MDaemon: tecniche per non finire in black list - Achab
10.06.2013 Views
Share Embed Flag

MDaemon: tecniche per non finire in black list - Achab

MDaemon: tecniche per non finire in black list - Achab

MDaemon: tecniche per non finire in black list - Achab

SHOW MORE
SHOW LESS
ePAPER READ
DOWNLOAD ePAPER
achab.it

You also want an ePaper? Increase the reach of your titles

YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.

START NOW

<strong>MDaemon</strong>: <strong>tecniche</strong><br />

<strong>per</strong> <strong>non</strong> <strong>f<strong>in</strong>ire</strong> <strong>in</strong> <strong>black</strong> <strong>list</strong><br />

Claudio Panerai - Direttore Tecnico di <strong>Achab</strong> S.r.l.<br />

claudio.panerai@achab.it

Agenda<br />

• Open relay e <strong>black</strong> <strong>list</strong><br />

– Def<strong>in</strong>izioni e problemi<br />

– Funzionamento<br />

• Verifica se un server è <strong>in</strong> <strong>black</strong> <strong>list</strong><br />

• Configurare <strong>MDaemon</strong> <strong>per</strong> <strong>non</strong> <strong>f<strong>in</strong>ire</strong> <strong>in</strong> <strong>black</strong> <strong>list</strong><br />

• Best practice<br />

– Se si scarica la posta da ISP<br />

– Se si riceve la posta <strong>in</strong> SMTP<br />

• Rimozione da una <strong>black</strong> <strong>list</strong><br />

• F<strong>in</strong>ire <strong>in</strong> <strong>black</strong> <strong>list</strong><br />

– Perché è facile<br />

– Note e Considerazioni<br />

© <strong>Achab</strong> 2009 pag<strong>in</strong>a 2

Open relay<br />

• Cosa è<br />

– Il mail server elabora un messaggio email dove né il<br />

mittente né il dest<strong>in</strong>atario sono utenti locali<br />

Se un'email da mittente@dom<strong>in</strong>io.it viene spedita tramite il mail<br />

server di altrodom<strong>in</strong>io.net all'utente dest<strong>in</strong>atario@dom<strong>in</strong>io.com<br />

sia il mittente sia il dest<strong>in</strong>atario sono fuori dal dom<strong>in</strong>io<br />

altrodom<strong>in</strong>io.net.<br />

Il server di posta, <strong>in</strong> questo esempio, è una terza parte<br />

totalmente <strong>non</strong> correlata a questa transazione.<br />

• Perché è un problema<br />

– Costituisce una m<strong>in</strong>accia all’utilità della posta elettronica<br />

– Se è il proprio server ad essere open relay, probabilmente<br />

f<strong>in</strong>irà il <strong>black</strong> <strong>list</strong><br />

© <strong>Achab</strong> 2009 pag<strong>in</strong>a 3

Black <strong>list</strong><br />

• Cosa è<br />

– Un database di <strong>in</strong>dirizzi IP ritenuti <strong>per</strong>icolosi <strong>in</strong> quanto<br />

sorgente di spam<br />

– Sono sistemi <strong>in</strong>dipendenti<br />

– Nessuno li controlla, ma ci si fida abbastanza<br />

• Perché è un problema<br />

– Un server presente <strong>in</strong> <strong>black</strong> <strong>list</strong> avrà<br />

problemi a recapitare correttamente<br />

le proprie email<br />

– I server riceventi <strong>non</strong> sono disponibili<br />

ad accettare messaggi che arrivano<br />

da server presenti <strong>in</strong> <strong>black</strong> <strong>list</strong><br />

© <strong>Achab</strong> 2009 pag<strong>in</strong>a 4

Black <strong>list</strong>: come funziona<br />

1. L'utente <strong>in</strong>oltra l'email al server di posta <strong>in</strong> uscita, un<br />

cosiddetto server SMTP<br />

© <strong>Achab</strong> 2009 pag<strong>in</strong>a 5

Black <strong>list</strong>: come funziona<br />

1. L'utente <strong>in</strong>oltra l'email al server di posta <strong>in</strong> uscita, un cosiddetto server SMTP<br />

2. Il server di posta <strong>in</strong> uscita stabilisce una connessione<br />

verso il server di posta del dest<strong>in</strong>atario, e cerca di<br />

consegnare l'email al dest<strong>in</strong>atario.<br />

© <strong>Achab</strong> 2009 pag<strong>in</strong>a 6

Black <strong>list</strong>: come funziona<br />

1. L'utente <strong>in</strong>oltra l'email al server di posta <strong>in</strong> uscita, un cosiddetto server SMTP<br />

