#language cs ## 20190306 AK ---- '''česky''' | [[FAQ/HowThePingTestWorks|english]] ---- = Jak pracuje Ping test pro nový účet nebo novou doménu = ''(Ping test se používá i pro přidání nové e-mail adresy k již existujícímu účtu, viz [[FAQ/AddNewEMailAddress/CZ|zde]].)'' CAcert používá dvě metody vytvoření seznamu možných e-mailových adres pro odeslání testovacího ping e-mailu za účelem ověření domény: == Vytvoření seznamu e-mailových adres == 1. Vyhledání e-mailové adresy ve Whois * Vyhledávání e-mailových adres ve Whois prohledá databázi WhoIs na možné e-mailové adresy registrujícího se, tech-c (technický kontakt) a admin-c (administrativní/správní kontakt). Je-li nalezeno více e-mailových adres, budou sjednoceny. 1. Výchozí sada e-mailových aliasů + testovaná doména * K výsledku vyhledávání Whois je přidáno 5 výchozích aliasů v testované doméně. Výchozí aliasy jsou: * root * hostmaster * postmaster * admin * webmaster {{{ Příklad: testdomain.tld Whois testdomain.tld dá výsledek: administrator@provider.tld Proto výsledný seznam, kam poslat testovací "ping" e-maily, bude: * administrator@provider.tld -> adresa vyhledaná ve Whois * root@testdomain.tld -> 1. výchozí alias * hostmaster@testdomain.tld -> 2. výchozí alias * postmaster@testdomain.tld -> 3. výchozí alias * admin@testdomain.tld -> 4. výchozí alias * webmaster@testdomain.tld -> 5. výchozí alias }}} == Uživatelův výběr jedné e-mailové adresy, kam bude odeslán testovací e-mail ("ping") == Aspoň jedna z výše uvedených e-mailových adres '''musí''' už být aktivována, aby ping e-mail uspěl a doména byla ověřena. To znamená: internetová brána MTA (záznam MX nebo záznam A pro doménu) musí ping e-mail přijmout, takže zvolený e-mailový alias (alespoň postmaster) musí být v dobrém funkčním stavu a aktivní podle internetových principů [Requests for Comments, RFC]). Uživatel si nyní musí vybrat jednu z těchto e-mailových adres vytvořených systémem, kterou použije, aby vrátil testovací ping e-mail systému CAcert. == Další informace == * Další poznámky lze najít v [[https://www.cacert.org/policy/CertificationPracticeStatement.php#p4.2.2|CPS 4.2.2 Řízení ověření - Řízení domény]] * [[FAQ/NoDomainName/CZ|Nemohu přidat své doménové jméno pro CAcert]] (Doménové jméno neexistuje) == Typické konfigurační problémy u příjemce Ping testu == === Nedostal jsem potvrzující e-mail a používám veřejný e-mailový server === ''(Například seznam.cz, outlook.com, gmail.com, volny.cz)'' 1. Má Vaše doména definován MX záznam? 1. Má Vaše doména txt záznam SPF alespoň s uvedením mx? * Například "v=spf1 mx ~all" 1. Ukazuje Váš MX záznam na správně definovaný smtp server? 1. Neběží na veřejném smtp serveru uvedeném v MX greylisting? * Opakované odeslání e-mailu za 2 až 20 minut. 1. Není greylisting veřejného e-mail serveru konfigurován na chybný kód odpovědi 5.x.x namísto 4.x.x? * Greylisting musí odpovědět smtp kódem 4.x.x (momentálně nejsem dostupný, opakujte později) (Ostatní body 6-13 uvedené níže řeší majitel veřejného serveru, na nějž musíte správně odkázat.) === Nedostal jsem potvrzující e-mail a používám cloudové řešení MS Office 365 Outlook === 1. Má Vaše doména definován MX záznam pro Outlook 365? * Například " MX preference = 10, mail exchanger = .mail.protection.outlook.com" 1. Má Vaše doména txt záznam SPF s uvedením include pro Outlook 365? * Například "v=spf1 ip4: include:spf.protection.outlook.com -all" 1. Ukazuje Váš MX záznam na správně definovaný smtp server Outlook 365? 