let's ecrypt ew. platny certyfikat 25 -50 zł...

super okazja... ;).

[theqkash]

@nazwa.pl

Jak wyglądają ceny certyfikatu SSL o którym mowa, po roku czasu ważności usługi? Regulamin podaje coś innego, konsultanci podają coś innego.

[Gość nazwa.pl]

@theqkash Certyfikat pozostanie darmowy.

[theqkash]

Ok, to zapytam inaczej, @nazwa.pl

Czy planowane są podwyżki cen domen w nazwa.pl? 

Jak wygląda temat Waszego posta do zapisu z regulaminu usługi?
 

Cytuj

Przed końcem bieżącego Okresu Abonamentowego nazwa.pl poinformuje Klienta za pomocą poczty elektronicznej o upływie Okresu Abonamentowego oraz o wysokości opłat za przedłużenie Okresu Abonamentowego na kolejny okres przesyłając jednocześnie proformę tytułem przedłużenia

 

[Gość nazwa.pl]

@theqkash
Oferta na stronach nazwa.pl jest jasna – do każdej domeny zarejestrowanej w nazwa.pl oraz przekierowanej na serwery DNS Anycast nazwa.pl, dostarczany jest przez firmę nazwa.pl certyfikat nazwaSSL DV w cenie domeny. Zacytowany przez Pana zapis jest wyrwany z kontekstu i pominął Pan treść oferty dostępnej na stronach WWW nazwa.pl, oraz zapisów Regulaminu certyfikatów SSL, a w szczególności pkt III.1 tego Regulaminu:
„Certyfikat nazwaSSL dla Klientów posiadających domenę zarejestrowaną w nazwa.pl, delegowaną na serwery DNS nazwa.pl jest generowany automatycznie, na podstawie akceptacji Regulaminu świadczenia usługi rejestracji domeny i usług powiązanych.”

Oferta firmy nazwa.pl prezentowana jest na stronie WWW i w regulaminach usług, stanowiąc jedyne źródło informacji w tym zakresie. W przypadku niezgodności w informacjach przekazywanych przez pracowników nazwa.pl, lub innych nieprawidłowości w funkcjonowaniu nazwa.pl prosimy o bezpośrednie kierowanie do nas takich zgłoszeń w trybie prywatnych wiadomości. Pozwoli nam to na lepszą weryfikację pracy naszych specjalistów. Zwracamy uwagę, że nie możemy omawiać na publicznych forum spraw związanych z kontaktami jakie przeprowadza Pan lub jakikolwiek inny użytkownik tego forum z naszymi konsultantami.

Bieżąca oferta nazwa.pl jest jedyną o której możemy rozmawiać. Nazwa.pl nie informowała i nie będzie informować w przyszłości o swoich zamierzeniach, oraz planach strategicznych na bliższą i dalszą przyszłość, gdyż naruszało by to jej interesy. Decyzje o zmianach w ofercie są wyłączną kompetencją zarządu, oraz właściciela spółki, a pracownicy którzy są w posiadaniu tych informacji objęci są tajemnicą przedsiębiorstwa. Wprowadzane przez nazwa.pl innowacje technologiczne, oraz zmiany w ofercie stanowią o przewadze firmy i nie mogą być ujawniane przed ich oficjalnym upublicznieniem na stronie www.nazwa.pl. Dzięki temu firma nazwa.pl mogła zaskoczyć rynek wprowadzeniem w 2018 roku innowacji: zabezpieczenia DNSSEC dla 600 tys, technologii serwerów DNS Anycast, zabezpieczeń CAA, darmowych certyfikatów nazwaSSL DV dla ponad 500 tys domen, oraz obsługi wszystkich hostowanych stron za pomocą HTTP/2. 

O kolejnych nowościach w ofercie firmy, przewidzianych jeszcze w 2018 r.  będziemy informowali sukcesywnie na stronie internetowej www.nazwa.pl.

Edytowane 17 Lipca 2018 przez nazwa.pl

[Juvenito]

Czyli furtka na podwyżkę

 

[otlet]

Jak się okaże, że się nie opłaca - będzie cena, jak zawsze promocyjna dla stałych klientów.

 

Moim zdaniem to nie tyle chamskie zagranie, co opłacalne z punktu widzenia firmy i mnie nawet jakoś to nie dziwi.

