—Manuale utente DM— Manuale utente MailServer DM · 2012-08-02 · —Manuale utente DM— mai perfettamente sincronizzata a causa dell’impossibilitá del Server di gestire

—Manuale utente DM—

Manuale utenteMailServer DM

2 Agosto 2012

rev 1.0, DMClient build 27, DMCM build 7

1


2


Indice

1 Come funziona un Mail Server 11.1 Elenco dei Delivery Error più comuni . . . . . . . . . . . . . . . . . . . . . . . . . . 2

2 Recapito Email 52.1 Il protocollo POP3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.2 Il protocollo IMAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62.3 Crittografia e porte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62.4 Elenco delle porte utilizzate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

3 Record DNS e domini 9

4 Come funziona il DM 114.1 Software di Sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

5 Wizard e Best Practices 13

6 Client di posta e configurazione su Thunderbird 19

7 Lo SPAM 237.1 Postfix Check . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237.2 GreyList . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237.3 RBL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247.4 SpamAssassin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247.5 DM-AntiSpam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247.6 Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

8 Introduzione al DM 27

9 Login 29

10 A - Dashboard 31

11 B - Network 3511.1 B1 - Impostazioni di Rete . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3511.2 B2 - Mail Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

11.2.1 Host senza autenticazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3611.3 B3 - Server DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

12 C - Sistema 3912.1 C1 - Impostazioni di sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3912.2 C2 - Spazio e archiviazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

12.2.1 Azioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4012.3 C3 - Email riepilogativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4312.4 C4 - Privacy e copie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4412.5 C5 - IMAP/POP3/SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4512.6 C6 - WebMail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

i


12.6.1 Plugin DM-BigMail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4612.7 C7 - Pannello di controllo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4812.8 C8 - Cartelle IMAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

13 D - Gestione Domini/Caselle 5113.1 D1 - Gestione domini . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

13.1.1 Hostname . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5213.2 D2 - Gestione Caselle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5213.3 D3 - Gestione Alias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

14 E - Security 5714.1 E1 - DM AntiLoop/Check . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5714.2 E2 - DM Autoblock . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

15 F - Antispam e Antivirus 6115.1 F1 - Criteri Generici . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

15.1.1 Altre Opzioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6215.1.2 DM Antispam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

15.2 F2 - Greylist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6215.3 F3 - RBL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6415.4 F4 - Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

16 G - MailBlacklist 6916.1 G1 - In ingresso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6916.2 G2 - In uscita . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

17 H - Backup/Restore 7317.1 H1 - BK/Restore Config . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7417.2 H2 - BK/Restore Dati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7517.3 H3 - Rsync su condivisione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

18 I - Licenze e attivazioni 7718.1 I1 - Registrazione prodotto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7718.2 I2 - Domini, Caselle e Opzioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7818.3 I3 - Autoupdate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

19 L - Statistiche 8119.1 L1 - Email e Spam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8119.2 L2 - Occupazione caselle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8219.3 L3 - Statistiche Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

20 M - Monitor e Log 8720.1 M1 - TCP Dump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8720.2 M2 - Verifica Email . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8820.3 M3 - Dischi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8920.4 M4 - Processi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9120.5 M5 - Connessioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9420.6 M6 - Diagnostica MX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9920.7 M7 - Coda Email . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10120.8 M8 - Info sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

21 Allegato A: Centralized Monitor 10521.1 Aggiungere un server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10621.2 Info dei server aggiunti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10721.3 Altri apparati non DM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

22 Allegato B: Rapid How To 111

ii


Capitolo 1

Come funziona un Mail Server

Un MailServer é un apparato che smista la posta elettronica e fondamentalmente si occupa di:

• consegnare le email ai rispettivi destinatari

• ricevere le email per il proprio dominio di appartenenza

Queste due operazioni sono sostanzialmente diverse ed avvengono mediante percorsi e servizidifferenti.

Figura 1.1: Recapito di un’email

1


La consegna di un’email avviene mediante i seguenti passaggi:

• Il client di posta elettronica o MUA (Mail User Agent: Outlook, Thunderbird, Webmail, etc..)provvede a consegnare al suo MailServer (MSA, Mail Submission Agent) via SMTP l’email;

• L’MSA consegna l’email al proprio MTA (Mail Transfert Agent);

• I due MTA “si parlano” e quello di destinazione accetta l’email, salvo rifiutarla per unmotivo specifico1

• L’email che, in questa fase si trova sul server di destinazione, viene smistata all’LDA (LocalDelivery Agent) per la deposizione finale nella corretta directory del destinatario;

• Il destinatario contatterá il suo server mediante il protocollo IMAP o POP3 per verificare lapresenza di nuove email e, a questo punto, troverá nella sua directory la nuova email.

Figura 1.2: Recapito di un’email

Tutto questo, in genere (e non in realtá enterprise o ISP), si riduce in due server comunementechiamati “MailServer” che si occupano di integrare funzionalitá di MSA, LDA e MTA, erogandoservizi sia in ricezione, sia in invio.

1.1 Elenco dei Delivery Error più comuni

Il rifiuto da parte di un mailserver di destinazione contiene, in genere, informazioni utili a dia-gnosticarne le motivazioni. Quando, in seguito all’invio di un’email, torna indietro un messaggiodi “Mail Delivery System” con oggetto “Undelivered Mail Returned to Sender”, il server mittentecomunica di aver incontrato dei problemi nel recapito del messaggio. Di seguito vengono elencatii rifiuti più comuni:

1il rifiuto puó essere di tipo 4, ossia un rifiuto temporaneo (Server occupato, problemi di configurazione, spazio insuf-ficiente nella casella di destinazione, etc...); oppure di tipo 5, ossia un rifiuto persistente e permanente (casella inesistente,mittente in blacklist, etc...).

2


• 〈[email protected]〉: connect to mail.destinatario.it[1.2.3.4]:25: Connection timed out Ildominio di destinazione esiste ed è correttamente correlato ad un record MX, tuttavia ilserver di destinazione non è raggiungibile. Il mailserver mittente ha tentato di recapitarequesta email per 5 giorni, senza successo, pertanto è stata eliminata.

• 〈[email protected]〉: Recipient address rejected: User unknown (in reply to RCPT TO com-mand)oppure 〈[email protected]〉: Address not present in directory (in reply to RCPT TO com-mand)oppure 〈[email protected]〉: Recipient address rejected: User unknown (in reply to RCPTTO command) Il dominio destinatario esiste ma la casella no. In genere questi problemi sonodovuti ad errori di battitura.

• 〈[email protected]〉: 550 Recipient rejected (in reply to RCPT TO command) oppure〈[email protected]〉: Relay access denied (in reply to RCPT TO command) Il dominio de-stinatario esiste ma la casella potrebbe non essere abilitata alla ricezione di email. In generequesti problemi sono dovuti ad errori di battitura.

• 〈[email protected]〉: Host or domain name not found. Name service error forname=destinatario.it type=AAAA: Host not found Il dominio destinatario non esiste.

• 〈[email protected]〉: delivery temporarily suspended: connect to mail.destinatario.it[1.2.3.4]:Connection refused Il server destinatario non è nella condizione di accettare l’email per unproblema temporaneo. In genere ciò accade quando un server destinatario è in manutenzio-ne o è sovraccarico. Il mittente ritenterà l’invio per 5 giorni, dopodichè, qualora questo nonabbia sortito alcun effetto, informerà il mittente di aver cestinato l’email.

• 〈[email protected]〉: host mail.destinatario.it[1.2.3.4] said: 550 5.7.1 Service unavailable;Client host blocked using Blocklist 1, mail from IP banned;(in reply to RCPT TO command) Indicaun problema legato alle blacklist. Per maggiori info si legga il capitolo “SPAM” 7 e Wizard-Best Practies 5 per assicurarsi di aver configurato correttamente il mailserver, successiva-mente (dopo aver identificato il problema) chiedere all’operatore della RBL il delisting se-condo le procedure da lui indicate. Tool specifici possono aiutare nell’identificazione deiproblemi e se altre liste hanno bloccato il mailserver mittente. Per info si legga il capitoloM6 - Diagnostica MX 20.6

3


4


Capitolo 2

Recapito Email

Dal momento in cui un’email viene smistata dall’LDA (in ingresso), e quindi viene depositatanella directory corretta dell’utente destinatario, inizia la fase di consegna. Nella realtá non é ilserver che si occupa di recapitare l’email, ma é il client (MUA: Outlook, Thunderbird, etc..) cheinterroga il server per accertarsi della presenza di nuovi messaggi di posta elettronica. Taleinterrogazione puó avvenire mediante due protocolli: IMAP o POP3.

Allo stato attuale non vi sono particolari motivi per scegliere POP3. Salvo rari casi o ec-cezioni, il protocollo IMAP garantisce delle features migliorative ed un livello di integrazio-ne notevolmente piú efficiente. Come unico contro c’é un utilizzo maggiore delle risorse delMailServer. Questo puó sollevare un lecito dubbio qualora la scelta tecnologica venga effettua-ta da un ISP con centinaia di migliaia di caselle di posta elettronica, ma raramente comportadifferenze prestazionali su realtá meno articolate. In ogni caso le appliance DM sono sempreabbondantemente sovradimensionate e garantiscono solitamente l’utilizzo del protocollo IMAPsu tutte le caselle supportate.

Figura 2.1: Differenze tra i protocolli IMAP e POP3

2.1 Il protocollo POP3

Il protocollo POP3 é pensato per lasciare il MailServer piú leggero possibile. Nell’utilizzo tra-dizionale del protocollo POP3 le email non risiedono sul server e ció comporta degli inevitabilisvantaggi qualora il client di posta venga smarrito o perda i dati. Uno dei problemi piú rilevantidi POP3 é la difficoltá nel gestire il sincronismo tra i vari dispositivi. In un utilizzo standard, ilprimo Client di posta che scarica l’email la sottrae a tutti gli altri. Anche la posta inviata non é

5


mai perfettamente sincronizzata a causa dell’impossibilitá del Server di gestire le email in manierabidirezionale e completa.