2. Il server di posta <strong>in</strong> uscita stabilisce una connessione verso il server di posta del<br />

dest<strong>in</strong>atario, e cerca di consegnare l'email al dest<strong>in</strong>atario.<br />

3. Il server di posta <strong>in</strong> ricezione <strong>in</strong>terroga il database della<br />

<strong>black</strong> <strong>list</strong>, <strong>per</strong> vedere se il server di posta mittente è<br />

elencato fra gli open relay o se l'IP del server mittente è<br />

presente <strong>in</strong> una <strong>black</strong> <strong>list</strong>.<br />

© <strong>Achab</strong> 2009 pag<strong>in</strong>a 7

Black <strong>list</strong>: come funziona<br />

1. L'utente <strong>in</strong>oltra l'email al server di posta <strong>in</strong> uscita, un cosiddetto server SMTP<br />

2. Il server di posta <strong>in</strong> uscita stabilisce una connessione verso il server di posta del<br />

dest<strong>in</strong>atario, e cerca di consegnare l'email al dest<strong>in</strong>atario.<br />

3. Il server di posta <strong>in</strong> ricezione <strong>in</strong>terroga il database della <strong>black</strong> <strong>list</strong>, <strong>per</strong> vedere se<br />

il server di posta mittente è elencato fra gli open relay o se l'IP del server<br />

mittente è presente <strong>in</strong> una <strong>black</strong> <strong>list</strong>.<br />

4. Il server che ha la <strong>black</strong> <strong>list</strong> risponde<br />

al server di posta <strong>in</strong> ricezione, e lo<br />

<strong>in</strong>forma se il tuo server di posta <strong>in</strong><br />

uscita è nell'elenco<br />

© <strong>Achab</strong> 2009 pag<strong>in</strong>a 8

Black <strong>list</strong>: come funziona<br />

1. L'utente <strong>in</strong>oltra l'email al server di posta <strong>in</strong> uscita, un cosiddetto server SMTP<br />

2. Il server di posta <strong>in</strong> uscita stabilisce una connessione verso il server di posta del<br />

dest<strong>in</strong>atario, e cerca di consegnare l'email al dest<strong>in</strong>atario.<br />

3. Il server di posta <strong>in</strong> ricezione <strong>in</strong>terroga il database della <strong>black</strong> <strong>list</strong>, <strong>per</strong> vedere se<br />

il server di posta mittente è elencato fra gli open relay o se l'IP del server<br />

mittente è presente <strong>in</strong> una <strong>black</strong> <strong>list</strong>.<br />

4. Il server che ha la <strong>black</strong> <strong>list</strong> risponde al server di posta <strong>in</strong> ricezione, e lo <strong>in</strong>forma<br />

se il tuo server di posta <strong>in</strong> uscita è nell'elenco<br />

5. Se risulta che il server di posta <strong>in</strong><br />

uscita è nell'elenco, il server di posta<br />

<strong>in</strong> ricezione può scegliere di<br />

resp<strong>in</strong>gere la connessione dal server<br />

di posta mittente, e di dirgli che <strong>non</strong><br />

è autorizzato a <strong>in</strong>oltrare la posta.<br />

© <strong>Achab</strong> 2009 pag<strong>in</strong>a 9

Black <strong>list</strong>: come funziona<br />

1. L'utente <strong>in</strong>oltra l'email al server di posta <strong>in</strong> uscita, un cosiddetto server SMTP<br />

2. Il server di posta <strong>in</strong> uscita stabilisce una connessione verso il server di posta del<br />

dest<strong>in</strong>atario, e cerca di consegnare l'email al dest<strong>in</strong>atario.<br />

3. Il server di posta <strong>in</strong> ricezione <strong>in</strong>terroga il database della <strong>black</strong> <strong>list</strong>, <strong>per</strong> vedere se<br />

il server di posta mittente è elencato fra gli open relay o se l'IP del server<br />

mittente è presente <strong>in</strong> una <strong>black</strong> <strong>list</strong>.<br />