1. Neběží na smtp serveru Outlook 365 uvedeném v MX greylisting? * Opakované odeslání e-mailu za 2 až 20 minut. (Ostatní body 5-13 uvedené dále řeší Microsoft.) === Nedostal jsem potvrzující e-mail a mám vlastní e-mailový server === 1. Má Vaše doména definován MX záznam? 1. Má Vaše doména txt záznam SPF alespoň s uvedením mx? * Například "v=spf1 mx ~all" 1. Ukazuje Váš MX záznam na správně definovaný smtp server? 1. Má Váš e-mail server pevnou IP adresu ve veřejném Internetu? 1. Je zpětný překlad této IP adresy opět názvem Vašeho e-mail serveru? 1. Neběží na Vašem smtp serveru uvedeném v MX greylisting? * Opakované odeslání e-mailu za 2 až 5 minut, v závislosti na intervalu opakování nastaveném na Vašem e-mail serveru. 1. Není greylisting na Vašem e-mail serveru konfigurován na chybný kód odpovědi 5.x.x namísto 4.x.x? * Greylisting musí odpovědět smtp kódem 4.x.x (momentálně nejsem dostupný, opakujte později) 1. Zkontroloval(a) jste jméno stroje v MTA (Mail Transfer Agent, přenos zpráv protokolem SMTP) na svém e-mail serveru? (Tj. v SMTP protokolu se musí Váš e-mail server správně ohlásit.) * [[http://www.linuxquestions.org/questions/linux-server-73/postfix-mail-loops-back-to-myself-501178/|Postfix: cyklení e-mailů na straně odesilatele je způsobeno chybnou konfigurací strojů příjemce]] * [[http://www.linuxquestions.org/questions/linux-server-73/mail-loops-back-to-me-mx-problem-or-did-not-issue-mail-expn-vrfy-etrn-823774/|E-mail se vrací odesilateli - způsobeno chybnou konfigurací strojů příjemce]] 1. Odpovídá jméno stroje uvedené ve Vaší konfiguraci MTA jménu stroje definovanému v záznamu MX Vaší domény? 1. Je zvolený e-mailový alias konfigurován podle konfigurace Vašeho MTA? a/nebo je alias pro návraty definován v konfiguraci Vašeho MTA jako přijatelný příjemce? * [[http://www.cyberciti.biz/faq/postfix-mail-for-domaincom-loops-back-to-myself-error-and-solution/|Řešení zacyklených vracejících se e-mailů]] {{{ Příklad: yoursubdomain.testdomain.tld Whois yoursubdomain.testdomain.tld odkazuje na Whois testdomain.tld výsledek: administrator@provider.tld administrator@provider.tld není Vaše volba Takže zde je výsledný seznam adres, kam budou odeslány testovací ping e-maily: * root@yoursubdomain.testdomain.tld -> 1. výchozí alias * hostmaster@yoursubdomain.testdomain.tld -> 2. výchozí alias * postmaster@yoursubdomain.testdomain.tld -> 3. výchozí alias * admin@yoursubdomain.testdomain.tld -> 4. výchozí alias * webmaster@yoursubdomain.testdomain.tld -> 5. výchozí alias kde je individuální záznam MX nastaven na yoursubdomain.testdomain.tld Jiný e-mailový alias nefunguje. Řešení: Vytvořte e-mailový alias z výše uvedeného seznamu. }}} 1. Existuje záznam Whois pro Vaši doménu, o kterou jde? * Standardně neexistují vlastní záznamy Whois pro subdomény. * Pak je Váš výběr omezen na seznam aliasů 5 "známých" doménových jmen (viz výše) {{{ Příklad: yoursubdomain.testdomain.tld Whois yoursubdomain.testdomain.tld odkazuje