2.2 Il protocollo IMAP

Il protocollo IMAP, ampiamente utilizzato e consigliato, ha molteplici vantaggi. Uno dei più si-gnificativi è la gestione lato server le cartelle dell’utente. Grazie a questa caratteristica, ogni clientche apporti delle modifiche alle cartelle (basti pensare ad un’email inviata o alla rimozione del“grassetto” quando si legge un’email), propagherà tali modifiche ad ogni altro client, mantenen-do sempre perfettamente sincronizzata la mailbox dell’utente. Grazie ad IMAP, inoltre, è possi-bile effettuare operazioni schedulate (autoarchiviazione, gestione dei filtri, eliminazione ciclica diallegati voluminosi, etc..) direttamente lato server, coinvolgendo meno possibile i client di posta.

2.3 Crittografia e porte

Per entrambi i protocolli il MailServer DM supporta la crittografia mediante certificato SSL. E’bene ricordare che l’utilizzo senza crittografia espone gli utenti a rischi derivanti dal passaggiodelle informazioni di autenticazione in chiaro. Si sconsiglia, pertanto, di utilizzare esclusivamentela versione crittografata dei protocolli sopra indicati.

6


2.4 Elenco delle porte utilizzate

POP3: 110/TCPPOP3 con SSL: 995/TCPIMAP: 143/TCPIMAP con SSL: 995/TCP

Si riportano anche le porte del “server in uscita”, anche se non oggetto di questo capitolo, perdovere di completezza:SMTP: 25/TCP (alcuni operatori mobili impediscono l’utilizzo della porta 25, in tal caso é semprebuona regola utilizzare la porta di submission 587 con TLS)SMTP con TLS: 587/TCP

7


8


Capitolo 3

Record DNS e domini

Affinché un MailServer funzioni correttamente é necessario che il dominio da esso gestito abbiauna corretta pubblicazione DNS.

Poniamo di aver acquistato il dominio dmpro.it da un registar, in modalitá “Solo DNS, senzaposta e senza spazio web”. La fase successiva é assicurarsi che i nostri interlocutori sappiano dovesi trova il nostro mailserver adibito alla ricezione di posta elettronica per questo dominio.Tramite il pannello di controllo del registar dove si é acquistato il dominio, é necessario impostare:

• un host A;

• un record MX associato all’host A ed una relativa prioritá (utile a comunicare ai mailservermittenti un ordine di interrogazione per le macchine di destinazione del dominio);

Esempio:

• host A mail.dmpro.it→ 1.2.3.4;

• record MX priorita’ 10→mail.dmpro.it;

Qualora si sia optato per la registrazione o il trasferimento di un “Dominio DM”, la fasedi configurazione é automatizzata e basta comunicare l’indirizzo IP Pubblico dove risiederá ilmailserver. Per maggiori dettagli si rimanda al capitolo “D1 Domini”.

Il Reverse DNS, invece, é a cura dell’operatore di connettivitá dove risiede il MailServer.Affinché tutte le email vengano smistate correttamente é opportuno comunicare al proprio ope-ratore di aggiungere un record rDNS di tipo hostname→ indirizzo IP pubblico(Esempio: mail.dmpro.it→ 1.2.3.4). Tale operazione in genere si fa inviando una semplice emailal proprio provider di connettivitá ove risiede il MailServer.

Ad oggi, data di pubblicazione del presente manuale utente, gli indirizzi di posta degli opera-tori di connettivitá da contattare per richiedere il rDNS sono:Wind: [email protected]: [email protected] Italia: [email protected]

Un esempio di email di richiesta rDNS puó essere: con la presente richiediamo l’entry reverseDNS(rDNS) per il dominio dominioesempio.com, host mail.dominioesempio.com, ip pubblico 1.2.3.4.

9

mailto:[email protected]




10


Capitolo 4

Come funziona il DM

Il DM é formato da 3 macro componenti:

• il DMClient, ossia il pannello di controllo con cui é possibile configurare i server DM;

• il DMCore, ossia il componente server in ascolto su una specifica porta (default 4455/TCP)in grado di mettere in comunicazione il DMClient al server stesso;

• il Sistema Linux comprensivo di una serie di Script indipendenti e di comandi DMCOMrichiamati di volta in volta dal DMClient e dal DMCentralizedMonitor;

Il DMClient é un software scaricabile online in grado di configurare i Server DM. Si articola divari componenti:

• il DMClient.exe, ossia il software principale

• il DMLManager, in grado di caricare i moduli “dml” nel Client

• il DMUpdater, che si occupa di aggiornare e sincronizzare tutti i componenti al server che sista contattando

Grazie alla particolare architettura del DMClient, l’installazione verrá fatta esclusivamenteuna sola volta (sono necessarie le Microsoft (r) .NET 4.0 o successive). Ad ogni connessione conun MailServer DM il client riceve una lista di moduli (che rispecchiano le varie schermate di con-figurazione) compatibili con il server che si sta contattando. I moduli dml vengono quindi caricatinel Client ed eseguiti in base al server contattato. Questa caratteristica fa si che il medesimo Clientsia assolutamente e perfettamente compatibile con ogni server. Tutto questo avviene semplice-mente perché é il server stesso che comunica i moduli da utilizzare affinché ci sia piena affinitátra lui ed il DMClient.

Il sistema linux DM comprende una serie di componenti in grado di prevenire anomalie egarantire il perfetto funzionamento della macchina. Tra i vari moduli citiamo i piú importanti:

• DM-Autodiagnostic: in grado di rilevare e correggere una moltitudine di problemi e ano-malie

• DM-AutoBlock: un modulo di security in grado di rilevare tutti gli attacchi di tipo Brute-Force e blacklistare gli indirizzi ip coinvolti 14.2

• DM-CronCheck: in grado di prevenire anomalie sul modulo di esecuzione cronologica etemporizzazione degli eventi

• DM-AntiLoop: in grado di combattere i mail flood 14.1

• DM-AutoArchive: un modulo di autoarchiviazione 12.2

• DM-ElaborazioneStatistiche: un modulo di elaborazione delle statistiche riguardante ogniaspetto del MailServer DM 18.1

11


• DM-HeavyCheck: un modulo in grado di rilevare picchi considerevoli di carico e quindidisabilitare temporaneamente componenti meno utili

• etc...

Per maggiori info si rimanda ai paragrafi di approfondimento dei componenti configurabili.

4.1 Software di Sistema

Il sistema di ricezione e smistamento della posta é basato su Postfix (MTA) e Dovecot (LDA). Asua volta Postfix chiama in causa (se abilitato) il modulo di greylisting (PostGrey) ed il moduloAntispam (SpamAssassin).

Figura 4.1: Software di Sistema

Postfix riceve l’email in ingresso ed effettua dei controlli circa la coerenza del mittente e l’auto-rizzazione a ricevere eventuali allegati con estensioni specifiche. Successivamente viene richiama-to il modulo RBL che, in fase di envelope, rifiuta eventuali mittenti considerati spam prima ancoradi ricevere il body dell’email (per info si veda il paragrafo RBL 15.3. Se abilitao viene chiamato incausa il modulo di greylisting 15.2 ed il motore antispam SpamAssassin (e tutti i ruleset collegatiad esso). Superata questa fase, spamassassin demanda a Dovecot la parte di Local Delivery, ossialo spostamento dell’email nella directory corretta dell’utente. Dovecot eroga anche, ovviamente,i servizi IMAP e POP3.

12


Capitolo 5

Wizard e Best Practices

Il wizard accompagna l’installatore verso un percorso semplice e corretto di configurazione delproprio MailServer DM. L’installatore potrá, ovviamente, approfondire le configurazioni in unsecondo momento.Gli errori piú comuni possono inficiare la corretta consegna delle email verso altri MailServer,pertanto é buona prassi seguire questa guida affinché nessun passaggio venga tralasciato.

BEST Practices per la corretta configurazione di un MailServer DM:

1) Assicurarsi che il MailServer DM sia raggiungibile dall’esterno su un indirizzo IP pub-blico Statico. Le porte che devono essere redirette verso il mailserver dal proprio provider diconnettivitá sono:

• 4455/TCP - (opzionale e modificabile) Per l’accesso del pannello di controllo DMClient inconfigurazione

• 122/TCP - (opzionale) Per l’accesso del terminale esclusivamente per motivi diagnostici oin caso di richiesta di assistenza tecnica da parte del personale DM addetto

• 80/TCP e 443/TCP - (opzionale) Rispettivamente HTTP e HTTPS per l’accesso alla webmail(é possibile forzare l’utilizzo esclusivo di HTTPS per aumentarne la sicurezza)

• 25/TCP - Per l’utilizzo del protocollo SMTP addetto alla ricezione della posta elettronicatrasferita da altri mailserver o da client di posta MUA

• 587/TCP - (opzionale) Per la consegna crittografata di posta elettronica da parte dei clientMUA

• 110/TCP - (opzionale) Qualora si utilizzi il protocollo POP3

• 995/TCP - (opzionale) Qualora si utilizzi il protocollo POP3 su SSL

• 143/TCP - (opzionale) Qualora si utilizzi il protocollo IMAP

• 995/TCP - (opzionale) Qualora si utilizzi il protocollo IMAP su SSL

Per verificare che le porte siano aperte e correttamente girate sul MailServer é possibile uti-lizzare l’utility “Telnet” con la sintassi telnet IP PORTA. Tutte le porte tranne la 122 e la 4455risponderanno con un messaggio. Il banner SMTP dei MailServer DM é “DM ESMTP”.

13


Figura 5.1: Verifica Raggiungibilitá porta 25

NB: In genere é opportuno che il mailserver si presentiall’esterno con un ip differente da quello del resto della rete.Basti pensare ad uno scenario in cui un client affetto da viruspropaga autonomamente spam. Cosí facendo porterá il suo IPpubblico verso l’inserimento in una blacklist. Se il mailserver sipresenta su internet con un ip differente, l’utente potrebbe nonaccorgersi nemmeno del problema e ció non comporta alcundisservizio. Qualora, invece, mailserver e rete dei clientcondividono il medesimo IP pubblico, problemi di“reputazione” inerenti ai client potrebbero inficiare anche ilserver mail. Quindi, quando la connettivitá prevede piúindirizzi ip statici pubblici, é opportuno che il mailserver ed iclient NON condividano lo stesso indirizzo.

2) Registrare/trasferire il dominio ed assicurarsi che i record DNS siano correttamente confi-gurati. Per maggiori info si veda il capitolo DNS.

Figura 5.2: Esempio di pannello di controllo della gestione dei DNS di un noto provider italiano

Tramite i MailServer DM é possibile registrare o trasferire i domini direttamente dal pannellodi controllo e direttamente tramite DM (in convenzione con Tiscali S.p.A.), senza sottoscriverealcun ulteriore contratto con registar esterni. Il canone di mantenimento del dominio é inclusonella maintenance annuale, in ogni momento é comunque possibile leggere il transfert auth codeper spostare il dominio altrove.

