MDaemon: tecniche per non finire in black list - Achab
MDaemon: tecniche per non finire in black list - Achab
MDaemon: tecniche per non finire in black list - Achab
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>MDaemon</strong>: <strong>tecniche</strong><br />
<strong>per</strong> <strong>non</strong> <strong>f<strong>in</strong>ire</strong> <strong>in</strong> <strong>black</strong> <strong>list</strong><br />
Claudio Panerai - Direttore Tecnico di <strong>Achab</strong> S.r.l.<br />
claudio.panerai@achab.it
Agenda<br />
• Open relay e <strong>black</strong> <strong>list</strong><br />
– Def<strong>in</strong>izioni e problemi<br />
– Funzionamento<br />
• Verifica se un server è <strong>in</strong> <strong>black</strong> <strong>list</strong><br />
• Configurare <strong>MDaemon</strong> <strong>per</strong> <strong>non</strong> <strong>f<strong>in</strong>ire</strong> <strong>in</strong> <strong>black</strong> <strong>list</strong><br />
• Best practice<br />
– Se si scarica la posta da ISP<br />
– Se si riceve la posta <strong>in</strong> SMTP<br />
• Rimozione da una <strong>black</strong> <strong>list</strong><br />
• F<strong>in</strong>ire <strong>in</strong> <strong>black</strong> <strong>list</strong><br />
– Perché è facile<br />
– Note e Considerazioni<br />
© <strong>Achab</strong> 2009 pag<strong>in</strong>a 2
Open relay<br />
• Cosa è<br />
– Il mail server elabora un messaggio email dove né il<br />
mittente né il dest<strong>in</strong>atario sono utenti locali<br />
Se un'email da mittente@dom<strong>in</strong>io.it viene spedita tramite il mail<br />
server di altrodom<strong>in</strong>io.net all'utente dest<strong>in</strong>atario@dom<strong>in</strong>io.com<br />
sia il mittente sia il dest<strong>in</strong>atario sono fuori dal dom<strong>in</strong>io<br />
altrodom<strong>in</strong>io.net.<br />
Il server di posta, <strong>in</strong> questo esempio, è una terza parte<br />
totalmente <strong>non</strong> correlata a questa transazione.<br />
• Perché è un problema<br />
– Costituisce una m<strong>in</strong>accia all’utilità della posta elettronica<br />
– Se è il proprio server ad essere open relay, probabilmente<br />
f<strong>in</strong>irà il <strong>black</strong> <strong>list</strong><br />
© <strong>Achab</strong> 2009 pag<strong>in</strong>a 3
Black <strong>list</strong><br />
• Cosa è<br />
– Un database di <strong>in</strong>dirizzi IP ritenuti <strong>per</strong>icolosi <strong>in</strong> quanto<br />
sorgente di spam<br />
– Sono sistemi <strong>in</strong>dipendenti<br />
– Nessuno li controlla, ma ci si fida abbastanza<br />
• Perché è un problema<br />
– Un server presente <strong>in</strong> <strong>black</strong> <strong>list</strong> avrà<br />
problemi a recapitare correttamente<br />
le proprie email<br />
– I server riceventi <strong>non</strong> sono disponibili<br />
ad accettare messaggi che arrivano<br />
da server presenti <strong>in</strong> <strong>black</strong> <strong>list</strong><br />
© <strong>Achab</strong> 2009 pag<strong>in</strong>a 4
Black <strong>list</strong>: come funziona<br />
1. L'utente <strong>in</strong>oltra l'email al server di posta <strong>in</strong> uscita, un<br />
cosiddetto server SMTP<br />
© <strong>Achab</strong> 2009 pag<strong>in</strong>a 5
Black <strong>list</strong>: come funziona<br />
1. L'utente <strong>in</strong>oltra l'email al server di posta <strong>in</strong> uscita, un cosiddetto server SMTP<br />
2. Il server di posta <strong>in</strong> uscita stabilisce una connessione<br />
verso il server di posta del dest<strong>in</strong>atario, e cerca di<br />
consegnare l'email al dest<strong>in</strong>atario.<br />
© <strong>Achab</strong> 2009 pag<strong>in</strong>a 6
Black <strong>list</strong>: come funziona<br />
1. L'utente <strong>in</strong>oltra l'email al server di posta <strong>in</strong> uscita, un cosiddetto server SMTP<br />
