Knowledge Base

L'archivio documentale di supporto ai prodotti Achab.

KB51396 Come evitare di finire nelle Black List

Ultimo aggiornamento: 08/01/2016
Articolo valido per MDaemon versione: 13.0.5

Quali configurazioni e quali accorgimenti sono necessari per evitare che il proprio mail server MDaemon finisca in black list?

Abstract

Questo documento illustra i problemi e i rischi di finire in una black list e propone una serie di accorgimenti per ridurre al minimo questi rischi.

All’interno del documento vengono fornite indicazioni sulla configurazione di MDaemon e del DNS per configurare correttamente il proprio mail server in ogni circostanza.

Open relay e black list

Cosa è un open-relay

Si ha un open relay di posta quando un mail server elabora un messaggio email dove né il mittente né il destinatario sono utenti locali.

Se un'email da mittente@dominio.it viene spedita tramite il mail server di altrodominio.net all'utente destinatario@dominio.com sia il mittente sia il destinatario sono fuori dal dominio altrodominio.net.

Il server di posta, in questo esempio, è una terza parte totalmente non correlata a questa transazione.

Perché gli open relay costituiscono un problema

L'utilizzo legittimo di server di posta elettronica è minacciato dal flusso di email "spam" inviate da terzi, gli "spammer".

L'abuso avviene con la spedizione di grosse quantità di email tramite un server non legato al mittente. Quasi tutti questi abusi vengono effettuati da persone, i cosiddetti spammer, che mandano messaggi non sollecitati a indirizzi email in tutto il mondo senza lasciare traccia.

In passato, i server di email che inoltravano messaggi per conto di terzi erano utili. Adesso, per colpa dello spamming, questi server costituiscono una minaccia all'utilità della posta elettronica.

Cosa è una black list

Una black list è un database di indirizzi IP ritenuti pericolosi in quanto sorgente di spam.

I database in generale sono pubblici e mantenuti da enti indipendenti che li mettono a disposizione di chiunque voglia difendersi dallo spam.

Perché un server che compare in una black list è un problema

Se un server è presente in una black list avrà molti problemi a recapitare correttamente le proprie email ai legittimi destinatari.

Infatti la maggior parte delle volte i server riceventi non saranno disponibili ad accettare email che provengono da server presenti nelle black list.

Come funziona un sistema anti-open relay o una black list

Benché i siti che contengo le liste dei server open relay e dei server che sono soliti fare spam siano indipendenti e quindi ognuno di questi gestisce i processi e le informazioni come ritiene opportuno, si può individuare un modello generale di funzionamento.

Per capire perché avere un server open relay o un server presente in una black list impedisce il corretto recapito dei messaggi ai destinatari si osservi il funzionamento di un invio di un messaggio di posta elettronica:

 

 

1. L'utente inoltra l'email al server di posta in uscita, un cosiddetto server SMTP.

2. Il server di posta in uscita stabilisce una connessione verso il server di posta del destinatario, e cerca di consegnare l'email al destinatario.

3. Il server di posta in ricezione interroga il database della black list, per vedere se il server di posta mittente è elencato fra gli open relay o se l'IP del server mittente è presente in una black list.

4. Il server che ha la black list risponde al server di posta in ricezione, e lo informa se il tuo server di posta in uscita è nell'elenco.

5. Se risulta che il server di posta in uscita è nell'elenco, il server di posta in ricezione può scegliere di respingere la connessione dal server di posta mittente, e di dirgli che non è autorizzato a inoltrare la posta.

6. L'utente riceve un messaggio di ritorno, detto "bounce" o "Mailer Daemon", con l'indicazione che la email di partenza non è arrivata a destinazione.

Come verificare se un server è in una black list

Per verificare se il mail server è considerato "open relay" e se è stato inserito in qualche database RBL o in qualche black list si può effettuare una ricerca in oltre 150 database RBL mediante il sito www.dnsstuff.com, inserendo l'indirizzo IP del mail server da verificare nella sezione "Spam database Lookup".

Un'ulteriore fonte di informazione possono essere i file di log del propri mail server.
Se infatti un server destinatario respinge un messaggio del nostro mail server, il motivo viene scritto all'interno dei file di log.

Come configurare MDaemon per evitare di finire in una black list

La configurazione di default di MDaemon è tale per cui esso non può essere considerato un open relay.

Tuttavia, alcuni sistemi che gestiscono le liste fanno controlli particolari per verificare che la configurazione di un server di posta sia "a regola d'arte". Occorre quindi accertarsi che il proprio server sia configurato in maniera opportuna.

