Email

Email: meglio on premise o in cloud?

01 Febbraio 2016

In una puntata di RadioAchab abbiamo parlato con Stefano Figà-Talamanca, cofondatore di Sensible Data, riguardo alla gestione delle email.
Stefano è un veterano della posta elettronica e in questa puntata ci ha aiutato ad esplorare i diversi modelli, evidenziandone pregi e difetti.

Stefano è un grandissimo esperto di mail, di informatica in generale, di IT in generale ma in particolare di mail. Con lui  vogliamo capire quale è la scelta che il fornitore di servizi deve o può fare quando ha la necessità di offrire ai propri clienti la gestione della mail. Quindici anni fa la soluzione principale era quella di mettere un mail server in casa del cliente. Adesso invece le soluzioni sono molteplici.
 
Ci dici chi è Stefano Figà-Talamanca e chi è Sensible Data?
Sensible Data è la società che ho fondato insieme al mio socio, Francesco Burragato, ormai quasi vent’anni fa!
Ci siamo occupati fin da subito di posta elettronica. Personalmente ho cominciato ad occuparmi di mail prima ancora che esistessero provider internet commerciali con cose tipo Fidonet. E un po’ per passione, un po’ perché abbiamo seguito in questo ventennio l’evoluzione del mercato, siamo sempre stati molto attenti alla gestione della posta elettronica e abbiamo in qualche modo vissuto la trasformazione dello strumento mail da una cosa che era carino avere accanto al telefono e al fax, a quello che è diventato di fatto lo strumento numero uno non solo di comunicazione per le aziende ma anche di archiviazione dei dati aziendali, sia a livello di gruppo che a livello individuale. Quindi ne abbiamo veramente viste di tutti i colori, continuiamo imperterriti a far circolare messaggi di posta, tra spam, virus e cose che si inceppano


 

 
Stefano, sulla base della tua esperienza, quali sono effettivamente le opzioni a disposizione, e di ciascuna di esse quali sono i pro e i contro?
 
La prima domanda da farsi quando si affronta una questione di questo tipo è se posizionare un mail server all’interno della sede, quindi sull’infrastruttura IT del cliente, oppure in qualche modo in the cloud. Fatta questa scelta, le opzioni, se si sceglie di metterlo all’interno della sede del cliente, sono sostanzialmente una scelta di prodotto. Noi siamo da sempre grandissimi fan di MDaemon ma ogni tanto supportiamo anche prodotti concorrenti. Se invece si sceglie la via del cloud si aprono diversi scenari che ruotano sostanzialmente attorno alla scelta di avere un mail server interamente dedicato all’azienda del cliente, oppure se avere un mail server in condivisione con altre realtà. Tutto questo ovviamente ha dei pro e dei contro.
 
Ad esempio il mail server presso la sede del cliente una volta era praticamente l’unica opzione se si voleva avere un servizio di posta elettronica professionale. Con questa soluzione lo scoglio principale è quello di dover dotare il cliente di un’infrastruttura che sia comunque funzionante h24, quindi con dei server che girano presso di lui costantemente, con gruppi di continuità, aria condizionata, linee ridondate… Una volta questo era considerato un investimento abbastanza normale per strutture di un certo tipo, adesso si tende invece a ridurre l’impatto di investimenti di gestione in house di infrastrutture IT e quindi l’argomento costo è diventato un grosso argomento contro.
Ci sono però dei casi in cui mettere un mail server in casa rimane obbligatorio, ad esempio quando siamo in condizioni di connessione ad internet della struttura aziendale scadente o intermittente. Questo nei grandi centri urbani e nei grandi centri industriali non esiste più, però ci sono delle realtà anche relativamente importanti in cui si è ancora legati a delle connessioni ADSL scarse. In questo caso si preferisce mettere un mail server dentro casa che funga “da buffer” tra gli Outlook, quindi le macchine degli utenti e il mondo esterno, che si vedono dialogare molto velocemente con un mail server locale, lasciando poi al mail server la fatica di mettere in coda le e-mail, gestire le priorità.
 
