Differenze tra le versioni di "FAQ"

Da ISTI S2I2S Wiki.
Jump to navigation Jump to search
(Aggiunto un esempio di violazione SPF causato dalle mailing list.)
 
(2 versioni intermedie di uno stesso utente non sono mostrate)
Riga 4: Riga 4:
  
 
<br>
 
<br>
'''D:''' A proposito del sistema antivirus (al momento solo in uscita), quali operazioni compie sui messaggi?
+
'''D:''' A proposito del sistema antivirus, quali operazioni compie sui messaggi?
 
<br>
 
<br>
 
'''R:''' L’antivirus applicato alla posta in uscita si comporta come un antivirus ‘classico’: esegue una scansione dei messaggi e degli allegati e li confronta con il suo database di firme.
 
'''R:''' L’antivirus applicato alla posta in uscita si comporta come un antivirus ‘classico’: esegue una scansione dei messaggi e degli allegati e li confronta con il suo database di firme.
 
In caso positivo il messaggio viene rifiutato immediatamente con un messaggio che riporta l’indicazione del tipo di virus trovato. Può essere effettuato un test usando lo “EICAR test file” (https://www.google.com/search?client=ubuntu&channel=fs&q=eicar+test+file+download) allegandolo ad una mail in uscita.<br>
 
In caso positivo il messaggio viene rifiutato immediatamente con un messaggio che riporta l’indicazione del tipo di virus trovato. Può essere effettuato un test usando lo “EICAR test file” (https://www.google.com/search?client=ubuntu&channel=fs&q=eicar+test+file+download) allegandolo ad una mail in uscita.<br>
 
Il software che usiamo è clamav, https://www.clamav.net, free con licenza GPL, usato da postfix tramite una estensione milter.
 
Il software che usiamo è clamav, https://www.clamav.net, free con licenza GPL, usato da postfix tramite una estensione milter.
 +
 +
 +
'''D:''' Undelivered Mail Returned to Sender: The MAIL FROM domain [isti.cnr.it] has an SPF record with a hard fail<br>
 +
'''R:''' L'errore sembra indicare un problema del nostro servizio di posta. Invece si verifica quando il destinatario del messaggio ha attivo il forward verso un sito terzo, ed è causato da una configurazione incompatibile con [[wikipedia:Sender_Policy_Framework|SPF]]<nowiki/>da parte del suo servizio di posta, che:
 +
 +
* Non ha configurato [[wikipedia:DomainKeys_Identified_Mail|DKIM]]
 +
* Non ha configurato [[wikipedia:Sender_Rewriting_Scheme|SRS]]
 +
* Non ha configurato [[wikipedia:Authenticated_Received_Chain|ARC]]
 +
 +
In particolare, SRS e ARC sono stato progettati proprio per rendere le mail reindirizzate tramite forward compatibili coi check di validità eseguiti dal destinatario finale.
 +
 +
'''Tutte''' le mail destinate a quell'utente verranno rifiutate dal server di destinazione finale (Es: gmail, che viene usato molto spesso come destinazione dei propri forward) se il dominio del mittente ha configurato SPF in modalità ''enforcing'', oppure se usa DKIM.
 +
 +
Non c'è niente che possiamo fare per rimediare: il gestore del server di posta del destinatario deve attivare uno dei meccanismi indicati sopra (oppure disattivare il forward, che da diversi anni non è più utilizzabile senza DKIM, SRS o ARC). Non sempre il solo DKIM è sufficiente.
 +
 +
Un comportamento analogo si verifica quando mailing list gestite da organizzazioni esterne a ISTI con gestiscono correttamente lo header <code>envelope-from=.</code>Questo fa sì che chi ha mandato mail alla lista risulti il mittente effettivo. Nel caso specifico di mittenti ISTI, significa che il mittente @isti.cnr.it ha spedito usando l'indirizzo IP che viene usato per spedire i messaggi della mailing list. Siccome quell'indirizzo non è indicato tra quelli autorizzati a spedire posta per conto di ISTI, il check SPF fallisce. Dal nostro lato possiamo aggiungere l'IP del gestore di mailing list a una nostra whitelist interna, ma questo non ha effetto sugli eventuali altri destinatari che blocchino mail quando il check SPF fallisce. L'unico rimedio corretto è configurare correttamente gli header del software che gestisce le mailing list.

Versione attuale delle 11:51, 5 apr 2023

D: Ho provato a indicare il nuovo server di output (smtp-out.isti.cnr.it) su outlook e mi dice: 421 cannot connect.
R: Le porte supportate sono Porta: 587 (STARTTLS) Porta: 465 (SSL/TLS)


D: A proposito del sistema antivirus, quali operazioni compie sui messaggi?
R: L’antivirus applicato alla posta in uscita si comporta come un antivirus ‘classico’: esegue una scansione dei messaggi e degli allegati e li confronta con il suo database di firme. In caso positivo il messaggio viene rifiutato immediatamente con un messaggio che riporta l’indicazione del tipo di virus trovato. Può essere effettuato un test usando lo “EICAR test file” (https://www.google.com/search?client=ubuntu&channel=fs&q=eicar+test+file+download) allegandolo ad una mail in uscita.
Il software che usiamo è clamav, https://www.clamav.net, free con licenza GPL, usato da postfix tramite una estensione milter.


D: Undelivered Mail Returned to Sender: The MAIL FROM domain [isti.cnr.it] has an SPF record with a hard fail
R: L'errore sembra indicare un problema del nostro servizio di posta. Invece si verifica quando il destinatario del messaggio ha attivo il forward verso un sito terzo, ed è causato da una configurazione incompatibile con SPFda parte del suo servizio di posta, che:

  • Non ha configurato DKIM
  • Non ha configurato SRS
  • Non ha configurato ARC

In particolare, SRS e ARC sono stato progettati proprio per rendere le mail reindirizzate tramite forward compatibili coi check di validità eseguiti dal destinatario finale.

Tutte le mail destinate a quell'utente verranno rifiutate dal server di destinazione finale (Es: gmail, che viene usato molto spesso come destinazione dei propri forward) se il dominio del mittente ha configurato SPF in modalità enforcing, oppure se usa DKIM.

Non c'è niente che possiamo fare per rimediare: il gestore del server di posta del destinatario deve attivare uno dei meccanismi indicati sopra (oppure disattivare il forward, che da diversi anni non è più utilizzabile senza DKIM, SRS o ARC). Non sempre il solo DKIM è sufficiente.

Un comportamento analogo si verifica quando mailing list gestite da organizzazioni esterne a ISTI con gestiscono correttamente lo header envelope-from=.Questo fa sì che chi ha mandato mail alla lista risulti il mittente effettivo. Nel caso specifico di mittenti ISTI, significa che il mittente @isti.cnr.it ha spedito usando l'indirizzo IP che viene usato per spedire i messaggi della mailing list. Siccome quell'indirizzo non è indicato tra quelli autorizzati a spedire posta per conto di ISTI, il check SPF fallisce. Dal nostro lato possiamo aggiungere l'IP del gestore di mailing list a una nostra whitelist interna, ma questo non ha effetto sugli eventuali altri destinatari che blocchino mail quando il check SPF fallisce. L'unico rimedio corretto è configurare correttamente gli header del software che gestisce le mailing list.