Ecco un elenco di operazioni da eseguire:

  • Verificare che tutti i domini gestiti dal server abbiano un account o un alias del tipo: postmaster@dominio.
  • Verificare che tutti i domini gestiti dal server abbiano un account o un alias del tipo: abuse@dominio.
  • Verificare se il mail server recapita un'email inviata da postmaster@dominio a un destinatario remoto nell'ambito di una sessione non autenticata.
  • Verificare se il mail server recapita un'email inviata da root@dominio a un destinatario remoto nell'ambito di una sessione non autenticata.
  • Verificare se il mail server recapita un'email inviata da test@dominio a un destinatario remoto nell'ambito di una sessione non autenticata.
  • Verificare se il mail server recapita un'email inviata da info@dominio a un destinatario remoto nell'ambito di una sessione non autenticata.
  • Verificare che nel menu Accounts->Accounts Settings->Aliases->Options sia abilitata l'opzione "Mail From postmaster … ".
  • Evitare di creare gli account root e test a meno di aver abilitato l'autenticazione per tutti gli account.
  • Verificare che nel menu Security->Security Settings->Relay control siano abilitati i flag "Do not allow message relaying", "SMTP MAIL…" e "SMTP RCPT TO …".
  • Verificare che siano abilitate le "strong password", controllando il menu Accounts->Accounts Settings->New Account Defaults e abilitando il flag "Require strong passwords".
  • Verificare che sia abilitata almeno una delle seguenti voci:
    o nel menu Security->Security settings->Pop before SMTP sia abilitata la voce "Local sender must...";
    o nel menu Security->Security settings->SMTP Authentication sia abilitata la voce "Authentication is always required...".
  • Verificare che nel menu Security->Security settings->Trusted hosts non sia inserito il proprio dominio.

Mailserver che gestiscono più domini

Occorre prestare attenzione se il mail server gestisce più di un dominio a cosa si inserisce FQDN (Setup->Default domain->Domain).

Se un dominio ha un IP riservato, si può impostare:
1. FQDN ad una informazione, es: mail.domino.it che, se usata per un reverse lookup, conduca ancora all'IP riservato al dominio dominio.it
2. L'IP riservato nel campo Domain IP e abilitare l'opzione "Restrict connections to this IP".
3. In Setup > Preferences > System occorre abilitare l'opzione "Enable outbound IP binding for domains using IP inbound binding".

Se un dominio non ha un IP riservato, si può impostare:
1. FQDN uguale a quello del dominio principale.
2. L'IP del dominio principale o 127.0.0.1 nel campo Domain IP e abilitare l'opzione "Restrict connections to this IP".

Attenzione: se queste impostazioni non sono configurate in questo modo, si corre il rischio di essere listati dalla black list CBL.


Ulteriori verifiche e configurazioni per evitare di finire un una black list

Al di là delle configurazioni del mail server, ci possono essere alcune considerazioni e impostazioni di carattere sistemistico che impediscono a un server di posta di spedire correttamente ai destinatari le email.
Per analizzare queste situazioni è necessario capire come viene gestita la ricezione della posta dal proprio mail server.
La propria situazione può generalmente essere ricondotta a uno dei seguenti casi.

Si scarica la posta del dominio dall'ISP

In questa circostanza il server di posta non è "pubblicato" direttamente su internet, nel senso che i DNS relativi al dominio in questione puntano al mail server del provider.

Il fatto che si abbia un IP pubblico o dinamico è irrilevante, il fatto che di abbia il server in una DMZ o nella propria rete locale è irrilevante.
La posta in uscita dal proprio server, in questa situazione, deve essere inoltrata al provider che fornisce la connettività. La situazione è illustrata schematicamente nell'immagine seguente:


 


Per configurare MDaemon occorre andare sul menu Setup->Default domain->Delivery e selezionare l'opzione " Send all outbound email to the ‘server’ specified below" e inserire il mail server del provider che fornisce la connettività nell'apposito campo.
Se il mail server del provider richiede credenziali di autenticazione o un controllo POP prima dell'invio, occorre fornire queste credenziali negli appositi campi.
Se si spedisce direttamente la posta elettronica, senza inoltrarla al provider, si rischia di vedere respinte le proprie email.
Il mail server mittente, infatti, non è presente nei DNS, nel senso che il mail server di riferimento per il dominio, identificato nei DNS come mx primario, è il server del provider. Il mail server ricevente potrebbe quindi accorgersi che il server che invia non è lo stesso che gestisce il dominio e quindi potrebbe non accettare le email.