na Whois testdomain.tld dá výsledek: administrator@provider.tld Takže výsledný seznam adres, kam odeslat testovací pong e-maily, bude: * administrator@provider.tld -> adresa vyhledaná ve Whois * root@yoursubdomain.testdomain.tld -> 1. výchozí alias * hostmaster@yoursubdomain.testdomain.tld -> 2. výchozí alias * postmaster@yoursubdomain.testdomain.tld -> 3. výchozí alias * admin@yoursubdomain.testdomain.tld -> 4. výchozí alias * webmaster@yoursubdomain.testdomain.tld -> 5. výchozí alias kde je individuální záznam MX nastaven na yoursubdomain.testdomain.tld }}} 1. Má Váš DNS link-lokální adresu IPv6? [link = spojení, kde není třeba routovat, například LAN] . domain.tld má adresu (IPv4) . domain.tld má IPv6 adresu "fe80::224:21ff:fe21:aad5" (link-lokální) . ("fe80:…"), která je obdobná adrese IPv4 localhost (127.0.0.1). Tuto adresu nelze routovat. . CAcert používá IPv6 a nemůže dosáhnout na link-lokální adresu IPv6. * reference: [[https://lists.cacert.org/wws/arc/cacert-de/2012-06/msg00002.html|hlášení chyby]], [[https://lists.cacert.org/wws/arc/cacert-de/2012-06/msg00003.html|analýza hlášení]], [[https://lists.cacert.org/wws/arc/cacert-de/2012-06/msg00004.html|hlášení úspěchu]] * [[http://www.sabi.co.uk/Notes/swIPv6Prefixes.html|Několik neoficiálních poznámek k prefixům a adresám IPv6]] . přibývá hlášení o problémech s chybně konfigurovanými definicemi ipv6 dns * hlášení chyby: "Failed to make a connection to the mail server" (Nezdařilo se spojit se serverem el. pošty) * nasnadě je "buď opravte nebo vypněte ipv6" * (ze zprávy uživatele) Toto vypadá jako problém; stop a restart interface vyřešil problém, nyní musím především zjistit, proč moje nastavení IPv6 selhalo. . Položte si otázku: mám v nastavení svého DNS konfigurován protokol IPv6? . Pokud je odpověď ANO, důkladně zkontrolujte nastavení IPv6 nebo postupujte podle předchozího návrhu. 1. Používáte DNSSEC? . Jeden známý problém: . Je-li doména uvedena na úrovni registrace jako zabezpečená pomocí DNSSEC, avšak v zónovém souboru samotné domény není obsažen požadovaný klíč(-e), pak pomocí takového resolveru s podporou DNSSEC, jaký používáme v CAcert, je taková doména zcela nedostupná, a to z dobrého důvodu: DNSSEC klasifikuje takto chybně konfigurovanou (nebo i hacknutou?) doménu jako podvrženou. . Nepoužíváte-li Vy sami resolver DNSSSEC, nezjistíte žádnou chybu. Pouze testováním domény službou jako je http://dnscheck.sidn.nl/ tento specifický problém zjistíte. == Použití TLS 1.2 pro Ping e-mail == Od února 2019 instaloval CAcert pro Ping e-mail bezpečnostní protokol přenosu TLS 1.2 ([[https://tools.ietf.org/html/rfc5246|RFC 5246]]), který umožňuje zřídit šifrované spojení pro přenos zpráv protokolem SMTP. Šifrované spojení lze úspěšně vybudovat, pokud příjemcův e-mailový server umí rovněž pracovat protokolem TLS 1.2 (dnes všechny veřejné e-mailové servery). TLS 1.2 nemá tak striktní požadavky na protistranu jako předchozí verze TLS, a tak Ping e-mail projde, i když třeba příjemcův server už nepřijímá nezabezpečené spojení. Rovněž odpadá striktní kontrola "obecné známosti" CA vydavatelů certifikátů na obou stranách přenosu. == Viz také == * [[FAQ/NoDomainName/CZ|Nemám doménové jméno]] ---- . [[CategoryFAQ]]