Email

Si può evitare di finire in blacklist: ecco come

13 Ottobre 2014
Con l'enorme quantità di spam circolante in ogni angolo del mondo diventa sempre più importante che gli amministratori sappiano comprendere le potenziali cause che possono portare a inserire i loro indirizzi IP in blacklist.
 
Gli spammer adottano ogni genere di trucco per riuscire a inviare quanti più messaggi di posta indesiderata possibili senza rivelare la propria identità.
Tra le tecniche utilizzate vi sono quelle di social engineering, il ricorso a malware e botnet, la falsificazione delle intestazioni dei messaggi e la capacità di sfruttare le vulnerabilità dei sistemi di posta o delle infrastrutture di rete.
Per lo spammer si tratta in buona sostanza di una questione di grandi numeri.
Inviare migliaia di messaggi spam costa poco o niente, e lo spammer può guadagnare anche se solo una piccolissima percentuale di destinatari dovesse fare clic su un link o acquistare un prodotto pubblicizzato via spam.

Se la tua infrastruttura email non è adeguatamente protetta, corri il rischio di essere infettato dal malware e diventare parte di una botnet specializzata nell'invio di spam.
Anche se il tuo server non fosse infettato da malware, il tuo indirizzo IP potrebbe sempre finire in blacklist se i parametri di sicurezza del tuo firewall e del tuo server di posta non sono configurati adeguatamente.
 
Sai cosa significa se un tuo cliente finisce in blacklist?
 
Significa che manda email che molto probabilmente non andranno mai a destinazione, cioè i destinatari non sanno che lui ha mandato una email.
 
Sai cosa significa avere un cliente che scopre che le sue email non vengono consegnate?
 
Significa che ti chiama incavolato nero e ti sta con il fiato sul collo finché non risolvi il problema.
E risolvere il problema vuol dire perdere molto tempo.
  1. Devi scoprire in quali blacklist è finito.
  2. Devi scoprire perché ci è finito.
  3. Devi chiedere di togliere il sistema da ogni lista in cui è finito
Lo sai meglio di me: tempo sprecato, rogna con il cliente e “mal di testa”, oltre che lotta contro il tempo, perché il cliente non può lavorare.


Per proteggerti da questa evenienza ti consiglio i seguenti accorgimenti


  1. Imponi l'uso di password robuste
Gli spammer cercano normalmente di violare i mail server mediante attacchi a dizionario, una tecnica che impiega lunghi elenchi di parole comunemente utilizzate come password per tentare di indovinare il codice di accesso degli account.
Per contrastare questo attacco bisognerebbe che gli utenti scegliessero sempre password robuste evitando per esempio "password1" e ricorrendo a mix di cifre e lettere maiuscole e minuscole.
MDaemon ti permette di forzare la creazione di password robuste nel menu Accounts | Account Options | Passwords.
  1. Richiedi l'autenticazione SMTP
Ti consigliamo di richiedere l'autenticazione SMTP a tutti gli utenti.
In MDaemon devi andare in Security | Security Settings | Sender Authentication | SMTP Authentication.
In seguito seleziona la casella “Authentication is always required when mail is from local accounts”.
Accertati che la voce “…unless message is to a local account” non sia selezionata.
  1. Impedisci il relaying
Un mail relay è un sistema che fa transitare messaggi di posta che non sono né creati da account locali né ad essi destinati.
Gli spammer sfruttano comunemente i relay aperti (open relay), pertanto devi accertarti che il tuo server non possa effettuare il relay della posta.
In MDaemon vai su Security | Security Settings | Relay Control e seleziona queste tre caselle:

 
  • Do not allow message relaying.
  • SMTP MAIL address must exist if it uses a local domain.
  • SMTP RCPT address must exist if it uses a local domain.

