Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Matematica
  2. Matematica applicata

Come evitare di finire nelle Black List

MDaemon
Come evitare di finire nelle Black List
Abstract ........................................................................................................ 2
Open relay e black list ................................................................................... 3
Cosa è un open-relay ................................................................................ 3
Perché gli open relay costituiscono un problema ......................................... 3
Cosa è una black list ................................................................................. 3
Perché un server che compare in una black list è un problema .................... 3
Come funziona un sistema anti-open relay o una black list .......................... 4
Come verificare se un server è in una black list ............................................... 5
Come configurare MDaemon per evitare di finire in una black list ..................... 5
Ulteriori verifiche e configurazioni per evitare di finire un una black list ............. 6
Si scarica la posta del dominio dall'ISP ....................................................... 6
Si riceve la posta direttamente in SMTP (senza intervento del proprio ISP)... 7
Come rimuovere il proprio server da una black list .......................................... 9
Alcuni motivi per cui è facile finire in una black list: note e considerazioni ......... 9
Abstract
Questo documento illustra i problemi e i rischi di finire in una black list e propone una serie di
accorgimenti per ridurre al minimo questi rischi.
All’interno del documento vengono fornite indicazioni sulla configurazione di MDaemon e del DNS
per configurare correttamente il proprio mail server in ogni circostanza.
.2.
Open relay e black list
Cosa è un open-relay
Si ha un open relay di posta quando un mail server elabora un messaggio email dove né il
mittente né il destinatario sono utenti locali.
Se un'email da [email protected] viene spedita tramite il mail server di altrodominio.net all'utente
[email protected] sia il mittente sia il destinatario sono fuori dal dominio altrodominio.net.
Il server di posta, in questo esempio, è una terza parte totalmente non correlata a questa transazione.
Perché gli open relay costituiscono un problema
L'utilizzo legittimo di server di posta elettronica è minacciato dal flusso di email "spam" inviate
da terzi, gli "spammer".
L'abuso avviene con la spedizione di grosse quantità di email tramite un server non legato al mittente.
Quasi tutti questi abusi vengono effettuati da persone, i cosiddetti spammer, che mandano messaggi
non sollecitati a indirizzi email in tutto il mondo senza lasciare traccia.
In passato, i server di email che inoltravano messaggi per conto di terzi erano utili. Adesso, per colpa
dello spamming, questi server costituiscono una minaccia all'utilità della posta elettronica.
Cosa è una black list
Una black list è un database di indirizzi IP ritenuti pericolosi in quanto sorgente di spam.
I database in generale sono pubblici e mantenuti da enti indipendenti che li mettono a disposizione di
chiunque voglia difendersi dallo spam.
Perché un server che compare in una black list è un
problema
Se un server è presente in una black list avrà molti problemi a recapitare correttamente le proprie
email ai legittimi destinatari.
Infatti la maggior parte delle volte i server riceventi non saranno disponibili ad accettare email che
provengono da server presenti nelle black list.
.3.
Come funziona un sistema anti-open relay o una black
list
Benché i siti che contengo le liste dei server open relay e dei server che sono soliti fare spam siano
indipendenti e quindi ognuno di questi gestisce i processi e le informazioni come ritiene opportuno, si
può individuare un modello generale di funzionamento.
Per capire perché avere un server open relay o un server presente in una black list impedisce il
corretto recapito dei messaggi ai destinatari si osservi il funzionamento di un invio di un messaggio di
posta elettronica:
1. L'utente inoltra l'email al server di posta in uscita, un cosiddetto server SMTP.
2. Il server di posta in uscita stabilisce una connessione verso il server di posta del destinatario, e
cerca di consegnare l'email al destinatario.
3. Il server di posta in ricezione interroga il database della black list, per vedere se il server di
posta mittente è elencato fra gli open relay o se l'IP del server mittente è presente in una black
list.
4. Il server che ha la black list risponde al server di posta in ricezione, e lo informa se il tuo server
di posta in uscita è nell'elenco.
5. Se risulta che il server di posta in uscita è nell'elenco, il server di posta in ricezione può
scegliere di respingere la connessione dal server di posta mittente, e di dirgli che non è
autorizzato a inoltrare la posta.
6. L'utente riceve un messaggio di ritorno, detto "bounce" o "Mailer Daemon", con l'indicazione
che la email di partenza non è arrivata a destinazione.
.4.
Come verificare se un server è in una black list
Per verificare se il mail server è considerato "open relay" e se è stato inserito in qualche database RBL
o in qualche black list si può effettuare una ricerca in oltre 150 database RBL mediante il sito
www.dnsstuff.com, inserendo l'indirizzo IP del mail server da verificare nella sezione "Spam database
Lookup".
Un'ulteriore fonte di informazione possono essere i file di log del propri mail server.
Se infatti un server destinatario respinge un messaggio del nostro mail server, il motivo viene scritto
all'interno dei file di log.
Come configurare MDaemon per evitare di
finire in una black list
La configurazione di default di MDaemon è tale per cui esso non può essere considerato un open
relay.