2. Il server di posta <strong>in</strong> uscita stabilisce una connessione verso il server di posta del<br />
dest<strong>in</strong>atario, e cerca di consegnare l'email al dest<strong>in</strong>atario.<br />
3. Il server di posta <strong>in</strong> ricezione <strong>in</strong>terroga il database della<br />
<strong>black</strong> <strong>list</strong>, <strong>per</strong> vedere se il server di posta mittente è<br />
elencato fra gli open relay o se l'IP del server mittente è<br />
presente <strong>in</strong> una <strong>black</strong> <strong>list</strong>.<br />
© <strong>Achab</strong> 2009 pag<strong>in</strong>a 7
Black <strong>list</strong>: come funziona<br />
1. L'utente <strong>in</strong>oltra l'email al server di posta <strong>in</strong> uscita, un cosiddetto server SMTP<br />
2. Il server di posta <strong>in</strong> uscita stabilisce una connessione verso il server di posta del<br />
dest<strong>in</strong>atario, e cerca di consegnare l'email al dest<strong>in</strong>atario.<br />
3. Il server di posta <strong>in</strong> ricezione <strong>in</strong>terroga il database della <strong>black</strong> <strong>list</strong>, <strong>per</strong> vedere se<br />
il server di posta mittente è elencato fra gli open relay o se l'IP del server<br />
mittente è presente <strong>in</strong> una <strong>black</strong> <strong>list</strong>.<br />
4. Il server che ha la <strong>black</strong> <strong>list</strong> risponde<br />
al server di posta <strong>in</strong> ricezione, e lo<br />
<strong>in</strong>forma se il tuo server di posta <strong>in</strong><br />
uscita è nell'elenco<br />
© <strong>Achab</strong> 2009 pag<strong>in</strong>a 8
Black <strong>list</strong>: come funziona<br />
1. L'utente <strong>in</strong>oltra l'email al server di posta <strong>in</strong> uscita, un cosiddetto server SMTP<br />
2. Il server di posta <strong>in</strong> uscita stabilisce una connessione verso il server di posta del<br />
dest<strong>in</strong>atario, e cerca di consegnare l'email al dest<strong>in</strong>atario.<br />
3. Il server di posta <strong>in</strong> ricezione <strong>in</strong>terroga il database della <strong>black</strong> <strong>list</strong>, <strong>per</strong> vedere se<br />
il server di posta mittente è elencato fra gli open relay o se l'IP del server<br />
mittente è presente <strong>in</strong> una <strong>black</strong> <strong>list</strong>.<br />
4. Il server che ha la <strong>black</strong> <strong>list</strong> risponde al server di posta <strong>in</strong> ricezione, e lo <strong>in</strong>forma<br />
se il tuo server di posta <strong>in</strong> uscita è nell'elenco<br />
5. Se risulta che il server di posta <strong>in</strong><br />
uscita è nell'elenco, il server di posta<br />
<strong>in</strong> ricezione può scegliere di<br />
resp<strong>in</strong>gere la connessione dal server<br />
di posta mittente, e di dirgli che <strong>non</strong><br />
è autorizzato a <strong>in</strong>oltrare la posta.<br />
© <strong>Achab</strong> 2009 pag<strong>in</strong>a 9
Black <strong>list</strong>: come funziona<br />
1. L'utente <strong>in</strong>oltra l'email al server di posta <strong>in</strong> uscita, un cosiddetto server SMTP<br />
2. Il server di posta <strong>in</strong> uscita stabilisce una connessione verso il server di posta del<br />
dest<strong>in</strong>atario, e cerca di consegnare l'email al dest<strong>in</strong>atario.<br />
3. Il server di posta <strong>in</strong> ricezione <strong>in</strong>terroga il database della <strong>black</strong> <strong>list</strong>, <strong>per</strong> vedere se<br />
il server di posta mittente è elencato fra gli open relay o se l'IP del server<br />
mittente è presente <strong>in</strong> una <strong>black</strong> <strong>list</strong>.<br />
4. Il server che ha la <strong>black</strong> <strong>list</strong> risponde al server di posta <strong>in</strong> ricezione, e lo <strong>in</strong>forma<br />