Per verificare che il dominio sia correttamente configurato dal registar si puó utilizzare il toolmicrosoft (R) Mslookup con la sintassi nslookup -type=MX DOMINIO IPSERVERDNS.

E’ bene ricordare che ogni dominio deve avere almeno due entry DNS: la prima di tipo “A”con l’hostname e l’ip pubblico statico del server (esempio: mail.dmpro.it → A → 1.2.3.4), la se-conda di tipo “MX” che punti alla query “A” (esempio: MX→ prioritá 10→mail.dmpro.it).

Esempio di utilizzo:

14


Figura 5.3: Interrogazione MX verso i Google DNS

Nella prima interrogazione chiediamo ad un server DNS pubblico (in questo caso il serverDNS di Google) se per il dominio .it c’é un record MX associato. Il Server DNS risponde afferma-tivamente, indicandoci la correlazione con il record “A” mail.dominio.it.

Nella seconda interrogazione ci assicuriamo che mail.dominio.it sia correttamente mappatocon l’indirizzo IP statico ove risiede il MailServer DM.

Note: sia che questa operazione sia stata fatta dal pannello di controllo registrando o trasferen-do un “dominio DM” o un “dominio autogestito”, i tempi di aggiornamento delle informazioni ingenere richiedono dalle 2 alle 48 ore. E’ quindi del tutto inutile fare le modifiche sui record DNSe subito dopo verificare che siano state propagate.

3) Entrare in configurazione del MailServer DM con i seguenti parametri di default: IP Address

Figura 5.4: Login con parametri di default

(se non é stato cambiato: 192.168.4.10 (/24)Username: adminPassword: admined eseguire il wizard.

15


NB: Se non é mai stato fatto prima, inserire le informazioni di registrazione relative al prodotto.Per maggiori info si veda il capitolo “I1 - Registrazione Prodotto” 18.1.

Figura 5.5: Wizard

16


Il wizard porterá l’utente in 7 differenti schermate, in ordine e seguendo un percorso logico diconfigurazione.

• aggiungi i domini che il mailserver gestirá (se hai registrato un dominio “DM”, in attesa delrilascio puoi configurare un “dominio utilizzatore”, questo verrá automaticamente successivamenteconvertito); Assicurati che l’hostname coincida con il record MX pubblicato!! Se hai pub-blicato “mail.dominio.it”, l’hostname settato in questa schermata deve essere lo stesso!

• imposta data/ora/email con cui il mailserver invia comunicazioni agli amministratori delsistema

• definisci gli utenti adibiti alla configurazione del mailserver, cambia la password di admine definisci l’invio anonimo di segnalazioni di malfunzionamenti alla casa madre

• aggiungi le caselle di posta elettronica

• aggiungi gli alias

• pianifica i backup su eventuali dischi USB, share di rete o della sola configurazione su unacasella di posta esterna

17


18


Capitolo 6

Client di posta e configurazione suThunderbird

La configurazione dei client é molto semplice e ben dettagliata nelle info dell’utente.

Figura 6.1: Richiamo delle info per un utente

Per ogni casella é presente un’icona di “info” che apre un comodo riassunto, dinamico e gene-rato in quel preciso momento sulla scorta delle configurazioni in opera sul MailServer. E’ possibilestampare o inviare questa schermata (che non conterrá MAI la password) all’utente affinché possaconfigurarsi la propria casella di posta elettronica anche, ad esempio, su un proprio dispositivomobile.

Esempio di configurazione su thunderbird:(In ingresso, IMAP su SSL)(In uscita, SMTP Submission TLS)In caso di certificati é necessario accettare gli stessi ed aggiungere l’eccezione quando richiesto.

E’ buona norma provare ad inviarsi un’email al proprio account affinché sia la posta in uscita, siaquella in ingresso vengano testate.

19


Figura 6.2: Schermata di info dell’utente

Figura 6.3: Configurazione dei servizi durante la generazione della schermata di info

20


Figura 6.4: Thunderbird e posta in ingresso

21


Figura 6.5: Thunderbird e posta in uscita

22


Capitolo 7

Lo SPAM

I MailServer DM gestiscono lo spam su piú livelli, con tecniche differenti e nel seguente ordine:

Figura 7.1: Tecniche antispam

7.1 Postfix Check

Il MailServer effettua dei controlli protocollari per assicurarsi che il mittente sia lecito, tra cui:

• Verifica che la casella di destinazione esista realmente

• Verifica che il dominio di destinazione sia gestito dal mailserver

• Verifica che il mittente abbia un nome valido e verificato di dominio

• etc..

7.2 GreyList

Il Greylist é una tecnica estremamente efficace in grado di combattere una buona parte dello spam.Si basa essenzialmente sul rispetto del protocollo smtp.Quando un mailserver destinatario risponde con un errore temporaneo (di tipo 4.x.x) il mailser-ver mittente “lecito” ritenterá l’invio dell’email dopo pochi minuti.Quello “illecito”, invece e vista la mole di email e l’alta probabilitá di destinatari inesistenti, ten-derá a passare ad un altro destinatario. Associando il comportamento del mittente, viene creatauna whitelist ed i mittenti leciti non subiranno piú alcuna verifica.Lo svantaggio di questa tecnica é che solo la prima email di un mittente nuovo subisce un ritardodi circa 5 minuti.

23


7.3 RBL

Le RBL (Reject BlackList) sono delle liste esterne manutenute da terzi. Quando un’email vienericevuta, determinati elementi di essa vengono inviati e confrontati con i Server RBL esterni cherestituiscono un risultato (Spam o Ham).Le RBL possono essere contattate in fase di Envelope oppure in fase di Analisi.In fase di envelope l’RBL viene richiamata direttamente dai Postfix Check e, in caso di rifiuto, hail grande vantaggio di richiedere un carico computazionale molto ridotto e non generare traffico(l’email di fatto non é stata ancora scaricata in questa fase di helo). Questo tipo ti controllo ingenere ben si sposa con i check relativi agli IP address.In fase di analisi l’email viene scaricata e la parte oggetto di controllo non é piú solamente la partedell’header, ma anche quella del body consentendo una piú accurata verifica anche sul contenuto.Le email scartate in fase di envelope non raggiungono la cartella IMAP “Spam” dell’utente,quelle invece rilevate in fase di analisi si, pertanto l’utente potrá controllare autonomamentela presenza di falsi positivi.

Tra i check effettuati dalle RBL vi sono:

• DBL: Domain Black List, ossia un elenco di indirizzi ip o domini blacklistati

• XBL: Un elenco di Botnet note e Server compromessi

• PBL: Un elenco di indirizzamenti dinamici su cui un mailserver lecito non dovrebbe innessun caso trovarsi

• URIBL: Una particolare interrogazione in grado di leggere i link inclusi nel corpo dell’emaile stabilirne l’affidabilitá

7.4 SpamAssassin

Spamassassin é un potente motore antispam, globalmente riconosciuto, che effettua ulteriori con-trolli in fase di analisi ed associa un punteggio ad ogni elemento “sospetto” di un’email. Bana-lizzando, un testo bianco su uno sfondo bianco potrebbe avere un punteggio, cosí come un linkscritto a caratteri cubitali. La somma di una serie di micro punteggi, in relazione ad una sogliapre impostata (si veda il capitolo F1 15.1 - Criteri Generici Antipsam) concorre a stabilire se un’e-mail é spam oppure no. Il punteggio di default é 7, abbassando tale soglia il sistema rileverá piúemail come spam ma potrebbe comportare qualche falso positivo. Al contrario, alzando il valoredi soglia, si avranno meno falsi positivi ma anche meno email illecite rilevate.

7.5 DM-AntiSpam

Il DM-AntiSpam si basa su SpamAssassin, ma é fondamentalmente popolato da regole create daun osservatorio umano a cura DM. Quando un cliente segnala un’email come spam non ricono-sciuto dal proprio sistema, una divisione DM apposita la esamina e le assegna dei punteggi. Taleemail viene recapitata ad un osservatorio umano DM che elabora l’email non riconosciuta. Nelgiro di poche ore l’informazione verrá propagata su tutti i server.Questo sistema é estremamente efficace perché ogni email viene analizzata da un pool di personein grado di prendere decisioni specifiche caso per caso.Se il server non ha una maintenance valida, l’invio di segnalazioni viene automaticamentedisabilitato.

7.6 Antivirus

Nonostante l’antivirus assolva funzioni completamente differenti rispetto a quanto invece faccial’Antispam, abilitando l’estensione “Abilita database extra URL-EB” esso é in grado di analizzareogni messaggio di posta elettronica ed esaminare i domini contenuti nei link degli URL inclusi

24


del body dell’email. Similarmente a quanto avviene per le URIBL, l’antivirus cosí configuratoscongiura in parte il fenomeno del Phishing e concorre a rilevare e scartare email pericolose.

25


26


Capitolo 8

Introduzione al DM

Il DMClient è il software di gestione dei server DM e si compone di varie schermate:

Figura 8.1: Schermate DMClient

27


28


Capitolo 9

Login

Figura 9.1: Schermata di Login

Il pannello di login consente l’accesso ai mailserver DM. I parametri da inserire sono indirizzoip, porta del server, nome utente e password. La particolaritá di questo pannello, risiede nella fun-zione Aggiungi ai preferiti che consente di memorizzare i login effettuati sulle varie macchine.Il file contenente i preferiti é crittografato mediante protocollo AES e apribile solo attraverso unapassword. Ad ogni disconnessione del client il file viene richiuso ed oscurato. La struttura delDMClient consente di ricevere dal server su cui si fa l’accesso l’elenco delle schermate compatibilicon lo stesso. Per questo motivo non sará necessario installare nuove versioni del DMClient inbase ai firmware del mailserver (il concetto stesso di firmware viene meno) ma il sincronismo trail pannello di controllo ed server é sempre garantito, trasparente e automatizzato.

Parametri di defaultIP 192.168.4.10

Username adminPassword admin

29


30


Capitolo 10

A - Dashboard

Figura 10.1: Dashboard

La dashboard é la schermata principale, nonché la prima ad essere visualizzata dopo il login.E’ possibile visualizzare alcune tra le principali informazioni di sistema. Ogni link é cliccabile eriporta alla relativa schermata estesa.Sono disponibili, inoltre, informazioni relative ai servizi in esecuzione e Script DM.