Un esempio che a me piace molto di cose di questo tipo è quello di un nostro cliente, MSC Crociere, che dispone di un server di posta elettronica basato naturalmente su MDaemon, in ciascuna delle sue navi da crociera. Questo è un esempio lampante di server di posta elettronica tenuto in house perché collegato a una linea internet satellitare lenta, intermittente. Altri casi in cui è raccomandabile l’installazione di un server interno è quando attorno al mail server girano degli applicativi che sono molto integrati nel sistema informativo aziendale. Ad esempio, supponiamo che un cliente abbia un sistema di fatturazione che manda centinaia o migliaia di fatture al mese via mail. In questo caso, per ragioni proprio di efficienza, al di là delle questioni di costo, si suggerisce l’istallazione di un mail server interno, proprio per questione di vicinanza topologica tra database clienti, applicazione, e strumento per l’invio e la gestione della posta. 

In questi casi, tra l’altro, spesso il cliente dispone già di un’infrastruttura. Questo può essere vero anche per clienti molto più piccoli.
Chi ha un server h24 perché magari fa l’amministratore di condominio, il commercialista, e lavora anche da casa in VPN ha già tutto quello che serve per gestire la posta elettronica dentro casa. Allora a quel punto noi raccomandiamo MDaemon che gli istalliamo sul server di LAN e gestiamo così la posta direttamente dentro.

L’ultimo caso è quello che confina con un caso in the cloud, ovvero quello in cui, più che utenti si hanno grossi gruppi di lavoro all’interno della struttura del cliente che dialogano molto tra di loro. In questo caso, per economizzare banda, è inutile far circolare queste mail per una linea internet in ingresso e in uscita se devo mandare grosse email a venti miei compagni di scrivania. Si preferisce allora installare un mail server interno che gestisca all’interno e molto rapidamente tutte le comunicazioni interne allo stesso ufficio. 

Sintetizzando: i contro sono il costo dell’infrastruttura necessaria intorno al mail server, oltre la gestione del mail server e al suo aggiornamento e alla sua configurazione. I pro, o quantomeno gli aspetti, le circostanze in cui valutare l’opzione sono quelle di connettività scadente o intermittente, l’integrazione con applicazioni aziendali e il forte traffico locale, perché, nel caso di MSC, se si deve mandare una mail da poppa a prua non devono passare per il link satellitare. 
Questo esaurisce la scelta mail server in casa. Proviamo allora ad uscire di casa e vedere dove possiamo andare

Una volta che decidiamo di non istallare un server in casa, la prima grande opzione che ci si apre in questo caso è se offrire al cliente un mail server dedicato, oppure ospitare il suo dominio di posta elettronica su un mail server condiviso. Il mail server dedicato mantiene molti dei vantaggi del mail server interno sostanzialmente eliminando tutti i costi e le difficoltà dovuti all’infrastruttura locale. Quindi niente hardware da gestire localmente, niente gruppi di continuità, niente aria condizionata e cose di questo tipo.
Si mantiene però una gestibilità completa del mail server, sia esso basato su MDaemon, piuttosto che su altre piattaforme, che consentono al cliente di avere una configurazione fatta ad hoc per lui.
Molto spesso riceviamo da clienti richieste del tipo “io voglio che la mail che arriva da questo indirizzo nei giorni dispari venga inviata a Tizio e Caio, mentre quella che arriva nei giorni pari venga inviata a Pippo e Pluto”, allora l’instradamento secondo regole che ricalcano processi aziendali complessi, sono molto difficili da fare su server condivisi, perché normalmente sono regole che valgono un po’ per tutti gli utenti di uno stesso mail server.
In questo caso si preferisce offrire un server dedicato. Poi questo è tra l’altro potenziale fonte di importante revenue per noi perché ci fa mantenere tutto l’aspetto di gestione sistemistica della piattaforma mail, che ovviamente dal nostro punto di vista non cambia se è interna o esterna, hardware a parte.
Quindi è per noi è un’opzione molto importante che appena possiamo incoraggiamo.