[theqkash]

@nazwa.pl

Czy dla większej ilości usług obsługa posprzedażowa wygląda tak jak na poniższym przykładzie?

https://zaufanatrzeciastrona.pl/post/jak-nazwa-pl-pod-plaszczykiem-rewolucji-wystawila-do-wiatru-czesc-swoich-klientow/ 

[Gość nazwa.pl]

@theqkash Nazwa.pl podpisuje właśnie 500 tys. domen certyfikatem SSL. Sytuacja opisana w artykule dotyczy indywidualnego przypadku. Firma, po zakończeniu wdrożenia podpisywania domen, będzie kontaktowała się bezpośrednio z klientami, których nie objęła promocja a posiadają certyfikat RapidSSL Wildcard. 

[Adam Szendzielorz]

4 minuty temu, nazwa.pl napisał:

@theqkash Nazwa.pl podpisuje właśnie 500 tys. domen certyfikatem SSL. Sytuacja opisana w artykule dotyczy indywidualnego przypadku. Firma, po zakończeniu wdrożenia podpisywania domen, będzie kontaktowała się bezpośrednio z klientami, których nie objęła promocja a posiadają certyfikat RapidSSL Wildcard. 

 

To nie dotyczy indywidualnego przypadku tylko każdego, kiedy klient kupił u Was rapida między 1 czerwca 2016 a 30 listopada 2017. Nie rozumiem, co w ogóle takiego klienta interesuje, że wydajecie swoje certyfikaty do domen gratis? Klient kupił popsutego Mercedesa i chce mieć sprawnego Mercedesa, a nie Skodę  Pozatym sytuacja dotyczy wszystkich certyfikatów Rapida (i nie tylko) - również zwykłych ale i EV, nie tylko Wildcard.

[theqkash]

27 minut temu, nazwa.pl napisał:

Firma, po zakończeniu wdrożenia podpisywania domen, będzie kontaktowała się bezpośrednio z klientami, których nie objęła promocja a posiadają certyfikat RapidSSL Wildcard. 

Dlaczego dopiero teraz takie oświadczenie, a gdy klient o to bezpośrednio pytał to wysłaliście go na drzewo i kazaliście pisać reklamację?

Wam serio trzeba nagłaśniać pewne sprawy mocno i medialnie, żebyście zachowywali się wobec klientów w taki sposób, w jaki robią to inne firmy? Czy może lubicie rozgłos, choćby ten zły?

Edit: Nawet nie jak inne firmy. Inne firmy problemy rozwiązują, Wy problematycznym klientom mającym u Was hosting dacie własne certyfikaty, co też jest takim rozwiązaniem jakim jest. No ale, lepsze takie rozwiązanie niż żadne.

[GrZeCh]

Jeśli chodzi o zabezpieczenie CAA to moim zdaniem jest trochę dodane "po bandzie" ponieważ są klienci, którzy mają swoje domeny na DNSach nazwa.pl ale ich witryny są umieszczone poza nazwa.pl. Magiczne zabezpieczenie CAA dodane przez nazwa.pl podczas wdrażania zabezpieczeń dodało ( zapewne bez wiedzy klientów?) do ich stref DNS rekord CAA ograniczający wydawanie certyfikatów SSL tylko przez certum.pl.

Przykladowy wpis w strefie DNS domeny:

DOMENAKLIENTA. 299 IN CAA 0 issue "certum.pl"

.. i w tym momencie już dana domena nie zostanie automatycznie odnowiona po stronie np. Lets Encrypta ponieważ konfiguracja rekordu CAA na to nie zezwala. To tak informacyjnie dla wszystkich fanów ciekawostek wakacyjnych, którzy będą się głowili dlaczego automat Let's Encrypta nie odnawia certyfikatu klienta jeśli domena prawidłowo wskazuje na dany serwer poza nazwa.pl za pomocą rekordów A.

Co do możliwości odnawiania certyfikatów wystawionych w feralnym okresie to dobrym przykładem ogarnięcia tematu jest reseller z UK (Servertastic). Tak wyglada u niego panel resellera gdzie wystepuje sekcja "Upcoming Distrust Reports", ktora pozwala w latwy sposob wygenerowac na nowo przy pomocy nowego CSRa ten sam certyfikat z data waznosci od "teraz" do konca waznosci zakupionego wczesniej certyfikatu. Da sie? Da sie. Wiadomo jest to cos co jest dostepne dla resellera wiec potrzeba jeszcze checi aby posredniczyc w pomocy klientowi ...