31


• A seriale del prodotto

• B IP al quale si é connessi

• C nome del Mail Server

• D IP LAN del Mail Server

1. Hardware: informazioni relative all’hardware

2. Sistema: informazioni di sistema

3. Code: email in coda e movimentate

4. Security: statistiche sulla sicurezza e sui backup

5. Licenze: dati relativi alla licenza del Mail Server

32


6. News: news rilasciate dalla casa madre

7. Servizi in esecuzione e Script DM: visualizza i servizi attivi sulla macchina in uso

Figura 10.2: Dashboard espansa

In questa schermata é possibile visualizzare i servizi in esecuzione sul sistema DM. Lo statopuó essere visualizzato come attivo in verde o non attivo in grigio. Per maggiori informazioni siveda la sezione “processi” M4. 20.4

Se ci si logga come gestore di spam o gestore di caselle, questi menu non saranno né visualiz-zati, né cliccabili.

33


34


Capitolo 11

B - Network

11.1 B1 - Impostazioni di Rete

Figura 11.1: Schermata B1

Questa schermata gestisce le impostazione di rete di base: l’impostazione dell’indirizzo ipdella macchina, DNS, gateway e static routes. E’ possibile definire anche degli hosts associa-tions impostando l’ip e l’FQDN. Questa associazione ha prioritá rispetto al modulo “Server DNS”ed é utilizzata esclusivamente dal MailServer DM per risolvere autonomamente degli host. Unesempio puó essere l’utilizzo di un webserver all’interno della LAN: IP: 192.168.4.11, FQDN:www.dominio.itcomunicherá alla macchina la corretta risoluzione di www.dominio.it.NB: qualora il server DNS sia attivo, é consigliabile utilizzare le associazioni relative a quella spe-cifica funzione. Per maggiori info si veda il paragrafo B3 Server DNS 11.3Il flag “Risolvi autonomamente le richieste DNS” é particolarmente importante perché indispen-sabile in caso di RBL Attive o in genere di MailServer correttamente funzionante.

35


I problemi piú evidenti nel non far risolvere al mailserver autonomamente le richieste DNSsono sostanzialmente due:

1) In molti casi i forwarders degli ISP “alterano” le informazioni di risposta, inserendo linka propri motori di ricerca. Il risultato é che un dominio inesistente risulterá invece esistente eassociato all’ip del provider che eroga il servizio di “Ricerca” sul proprio portale web;

2) Le RBL solitamente consentono un numero massimo di query/giorno salvo specifici accordicommerciali, passando da un forwarder esterno (Il server DNS del provider), le probabilitá di nonricevere risposta dalle RBL per il superamento del limite massimo di interrogazioni giornalieresono estremamente alte, causandone di fatto l’inutilizzo.

Risolvendo autonomamente le richieste DNS, il server contatta direttamente i root-DNS prov-vedendo in totale autonomia, senza ulteriori rimbalzi su forwarders esterni, alla risoluzione dellequery DNS. Qualora si voglia inserire un’entry personalizzata e con prioritá maggiore, é necessa-rio riempire i campi di host associations.

L’opzione DHCP per un server é sempre altamente sconsigliata. Basti pensare ad uno sce-nario in cui avviene un malfunzionamento del Server DHCP che assegna l’associazione IP alMailServer.

11.2 B2 - Mail Routing


Questa scheda permette di visualizzare il mail routing associato al mail server. La prima op-zione é personalizzabile in base al dominio di destinazione ed al server SMTP. Se, ad esempio, siriscontra difficoltá nello smistamento della posta verso uno specifico dominio, si puó decidere diconsegnarla ad un server SMTP esterno che provvederá a smistarla.La seconda impostazione consente di smistare tutto il traffico tramite il server SMTP impostato,in genere l’SMTP del provider di connettivitá o un gestore di servizi SMTP esterni.

11.2.1 Host senza autenticazione

Gli host senza autenticazione sono macchine autorizzate ad inviare email senza alcuna autentica-zione. In genere possono essere stampanti, sistemi gestionali che non supportano l’autenticazio-ne, etc..

Utilizzare questa funzione con parsimonia e solo quando necessario. Non essendoci alcuncontrollo (se non quello sull’IP address) circa l’autorizzazione alla consegna di posta, questi hostpotranno inviare qualsiasi email!

36


La dicitura /32 indica un singolo host, per aprire un’intera rete con subnet mask 255.255.255.0,ad esempio, é necessario indicare /24. Piú la rete é “aperta” (quindi con una notazione decimalecon numero piú basso), piú questa operazione diventa pericolosa. Erronee configurazioni, difatti,possono trasformare il mailserver in Open Relay.

Un MailServer Open Relay é un MailServer aperto che accetta di smistare posta verso chiun-que. L’effetto piú immediato sará l’utilizzo improprio, illegale e fraudolento da parte di spammer,causando l’inserimento immediato in BlackList.

Da una recente statistica si evince che un mailserver Open Relay viene utilizzato fraudolente-mente entro 22 ore dalla sua pubblicazione su internet!

11.3 B3 - Server DNS


Abilitare un Server DNS é comodo quando all’interno dell’infrastruttura di rete non vi é uncontroller di dominio o semplicemente un altro server DNS.

Va precisato che il server DNS DM (basato su piattaforma unbound) é pensato per utilizzisemplici e correlati ad infrastrutture con un mailserver senza altri server dns interni, pertanto sisconsiglia l’utilizzo fuori da questo scenario.

Il Server DNS risulta utile, ad esempio, in queste occasioni:

• nella rete non vi sono altri server DNS o Domain Controller

• si vuole associare l’hostname pubblico a quello locale (ad esempio mail.dominio.com)

Senza un server DNS la risoluzione di mail.dominio.com dall’interno della rete restituirá unip pubblico, solitamente inutilizzabile con un mailserver interno.

Effettuando queste operazioni:

37


• Abilitazione del Server DNS DM;

• inserimento dell’entry mail.dominio.com→ 192.168.4.10 (ip privato del mailserver);

• inserimento dell’indirizzo ip privato del mailserver DM come DNS primario dei client.

si avrá come risultato che chi si trova all’interno della rete riceverámail.dominio.com→ ip privato all’interno della lan;e chi invece si troverá fuori dalla retemail.dominio.com→ ip pubblico del mailserver.Sará quindi possibile inserire sui client di posta elettronica sempre mail.dominio.com come servermail.

38


Capitolo 12

C - Sistema

12.1 C1 - Impostazioni di sistema

Figura 12.1: Schermata C1

In questa schermata é possibile impostare la data e l’ora del mail server. E’ consigliabile uti-lizzare un server NTP esterno, oppure un eventuale controller di dominio abilitato all’erogazionedi servizi di tipo NTP.

Si puó impostare il nome della casella con cui il mail server invia le comunicazioni di servizioed i backup di sistema.

E’ necessario che il mail server abbia sempre un orario perfettamente sincronizzato affinché iserver di destinazione non riconoscano le email come SPAM.

Infine é possibile riavviare, spegnere e resettare la macchina alla configurazione iniziale. Que-ste operazioni chiederanno, per motivi di sicurezza, di riprodurre il logo DM per essere confer-mate.

39


12.2 C2 - Spazio e archiviazione

Figura 12.2: Schermata C2-1

Da questa schermata é possibile gestire comodamente le quote utente.Valori di quota: è possibile specificare valori di quota massima di utilizzo dello spazio.

• Quota di default

• Quota di dominio

• Quota della singola casella

Se vi é specificata una quota sulla singola casella (Schermata D2), questa ha la precedenza sututto. Altrimenti la quota di default assegna il valore in fase di creazione di un nuovo dominioaffinché tutte le caselle di quel dominio avranno il valore di quota prestabilito.

12.2.1 Azioni

Al superamento di specifiche soglie é possibile definire delle azioni da intraprendere. Il primolivello di warning notifica alll’utente e/o all’amministratore il superamento della soglia stessa;Il secondo livello di warning comporta un’azione anche esecutiva (rimozione di tutti gli allegativoluminosi, delle email obsolete, etc..).

E’ possibile, inoltre, impostare una dimensione massima per la ricezione e l’invio di allegativoluminosi.

Archiviazione automatica si occupa di archiviare la posta piú obsoleta in specifiche cartelleimap.L’operazione, effettuata ogni primo giorno del mese alle ore 23,00, si occupa di spostare le emailpresenti nella inbox in una specifica cartella IMAP di tipo Archives→ Anno→ Ricevute.Si avranno quindi delle cartelle di questo tipo:

E’ possibile archiviare anche le email inviate e gestire delle eccezioni su cui non effettuarel’archiviazione automatica.

40



Figura 12.4: Archivi automatici

41


Vengono archiviate solo le email presenti nella INBOX (posta in arrivo) e mai quelle presentinelle sottocartelle IMAP..

42


12.3 C3 - Email riepilogativa


L’email riepilogativa é un’email automatica inviata con cadenza prestabilita.In questa schermata é possibile impostare l’email riepilogativa, che verrá inviata a tutti o

determinati utenti con cadenza mensile, settimanale o impostata manualmente.Impostando la cadenza “manuale” e l’opzione “invia automaticamente questa comunicazio-

ne quando crei nuovi utenti”, solo i nuovi utenti riceveranno l’email contenuta nel testo dellacomunicazione (assimilabile ad una welcome letter).

43


12.4 C4 - Privacy e copie


La modalitá privacy consente l’eliminazione di tutte le email piú vecchie di una determinatadata su di una specifica cartella IMAP.

ATTENZIONE: non utilizzare questa opzione per svuotare le cartelle di Junk (indesiderata),vi é una specifica opzione in Antivirus e Antispam→ Criteri Generici.

Con l’opzione “modalita copia completa” abilitata, tutte le mail in ingresso ed in uscita verran-no duplicate su di un altro indirizzo di posta elettronica. Abilitare tale opzione esclusivamenteper uso diagnostico, in ottemperanza alle normative vigenti in materia di privacy e informan-do l’utenza della copia dell’email. Evita, inoltre, di copiare le email su di una casella esterna almailserver onde evitare un utilizzo eccessivo di banda.

44


12.5 C5 - IMAP/POP3/SMTP


Nella seguente schermata é possibile prendere visione dei protocolliIMAP/POP3/SMTP. Il DMClient mostra se i protocolli sono abilitati, se in funzione e se attivi suuna determinata porta.