Si riceve la posta direttamente in SMTP (senza intervento del proprio ISP)

In questa circostanza il server di posta è "pubblicato" direttamente su internet, nel senso che i DNS relativi al dominio in questione puntano al mail proprio mail server.
In questa configurazione è necessario avere un indirizzo IP statico (non vanno bene i sistemi di gestione di DNS dinamico come per esempio DynDNS).
Il fatto che si abbia il server in una DMZ o nella propria rete locale e "nattato" dal router/firewall è irrilevante.
La posta in uscita dal proprio server, in questa situazione, può tranquillamente essere inoltrata direttamente verso i mail server dei destinatari.

La situazione è illustra schematicamente nell'immagine seguente:


 


Per configurare MDaemon occorre andare sul menu Setup->Default domain->Delivery e selezionare l'opzione "Send alle mail direcly first, and then to ‘Server’ if there are problems" e inserire il mail server del provider che fornisce la connettività nell'apposito campo.

Se il mail server del provider richiede credenziali di autenticazione o un controllo POP prima dell'invio, occorre fornire queste credenziali negli appositi campi.
Quindi MDaemon cercherà sempre di spedire da solo, ma chiederà aiuto al mail server del provider in caso di problemi. Questa è la configurazione ottimale per l'invio della posta elettronica.

Anche in questo caso tuttavia si possono vedere respinte le proprie email.Infatti benché il DNS riporti che il record mx, ossia il mail server principale per un dominio, corrisponde a un determinato in dirizzo IP (quello del mail server, appunto), il server ricevente potrebbe verificare se è vero che l'indirizzo IP in questione corrisponde proprio al mail server.

Questa informazione si trova in una zona del DNS detta "reverse zone".
Occorre quindi chiedere al proprio fornitore di connettività di inserire nella reverse zone del DNS l'indirizzo IP del proprio mail server.

Il fornitore di connettività è tenuto a esaudire questa richiesta, se si dispone di un IP pubblico.
E' importante osservare quindi che se il domino è registrato presso un'azienda e la connettività viene acquistata da un altro fornitore, il DNS verrà gestito per la parte diretta dal gestore del dominio e per la pare inversa dal fornitore della connettività.

Come rimuovere il proprio server da una black list

Se il proprio server è già stato listato, cioè incluso nel database degli open relay o in qualche black list occorre seguire questi passi:

  • stare calmi e armarsi di pazienza;
  • verificare tutto quanto descritto in questo documento per non finire nelle black list;
  • essere certi di aver fatto tutte le operazioni e che il proprio server sia "a regola d'arte" e o sia anche il DNS del proprio dominio;
  • chiedere al sito nel quale si è listati la rimozione.

Osservazioni:
La maggior parte dei siti sono in inglese e le istruzioni sulla rimozione sono solo in inglese.
Le procedure di rimozione sono pressoché sempre automatiche quindi è inutile chiedere solleciti o fare altre domande.
Ogni sito può avere una procedura di rimozione diversa e indipendente dalle procedure di rimozione degli altri siti.
Non esiste altro modo di essere rimossi dalle liste se non quello descritto da ogni singolo sito.

Alcuni motivi per cui è facile finire in una black list: note e considerazioni

Anche avendo impostato tutto correttamente è possibile finire in una black list. Ecco alcune considerazioni in merito.

  • Benché in MDaemon siano impostate le strong password, il server di posta potrebbe essere stato oggetto di continui aggiornamenti, a partire da una versione nella quale non erano necessarie le strong password; quindi alcuni utenti potrebbero avere una password "banale". In questo caso è necessario chiedere a tutti gli utenti di cambiare la propria password.
  • Se una postazione interna ha preso un virus, uno spyware o un generico "malware" questo, dall'interno, non ha nessuna difficoltà a spedire email al proprio server che potrebbe essere, inconsciamente, uno spammer.
  • In MDaemon è possibile mettere alcune macchine in Trust, ossia considerare affidabili certe macchine e permettere l'invio di email. Benché questa sia una funzione molto spesso utile, può essere portatrice di problemi, in quanto il relay di queste macchine è fuori dal controllo dell'amministratore e, ancora una volta, il server potrebbe essere utilizzato per fare spam a propria insaputa.

Questo articolo ti è stato utile?

Lasciaci un feedback

Hai trovato delle inesattezze, vorresti fare delle integrazioni all'articolo o anche solo darci un tuo parere? Scrivici liberamente utilizzando il modulo sottostante.

 

Le tue informazioni non verranno pubblicate, ma inviate privatamente al responsabile della Knowledge Base.