se il tuo server di posta <strong>in</strong> uscita è nell'elenco<br />
5. Se risulta che il server di posta <strong>in</strong> uscita è nell’<br />
elenco, il server di posta <strong>in</strong> ricezione può scegliere<br />
di resp<strong>in</strong>gere la connessione dal server di posta<br />
mittente, e di dirgli che <strong>non</strong> è autorizzato a<br />
<strong>in</strong>oltrare la posta.<br />
6. L'utente riceve un messaggio di<br />
ritorno, detto "bounce" , con<br />
l'<strong>in</strong>dicazione<br />
che la email di partenza <strong>non</strong> è<br />
arrivata a dest<strong>in</strong>azione.<br />
© <strong>Achab</strong> 2009 pag<strong>in</strong>a 10
Verificare se un server è <strong>in</strong> <strong>black</strong><strong>list</strong><br />
• Controllo su siti pubblici come www.dnsstuff.com<br />
• In generale è un controllo a posteriori quando già i<br />
dest<strong>in</strong>atari <strong>non</strong> ricevo la posta, il tempo che <strong>in</strong>tercorre fra<br />
l’<strong>in</strong>serimento <strong>in</strong> <strong>black</strong> <strong>list</strong> e quando su rileva può essere<br />
anche di diversi giorni<br />
• Monitoraggio proattivo,<br />
<strong>per</strong> esempio con script<br />
pilotati da Kaseya<br />
© <strong>Achab</strong> 2009 pag<strong>in</strong>a 11
Configurare <strong>MDaemon</strong> <strong>per</strong> <strong>non</strong> <strong>f<strong>in</strong>ire</strong> <strong>in</strong> <strong>black</strong> <strong>list</strong><br />
• Tutti i dom<strong>in</strong>i gestiti dal server devono avere un account o<br />
un alias del tipo: postmaster@dom<strong>in</strong>io<br />
• Tutti i dom<strong>in</strong>i gestiti dal server devono un account o un<br />
alias del tipo: abuse@dom<strong>in</strong>io<br />
• Verificare se il mail server recapita un'email <strong>in</strong>viata da<br />
postmaster@dom<strong>in</strong>io a un dest<strong>in</strong>atario remoto nell'ambito<br />
di una sessione <strong>non</strong> autenticata<br />
• Verificare se il mail server recapita un'email <strong>in</strong>viata da<br />
root@dom<strong>in</strong>io a un dest<strong>in</strong>atario remoto nell'ambito di una<br />
sessione <strong>non</strong> autenticata<br />
• Verificare se il mail server recapita un'email <strong>in</strong>viata da<br />
test@dom<strong>in</strong>io a un dest<strong>in</strong>atario remoto nell'ambito di una<br />
sessione <strong>non</strong> autenticata<br />
© <strong>Achab</strong> 2009 pag<strong>in</strong>a 12
Configurare <strong>MDaemon</strong> <strong>per</strong> <strong>non</strong> <strong>f<strong>in</strong>ire</strong> <strong>in</strong> <strong>black</strong> <strong>list</strong><br />
• Tutti i dom<strong>in</strong>i gestiti dal server devono avere un account o un<br />
alias del tipo: postmaster@dom<strong>in</strong>io<br />
• Verificare che nel menu Accounts->Address aliases->Options sia<br />
abilitata l'opzione "Mail From postmaster…"<br />
In <strong>MDaemon</strong> 10: Accounts->Account sett<strong>in</strong>gs->Aliases->Options<br />
• Evitare di creare gli account root e test a meno di aver abilitato<br />
l'autenticazione <strong>per</strong> tutti gli account<br />
• Verificare che nel menu Security->Relay/Trusts/....->Relay<br />
Sett<strong>in</strong>gs siano abilitati i flag "Do not allow message relay<strong>in</strong>g",<br />
"SMTP MAIL…" e "SMTP RCPT TO…"<br />
In <strong>MDaemon</strong> 10: Security->Security sett<strong>in</strong>gs-> Relay control<br />
• Verificare che siano abilitate le "strong password", controllando il<br />
menu Setup->Miscellaneous options->Misc e abilitando il flag<br />
"Require strong passwords"<br />
In <strong>MDaemon</strong> 10: Accounts->Accounts sett<strong>in</strong>gs->New Account Defaults<br />
© <strong>Achab</strong> 2009 pag<strong>in</strong>a 13