Ci sono dei casi in cui è una scelta obbligata, per esempio nel caso in cui aspetti legali legati all’attività del cliente impediscono la coabitazione su uno stesso server dei loro dati. Penso per esempio a società di natura finanziaria che hanno dei vincoli di segregazione di dati fortissimi, o clienti che hanno bisogno di una strategia di backup molto particolare. Il mail server condiviso a sua volta può essere di due tipi: o gestito direttamente da noi, quindi piccolo ISP con qualche MDaemon in the cloud qua e là, oppure appoggiato su qualcuno dei grossi provider che da qualche anno a questa parte stanno consolidando la loro presenza. I due più importanti sono ovviamente Google con Gmail e Microsoft con Exchange Online, della famiglia di Office 365. La differenza fondamentale è da una parte probabilmente il prezzo.
Il grosso provider che ha milioni di caselle di posta elettronica riesce ad offrire un costo per casella che è decisamente basso, a patto però che si accettino le rigidità che tutti i servizi nati e progettati per offrire servizi a milioni di persone contemporaneamente impongono. Una tra tutte è la dimensione della casella. È molto difficile avere delle caselle che superino qualche decina di giga, quando talvolta il cliente richiede degli spazi di archiviazione molto molto superiori, soprattutto per quelle caselle che come dicevo prima diventano un po’ una sorta di archivio aziendale permanente: una pratica discutibile ma molto in voga – è talmente comodo per gli utenti che non si riesce a cambiare. Bisogna cercare in qualche modo di gestirla e di trarne un vantaggio per noi e rendere la vita più facile e più sicura al cliente. Dico sicura perché l’avere un mail server dedicato o comunque un mail server gestito da un piccolo provider e ritagliato un po’ sul cliente consente, per esempio, di avere delle politiche di backup che Gmail o Microsoft non possono offrire.
Allora, io sono ragionevolmente certo che la mia casella Office 365 non perderà mai i dati, perché mi fido delle politiche di backup di Microsoft. Però sono anche ragionevolmente certo che non riuscirò mai a recuperare da Microsoft quella cartella che ho cancellato un mese e mezzo fa per errore della cui perdita mi accorgo solo adesso e che devo assolutamente recuperare perché conteneva cose importanti.



 

Quindi granularità dei backup di questo tipo, con i grossi provider non sono possibili. Con un mail server dedicato o un mail server condiviso ma gestito da una realtà flessibile diventano, invece, di nuovo possibili. Per esempio noi per alcuni clienti garantiamo uno storico delle caselle che va indietro anche di diversi anni. Ogni tanto ci arriva la richiesta “nel 2008 io mandai una mail a un tizio su questo dominio, non la trovo più” e allora, se ha il contratto giusto con noi, magicamente noi gliela ripeschiamo. Un altro aspetto importante è che con i grossi provider che sono così anonimi, non si riesce mai bene a capire perché una determinata mail non arriva, perché se io spedisco delle mail queste vengano considerate spam. Banalmente perché non si ha accesso ai log delle transazioni di posta in entrata e in uscita, quando si parla di Gmail o Office 365, mentre chiunque gestisca per sé o per conto di un cliente un MDaemon o un qualunque altro prodotto sa benissimo che è molto importante poter dire al cliente che la mail che si aspettava il giorno tale non è arrivata perché c’era un problema di SPF o perché è stata considerata spam, e prendere l’opportuna contromisura.
Quindi questo è un argomento molto importante, noi offriamo ai nostri clienti visibilità completa su tutto il percorso che fanno le mail sia in ingresso che in uscita, fino al momento in cui vengono consegnate al mail server del destinatario. Abbiamo così disinnescato diverse situazioni spinose di contenziosi tra clienti e loro interlocutori che sostenevano “non mi hai mai mandato la mail” e invece noi abbiamo dimostrato che, log alla mano, che le mail erano effettivamente state recapitate e poi, che ne so, deglutite nel server dell’interlocutore. Questo con i grossi soggetti non è possibile perché non sono strutturati per rispondere a quesiti di questo tipo. 

Quanti clienti, oppure, quanto i clienti sono in grado di apprezzare quello che hai appena detto prima di trovarcisi infognati dentro? Cioè, quanti capiscono l’importanza dei log?

Nella mia esperienza sono più di quanto uno non si aspetterebbe. Non perché capiscano di log, molto spesso non possiamo usare nemmeno la parola log, e dobbiamo usare la parola “giornale”, in questo modo sembra essere più comprensibile, però sono tutti molto rassicurati dal fatto che noi possiamo garantire con allegati tecnici che qualcuno forse un giorno comprenderà che la loro mail in uscita è stata effettivamente recapitata a qualcuno. Oppure che la mail che aspettavano dall’agenzia di viaggio o da, non so cos’altro, non è arrivata per un ben determinato motivo, che siamo in grado di individuare e di correggere. Quindi questo, proprio perché la mail è diventata lo strumento primario di comunicazione tra le aziende, è una cosa che rassicura moltissimo tutti quelli a cui ne parliamo. E i casi di richiesta di controllo di questo tipo per noi sono quasi quotidiani: “Non ho ricevuto questo, non ho ricevuto quello”. 