4. Il server che ha la <strong>black</strong> <strong>list</strong> risponde al server di posta <strong>in</strong> ricezione, e lo <strong>in</strong>forma<br />

se il tuo server di posta <strong>in</strong> uscita è nell'elenco<br />

5. Se risulta che il server di posta <strong>in</strong> uscita è nell’<br />

elenco, il server di posta <strong>in</strong> ricezione può scegliere<br />

di resp<strong>in</strong>gere la connessione dal server di posta<br />

mittente, e di dirgli che <strong>non</strong> è autorizzato a<br />

<strong>in</strong>oltrare la posta.<br />

6. L'utente riceve un messaggio di<br />

ritorno, detto "bounce" , con<br />

l'<strong>in</strong>dicazione<br />

che la email di partenza <strong>non</strong> è<br />

arrivata a dest<strong>in</strong>azione.<br />

© <strong>Achab</strong> 2009 pag<strong>in</strong>a 10

Verificare se un server è <strong>in</strong> <strong>black</strong><strong>list</strong><br />

• Controllo su siti pubblici come www.dnsstuff.com<br />

• In generale è un controllo a posteriori quando già i<br />

dest<strong>in</strong>atari <strong>non</strong> ricevo la posta, il tempo che <strong>in</strong>tercorre fra<br />

l’<strong>in</strong>serimento <strong>in</strong> <strong>black</strong> <strong>list</strong> e quando su rileva può essere<br />

anche di diversi giorni<br />

• Monitoraggio proattivo,<br />

<strong>per</strong> esempio con script<br />

pilotati da Kaseya<br />

© <strong>Achab</strong> 2009 pag<strong>in</strong>a 11

Configurare <strong>MDaemon</strong> <strong>per</strong> <strong>non</strong> <strong>f<strong>in</strong>ire</strong> <strong>in</strong> <strong>black</strong> <strong>list</strong><br />

• Tutti i dom<strong>in</strong>i gestiti dal server devono avere un account o<br />

un alias del tipo: postmaster@dom<strong>in</strong>io<br />

• Tutti i dom<strong>in</strong>i gestiti dal server devono un account o un<br />

alias del tipo: abuse@dom<strong>in</strong>io<br />

• Verificare se il mail server recapita un'email <strong>in</strong>viata da<br />

postmaster@dom<strong>in</strong>io a un dest<strong>in</strong>atario remoto nell'ambito<br />

di una sessione <strong>non</strong> autenticata<br />

• Verificare se il mail server recapita un'email <strong>in</strong>viata da<br />

root@dom<strong>in</strong>io a un dest<strong>in</strong>atario remoto nell'ambito di una<br />

sessione <strong>non</strong> autenticata<br />

• Verificare se il mail server recapita un'email <strong>in</strong>viata da<br />

test@dom<strong>in</strong>io a un dest<strong>in</strong>atario remoto nell'ambito di una<br />

sessione <strong>non</strong> autenticata<br />

© <strong>Achab</strong> 2009 pag<strong>in</strong>a 12

Configurare <strong>MDaemon</strong> <strong>per</strong> <strong>non</strong> <strong>f<strong>in</strong>ire</strong> <strong>in</strong> <strong>black</strong> <strong>list</strong><br />

• Tutti i dom<strong>in</strong>i gestiti dal server devono avere un account o un<br />

alias del tipo: postmaster@dom<strong>in</strong>io<br />

• Verificare che nel menu Accounts->Address aliases->Options sia<br />

abilitata l'opzione "Mail From postmaster…"<br />

In <strong>MDaemon</strong> 10: Accounts->Account sett<strong>in</strong>gs->Aliases->Options<br />

• Evitare di creare gli account root e test a meno di aver abilitato<br />

l'autenticazione <strong>per</strong> tutti gli account<br />

• Verificare che nel menu Security->Relay/Trusts/....->Relay<br />

Sett<strong>in</strong>gs siano abilitati i flag "Do not allow message relay<strong>in</strong>g",<br />

"SMTP MAIL…" e "SMTP RCPT TO…"<br />

In <strong>MDaemon</strong> 10: Security->Security sett<strong>in</strong>gs-> Relay control<br />

• Verificare che siano abilitate le "strong password", controllando il<br />

menu Setup->Miscellaneous options->Misc e abilitando il flag<br />

"Require strong passwords"<br />

In <strong>MDaemon</strong> 10: Accounts->Accounts sett<strong>in</strong>gs->New Account Defaults<br />

© <strong>Achab</strong> 2009 pag<strong>in</strong>a 13

Configurare <strong>MDaemon</strong> <strong>per</strong> <strong>non</strong> <strong>f<strong>in</strong>ire</strong> <strong>in</strong> <strong>black</strong> <strong>list</strong><br />