Per ulteriori informazioni circa i protocolli IMAP e POP3 si consiglia la lettura del Capitolo“Recapito”. 2

Solitamente si sconsiglia l’utilizzo di protocolli non crittografati, inoltre non vi sono partico-lari ed evidenti vantaggi nel preferire il protocollo POP3 (meno integrato) al protocollo IMAP.Tutti i mailserver DM supportano agevolmente il carico di lavoro IMAP, pertanto se ne consiglial’utilizzo primario.

Particolare attenzione merita l’opzione “Abilita ricezione su porta submission”. Molti operato-ri di telefonia mobile chiudono le comunicazioni sulla porta 25 per motivi di sicurezza. Mediantetale opzione, difatti, si supera questo limite spostandosi sulla porta submission 587. E’, inoltre,l’unico modo per crittografare la comunicazione SMTP tra MUA (client) e MTA (Server di posta).(Configurazione del client) 6Il Fallback Relay interviene dopo il primo tentativo di consegna non andato a buon fine. Invecedi ritentare l’invio, se abilitato il fallback relay, il MailServer DM consegnerà l’email ad un altroMailServer indicato nel riquadro di configurazione. Questa operazione, apparentemente priva diinconvenienti, viene tuttavia sconsigliata. E’ nella natura del protocollo SMTP ritentare l’inviodi un’email non consegnata “in prima battuta”. Un rimbalzo puó provocare ulteriori ritardi (adesempio qualora il server ricevente abbia abilitato il greylisting 7 ), invece di combatterli.

45


12.6 C6 - WebMail


Questa scheramata consente di gestire comodamente la webmail presente sul mail server. E’possibile impostare alcune opzioni di sicurezza e caricare un logo personalizzato.

Tra le varie opzioni segnaliamo la possibilitá di forzare la modalitá HTTPS in grado di critto-grafare tutto il traffico tra browser e Server mail/web. Cosí facendo sará necessario accettare ilcertificato lato browser per accedere ad una sessione protetta e crittografata.

Abilitando “Consenti agli utenti di cambiare la propria password attraverso la webmail”, sará pos-sibile vedere un nuovo tab nel menu impostazioni della webmail. Il tab password consentirá ilcambio in totale autonomia da parte dell’utente delle proprie credenziali di accesso alla casella diposta.

Similarmente a quanto accade con l’abilitazione del tab password, avviene consentendo l’im-postazione di filtri e autorisponditori da parte degli utenti.

12.6.1 Plugin DM-BigMail

Il plugin DM-BigMail si interfaccia con la webmail di Roundcube ed il client. Questo modulo, in-teramente sviluppato dal team DM, consente il caricamento sul server di file di grandi dimensionirestituendo un link per lo scaricamento dello stesso da comunicare al proprio interlocutore.

E’ una funzione particolarmente utile quando si vuole evitare di inviare per posta allegativoluminosi. Per abilitare la funzione é sufficiente cliccare su “Abilita DM-BigMail”, impostarela dimensione massima che puó avere un file caricato e la data di scadenza del file sul server(espressa in giorni).

E’ inoltre possibile gestire una lista di eccezioni per utenti abilitati ed utenti non abilitatiall’utilizzo di questo modulo.

In basso vi è l’elenco di tutti i file caricati dagli utenti sul server.

46



Figura 12.10: Plugin DM-BigMail

47


12.7 C7 - Pannello di controllo


Questa schermata presenta varie opzioni riguardanti il sistema. In primis é possibile aggiunge-re nuovi utenti autorizzati all’accesso del DMclient. Questi utenti, amministratori del mailserver,non hanno alcuna correlazione con gli utenti di posta elettronica.

E’ inoltre possibile cambiare la porta del DMcore, il timeout per disconnessione dal pannellodi controllo ed impostarlo in modalitá debug. E’ consigliabile usare la modalitá debug solo incaso di necessitá, poiché si consentirá l’accesso protetto di una sessione SSH sul server per scopidi diagnostica da parte del personale DM autorizzato.

E’ inoltre possibile caricare script .edm forniti dalla casa madre per particolari necessitá.Dall’opzione in basso é possibile decidere se e come comunicare eventuali anomalie, in for-

ma anonima, alla casa madre. Consigliamo di abilitare questa opzione al fine di contribuire amigliorare il prodotto.

La seconda opzione riguardante l’invio di segnalazione di guasti, invece, allerta il personaletecnico DM in caso di problemi hardware (Dischi, ram, etc..) e pre-apre un ticket tecnico qualorasi renda necessaria la spedizione di hardware ove locato il server DM.

Entrambe le opzioni non hanno alcun effetto e vengono disabilitate qualora il server non abbiauna maintenance attiva e valida.

La modalitá HeavyServer va utilizzata con parsimonia e solo se strettamente necessario. Talemodalitá inibisce l’esecuzione di molti script per alleggerire il carico di lavoro del mailserver. Vautilizzata per periodi di tempo brevi e solo in caso di lavoro straordinario (migrazione massivadi cartelle IMAP da altri server, etc..). Tra i moduli disattivati da questa modalitá compaiono:

• tutti gli update

• tutti i moduli di sicurezza

• tutti i moduli di autodiagnostica

• tutti i moduli di elaborazione statistiche

• tutti i moduli di verifica delle configurazioni e del corretto funzionamento del sistema

• il pannello di controllo restituirá solo le informazioni necessarie nelle scehrmate e non tuttele informazioni (dashboard, caselle, etc..)

48


12.8 C8 - Cartelle IMAP


In questa schermata é possibile gestire comodamente le cartelle IMAP impostando delle searchquery con delle azioni correlate.

Le azioni sono in “AND” ed una query di tipo “oltre i 365 giorni” e “con allegati maggiori a10Mb” vedrá entry che soddisfino entrambi i requisiti.

49


50


Capitolo 13

D - Gestione Domini/Caselle

13.1 D1 - Gestione domini

Figura 13.1: Schermata D1

La gestione dei domini é resa estremamente semplice.Ci sono due tipologie di domini:

• domini gestiti autonomamente

• domini DM

I domini gestiti autonomamente seguono il percorso classico e utilizzato da ogni MailServer.L’installatore dovrá registrare il proprio dominio, come ha sempre fatto, e girare i record MXverso il MailServer. A cadenze prestabilite si occuperá di rinnovare il dominio con il proprioregistar. Aggiungendo un dominio gestito autonomamente il server diventerá il relay di queldominio e consentirá la creazione di caselle di posta. Fino ad ora questa é la modalitá utilizzatasu ogni macchina MailServer e richiede fondamentalmente almeno due interlocutori: il gestoredel dominio ed il gestore del server.

I domini DM rappresentano un’evoluzione e nascono con lo scopo di semplificare la gestionedel singolo dominio. Grazie ai domini DM é possibile, infatti, registrare e gestire il proprio domi-nio direttamente dal pannello di controllo DMClient. Il dominio verrá registrato direttamente

51


da DM S.r.l. (attraverso Tiscali S.p.A.) e sará incluso nella maintenance annuale del MailServer.Si riduce, di fatto, il numero di interlocutori ed il numero di scadenze/fatture/documenti gene-rati per gestire il proprio dominio internet. In ogni momento sará possibile trasferire il dominioaltrove (l’auth code é sempre visibile nei dettagli del dominio dal pannello di controllo).

I domini gestiti autonomamente vengono automaticamente trasformati in domini DM in casodi registrazione successiva.

13.1.1 Hostname

Affinché tutto funzioni correttamente, l’hostname deve essere quello pubblico e raggiungibile dal-l’esterno. Se ad esempio pubblichiamo mail.dominio.com, é importante che questo nome FQDNcorrisponda a quello pubblico dell’MX del dominio principale del mailserver.

13.2 D2 - Gestione Caselle

Figura 13.2: Schermata D2

L’elenco delle caselle é visibile nella schermata “D2”. Lasciando il mouse su determinate iconeé possibile avere rapidamente delle informazioni supplementari:

• lasciando il mouse sul nome della casella é possibile risalire alla data di creazione dell’ac-count

• sull’icona di modifica della quota disco, il numero di messaggi complessivi

• sull’icona di cambio password, la data di ultima modifica della stessa

Qualora il mailserver contenga piú di 250 caselle o abbia un carico di lavoro particolarmenteelevato, queste info non verranno mostrate. Saranno comunque visibili cliccando sull’immagine“info”.

OPZIONI

• Attivazione/disattivazione: tramite il cerchio verde/grigio é possibile attivare o disattivarele caselle selezionate. Questa operazione non comporta alcuna perdita di dati;

52


• Info: tramite l’icona “?” di info é possibile estrapolare un sunto (generato sul momentodinamicamente e sulla scorta delle impostazioni attuali di configurazione) della casella diposta elettronica. E’ possibile fornire il comodo riepilogo elencato direttamente all’utenteaffinché possa configurare in autonomia altri dispositivi e leggere facilmente i link relativialla webmail e agli altri servizi offerti dal MailServer;

• Dimensione (attuale)/MAX consentito Quota: L’icona di modifica quota stabilisce quantospazio disco é a disposizione della casella di posta elettronica, questa quota ha prioritá ri-spetto a quella di default e di dominio ed é l’unica che effettivamente incide nell’utilizzodella casella; esempio: quota default 1Gb, quota di dominio: 2Gb, quota casella: 3Gb; laquota della casella ha sempre prioritá su tutte le altre quote, quindi la casella potrá ospitarefino a 3Gb di dati. Il DM-BigMail non concorre al raggiungimento della quota. Per infocirca le azioni da intraprendere e le soglie di warning, si veda il capitolo “B2 - Spazio edArchiviazione” 11.2.

• Cambio password: l’amministratore puó resettare la password di una casella. Se l’utenteé abilitato dal menu C6 - WebMail 12.6 potrá in autonomia cambiare la propria passworddirettamente dall’interfaccia webmail→ impostazioni→ password.

• Archivia: Le caselle archiviate sono sostanzialmente caselle disattivate che non concorronoal raggiungimento del numero massimo di caselle utilizzabili sul MailServer DM. Inoltre lecaselle archiviate non compaiono in nessun menu (eccezioni, archiviazioni, comunicazioni,statistiche, etc..), si tratta di caselle “parcheggiate” per un periodo di tempo indefinito.

• Pulisci: attraverso il comando pulisci é possibile eliminare tutte le email piú vecchie di undeterminato numero di giorni per ogni singola casella;

• Elimina: elimina definitivamente i dati e la casella selezionata.