Ci racconti qualcosa su backup vs archiviazione della posta elettronica? Un conto è il backup, un conto è l’archiviazione che per altro può diventare una fonte di ricavi a sua volta. Voi come vi ponete nei confronti di questi due aspetti? 

Noi offriamo ovviamente l’uno e l’altro. La differenza sostanziale è che normalmente con il termine backup si indica la procedura tecnica che ti consente di ripristinare qualcosa in un dato momento, quindi o ritirare su un mail server da un guasto catastrofico oppure, più comunemente, di ripescare la singola mail o la cartella che sono state cancellate. Questo è quello che normalmente noi intendiamo con backup. L’archiviazione invece è un processo diverso che prevede la memorizzazione a tempo indeterminato, secondo ovviamente parametri stabiliti col cliente, di tutto o parte del traffico in ingresso o in uscita da un mail server. Per esempio, tornando all’esempio dell’istituzione finanziaria che ha dei vincoli legali molto forti, alcuni nostri clienti ci chiedono di conservare sostanzialmente per sempre tutto quello che transita dal mail server. Quindi per fare questo noi abbiamo bisogno di uno strumento diverso da quello del backup. Per il backup noi siamo grandi fan di BackupAssist. Il backup ha una vita che prima o poi finisce perché le cose vengono ruotate e non è fatto per le ricerche puntuali.
L’archiviazione invece prevede che si crei un vero e proprio database di tutte la mail in ingresso e in uscita e che questo database possa crescere a tempo indeterminato e che ci siano degli strumenti di ricerca che l’utente può utilizzare anche in autonomia per andare a ripescare da solo, e senza passare da noi, la famosa mail del 2008 ricevuta da Pincopallino in un dominio che nemmeno si ricorda. Per questa archiviazione noi usiamo un prodotto ad hoc, MailStore, che usiamo sia in tutti i casi che ho appena illustrato sia quando il cliente decide, per sue ragioni, di spostare tutta la sua mail su un grosso provider come Google, in questo caso usiamo MailStore per tenere una copia locale della sua posta.
 
Voi fate il backup anche dei log? 

Si, noi facciamo il backup dei log, credo che ci sia anche un obbligo legale, anche perché la famosa mail del 2008 spesso se non si trova dobbiamo giustificarne la perdita, per cui, ovviamente non di tutto, però di alcuni log selezionati noi, sfruttando le funzioni integrate di compressione di MDaemon, facciamo copie che teniamo per molti anni. Ormai i dischi da Tera costano sufficientemente poco da poterci permettere di tenere qualche decina di megabyte di log al giorno per sempre.

Continuando nel confronto “tra in casa” e “fuori casa”, vediamo due argomenti che affliggono da sempre la posta elettronica, spam e virus, il malware più in generale. Secondo te si possono fare delle distinzioni tra i due scenari? Cioè, questi due flagelli colpiscono allo stesso modo chi ha la mail in casa e chi ce l’ha fuori? 

Gli strumenti che si usano dentro e fuori sono efficaci allo stesso modo. La grande differenza è che quando abbiamo la gestione in proprio di un mail server riusciamo ad avere un livello di configurabilità e di dettaglio che altrove non è possibile, per cui riuscire in anticipo a mettere in white list il dominio dell’interlocutore importante con Office 365 è impossibile.
È impossibile anche capire esattamente perché delle mail che noi spediamo vengano sistematicamente riconosciute come spam se non si ha la gestione in proprio del mail server. Per cui funzionano bene entrambi, ma si ha più visibilità su quello gestito in proprio e più possibilità di ritagliarlo attorno ad esigenze particolari. 

Secondo te il cliente è in grado di apprezzare il valore di questo? 

Sicuramente sì, perché si accorge di una casella pulita. Noi spesso discutiamo addirittura dove posizionare la soglia spam, non-spam, con il cliente che ci dice “Mah, io ho il sospetto che me ne arrivi troppo, proviamo a ridurre” oppure “Non importa se ho qualche falso positivo” insomma con i clienti attenti a queste cose è un discorso che funziona.

Altro grosso flagello, ancora totalmente ignorato, è il problema del furto delle credenziali.

