📌 前言 在說明 MTA-STS 時,我們提到它可以「強制 TLS 加密」與「驗證憑證」,但仍存在以下限制: 因此,對安全性要求更高的企業或政府單位,更偏好採用 DANE(DNS-based Authentication of Named Entities)。 DANE 從根本上解決了憑證信任問題: 👉 「把 TLS 憑證資訊寫死在 DNS 中,並透過 DNSSEC 簽章保護」👉 任何憑證遭竄改、替換、MITM,都會立即被拒收 🔐 什麼是 DANE? DANE 是一種使用 DNSSEC 驗證 TLS 憑證的安全機制。 簡單說: DANE 比 MTA-STS 更安全,因為: ✔ 完全防止 MITM ✔ 無法被降級攻擊 ✔ 憑證必須與 DNSSEC 所公布的內容完全一致 ✔ 不需要 CA、甚至可用自簽憑證(但必須與 TLSA 匹配) 🧩 DANE 的三項必要條件…
Category: Cybersecurity
About Cybersecurity
MTA-STS: SMTP Strict Transport Security
📌 Introduction Traditional SMTP transmits email in plaintext, which makes it vulnerable to downgrade attacks, DNS spoofing, and man-in-the-middle (MITM) attacks. To strengthen email security, major providers like Google, Microsoft, and Yahoo introduced MTA-STS (Mail Transfer Agent – Strict Transport Security). The goal of MTA-STS is simple: 👉 Force all sending MTAs to use encrypted…
MTA-STS:SMTP 加密強制政策
📌 前言 電子郵件在傳輸過程中,本質上是明文的。如果中間遭遇 DNS 欺騙、降級攻擊(downgrade attack)或中間人攻擊(MITM),郵件的內容和憑證就可能被攔截或竄改。為提升郵件安全性,Google、Microsoft、Yahoo 等大型郵件供應商提出 MTA-STS(Mail Transfer Agent – Strict Transport Security)標準。 MTA-STS 的目的很簡單: 👉 強制所有寄件伺服器使用 TLS 加密,並驗證憑證,否則拒絕投遞。 🔐 什麼是 MTA-STS? MTA-STS 是一種針對 SMTP 的安全強化機制,允許網域擁有者發布政策,要求其他郵件伺服器: 如果寄件端無法建立安全連線,郵件就會被暫存或退回,而不是以明文方式傳輸。 🧩 MTA-STS 的四大組成 1️⃣ DNS TXT 記錄 宣告你的網域啟用 STS 服務: id 代表版本,只要政策更新就需要調整。 2️⃣ HTTPS 端點(固定 URL) 寄件方會透過 HTTPS 下載你的 STS 政策: 要求: 3️⃣ MTA-STS 政策檔案(Policy File) 範例:…
How to Check CentOS 6 SSH Ciphers, Use Safe Compatibility Flags & Safely Upgrade OpenSSH
Connecting from Ubuntu 22.04 / 24.04 to a legacy CentOS 6 server often results in errors such as: Why?👉 CentOS 6 uses OpenSSH 5.x — extremely outdated and incompatible with modern SSH security requirements. This article explains: 🟦 1. How to Check Which Ciphers / Key Exchange / HostKey Types CentOS 6 Supports Even if…
如何檢查 CentOS 6 SSH 支援的 Cipher / 協定、設定兼容參數、以及安全升級 OpenSSH
當我們從新版 Linux(如 Ubuntu 22.04 / 24.04)連線到 CentOS 6 時,常會因為 OpenSSH 過舊而發生連線錯誤,例如: 造成原因很簡單:👉 CentOS 6 的 OpenSSH 版本嚴重過時(OpenSSH_5.x),只支援舊算法。 這篇文章分成三個部分,協助你安全、有效率地處理 CentOS 6 連線問題: 🟦 1. 如何確認 CentOS 6 支援哪些 Cipher / KEX / HostKey 即使 SSH 連不上,你仍可以在本地查詢目標主機支援的協定: 方法一:使用 ssh -vvv 顯示完整交涉資訊(最簡單) 重點段落: 這裡就可以看到 CentOS 6 提供的: 方法二:直接查詢 SSHD 設定檔 登入 CentOS 6 後: 常見舊參數: 你會發現所有演算法都是 CBC、Group1、DSA —…
Fixing “no matching host key type found” When SSH from Ubuntu 24.04 to CentOS 6