AGGIUNGI UTENTI DA FILEL’utility “Aggiungi utenti da file...” consente l’aggiunta di caselle separate da virgole.

Figura 13.3: Aggiunta di utenti da file

In caso di casella esistente o carattere non valido, comparirá un errore in fase di Verifica.Qualora, invece, la verifica abbia restituito un risultato corretto, premendo Invia si genereran-

no le caselle.NB: Il sistema assegna delle password semi-randomiche di semplice utilizzo. Si consiglia di

cambiare la password quanto prima.

53


Figura 13.4: Schermata D2-3



54


13.3 D3 - Gestione Alias


La gestione degli alias nel sistema DM é molto semplice ed induce ad un ragionamento logicotrasparente ed efficace.

Affinché un alias funzioni correttamente é necessario stabilire la casella fittizia e le caselle realiche riceveranno tutte le email indirizzate all’alias.

E’ possibile editare un alias semplicemente cliccandoci sopra. Gli alias di sistema (in rosso)sono alias atti al funzionamento del MailServer (di utenti, circolari, dm antispam, etc..). Salvorari casi e solo qualora si sappia esattamente cosa e come lo si sta facendo, si sconsiglia di edi-tare tali alias. In alcuni casi (circolare, dmantispam, etc..) gli alias di sistema vengono generatidinamicamente, quindi verranno sovrascritti alla prima esecuzione dello script di rigenerazione.

NB: Per motivi di sicurezza non é consentita la creazione di un alias di tipo “tutto il resto vie-ne inoltrato ad una casella generica”. Gli alias di questo tipo, infatti, sono estremamente pericolosiperché mettono il MailServer nella condizione di accettare tutte le email, anche su caselle inesi-stenti. Con un alias simile, il MailServer non restituirá mai un errore di tipo “Casella inesistente”.Eventuali spammer automatizzati, quindi, daranno per scontato che le caselle esistono e conti-nueranno esponenzialmente a “bombardare” il dominio assumendo che qualsiasi combinazionedi nome casella esiste ed é stata recapitata correttamente.

Da recenti statistiche (generiche, ogni caso é ovviamente a se stante), un dominio che in generericeve 1.000 email/spam/giorno, abilitando un alias di questo tipo, entro 6 mesi riceverá 50.000email/spam/giorno.

Per evitare utilizzi impropri e spiacevoli conseguenze, l’opzione non é consentita.L’email circolare é un’alias di sistema generato dinamicamente che comprende tutti gli utenti

(se non esclusi esplicitamente) dei domini selezionati. Ad ogni nuova creazione di casella, l’aliassi aggiornerá autonomamente.

Questa opzione risulta particolarmente comoda in caso di invio di comunicazioni interne.L’indirizzo di default é [email protected] ed é possibile attivare o meno l’opzione

per ogni singolo dominio.

55



56


Capitolo 14

E - Security

14.1 E1 - DM AntiLoop/Check

Figura 14.1: Schermata E1

IL DM-AntiLoop é in grado di risolvere malfunzionamenti della posta elettronica che causanoloop. Si tratta di uno script proprietario in grado di leggere il traffico ed identificarne i fenomenidi loop.

Un esempio classico é quello del periodo estivo e dei messaggi vacanze, basti pensare ad unoscenario di questo tipo:

• un utente imposta un autorisponditore di tipo “Sono fuori sede, rientrerá il...” senza restrizionicirca il numero di messaggi per mittente da inviare

• un altro utente, anche su un altro mailserver, imposta anch’egli un autorisponditore

• uno dei due rientra dal periodo di assenza, dimentica di rimuovere l’autorisponditore edinvia un’email all’altro utente

Si creerá una situazione paradossale che svilupperá decine di migliaia di email al minuto, sa-turando le risorse di entrambi i server e costringendo a disservizi, riavvii e rimozioni.

Il DM-Antiloop previene scenari di questo tipo rifiutando messaggi troppo ravvicinati e con-tenenti gli stessi contenuti.Il DM-AutoDiagnostic ServiceCheck, invece, é in grado di risolvere automaticamente una seriedi problemi come, ad esempio, servizi interrotti e malfunzionamenti del sistema. Tutto ció che

57


rientra in una casistica accaduta almeno una volta, viene diagnosticata e risolta da questo compo-nente. Grazie al DM-AutoDiagnostic sempre in ascolto e alla ricerca di anomalie, infatti, i blocchie gli interventi manuali sui sistemi sono ridotti al minimo indispensabile. Ogni anomalia, tuttavia,viene loggata nel modulo Security 20.8.

58


14.2 E2 - DM Autoblock

Figura 14.2: Schermata E2

Il DM-AutoBlock blocca tentativi non autorizzati di accesso al sistema. In linea di massimasi tratta di un BrouteForce identifier evoluto e sviluppato appositamente per raccogliere tutte lecasistiche e i servizi erogati dai MailServer DM.

E’ possibile impostare:

• un numero massimo di tentativi con password errata

• un numero massimo di destinatari errati e/o inesistenti

oltre i quali l’indirizzo ip viene bloccato definitivamente fino ad un esplicito sblocco da parte diun amministratore del MailServer.

Qualora un client non si riesca a connettere al MailServer, é sempre buona regola verificaresubito che non sia stato bloccato dal DM-AutoBlock per eccesso di tentativi errati. Si con-siglia, inoltre, di disabilitare questa funzione durante le ore immediatamente successive adoperazioni di cambio password o creazione di molteplici account.

Per statistiche sul numero di attacchi bloccati e/o sulla provenienza geografica, consultare lasezione L3 - Statistiche Security 19.3.

NB: Il DM-AutoBlock NON blocca MAI indirizzi ip provenienti da classi private ( 10.0.0.0/8,172.16.0.0/12, 192.168.0.0/16).

59


60


Capitolo 15

F - Antispam e Antivirus

La schermata Antispam e antivirus gestisce altri aspetti inerenti la sicurezza del sistema. In modoparticolare lo spam, il phishing ed eventuali allegati contenenti virus.

Per maggiori informazioni é opportuno consultare il capitolo SPAM per meglio comprenderee configurare il funzionamento del sistema DM. 4

15.1 F1 - Criteri Generici

Figura 15.1: Schermata F1

Come indicato anche nel capitolo “SPAM” 7, il motore di ispezione e rilevamento dello stessofunziona assegnando dei micro-punteggi per ogni elemento sospetto contenuto nell’email.

Elevando questa soglia, il sistema sará meno sensibile ma genererá un numero di falsi positiviinferiore. Viceversa, abbassando il punteggio di soglia il sistema rileverá piú spam ma potrebbeidentificare come indesiderate anche delle email lecite. Consigliamo di mantenersi in una sogliacompresa tra 6 e 8.

Tra le varie opzioni figura la possibilitá di far spostare nella cartella .Junk (Indesiderata) diret-tamente al MailServer DM le email identificate come spam.

61


15.1.1 Altre Opzioni

Il tasto verde permette di resettare la dicitura standard per il tag di SPAM.L’header x-spam risulta comodo qualora il MUA (Outlook, Thunderbord, etc..) abbiano im-

postato dei filtri specifici leggendo direttamente il tag standard “X-Spam-Flag”.Il pulsante “Test” consente di effettuare una verifica sulle metodologie antispam utilizzate su

un’email campione. Tutti i controlli dovrebbero risultare “verdi”, in caso contrario i metodi chenon hanno identificato l’email potrebbero essere stati disattivati.

15.1.2 DM Antispam

Il DM-Antispam é un osservatorio umano gestito ed erogato da personale DM ed in grado dianalizzare email di spam non identificate dal sistema ed assegnare loro un punteggio affinchéqueste vengano in futuro correttamente bloccate. Inviando un’email non identificata sulla [email protected] (con il proprio dominio), questa verrá inoltrata al personaleDM (si tratta di un’alias di sistema).

I contenuti saranno, ovviamente, visibili dal personale addetto all’analisi.

15.2 F2 - Greylist

Figura 15.2: Schermata F2

In alcuni casi puó essere utile abilitare la tecnica del Greylist, soprattutto per ondate di spamstraordinarie o domini appena migrati da situazioni particolarmente critiche.

La tecnica del greylisting, consiste nel rifiuto temporaneo della prima email da parte di unmittente non verificato in precedenza. Il protocollo SMTP prevede la ritrasmissione, entro qualcheminuto, dell’email rifiutata con un errore di tipo 4 (temporaneo). Un mailserver lecito, quindi,non avrá difficoltá nel ripianificare l’invio dell’email a distanza di qualche minuto. Un mailserverillecito adibito all’invio di spam invece, dovendo processare milioni di indirizzi, solitamente nonritenta l’invio a seguito del rifiuto temporaneo del destinatario.

Con questa semplice tecnica si riesce a ridurre in parte la ricezione di email da mittenti frau-dolenti.

62


Come unico svantaggio vi é il ritardo solo della prima email di un nuovo mittente. In lineadi massima questo non é solitamente un problema, fatta eccezione per le email di iscrizione-benvenuto a portali o di conferma indirizzo di posta. In questo caso il greylist puó risultare pococomodo perché ritarda queste email che si presume sia importante ricevere nell’immediato.

La sezione WhiteGreylist consente di escludere il controllo di uno specifico dominio. In casiparticolari (ISP con pool vasti di server SMTP) l’email puó tardare fino a qualche ora. In questacasistica l’ip del mailserver mittente non é sempre lo stesso, quindi la tripletta su cui il meccani-smo di greylisting si basa non viene considerata valida fin quando l’email non viene rimandatadallo stesso server per due volte.

63


15.3 F3 - RBL

Figura 15.3: Schermata F3-1 - RBL

Le RBL (o Reject BlackList) sono delle liste esterne interrogate dal mail server per stabilire seil mittente é riconosciuto come indesiderato oppure no.

Come ampiamente descritto nella sezione SPAM 7, di cui si consiglia la lettura prima diconfigurare la parte RBL, vi sono due fasi distinte dove le RBL vengono contattate:

• la fase envelope, direttamente da Postfix in fase di helo;

• la fase di analisi, direttamente da SpamAssassin;

Nella prima fase, in caso di spam, l’email viene scartata prima ancora di essere scaricata equindi generare traffico inutile. Nella seconda fase, l’email é stata scaricata e quindi diviene pos-sibile effettuare dei controlli supplementari di analisi del contenuto.

