Hacker News Digest

Mozilla представила SSL Configuration Generator — инструмент для создания безопасных конфигураций SSL/TLS для различных серверных программ. Генератор поддерживает 22 популярных ПО, включая Apache, nginx, HAProxy, Tomcat, Postfix и другие. Пользователи могут выбрать один из трех уровней конфигураций: Modern для сервисов с поддержкой TLS 1.3, Intermediate для универсальных серверов и Old для устаревших клиентов. Интегрирована функция автоматического перенаправления на HTTPS, а также возможность копирования готовых конфигураций.

Инструмент предоставляет гибкие настройки в зависимости от окружения, включая версию сервера и OpenSSL. Mozilla предлагает дополнительные ресурсы для обеспечения безопасности: от собственных рекомендаций по TLS до тестирования серверов через Qualys SSL Labs. Проект открыт для сообщества — пользователи могут сообщать об ошибках или добавлять поддержку нового ПО. Генератор регулярно обновляется, что гарантирует актуальность конфигураций в условиях постоянно меняющихся угроз безопасности.

• Упомянуты инструменты для проверки безопасности: сканер заголовков безопасности (securityheaders.com), проверка TLS (ssllabs.com), CLI-сканер для локальных/автоматизированных проверок.
• Поднимается вопрос устаревания термина "SSL" в пользу "TLS", но аргументируется его сохранение из-за обратной совместимости, привычки и исторической преемственности (Mozilla).
• Критика инструментов: отсутствие поддержки mTLS, использование устаревших терминов (AWS ELB), риск "слепого" применения заголовков безопасности, вопрос о целесообразности кастомных конфигураций вместо улучшения настроек по умолчанию в ПО.
• Отмечена сложность и нишевость mTLS (требует клиентских сертификатов, часто своего CA), что объясняет его отсутствие в конфигураторе.

Самостоятельный хостинг почтового сервера — это практичный и почти бесплатный способ автоматизировать рассылки и верификацию, если вы готовы мириться с рисками доставки. Основная сложность — не настройка, а обеспечение того, чтобы письма не попадали в спам у крупных провайдеров вроде Gmail. Для этого достаточно Postfix как SMTP-сервера и OpenDKIM для цифровой подписи писем, плюс правильная конфигурация TLS на порту 25.

Ключевые шаги — выпуск SSL-сертификата для MX-записи, настройка DKIM, SPF и DMARC в DNS. Это разовые действия, но они критичны для репутации домена. Автор отказался от многопользовательского веб-интерфейса, упростив задачу до работы через SSH и консольные утилиты вроде Mutt, что свело затраты времени к минимуму.

• Самостоятельный хостинг почты возможен и практикуется десятилетиями, но требует технических знаний и постоянного обслуживания для обеспечения доставки и безопасности.
• Основные проблемы: репутация IP-адресов, блокировки крупными провайдерами (Gmail, Outlook), uptime и сложность борьбы со спамом.
• Ключевые технологии для успешной доставки: правильная настройка SPF, DKIM, DMARC и PTR-записей.
• Рекомендуются готовые решения (Mail-in-a-Box, Stalwart) для упрощения начальной настройки.
• Рассматривается как хобби для технических специалистов, а не как решение для рядового пользователя.

Покинул Gmail ради Mailbox.org.
С 2007 г. Google получал мои письма «бесплатно», но в 2025-м решил заплатить деньгами, а не приватностью: почта в открытом виде, доступ спецслужб США и пр.

Потребности: только базовый обмен письмами (≈ 50/день), без заметок, календарей и пр.
Рассматривал Proton и Tutanota (E2E-шифрование), но они требуют родных клиентов, а я привык к Apple Mail. Остался Mailbox.org:

• €2,50/мес (оплата за год) = 10 ГБ почта + 5 ГБ облако;
• можно докупать до 100 ГБ по €0,20/ГБ;
• PGP встроен или внешний;
• без автопродления.

Зарегистрировал giuliomagnifico@mailbox.org, заплатил €3 за пробный месяц. Веб-интерфейс лаконичнее Gmail, мобильный тоже удобен. Папки вместо меток — прямо в Apple Mail.

Перенёс всё через imapsync на домашнем сервере:

docker compose run --rm imapsync imapsync \
  --host1 imap.gmail.com --user1 … --password1 … --ssl1 \
  --host2 imap.mailbox.org --user2 … --password2 … --ssl2 \
  --automap --syncinternaldates --skipsize \
  --exclude "\[Gmail\]/All Mail" \
  --regextrans2 "s/\[Imap\]\/Archive/Archive/"

Процесс занял ≈ 3 ч, 11 201 письмо. Gmail теперь можно стереть.

• Пользователи массово уходят из Gmail ради диверсификации и приватности, выбирая Fastmail, Mailbox.org, ProtonMail, Tutanota, Zoho, Migadu, Purelymail и др.
• Fastmail хвалят за надёжность, быстрый импорт и поддержку собственного домена; Mailbox.org — за PGP и IMAP, но ругают спам-фильтр и UI.
• Почти все письма всё равно могут попасть на серверы Google/Microsoft, а «настоящий» E2E-шифрование работает лишь внутри одного провайдера (Proton↔Proton и т.д.).
• Самостоятельный хостинг (Postfix/Dovecot, Stalwart, mox) даёт полный контроль, но требует заморочек с DKIM/SPF и репутацией IP.
• Ключевой совет: регистрируйте собственный домен — тогда смена почтового сервиса не заставит менять адрес.