Tuttavia, alcuni sistemi che gestiscono le liste fanno controlli particolari per verificare che la
configurazione di un server di posta sia "a regola d'arte". Occorre quindi accertarsi che il proprio
server sia configurato in maniera opportuna.
Ecco un elenco di operazioni da eseguire:
 Verificare che tutti i domini gestiti dal server abbiano un account o un alias
del tipo: postmaster@dominio.
 Verificare che tutti i domini gestiti dal server abbiano un account o un alias
del tipo: abuse@dominio.
 Verificare
se
il
mail
server
recapita
un'email
inviata
da
postmaster@dominio a un destinatario remoto nell'ambito di una sessione
non autenticata.
 Verificare se il mail server recapita un'email inviata da root@dominio a un
destinatario remoto nell'ambito di una sessione non autenticata.
 Verificare se il mail server recapita un'email inviata da test@dominio a un
destinatario remoto nell'ambito di una sessione non autenticata.
 Verificare che nel menu Accounts->Address aliases->Options sia abilitata
l'opzione "Mail From postmaster … ".
In MDaemon 10: Accounts->Account settings->Aliases->Options.
 Evitare di creare gli account root e test a meno di aver abilitato
l'autenticazione per tutti gli account.
 Verificare che nel menu Security->Relay/Trusts/....->Relay Settings siano
abilitati i flag "Do not allow message relaying", "SMTP MAIL…" e "SMTP
RCPT TO …".
In MDaemon 10: Security->Security settings-> Relay control.
 Verificare che siano abilitate le "strong password", controllando il menu
Setup->Miscellaneous options->Misc e abilitando il flag "Require strong
passwords".
In MDaemon 10: Accounts->Accounts settings->New Account Defaults
.5.
 Verificare che sia abilitata almeno una delle seguenti voci:
o
o
nel menu Security->Ip Shiled/AUTH...->POP before SMTP sia abilitata
la voce "Local sender must...";
In MDaemon 10: Security->Security settings->Pop before SMTP
nel menu Security->Ip Shiled/AUTH...->SMTP Authentication sia
abilitata la voce "Authentication is always required...".
In MDaemon 10: Security->Security settings->SMTP Authentication
 Verificare che nel menu Setup->Relay/Trusts/....->Trusted host non sia
inserito il proprio dominio.
In MDaemon 10: Security->Security settings->Trusted hosts
Ulteriori verifiche e configurazioni per evitare
di finire un una black list
Al di là delle configurazioni del mail server, ci possono essere alcune considerazioni e impostazioni di
carattere sistemistico che impediscono a un server di posta di spedire correttamente ai destinatari le
email.
Per analizzare queste situazioni è necessario capire come viene gestita la ricezione della posta dal
proprio mail server.
La propria situazione può generalmente essere ricondotta a uno dei seguenti casi.
Si scarica la posta del dominio dall'ISP
In questa circostanza il server di posta non è "pubblicato" direttamente su internet, nel senso che i
DNS relativi al dominio in questione puntano al mail server del provider.
Il fatto che si abbia un IP pubblico o dinamico è irrilevante, il fatto che di abbia il server in una DMZ o
nella propria rete locale è irrilevante.
La posta in uscita dal proprio server, in questa situazione, deve essere inoltrata al provider che
fornisce la connettività. La situazione è illustrata schematicamente nell'immagine seguente:
.6.
Per configurare MDaemon occorre andare sul menu Setup->Primary domain->Delivery (In MDaemon
10: Setup->Default domain->Delivery) e selezionare l'opzione "Always deliver all outbound messages
to the server speficied below" (In MDaemon 10: Send all outbound email to the ‘server’ specified
below) e inserire il mail server del provider che fornisce la connettività nell'apposito campo.
Se il mail server del provider richiede credenziali di autenticazione o un controllo POP prima dell'invio,
occorre fornire queste credenziali negli appositi campi.
Se si spedisce direttamente la posta elettronica, senza inoltrarla al provider, si rischia di vedere
respinte le proprie email.
Il mail server mittente, infatti, non è presente nei DNS, nel senso che il mail server di riferimento per il
dominio, identificato nei DNS come mx primario, è il server del provider. Il mail server ricevente
potrebbe quindi accorgersi che il server che invia non è lo stesso che gestisce il dominio e quindi
potrebbe non accettare le email.
Si riceve la posta direttamente
intervento del proprio ISP)
in
SMTP
(senza
In questa circostanza il server di posta è "pubblicato" direttamente su internet, nel senso che i DNS
relativi al dominio in questione puntano al mail proprio mail server.
In questa configurazione è necessario avere un indirizzo IP statico (non vanno bene i sistemi di
gestione di DNS dinamico come per esempio DynDNS).
Il fatto che si abbia il server in una DMZ o nella propria rete locale e "nattato" dal router/firewall è
irrilevante.
La posta in uscita dal proprio server, in questa situazione, può tranquillamente essere inoltrata
direttamente verso i mail server dei destinatari.
La situazione è illustra schematicamente nell'immagine seguente:
.7.