Tra i check effettuati dalle RBL vi sono:

• DBL: Domain Black List, ossia un elenco di indirizzi ip o domini blacklistati

• XBL: Un elenco di Botnet note e Server compromessi

• PBL: Un elenco di indirizzamenti dinamici su cui un mailserver lecito non dovrebbe innessun caso trovarsi

• URIBL: Una particolare interrogazione in grado di leggere i link inclusi nel corpo dell’emaile stabilirne l’affidabilitá

Affinché le RBL funzionino correttamente é necessario che il MailServer DM effettui autono-mamente le interrogazioni DNS 11.2. E’ possibile verificare eventuali blocchi in fase di envelopedirettamente dal menu “M2 - Verifica email” 20.2, mentre statistiche generiche circa l’utilizzo delletecniche antispam sono presenti in “L1 - Statistiche email e spam” 7.

64


Alcuni servizi come Spamhaus sono free fino ad un totale di 100.000 interrogazioni giornaliere.Normalmente ció é sufficiente, tuttavia é bene documentarsi circa le condizioni di utilizzo deiserver RBL interrogati. Per ulteriori info:http://www.spamhaus.org/http://www.surbl.org/

65

http://www.spamhaus.org/

http://www.surbl.org/


Figura 15.4: Schermata F3-2

15.4 F4 - Antivirus

In questa schermata é possibile abilitare un controllo antivirus con varie modalitá di scansione:

• Il rilevamento Algoritmico e quello Euristico sono nativi di ClamAV e riguardano le moda-litá di analisi di ogni messaggio di posta elettronica

• I database extra SaneSecurity sono database in grado di accedere ad uno storico maggio-re di virus (consentendo la protezione anche da minacce particolarmente datate), inoltreestendono i controlli a database extra gestiti dalla community (i mailserver DM utilizzanoesclusivamente database affidabili)

• I database extra URL-EB che consistono in un ulteriore check degli URL presenti nel corpodi ogni messaggio affinché phishing, url fraudolenti e blackhole vengano rilevati e bloccatianche in fase AV

66


Figura 15.5: Schermata F4 - Antivirus

Figura 15.6: Schermata F4-2 - Blocco estensioni

67


68


Capitolo 16

G - MailBlacklist

16.1 G1 - In ingresso

Figura 16.1: Schermata G1-1 - Blacklist in ingresso

In questa schermata é possibile blacklistare le email secondo 3 parametri: email, oggetto, con-tenuto. E’ bene precisare che il blocco in ingresso, differentemente da quanto accade in uscita,coinvolge il modulo antispam e si traduce in un’assegnazione di un punteggio di spam ad unelemento specifico. Per maggiori dettagli si legga la sezione “SPAM” paragrafo “SpamAssassin”7.Per inserire in blacklist un’email é sufficiente aggiungerla alla lista del tab corrispondente. In casodi indirizzi di posta é possibile utilizzare il carattere speciale “*” per identificare “tutti”.

Esempio:@spammer.com blacklista tutto il dominio “spammer.com”newsletter*@esempio.it blacklista sia [email protected], sia [email protected]

69


Quanto detto é valido per blacklist e whitelist per email. Se si vuole blacklistare una mailper contenuto o per oggetto, a questa le si assegna un punteggio numerico che concorrerá alraggiungimento del punteggio oltre la quale un’email viene considerata spam.

Figura 16.2: Schermata G1-2

Figura 16.3: Schermata G1-3

70


16.2 G2 - In uscita

Figura 16.4: Schermata G2

Le blacklist in uscita agiscono direttamente sulle politiche di routing di postfix, restituendoun messaggio al mittente in fase di invio. Il server SMTP DM, semplicemente, non accetterá diinoltrare l’email.

71


72


Capitolo 17

H - Backup/Restore

La schermata Backup/Restore si occupa di gestire il backup dei dati presenti sul mail server. Visono tre tipologie di backup distinte:

• Backup Config: si occupa di effettuare un backup esclusivamente delle configurazioni disistema e del database utenti, senza i dati delle caselle (email e file del DM-BigMail)

• Backup Dati: effettua un backup completo su disco USB

• Rsync su condivisione: effettua un backup completo sempre aggiornato su di una condivi-sione di rete (Microsoft o SAMBA)

73


17.1 H1 - BK/Restore Config

Figura 17.1: Schermata H1-1

La sezione BK/Restore Config effettua un backup completo senza mailbox.Questo tipo ti backup salva:

• tutte le configurazioni di ogni modulo

• tutto il database degli utenti e le relative credenziali non reversibili

• tutte le statistiche

In genere il backup (fortemente compresso in fase di realizzazione) ha una dimensione com-presa tra i 200Kb ed i 400Kb e puó essere inviato automaticamente via posta elettronica. Per ovvimotivi si sconsiglia l’invio del backup su di una casella gestita dal mailserver stesso.

Il ripristino del database utenti cancellerá definitivamente ogni dato presente nelle mailboxantecedenti all’operazione.

74


17.2 H2 - BK/Restore Dati


Mediante i backup su supporto USB é possibile utilizzare una periferica esterna adibita a que-sto scopo. Prima di utilizzare questo tipo di backup é necessario inizializzare il disco. Mediantequesta operazione si elimineranno definitivamente tutti i file sulla periferica, formattandola confilesystem ext4.


I backup verranno automaticamente ciclati sul disco USB in base alle dimensioni dello stesso.Non sará necessario eliminare i backup obsoleti, se ne occuperá direttamente il sistema DM.

17.3 H3 - Rsync su condivisione

Un’altra procedura di backup consiste nel mantenere sempre un file aggiornato su di una condi-visione di rete Microsoft Windows (r) o Samba.

Per far funzionare correttamente la procedura é necessario inserire:

• il nome host del server ove risiede la condivisione (se é attivo il server DNS é necessario chequesto conosca la correlazione tra FQDN e ip address) o direttamente l’indirizzo IP;

75


Figura 17.4: Schermata H3

• la directory, in caso di sottodirectory utilizzare il carattere “/” (esempio: backup/dm);

• il nome utente, se non presente si puó indicare il classico “Guest”; in caso di dominio ActiveDirectory non é necessario specificare il dominio, tuttavia é possibile farlo nella dicituraDOMINIO\\{}utente;

• password, se non presente é possibile specificare qualsiasi valore.

76


Capitolo 18

I - Licenze e attivazioni

La schermata Licenze e Attivazioni si occupa di gestire le informazioni relative al prodotto.Ogni macchina DM ha una licenza che identifica:

• il numero massimo di caselle

• il numero massimo di domini autogestiti e DM (si veda il capitolo D1 - Domini per ledifferenze) 13.1

• opzioni aggiuntive (fileserver, webserver e HA)

18.1 I1 - Registrazione prodotto

Figura 18.1: Schermata I1 - Registrazione prodotto

La registrazione del prodotto é necessaria per ricevere il massimo supporto possibile, l’hard-ware replacement (la sostituzione di componenti in avaria verrá difatti eseguita spedendo all’in-dirizzo indicato il nuovo componente) e abilitare le licenze software.

77


Da quando la registrazione verrá inviata, saranno necessarie circa 24 ore per poter ritrovare leinformazioni inserite all’interno del proprio Server dopo la validazione. In questo frangente ditempo non sará possibile modificare i dati.

La maintenance iniziale parte dal giorno di registrazione del prodotto.Le maintenance successive alla prima partono dall’ultimo giorno della precedente.Esempio: Oggi é l’1 febbraio, la maintenance di 1 anno é scaduta l’1 gennaio ma é stata

rinnovata solo oggi. Pertanto scadrá l’1 gennaio del prossimo anno (e non l’1 febbraio).Questo é dovuto sostanzialmente a due motivi:

• nelle maintenance viene corrisposto uno sviluppo costante del prodotto, i cui benefici sonocumulativi nel corso del tempo,

• per le appliance vi é un’inesorabile usura hardware che prescinde dal periodo in cui si édeciso di non usufruire della maintenance annuale

18.2 I2 - Domini, Caselle e Opzioni

Figura 18.2: Schermata I2

In questa schermata é possibile gestire la licenza in uso.I domini sono ampliabili a partire dal DM100 o DMV100 in sú. Il numero di caselle é amplia-

bile solo per il DM30Il comando Aggiorna ora si occupa di aggiornare solo la licenza, scaricando l’ultima versione

dai server di update.Affinché tutto funzioni é necessario che il server possa utilizzare la porta 443 HTTPS.

18.3 I3 - Autoupdate

Sono inoltre visualizzate informazioni relative alle versione dei moduli DM e degli ultimi aggior-namenti dei componenti di sistema.

78


Figura 18.3: Schermata I3

Vi sono 4 server di update, geograficamente locati in zone differenti. E’ possibile sceglierne uno olasciare le impostazioni inalterate per mantenere una scelta casuale.

79


80


Capitolo 19

L - Statistiche

19.1 L1 - Email e Spam

Figura 19.1: Schermata L1 - Statistiche

Nella schermata Email e Spam sono visualizzati i grafici ordinati per giorno, mese e annoinerenti le email movimentate, l’antispam (diviso per macro aree) ed il greylist.

81


19.2 L2 - Occupazione caselle

Figura 19.2: Schermata L2 - Occupazione caselle

Nella schermata Occupazione caselle sono espressi in forma grafica le percentuali di spaziooccupato da ciascuna casella, divisi per percentuale totale, quota e su email e numero di messaggicomplessivi memorizzati all’interno della casella stessa.

82


19.3 L3 - Statistiche Security

Figura 19.3: Schermata L3-1 - Statistiche Security

La schermata Statistiche Security visualizza gli attacchi bloccati mostrando varie informazioniassociate alla tipologia di attacco.

Per maggiori informazioni si approfondisca il capitolo 4 come funziona il dm.

83


Figura 19.4: Schermata L3-2

Grafico a torta per tipologia di attacco.

84


Figura 19.5: Schermata L3-3

Geolocalizzazione. Con questo grafico é possibile non solo visualizzare le statistiche perpercentuale d’attacco, ma anche la provenienza geografica dello stesso.

85


86


Capitolo 20

M - Monitor e Log

20.1 M1 - TCP Dump

Figura 20.1: Schermata M1

La schermata TCP Dump mostra a video l’output del comando da shell tcpdump. E’ possi-bile settare vari parametri tra cui il servizio desiderato, l’host, l’interfaccia di rete ed un timeoutespresso in secondi.