[theqkash]

Halo @nazwa.pl - czy prawdą jest, że wprowadzana przez Was "rewolucja" odbierze użytkownikom możliwość korzystania z zewnętrznych certyfikatów, z powodu wymuszonego rekordu CAA dla domen zarejestrowanych u Was i skierowanych na Wasze serwery DNS, lub będzie wymagała dodatkowej czynności aby użytkownik mógł korzystać z zewnętrznego certyfikatu?

[GrZeCh]

Może nie wymuszenia jedynego ALE klienci o ile mają taką możliwość będą musieli samemu dodawac kolejne rekordy CAA aby mogli korzystac z uslug innych wystawcow. Wiecej tutaj:

 

https://webmastah.pl/czym-jest-caa-w-dns-i-jak-go-okielznac/

 

oraz

 

https://letsencrypt.org/docs/caa/

 

Jasny komunikat mowi help Lets Encrypta:

 

Cytuj

CAA is a type of DNS record that allows site owners to specify which Certificate Authorities (CAs) are allowed to issue certificates containing their domain names.

 

Pierwszy lepszy przyklad domeny z rekordem CAA to nazwa.pl:

 

https://toolbox.googleapps.com/apps/dig/#CAA/nazwa.pl

 

id 21317
opcode QUERY
rcode NOERROR
flags QR RD RA
;QUESTION
nazwa.pl. IN CAA
;ANSWER
nazwa.pl. 116 IN CAA 0 issue "certum.pl"
;AUTHORITY
;ADDITIONAL

EDIT: No i moze nie zarejestrowanych u nich ale utrzymywanych na ich serwerach DNS. Problematyczna domena, ktora naprowadzila mnie na problem poprzednim cyklem odnowila sie bez problemu w Lets Encrypcie wiec obstawiam, ze rekord zostal dodany z automatu po stronie nazwa.pl.

Edytowane 23 Lipca 2018 przez GrZeCh

[theqkash]

2 minuty temu, GrZeCh napisał:

Może nie wymuszenia jedynego ALE klienci o ile mają taką możliwość będą musieli samemu dodawac kolejne rekordy CAA aby mogli korzystac z uslug innych wystawcow.

W praktyce doprowadzi to jednak do tego, że klienci nie będą mogli samodzielnie wdrożyć dowolnego certyfikatu, nie mając wiedzy na temat konieczności "obejścia" zabezpieczeń o których mowa.

Dla moich domen zarejestrowanych w nazwa.pl, rekord CAA nie występuje (jeszcze).

[Adam Szendzielorz]

14 minut temu, GrZeCh napisał:

EDIT: No i moze nie zarejestrowanych u nich ale utrzymywanych na ich serwerach DNS. Problematyczna domena, ktora naprowadzila mnie na problem poprzednim cyklem odnowila sie bez problemu w Lets Encrypcie wiec obstawiam, ze rekord zostal dodany z automatu po stronie nazwa.pl.

 

Tak, dodają automatycznie. Np. domena (sorki ale muszę trochę ukryć tę nazwę):

 

DOMAIN NAME:           polt***.pl 
registrant type:       organization 
nameservers:           ns1.nazwa.pl. [77.55.125.10] 
                       ns2.nazwa.pl. [77.55.126.10] 
                       ns3.nazwa.pl. [77.55.127.10] 

 

host -t CAA polt***.pl
polt***.pl has CAA record 0 issue "certum.pl"

 

Sama domena wskazuje na IP należący akurat do KEI:

 

host -t A polt***.pl
polt***.pl has address 94.152.129.***

 

inetnum:        94.152.128.0 - 94.152.191.255
netname:        KEI
descr:          Dedicated Servers

 

Klient o niczym nie wie. Nieładnie, nieładnie.

 

[Gość nazwa.pl]

Szanowni Państwo, 

konfiguracja dotycząca rekordu CAA odbywa się na zasadzie wskazywania dostawców certyfikatów, którzy uprawnieni są do wystawienia certyfikatu SSL i sprawdzana jest w momencie wystawiania certyfikatu SSL. Wpis dotyczący rekordu CAA dokonywany jest w nazwa.pl tuż przed zgłoszeniem do wystawcy certyfikatu SSL wniosku o jego wystawienie, więc nie dotyczy wszystkich domen, które utrzymywane są na serwerach DNS Anycast nazwa.pl, ale tylko, dla których nazwa.pl wystąpiła już o wydanie takiego certyfikatu. Jest to działanie rynkowe, które ma zabezpieczyć domeny przed wystawianiem certyfikatów SSL przez nie autoryzowanych wystawców, co powoduje jednak konieczność dodania kolejnych wpisów również dla innych wystawców certyfikatów SSL – nazwa.pl nie może jednak wpisać do konfiguracji domeny w DNS całej długiej listy takich podmiotów. Dodatkowy wpis dotyczący rekordu CAA można dokonać poprzez Biuro Obsługi Klienta lub wybierając dla domeny w Panelu Klienta „Ręczna konfiguracja DNS” i ustawiając odpowiedni wpis dla rekordu CAA. 