Per configurare MDaemon occorre andare sul menu Setup->Primary domain->Delivery (In MDaemon
10: Setup->Default domain->Delivery) e selezionare l'opzione "Try direct delivery but.." (In MDaemon
10: Send alle mail direcly first, and then to ‘Server’ if there are problems) e inserire il mail server del
provider che fornisce la connettività nell'apposito campo.
Se il mail server del provider richiede credenziali di autenticazione o un controllo POP prima dell'invio,
occorre fornire queste credenziali negli appositi campi.
Quindi MDaemon cercherà sempre di spedire da solo, ma chiederà aiuto al mail server del provider in
caso di problemi. Questa è la configurazione ottimale per l'invio della posta elettronica.
Anche in questo caso tuttavia si possono vedere respinte le proprie email.
Infatti benché il DNS riporti che il record mx, ossia il mail server principale per un dominio,
corrisponde a un determinato in dirizzo IP (quello del mail server, appunto), il server ricevente
potrebbe verificare se è vero che l'indirizzo IP in questione corrisponde proprio al mail server.
Questa informazione si trova in una zona del DNS detta "reverse zone".
Occorre quindi chiedere al proprio fornitore di connettività di inserire nella reverse zone del DNS
l'indirizzo IP del proprio mail server.
Il fornitore di connettività è tenuto a esaudire questa richiesta, se si dispone di un IP pubblico.
E' importante osservare quindi che se il domino è registrato presso un'azienda e la connettività viene
acquistata da un altro fornitore, il DNS verrà gestito per la parte diretta dal gestore del dominio e per
la pare inversa dal fornitore della connettività.
.8.
Come rimuovere il proprio server da una black
list
Se il proprio server è già stati listati, cioè inclusi nel database degli open relay o in qualche black list
occorre seguire questi passi:
 stare calmi e armarsi di pazienza;
 verificare tutto quanto descritto in questo documento per non finire nelle
black list;
 essere certi di aver fatto tutte le operazioni e che il proprio server sia "a
regola d'arte" e o sia anche il DNS del proprio dominio;
 chiedere al sito nel quale si è listati la rimozione.
Osservazioni:
La maggior parte dei siti sono in inglese e le istruzioni sulla rimozione sono solo in inglese.
Le procedure di rimozione sono pressoché sempre automatiche quindi è inutile chiedere solleciti o fare
altre domande.
Ogni sito può avere una procedura di rimozione diversa e indipendente dalle procedure di rimozione
degli altri siti.
Non esiste altro modo di essere rimossi dalle liste se non quello descritto da ogni singolo sito.
Alcuni motivi per cui è facile finire in una black
list: note e considerazioni
Anche avendo impostato tutto correttamente è possibile finire in una black list. Ecco alcune
considerazioni in merito.
 Benché in MDaemon siano impostate le strong password, il server di posta
potrebbe essere stato oggetto di continui aggiornamenti, a partire da una
versione nella quale non erano necessarie le strong password; quindi alcuni
utenti potrebbero avere una password "banale". In questo caso è necessario
chiedere a tutti gli utenti di cambiare la propria password.
 Se una postazione interna ha preso un virus, uno spyware o un generico
"malware" questo, dall'interno, non ha nessuna difficoltà a spedire email al
proprio server che potrebbe essere, inconsciamente, uno spammer.
 In MDaemon è possibile mettere alcune macchine in Trust, ossia considerare
affidabili certe macchine e permettere l'invio di email. Benché questa sia una
funzione molto spesso utile, può essere portatrice di problemi, in quanto il relay
di queste macchine è fuori dal controllo dell'amministratore e, ancora una volta,
il server potrebbe essere utilizzato per fare spam a propria insaputa.
.9.
Achab S.r.l.
Piazza Luigi di Savoia, 2
20124 Milano
Telefono: +39 02 54108204
Fax: +39 02 5461894
Per informazioni su MDaemon, visiti le pagine web:
http://www.achab.it/mdaemon
Per informazioni inerenti Achab, i servizi che offre
e i prodotti che sviluppa e distribuisce, visiti il sito web:
http://www.achab.it
Per informazioni commerciali, contatti Achab all’indirizzo email:
[email protected]
Per informazioni tecniche, contatti Achab all’indirizzo email:
[email protected]
MDaemon è un marchio registrato di Alt-N Technologies.
Achab S.r.l. è distributore esclusivo per l’Italia dei prodotti di Alt-N.
Tutti i diritti sono riservati.
Documenti correlati
Phishing - rendimax
Phishing - rendimax
attenzione: virus
attenzione: virus
Iscrizione Dannaper 2015
Iscrizione Dannaper 2015
Scarica
Scarica
Scarica
Scarica
Scheda Adesione...... - Ufficio Ed. Fisica Toscana
Scheda Adesione...... - Ufficio Ed. Fisica Toscana
Scarica
Scarica
Genova – venerdì 21 aprile 2017 Liceo Classico Statale Andrea D
Genova – venerdì 21 aprile 2017 Liceo Classico Statale Andrea D
Scarica