87


20.2 M2 - Verifica Email

Figura 20.2: Schermata M2

La schermata verifica email consente l’estrapolazione dei log relativi ad una specifica email (edel suo ID).

88


20.3 M3 - Dischi

Figura 20.3: Schermata M3-1

La schermata Dischi mostra statistiche inerente all’uso dei dischi presenti sul mail server.Inoltre predispone tool per la diagnostica degli stessi e della memoria RAM.

89



Questo tab mostra attraverso dei grafici l’uso del disco nelle ultime 24 ore.

90


20.4 M4 - Processi


La schermata Processi visualizza tutti i servizi attivi e non sul sistema, permettendo all’utentedi riavviarli.

Salvo particolari casi si sconsiglia il riavvio manuale di servizi.

91



Il tab dei processi visualizza tutti i processi in corso sul sistema, con la possibilitá di terminarlie di ordinarli secondo ID, PID e nome processo.

L’interruzione manuale di processi potrebbe causare instabilitá del sistema! Non effettuarequesta operazione se non esplicitamente richiesto.

92



Storico utilizzo risorse mostra i grafici riguardo l’uso della CPU, RAM E SWAP utilizzati nelleultime 24/48h.

93


20.5 M5 - Connessioni


La scheda connessioni mostra le interfacce di rete e le impostazioni delle rotte statiche ad esseassociate.

Qualora si verifichino problemi di connessione si consiglia di valutare con attenzione il campoerrors. Un numero di errori elevato indica in genere problemi di rete o di autonegoziazione.

94



95



Questa schermata mostra le connessioni stabilite verso determinati host di rete.

96



Diagnostica connessioni permette di verificare la connettivitá del mail server, attraverso toolcome ping e risoluzione DNS.

97


Figura 20.12: Schermata M5-5 - Grafico Banda

Grafico banda mostra il traffico in ingresso (RX) ed il traffico in uscita (TX) delle ultime 24 ore.

98


20.6 M6 - Diagnostica MX


La schermata Diagnostica MX consente di verificare la configurazione del proprio dominio.Il server effettua delle query verso i maggiori server DNS nazionali per verificare se il propriodominio é correttamente collegato all’IP pubblico del mail server.

99



Questa schermata semplifica e velocizza l’interrogazione verso siti specializzati nell’identifica-zione di anomalie SMTP. I siti contattati sono esterni, non gestiti da DM e liberamente accessibilisu internet.

100


20.7 M7 - Coda Email


La schermata coda email visualizza tutte le email rimaste in coda. Per ogni messaggio é possi-bile effettuare un reinvio forzato, un’eliminazione o una sospensione. NB: L’algoritmo di rielabo-razione della coda é automatico e provvede in totale autonomia alla rielaborazione della coda. Leemail in coda sono quelle che hanno ricevuto un errore temporaneo di tipo 4, oppure il cui mail-server destinatario, seppur esistente, non é momentaneamente raggiungibile. Ogni email ha unascadenza di 5 giorni, superati i quali verrá eliminata restituendo al mittente un errore definitivo.

101



Questo grafico mostra lo storico della coda email nelle ultime 24 ore. Particolarmente utile perstabilire l’andamento del flusso di posta in caso di invio sostenuto di comunicazioni.

102


20.8 M8 - Info sistema

Figura 20.17: Schermata M8 - Log di sistema

Questa sezione riassume i log di sistema compresi quelli inerenti ai servizi DM, alla sicurezzaed al kernel. I log non sono modificabili e vengono ruotati regolarmente.

103


104


Capitolo 21

Allegato A: Centralized Monitor

Il DMCM (DM Centralized Monitor) é uno strumento utile per chiunque voglia monitorizzare ipropri server (fisici o virtuali). Sostanzialmente si tratta di un software di management apposita-mente studiato per contattare i Server DM ed analizzarne lo stato di salute software ed hardware.Con un rapido sguardo sul software di management DMCM si puó facilmente diagnosticare qual-siasi problema di uno o piú MailServer DM. Il DMCM é un software incluso e gratuito, ma épossibile gestire esclusivamente server con una maintenance valida.

105


21.1 Aggiungere un server

Figura 21.1: Schermata DMCM4

Per aggiungere un Server é sufficiente cliccare su “aggiungi server”. E’ possibile, inoltre,categorizzare per gruppi di macchine.

Al tempo di aggiornamento settato verranno aggiunti o rimossi da -10 a +10 secondi in ma-niera casuale e trasparente all’utente, per evitare sovraccarichi nelle interrogazioni.

106


21.2 Info dei server aggiunti

Figura 21.2: Schermata DMCM

Per ogni server aggiunto al DMCM é possibile ricavare:

• Seriale

• ip pubblico o hostname

• uptime (espresso in giorni)

• Data e ora del server (utili per verificare eventuali problemi di sincronismo)

• IP e Gateway LAN del server

• Data di scadenza della licenza di maintenance annuale

• Stato della registrazione del prototto e VAR associato

• Caselle in uso / Caselle Max

• Domini DM in uso / Domini DM Max1

• Domini autogestiti in uso / Domini autogestiti Max

• Numero di email movimentate nell’ultima ora, nell’ultimo giorno, nell’ultimo mese

• Numero di email di spam rilevate e bloccate nell’ultima ora, nell’ultimo giorno, nell’ultimomese

1per info si veda il capitolo “D1 - Domini”

107


• Numero e dimensione della coda email in uscita

• Temperatura (se presente il sensore)

• Stato SMART del disco

• Spazio in uso / Spazio disponibile (Gb)

• Data e ora dell’ultimo backup

• Stato della modalitá debug

• HeavyServer se attivo o meno (per info si veda il capitolo C7 Pannello di controllo)

• Stato dei servizi (dmcore, SMTP, antispam, antivirus, ssh in debug mode, auth, webmail,imap/pop3, dovecot)

• Altre eventuali informazioni e warning


108


21.3 Altri apparati non DM

E’ possibile, inoltre, effettuare check di raggiungibilitá anche su altri apparati mediante il proto-collo icmp (il DMCM effettuerá dei semplici ping.


Per ogni oggetto é possibile personalizzare il tempo di recheck ed altri valori. E’ possibile,inoltre, richiamare direttamente il DMClient per la modalitá di configurazione.

109


110


Capitolo 22

Allegato B: Rapid How To

Per i rapid howto si rimanda al forum in lingua italiana su http://www.dmpro.it/rdove qualsiasi dubbio o chiarimento frequente viene portato in evidenza. Tramite questo utilestrumento, inoltre, é possibile chiedere features request direttamente allo staff di sviluppo.

111

http://www.dmpro.it/rd


112


Elenco delle figure

1.1 Recapito di un’email . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2 Recapito di un’email . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

2.1 Differenze tra i protocolli IMAP e POP3 . . . . . . . . . . . . . . . . . . . . . . . . . 5

4.1 Software di Sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

5.1 Verifica Raggiungibilitá porta 25 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145.2 Esempio di pannello di controllo della gestione dei DNS di un noto provider italiano 145.3 Interrogazione MX verso i Google DNS . . . . . . . . . . . . . . . . . . . . . . . . . 155.4 Login con parametri di default . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155.5 Wizard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

6.1 Richiamo delle info per un utente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196.2 Schermata di info dell’utente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206.3 Configurazione dei servizi durante la generazione della schermata di info . . . . . 206.4 Thunderbird e posta in ingresso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216.5 Thunderbird e posta in uscita . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

7.1 Tecniche antispam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

8.1 Schermate DMClient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

9.1 Schermata di Login . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

10.1 Dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3110.2 Dashboard espansa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

11.1 Schermata B1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3511.2 Schermata B2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3611.3 Schermata B3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

12.1 Schermata C1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3912.2 Schermata C2-1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4012.3 Schermata C2-2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4112.4 Archivi automatici . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4112.5 Schermata C3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4312.6 Schermata C4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4412.7 Schermata C5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4512.8 Schermata C6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4612.9 Schermata C6-1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4712.10Plugin DM-BigMail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4712.11Schermata C7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4812.12Schermata C8 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

113


13.1 Schermata D1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5113.2 Schermata D2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5213.3 Aggiunta di utenti da file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5313.4 Schermata D2-3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5413.5 Schermata D2-4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5413.6 Schermata D2-5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5413.7 Schermata D3-1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5513.8 Schermata D3-2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

14.1 Schermata E1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5714.2 Schermata E2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

15.1 Schermata F1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6115.2 Schermata F2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6215.3 Schermata F3-1 - RBL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6415.4 Schermata F3-2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6615.5 Schermata F4 - Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6715.6 Schermata F4-2 - Blocco estensioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

16.1 Schermata G1-1 - Blacklist in ingresso . . . . . . . . . . . . . . . . . . . . . . . . . . 6916.2 Schermata G1-2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7016.3 Schermata G1-3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7016.4 Schermata G2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

17.1 Schermata H1-1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7417.2 Schermata H2-1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7517.3 Schermata H2-2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7517.4 Schermata H3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

18.1 Schermata I1 - Registrazione prodotto . . . . . . . . . . . . . . . . . . . . . . . . . . 7718.2 Schermata I2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7818.3 Schermata I3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

19.1 Schermata L1 - Statistiche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8119.2 Schermata L2 - Occupazione caselle . . . . . . . . . . . . . . . . . . . . . . . . . . . 8219.3 Schermata L3-1 - Statistiche Security . . . . . . . . . . . . . . . . . . . . . . . . . . . 8319.4 Schermata L3-2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8419.5 Schermata L3-3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

20.1 Schermata M1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8720.2 Schermata M2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8820.3 Schermata M3-1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8920.4 Schermata M3-2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9020.5 Schermata M4-1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9120.6 Schermata M4-2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9220.7 Schermata M4-3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9320.8 Schermata M5-1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9420.9 Schermata M5-2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9520.10Schermata M5-3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9620.11Schermata M5-4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9720.12Schermata M5-5 - Grafico Banda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9820.13Schermata M6-1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9920.14Schermata M6-2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10020.15Schermata M7-1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10120.16Schermata M7-2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10220.17Schermata M8 - Log di sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

114


21.1 Schermata DMCM4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10621.2 Schermata DMCM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10721.3 Schermata DMCM2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10821.4 Schermata DMCM3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

115

Documents

—Manuale utente DM— Manuale utente MailServer DM · 2012-08-02 · —Manuale utente DM— mai perfettamente sincronizzata a causa dell’impossibilitá del Server di gestire