Configurare <strong>MDaemon</strong> <strong>per</strong> <strong>non</strong> <strong>f<strong>in</strong>ire</strong> <strong>in</strong> <strong>black</strong> <strong>list</strong><br />
• Verificare che sia abilitata almeno una delle seguenti voci:<br />
– o nel menu Security->Ip Shiled/AUTH...->POP before SMTP<br />
sia abilitata la voce "Local sender must...“<br />
In <strong>MDaemon</strong> 10: Security->Security sett<strong>in</strong>gs->Pop before SMTP<br />
– o nel menu Security->Ip Shiled/AUTH...->SMTP<br />
Authentication sia abilitata la voce "Authentication is always<br />
required...”<br />
In <strong>MDaemon</strong> 10: Security->Security sett<strong>in</strong>gs->SMTP Authentication<br />
• Verificare che nel menu Setup->Relay/Trusts/....->Trusted<br />
host <strong>non</strong> sia <strong>in</strong>serito il proprio dom<strong>in</strong>io<br />
In <strong>MDaemon</strong> 10: Security->Security sett<strong>in</strong>gs->Trusted hosts<br />
© <strong>Achab</strong> 2009 pag<strong>in</strong>a 14
Best practice: se si scarica dal proprio ISP<br />
• Configurare <strong>MDaemon</strong> aff<strong>in</strong>ché consegni la posta al<br />
proprio ISP<br />
– Se si spedisce direttamente la posta elettronica si rischia<br />
di vedere resp<strong>in</strong>te le proprie email<br />
© <strong>Achab</strong> 2009 pag<strong>in</strong>a 15
Best practice: se si riceve direttamente <strong>in</strong> SMTP<br />
• Chiedere al proprio fornitore di connettività di <strong>in</strong>serire<br />
nella reverse zone del DNS l'<strong>in</strong>dirizzo IP del proprio<br />
mail server<br />
© <strong>Achab</strong> 2009 pag<strong>in</strong>a 16
Rimozione da una <strong>black</strong><strong>list</strong><br />
• Stare calmi e armarsi di pazienza<br />
• Verificare di aver seguito e messo <strong>in</strong> pratica<br />
tutte le best practice<br />
– vedi http://www.achab.it/download/<strong>MDaemon</strong>/doc/<strong>MDaemon</strong>_EvitareBlack<strong>list</strong>.pdf<br />
• Essere certi di <strong>non</strong> avere un virus <strong>in</strong> rete e aver chiuso<br />
anche <strong>in</strong> uscita la porta 25 del firewall<br />
(a<strong>per</strong>ta solo <strong>per</strong> il mailserver)<br />
• Chiedere la rimozione al sito dove si è <strong>list</strong>ati<br />
• Osservazioni:<br />
– I siti sono quasi sempre <strong>in</strong> <strong>in</strong>glese con istruzioni <strong>in</strong> <strong>in</strong>glese<br />
– Si tratta di procedure automatiche qu<strong>in</strong>di <strong>non</strong> si possono<br />
chiedere solleciti<br />
– Ogni sito può avere una procedura diversa dagli altri<br />
© <strong>Achab</strong> 2009 pag<strong>in</strong>a 17
F<strong>in</strong>ire <strong>in</strong> <strong>black</strong> <strong>list</strong> è facile<br />
• Gli utenti potrebbero avere password “facili” e un qualsiasi<br />
virus o spammer è <strong>in</strong> grado di <strong>in</strong>dov<strong>in</strong>arle e usarle <strong>per</strong> fare<br />
spam<br />
• Non importa se è abilitato il flag <strong>per</strong> le password sicure <strong>in</strong><br />
<strong>MDaemon</strong>: se si aggiorna da vecchie <strong>in</strong>stallazioni le<br />
password <strong>non</strong> vengono toccate<br />
• Se una postazione <strong>in</strong>terna ha un virus <strong>non</strong> ci mette nulla a<br />
uscire dal router firewall sulla porta 25 a mano che questa<br />
<strong>non</strong> sia chiusa.<br />
Qu<strong>in</strong>di il virus esce con lo stesso IP del mail server e porta<br />
dritti alla <strong>black</strong> <strong>list</strong><br />
• Attenzione a mettere le macch<strong>in</strong>e (o i clienti) <strong>in</strong> trust,<br />
<strong>per</strong>ché da quel buco a<strong>per</strong>to, può passare di tutto.<br />
© <strong>Achab</strong> 2009 pag<strong>in</strong>a 18
Grazie!<br />
Claudio Panerai - Direttore Tecnico di <strong>Achab</strong> S.r.l.<br />
claudio.panerai@achab.it