In questo caso vale il discorso che abbiamo fatto per l’analisi dei log. Prendiamo il caso di Gmail: è possibile blindare a piacere Gmail, addirittura facendo sì che si venga avvertiti ogni volta che c’è un log in fatto da un nuovo dispositivo, da un nuovo computer. Però, una volta che Gmail è stato bucato, a meno di cose veramente molto gravi ma che implicano denunce e magistratura, non si ha nessuna visibilità su quello che è successo. Il più delle volte, invece, con uno strumento più trasparente come MDaemon si riesce a capire che cosa è successo, a volte anche chi è stato… MDaemon dispone di sistemi di anti-effrazione integrati, che probabilmente ha lo stesso Gmail, con la differenza che gli allarmi di questi sistemi anti-effrazione quando ci troviamo di fronte ad un MDaemon li riceviamo noi, e quindi siamo in grado di intervenire immediatamente e di capire che cosa è successo. Anche perché, al di là dei casi di caselle craccate per password banali ai fini di invio di spam, 9 volte su 10 nella nostra esperienza, quando una mailbox viene craccata l’effrazione avviene da parte di un collega o di un familiare, cioè di qualcuno di molto vicino alla vittima quindi è anche abbastanza facile da individuare se si hanno tutti i log.
 
Questo è un argomento che però i clienti capiscono solo dopo che ci sono cascati. Ogni volta che ci si trova ad affrontare questo tipo di argomentazione la risposta è invariabilmente “Ma io non sono la Nasa, non ho la formula della pietra filosofale nella mail box”. Poi quando si ritrovano tutto cancellato, tutto vuoto, cambiano idea ma a quel punto è già troppo tardi. 

Recentemente un gruppo di criminali aveva come modello di business quello di intercettare le credenziali della mail e di inviare al posto dei malcapitati mail ai legittimi destinatari, ad esempio con degli ordini di pagamento con l’IBAN cambiato. In questo caso si trattava di fare soldi in maniera criminosa.
Quindi l’aspetto della protezione delle credenziali, o protezione dell’identità, è fondamentale: si tratta della sindrome della porta blindata, per cui la porta blindata si installa rigorosamente dopo l’ingresso dei ladri

Abbiamo parlato del mail server in casa, del mail server che non sta in casa, che può stare o a casa per esempio di Sensible Data, cioè del fornitore di servizi che gestisce la propria infrastruttura, oppure ancora si può noleggiare un mail server dedicato. Ci sono provider che erogano questo come servizio, come Exchange in the cloud, senza necessariamente andare da Microsoft, oppure si può passare a mail server condivisi, e di nuovo i mail server condivisi possono essere gestiti o dal fornitore di servizi che ha un proprio mail server ben carrozzato ed offre servizi ai propri clienti, oppure andando presso i due leader di mercato Microsoft e Google, che offrono questo tipo di servizio.
È questo lo scenario o c’è dell’altro?

 
Si questi casi  coprono il 95% degli scenari possibili. Poi ci sono scenari ibridi in cui ci sono domini di terzo livello in casa, domini ufficiali fuori.

Tu come fornitore di servizi riesci ad individuare delle macrocategorie di cliente a cui proporre un’opzione piuttosto che un’altra? Chi utilizza la mail per lavorare davvero e ne percepisce l’importanza è un target più raggiungibile per un mail server dedicato?

Sì, più grande è il cliente o maggiore è il suo traffico, più strutturato è il cliente, maggiori saranno gli argomenti a favore di un mail server dedicato.
Se poi il mail server dedicato debba essere posizionato nel cloud o presso l’infrastruttura del cliente dipende dal resto dell’infrastruttura del cliente, se ha anche altro in casa oppure no. I clienti, invece, più piccoli, anche se fanno molto traffico ma che sono sostanzialmente piccoli gruppi di lavoro non molto strutturati, optano quasi sempre per un mail server condiviso. Con un po’ di servizi offerti da noi, un po’ verso Office 365 o Gmail.
Diciamo che il cliente piccolissimo che non ha le capacità o non ha voglia nemmeno di gestire le procedure di abbonamento su Exchange online preferisce venire da noi, dice “io voglio registrare questo dominio” oppure “ho questo dominio presso chissà chi, lo voglio migrare perché non sono soddisfatto, occupatevi di tutto” e quindi noi lo portiamo su uno dei nostri mail server condivisi con poco sforzo e un valore aggiunto per noi interessante. Ovviamente il valore aggiunto maggiore si ha quando abbiamo in gestione la totalità della macchina o del sistema informativo. Quindi in sintesi diciamo che più grosso è il cliente, maggiori sono le probabilità che accetterà di avere un mail server dedicato sostenendone le spese relative. 

(Tratto da RadioAchab)

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti

Tieniti aggiornato

Inserisci il tuo indirizzo e-mail per restare aggiornato su tutte le nostre iniziative