Differenze tra le versioni di "FAQ"

Da ISTI S2I2S Wiki.
Jump to navigation Jump to search
(Creata pagina con "'''D:''' Ho provato a indicare il nuovo server di output (smtp-out.isti.cnr.it) su outlook e mi dice: 421 cannot connect.<br> '''R:''' Le porte supportate sono Porta: 587 (STA...")
 
(Aggiunto un esempio di violazione SPF causato dalle mailing list.)
 
(3 versioni intermedie di uno stesso utente non sono mostrate)
Riga 2: Riga 2:
 
cannot connect.<br>
 
cannot connect.<br>
 
'''R:''' Le porte supportate sono Porta: 587 (STARTTLS)  Porta: 465 (SSL/TLS)<br>
 
'''R:''' Le porte supportate sono Porta: 587 (STARTTLS)  Porta: 465 (SSL/TLS)<br>
 +
 +
<br>
 +
'''D:''' A proposito del sistema antivirus, quali operazioni compie sui messaggi?
 +
<br>
 +
'''R:''' L’antivirus applicato alla posta in uscita si comporta come un antivirus ‘classico’: esegue una scansione dei messaggi e degli allegati e li confronta con il suo database di firme.
 +
In caso positivo il messaggio viene rifiutato immediatamente con un messaggio che riporta l’indicazione del tipo di virus trovato. Può essere effettuato un test usando lo “EICAR test file” (https://www.google.com/search?client=ubuntu&channel=fs&q=eicar+test+file+download) allegandolo ad una mail in uscita.<br>
 +
Il software che usiamo è clamav, https://www.clamav.net, free con licenza GPL, usato da postfix tramite una estensione milter.
  
  
'''D:''' Ho una domanda. Nel primo periodo il servizio di posta nuovo e quello di gennai funzioneranno in parallelo ?<br>
+
'''D:''' Undelivered Mail Returned to Sender: The MAIL FROM domain [isti.cnr.it] has an SPF record with a hard fail<br>
'''R:''' La posta in ingresso e le mailing list vengono ancora gestite dal sistema di Gennai, per questo è necessario, dopo aver sincronizzato gli account, impostare il forward. Ad ogni modo prima dello switch definitivo sarete avvertiti in anticipo, nel frattempo i due sistemi lavoreranno in parallelo ma per chi configura da subito e inizia ad usare il nuovo account, sia la parte IMAP (o POP) per connettersi alle mailbox che quella SMTP in uscita lo switch effettivo dovrebbe essere trasparente.
+
'''R:''' L'errore sembra indicare un problema del nostro servizio di posta. Invece si verifica quando il destinatario del messaggio ha attivo il forward verso un sito terzo, ed è causato da una configurazione incompatibile con [[wikipedia:Sender_Policy_Framework|SPF]]<nowiki/>da parte del suo servizio di posta, che:
<br>
 
  
 +
* Non ha configurato [[wikipedia:DomainKeys_Identified_Mail|DKIM]]
 +
* Non ha configurato [[wikipedia:Sender_Rewriting_Scheme|SRS]]
 +
* Non ha configurato [[wikipedia:Authenticated_Received_Chain|ARC]]
  
'''D:''' Ho un paio di utenti che scaricano la posta via POP da Gmail e non riescono a configurare Gmail con il server nuovo.
+
In particolare, SRS e ARC sono stato progettati proprio per rendere le mail reindirizzate tramite forward compatibili coi check di validità eseguiti dal destinatario finale.
Hanno provato inserendo il nuovo server (imap-s2i2s.isti.cnr.it) e usando come credenziali sia lo username che la mail e la password nuova. Hanno effettuato prove sulle porte 110, 143 e 993, sia indicando di usare SSL che di non usarlo (unico flag da configurare) ma non funziona.
 
<br>
 
'''R:''' Le porte utilizzate dal servizio POP3 e IMAP sono state aggiunte alla pagina [[Impostazioni Posta]]
 
Riguardo alle credenziali, la login viene effettuata usando lo username (e la password) del nuovo servizio.
 
<br>
 
  
 +
'''Tutte''' le mail destinate a quell'utente verranno rifiutate dal server di destinazione finale (Es: gmail, che viene usato molto spesso come destinazione dei propri forward) se il dominio del mittente ha configurato SPF in modalità ''enforcing'', oppure se usa DKIM.
  
'''D:''' Ho fatto la sincronizzazione, ma su webmail non vedo le cartelle e i messaggi di posta, che succede?
+
Non c'è niente che possiamo fare per rimediare: il gestore del server di posta del destinatario deve attivare uno dei meccanismi indicati sopra (oppure disattivare il forward, che da diversi anni non è più utilizzabile senza DKIM, SRS o ARC). Non sempre il solo DKIM è sufficiente.
<br>
 
'''R:''' La sincronizzazione richiede un po' di tempo, non è immediata, in alcuni casi ci vogliono ore, dipende dalla quantità di messaggi da sincronizzare tra i 2 server.
 