Niestety nazwa.pl jest prekursorem wielu zabezpieczeń, których sensu nie rozumie jak widać wielu użytkowników tego forum, mimo, że określają się jako specjaliści w tym zakresie. Jak widać Panu Adamowi Szendzielorzowi z progreso.pl zbędny jest zarówno rekord CAA jak i zabezpieczenie DNSSEC:

> host -t CAA progreso.pl
progreso.pl has no CAA record
> host -t DS progreso.pl
progreso.pl has no DS record

Zabezpieczenia są po to aby je stosować, chyba, że podważa się osiągnięcia wielu światowych specjalistów definiujących standardy i opracowujących nowe protokoły. Panie Adamie Szendzielorz o konkurencji mówi się albo dobrze, albo w ogóle. Niech Pan wdroży DNSSEC, CAA, DNS Anycast, HTTP/2 dla firmowej strony progreso.pl oraz dla wszystkich Pana Klientów zanim kolejny raz wypowie się Pan negatywnie o nazwa.pl, która wszystkie te funkcjonalności i zabezpieczenia już posiada.
 

[theqkash]

4 minuty temu, nazwa.pl napisał:

Wpis dotyczący rekordu CAA dokonywany jest w nazwa.pl tuż przed zgłoszeniem do wystawcy certyfikatu SSL wniosku o jego wystawienie, więc nie dotyczy wszystkich domen, które utrzymywane są na serwerach DNS Anycast nazwa.pl, ale tylko, dla których nazwa.pl wystąpiła już o wydanie takiego certyfikatu.

Wszystko ładnie, tyle że występują sytuacje w których Wasi klienci korzystający z Waszych DNSów, ale z fizycznych serwerów już poza Waszą infrastrukturą, również dostali z automatu CAA i o tym właśnie pisał Adam.  Po co więc tam wnioskowalibyście o wygenerowanie certyfikatu i czemu CAA utrzymuje się do teraz?

[patrys]

27 minut temu, nazwa.pl napisał:

> host -t CAA progreso.pl
progreso.pl has no CAA record
> host -t DS progreso.pl
progreso.pl has no DS record

 

ale nie przesadzajmy z tym DNSSEC:

 

MacBook-Pro-Patryk:~ patryk$ host -t CAA pkobp.pl
pkobp.pl has no CAA record
MacBook-Pro-Patryk:~ patryk$ host -t CAA allegro.pl
allegro.pl has no CAA record
MacBook-Pro-Patryk:~ patryk$ host -t CAA amazon.com
amazon.com has no CAA record
MacBook-Pro-Patryk:~ patryk$ host -t DS pkobp.pl
pkobp.pl has no DS record
MacBook-Pro-Patryk:~ patryk$ host -t DS allegro.pl
allegro.pl has no DS record
MacBook-Pro-Patryk:~ patryk$ host -t DS amazon.com
amazon.com has no DS record

 

mam czuć się zagrożony ?

[Adam Szendzielorz]

2 godziny temu, nazwa.pl napisał:

Zabezpieczenia są po to aby je stosować, chyba, że podważa się osiągnięcia wielu światowych specjalistów definiujących standardy i opracowujących nowe protokoły. Panie Adamie Szendzielorz o konkurencji mówi się albo dobrze, albo w ogóle. Niech Pan wdroży DNSSEC, CAA, DNS Anycast, HTTP/2 dla firmowej strony progreso.pl oraz dla wszystkich Pana Klientów zanim kolejny raz wypowie się Pan negatywnie o nazwa.pl, która wszystkie te funkcjonalności i zabezpieczenia już posiada.

 

Tyle bicia piany panie Piotrze N., a meritum nawet nie tknięte. Klient korzysta z certyfikatu let's encrypt i niedługo się zdziwi, że mu się certyfikat nie odświeżył. Strzelam, że nie będzie zadowolony z wdrożenia DNSSEC, CAA, DNS Anycast i HTTP/2 jak wszystkie przeglądarki zaczną krzyczeć wielkimi ostrzeżeniami o niebezpiecznej stronie... 

pozdr.