> Il giorno 25/apr/2015, alle ore 18:09, GiancFir <giancarlo.fir@gmail.com> ha scritto: > > A scuola dove lavoro, per portare a termine un progetto che coinvolgeva varie scuole, abbiamo preso un server in offerta da aRuba, in housing. > Nel momento in cui ho avuto bisogno di inviare delle mail mi sono appoggiato ad un account google come smtp e non ci ho pensato più, era la strada più semplice e le email da inviare erano poche. > Ma, se avessi avuto necessità di configurare un mail server, con vari utenti etc., sarebbe stato sufficiente configurare il record mx, il relativo programma exim, postfix etc. o è necessario essere inseriti in una lista di smtp 'sicuri'? c’e’ parecchio lavoro da fare per guadagnare la fiducia di altri mx, essere inscritti in una qualche lista ti porta vantaggio relativo: molti siti studiano il tuo comportamento nel tempo. intanto: mx correttamente configurati, reverse ip certo attenzione a configurazioni che rendano il server openrelay, per sicurezza, dovresti avere sempre a portata di tiro un secondo MX che lavora parallelamente al primo: se il primo ha problemi, magari deve stare fermo per un po’ hai comunque bisogno di qualcosa che lo rimpiazzi. attenzione al comportamento di eventuali utenti, basta un solo utente che gli sfuggono le credenziali e sei fritto, poi giu’ di lavoro per recuperare la fiducia antivirus, antispam a pioggia - piu’ rigido sei, meglio e’: qualcuno potrebbe obbiettare, ma solo oggi, uno dei miei mx ha filtrato qualcosa come 3700 allegati exe di cui non voglio sapere il comportamento….. verifica periodica dei vari siti che mantengono liste dei buoni e/o cattivi - aka smtp affidabili, blacklist e affini: se trovi qualcuno che ti ha blacklistato, capire il perche’ e il percome, ovviamente trovi pure il furbetto che ti blacklista perche’ vuole i dindi, ignoralo assai. verifica periodica di senderbase, sistemi di blacklist centralizzati (usati magari da specifici enti, come da noi, spesso gli enti pubblici usano trendmicro (http://trendmicro.com/reputation) e via disquisendo (http://tazzadelcesso.com/wordpress/2013/11/16/antispam/: qualche appunto su alcune appliance usate in giro e su cui faccio riferimento per verificare che sia tutto piu’ o meno ok). uso di ssl continuo, configurazioni adeguate per quanto riguarda spf: piu’ sei cattivello, piu’ viaggi e dormi tranquillo. utilizzo di prodotti come fail2ban, nei log vedrai cose che manco ti immagini. per ultimo: analisi continua dei log. insomma: inizialmente e di tanto in tanto c’e’ da sudare, ma dopo un po’ perfino guardare i log scorrere diventa piacevole e l’anomalia la becchi semplicemente guardando il mucchio di caratteri che scorre a video /Matrix docet). Parliamo di un prodotto abbastanza complesso da gestire e sempre nel mirino dei soliti asiatici pronti a spedirti di tutto. chi ti suggerisce di usare l’smtp del provider dice il giusto: se non prevedi grossi volumi di traffico e configurazioni di un certo tipo, postfix con pochi criteri che ruota tutto su quell’smtp ha il suo perche’. Tutto dipende da quanto traffico prevedi di sviluppare. Alcuni provider, se non hai un contratto specifico, cambiano l’smtp from con quello dell’utente loggato (vedi gmail), altri non ti consentono volumi di traffico superiori a un certo livello (sempre gmail)… c’e’ sempre un dipende da tener sott’occhio. Alcuni host che ricevono la posta si straniscono se vedono arrivare una mail da un mx e vedono che l’smtp from non e’ corrispondente a quell’mx (vedi regole spf). insomma, poco traffico: vai di relay su l’smtp del provider - meno smazzi e meno notti insonne, come inizi ad avere parecchio traffico, mettiti su il tuo mx o acquista un servizio apposito soprattutto se non hai intenzione o tempo di dedicarti al monitoraggio: non c’e’ nulla di peggio che un mx non monitorato!
Attachment:
signature.asc
Description: Message signed with OpenPGP using GPGMail