  
<br>
+
Un comportamento analogo si verifica quando mailing list gestite da organizzazioni esterne a ISTI con gestiscono correttamente lo header <code>envelope-from=.</code>Questo fa sì che chi ha mandato mail alla lista risulti il mittente effettivo. Nel caso specifico di mittenti ISTI, significa che il mittente @isti.cnr.it ha spedito usando l'indirizzo IP che viene usato per spedire i messaggi della mailing list. Siccome quell'indirizzo non è indicato tra quelli autorizzati a spedire posta per conto di ISTI, il check SPF fallisce. Dal nostro lato possiamo aggiungere l'IP del gestore di mailing list a una nostra whitelist interna, ma questo non ha effetto sugli eventuali altri destinatari che blocchino mail quando il check SPF fallisce. L'unico rimedio corretto è configurare correttamente gli header del software che gestisce le mailing list.
'''D:''' A proposito del sistema antivirus (al momento solo in uscita), quali operazioni compie sui messaggi?
 
<br>
 
'''R:''' L’antivirus applicato alla posta in uscita si comporta come un antivirus ‘classico’: esegue una scansione dei messaggi e degli allegati e li confronta con il suo database di firme.
 
In caso positivo il messaggio viene rifiutato immediatamente con un messaggio che riporta l’indicazione del tipo di virus trovato. Può essere effettuato un test usando lo “EICAR test file” (https://www.google.com/search?client=ubuntu&channel=fs&q=eicar+test+file+download) allegandolo ad una mail in uscita.<br>
 
Il software che usiamo è clamav, https://www.clamav.net, free con licenza GPL, usato da postfix tramite una estensione milter.
 

Versione attuale delle 11:51, 5 apr 2023

D: Ho provato a indicare il nuovo server di output (smtp-out.isti.cnr.it) su outlook e mi dice: 421 cannot connect.
R: Le porte supportate sono Porta: 587 (STARTTLS) Porta: 465 (SSL/TLS)


D: A proposito del sistema antivirus, quali operazioni compie sui messaggi?
R: L’antivirus applicato alla posta in uscita si comporta come un antivirus ‘classico’: esegue una scansione dei messaggi e degli allegati e li confronta con il suo database di firme. In caso positivo il messaggio viene rifiutato immediatamente con un messaggio che riporta l’indicazione del tipo di virus trovato. Può essere effettuato un test usando lo “EICAR test file” (https://www.google.com/search?client=ubuntu&channel=fs&q=eicar+test+file+download) allegandolo ad una mail in uscita.
Il software che usiamo è clamav, https://www.clamav.net, free con licenza GPL, usato da postfix tramite una estensione milter.


D: Undelivered Mail Returned to Sender: The MAIL FROM domain [isti.cnr.it] has an SPF record with a hard fail
R: L'errore sembra indicare un problema del nostro servizio di posta. Invece si verifica quando il destinatario del messaggio ha attivo il forward verso un sito terzo, ed è causato da una configurazione incompatibile con SPFda parte del suo servizio di posta, che:

  • Non ha configurato DKIM
  • Non ha configurato SRS
  • Non ha configurato ARC

In particolare, SRS e ARC sono stato progettati proprio per rendere le mail reindirizzate tramite forward compatibili coi check di validità eseguiti dal destinatario finale.

Tutte le mail destinate a quell'utente verranno rifiutate dal server di destinazione finale (Es: gmail, che viene usato molto spesso come destinazione dei propri forward) se il dominio del mittente ha configurato SPF in modalità enforcing, oppure se usa DKIM.

Non c'è niente che possiamo fare per rimediare: il gestore del server di posta del destinatario deve attivare uno dei meccanismi indicati sopra (oppure disattivare il forward, che da diversi anni non è più utilizzabile senza DKIM, SRS o ARC). Non sempre il solo DKIM è sufficiente.

Un comportamento analogo si verifica quando mailing list gestite da organizzazioni esterne a ISTI con gestiscono correttamente lo header envelope-from=.Questo fa sì che chi ha mandato mail alla lista risulti il mittente effettivo. Nel caso specifico di mittenti ISTI, significa che il mittente @isti.cnr.it ha spedito usando l'indirizzo IP che viene usato per spedire i messaggi della mailing list. Siccome quell'indirizzo non è indicato tra quelli autorizzati a spedire posta per conto di ISTI, il check SPF fallisce. Dal nostro lato possiamo aggiungere l'IP del gestore di mailing list a una nostra whitelist interna, ma questo non ha effetto sugli eventuali altri destinatari che blocchino mail quando il check SPF fallisce. L'unico rimedio corretto è configurare correttamente gli header del software che gestisce le mailing list.