When trying to SSH from Ubuntu 24.04 to a legacy CentOS 6 server, you may encounter the following error: This happens because: In short:👉 The new Ubuntu SSH client refuses the old CentOS 6 SSH server’s key algorithms. This article summarizes several practical and safe ways to connect. ✅ Method 1: Temporarily enable ssh-rsa (recommended)…
Ubuntu 24.04 SSH 到 CentOS 6 出現「no matching host key type found」的解決方法
在 Ubuntu 24.04 終端機使用 SSH 連線到 CentOS 6 時,你可能會遇到以下錯誤訊息: 這個問題主要是因為: 換句話說:👉「新」的 Ubuntu 24.04 不願意用「舊」的 CentOS 6 的金鑰方式。 本文將整理幾種實務上可用、又兼顧安全的連線方法。 ✅ 方法一:一次性允許 ssh-rsa(推薦) 若 CentOS 6 支援 ssh-rsa,可用下列指令強制接受: ✔️ 不修改系統設定✔️ 單次使用比較安全 ✅ 方法二:CentOS 6 只支援 ssh-dss (DSA) 時 若出現錯誤仍無法連上,可能對方只支援 ssh-dss: ⚠️ ssh-dss 已極度不安全,不推薦,只在必要時臨時使用。 ✅ 方法三:在 ~/.ssh/config 中永久加入例外 若需要常常連線此台 CentOS 6,可針對單一 host 放寬設定: 新增: 之後使用: ✔️ 只針對特定主機生效✔️ 不影響整體安全性…
Fixing Fail2Ban Postfix Filter Errors on CentOS 7
1. Background When managing mail servers, Fail2Ban is used to block malicious IPs and brute-force attempts.On CentOS 7 (Fail2Ban v0.11.2 / Python 2.7), running: triggered the following error: 2. Root Cause Fail2Ban filters often reference shared variables like: These are defined in /etc/fail2ban/filter.d/common.conf.However, on older versions (e.g., CentOS 7’s 0.11.x), the IPv4/IPv6 variables are missing,causing…
在 CentOS 7 修正 Fail2Ban Postfix 過濾器錯誤並建立有效防護
一、問題背景 在管理郵件伺服器時,Fail2Ban 常用於封鎖惡意連線或暴力破解行為。Rico 在 CentOS 7(Fail2Ban v0.11.2 / Python 2.7)環境下執行以下指令測試 Postfix 過濾器: 卻出現錯誤訊息: 二、問題原因 Fail2Ban 的過濾器(filter)會引用一些共用變數,如: 這些變數定義在 /etc/fail2ban/filter.d/common.conf。但在某些舊版(如 0.11.x for CentOS 7)中,__prefix_ipv4 和 __prefix_ipv6 並未被定義,導致過濾器解析失敗。 三、修正方法 ✅ 方法一:改用 <HOST>(推薦) Fail2Ban 內建 <HOST> 巨集,自動辨識 IPv4 與 IPv6。修改 /etc/fail2ban/filter.d/postfix-pipelining.conf: 測試: 若輸出顯示: 即代表成功命中。 ✅ 方法二:手動補上變數(若不想改 regex) 在 filter 開頭自行定義: 四、延伸:建立 Postfix 過濾器防護 建立 jail 設定 /etc/fail2ban/jail.d/postfix-pipelining.local: 重新載入: 五、進階:擴充另一個過濾器…
Building a Secure OpenVPN Server on OPNsense — Step-by-Step Practical Guide
Author: Rico WuEnvironment: OPNsense 25.xUse case: Remote work, branch office connectivity, employee VPN 1️⃣ Why OPNsense + OpenVPN? OpenVPN is an open-source, SSL-based VPN protocol that’s secure, cross-platform, and reliable.OPNsense provides a built-in GUI for managing OpenVPN — allowing administrators to quickly deploy: This makes OPNsense a strong, cost-free VPN gateway for modern hybrid work….