• Verificare che sia abilitata almeno una delle seguenti voci:<br />

– o nel menu Security->Ip Shiled/AUTH...->POP before SMTP<br />

sia abilitata la voce "Local sender must...“<br />

In <strong>MDaemon</strong> 10: Security->Security sett<strong>in</strong>gs->Pop before SMTP<br />

– o nel menu Security->Ip Shiled/AUTH...->SMTP<br />

Authentication sia abilitata la voce "Authentication is always<br />

required...”<br />

In <strong>MDaemon</strong> 10: Security->Security sett<strong>in</strong>gs->SMTP Authentication<br />

• Verificare che nel menu Setup->Relay/Trusts/....->Trusted<br />

host <strong>non</strong> sia <strong>in</strong>serito il proprio dom<strong>in</strong>io<br />

In <strong>MDaemon</strong> 10: Security->Security sett<strong>in</strong>gs->Trusted hosts<br />

© <strong>Achab</strong> 2009 pag<strong>in</strong>a 14

Best practice: se si scarica dal proprio ISP<br />

• Configurare <strong>MDaemon</strong> aff<strong>in</strong>ché consegni la posta al<br />

proprio ISP<br />

– Se si spedisce direttamente la posta elettronica si rischia<br />

di vedere resp<strong>in</strong>te le proprie email<br />

© <strong>Achab</strong> 2009 pag<strong>in</strong>a 15

Best practice: se si riceve direttamente <strong>in</strong> SMTP<br />

• Chiedere al proprio fornitore di connettività di <strong>in</strong>serire<br />

nella reverse zone del DNS l'<strong>in</strong>dirizzo IP del proprio<br />

mail server<br />

© <strong>Achab</strong> 2009 pag<strong>in</strong>a 16

Rimozione da una <strong>black</strong><strong>list</strong><br />

• Stare calmi e armarsi di pazienza<br />

• Verificare di aver seguito e messo <strong>in</strong> pratica<br />

tutte le best practice<br />

– vedi http://www.achab.it/download/<strong>MDaemon</strong>/doc/<strong>MDaemon</strong>_EvitareBlack<strong>list</strong>.pdf<br />

• Essere certi di <strong>non</strong> avere un virus <strong>in</strong> rete e aver chiuso<br />

anche <strong>in</strong> uscita la porta 25 del firewall<br />

(a<strong>per</strong>ta solo <strong>per</strong> il mailserver)<br />

• Chiedere la rimozione al sito dove si è <strong>list</strong>ati<br />

• Osservazioni:<br />

– I siti sono quasi sempre <strong>in</strong> <strong>in</strong>glese con istruzioni <strong>in</strong> <strong>in</strong>glese<br />

– Si tratta di procedure automatiche qu<strong>in</strong>di <strong>non</strong> si possono<br />

chiedere solleciti<br />

– Ogni sito può avere una procedura diversa dagli altri<br />

© <strong>Achab</strong> 2009 pag<strong>in</strong>a 17

F<strong>in</strong>ire <strong>in</strong> <strong>black</strong> <strong>list</strong> è facile<br />

• Gli utenti potrebbero avere password “facili” e un qualsiasi<br />

virus o spammer è <strong>in</strong> grado di <strong>in</strong>dov<strong>in</strong>arle e usarle <strong>per</strong> fare<br />

spam<br />

• Non importa se è abilitato il flag <strong>per</strong> le password sicure <strong>in</strong><br />

<strong>MDaemon</strong>: se si aggiorna da vecchie <strong>in</strong>stallazioni le<br />

password <strong>non</strong> vengono toccate<br />

• Se una postazione <strong>in</strong>terna ha un virus <strong>non</strong> ci mette nulla a<br />

uscire dal router firewall sulla porta 25 a mano che questa<br />

<strong>non</strong> sia chiusa.<br />

Qu<strong>in</strong>di il virus esce con lo stesso IP del mail server e porta<br />

dritti alla <strong>black</strong> <strong>list</strong><br />

• Attenzione a mettere le macch<strong>in</strong>e (o i clienti) <strong>in</strong> trust,<br />

<strong>per</strong>ché da quel buco a<strong>per</strong>to, può passare di tutto.<br />

© <strong>Achab</strong> 2009 pag<strong>in</strong>a 18

Grazie!<br />

Claudio Panerai - Direttore Tecnico di <strong>Achab</strong> S.r.l.<br />

claudio.panerai@achab.it

logo

Prodotti

Risorse

Aziende

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!