Ti consiglio di selezionare tutte le caselle di esclusione presenti.
  1. Accertati di possedere un record PTR valido che faccia corrispondere il tuo IP pubblico in uscita con il nome o FQDN (Fully Qualified Domain Name) del tuo mail server (mail.example.com)
Questo record può essere creato dal tuo ISP.
Un record PTR permette ai server che ricevono la posta di eseguire un reverse DNS lookup sull'indirizzo di connessione per verificare che il nome del server sia effettivamente associato all'indirizzo IP da cui proviene la connessione.
  1. Definisci un record SPF
SPF (Sender Policy Framework) è una tecnica anti-spoofing che determina se la email in arrivo da un certo dominio sia stata inviata da un host autorizzato a inviare posta per quel dominio.
Si tratta in buona sostanza dell'opposto di un record MX, che specifica invece gli host autorizzati a ricevere posta per un certo dominio.
  1. Configura l'IP shield
L'IP shielding è una funzione di sicurezza che ti permette di specificare un indirizzo o un intervallo di indirizzi IP autorizzati a inviare posta per conto di un particolare dominio.
Dovresti configurare l'IP shield in modo da accettare posta solamente dal tuo dominio locale se proveniente da un indirizzo IP autorizzato (come uno residente sulla tua rete locale).
Questa funzione si trova in Security | Security Settings | IP Shield.
Per i tuoi utenti che inviano posta dall'esterno della tua rete, puoi configurare delle eccezioni selezionando la casella “Don’t apply IP Shield to authenticated sessions”.
  1. Abilita SSL
SSL (Secure Sockets Layer) è un metodo che cifra la connessione tra il client e il server di posta.
In MDaemon devi andare su Security | Security Settings | SSL & TLS.
Fai clic su MDaemon, quindi seleziona la casella “Enable SSL, STARTTLS, and STLS”.
Controlla che sia indicato un certificato valido nello spazio vuoto sottostante.
  1. Attiva la funzione Account Hijack Detection
MDaemon possiede una funzione di hijack detection che può essere usata per limitare il numero di messaggi inviabili da un account entro un certo intervallo di tempo.
Questa funzione si applica solamente alle sessioni autenticate e viene utilizzata per evitare che un account compromesso possa essere sfruttato per inviare enormi quantità di spam con la conseguenza di far ricadere il tuo server in qualche blacklist.
In MDaemon questa funzione si trova in Security | Security Settings | Screening | Hijack Detection.
  1. Abilita lo screening dinamico
In modo simile all'Account Hijack Detection, la funzione di screening dinamico può essere adoperata per bloccare le connessioni da determinati indirizzi IP le cui attività siano sospette.
Per esempio, lo screening dinamico può bloccare le connessioni dagli IP che falliscono un certo numero di tentativi di autenticazione o che cercano di connettersi per un certo numero di volte entro un determinato intervallo di tempo.
Questa funzione si trova in Security | Security Settings | Screening.
  1. Firma i messaggi con DKIM
DomainKeys Identified Mail (DKIM) aiuta a proteggere gli utenti contro i furti di identità della posta elettronica e la manomissione del contenuto dei messaggi; lo fa fornendo un'identificazione positiva dell'identità del firmatario insieme con un hash cifrato del contenuto del messaggio.
DKIM crea una chiave pubblica e una privata; la prima viene pubblicata sui record DNS del dominio, mentre la chiave privata viene usata per firmare i messaggi in uscita.
Il server ricevente può leggere questa firma nel contenuto dell'header DKIM-Signature del messaggio e confrontarla con la chiave pubblica reperibile nei record DNS del dominio mittente.
  1. Trusted Host e Trusted IP
Assicurati che nelle schermate Trusted Hosts e Trusted IPs siano elencati solamente host o IP di cui ti fidi.
Host e indirizzi IP presenti in questi elenchi sono esentati da diversi parametri di sicurezza di MDaemon, pertanto se dovessero comparire host o IP non del tutto affidabili il tuo server potrebbe diventare vulnerabile al relaying e inviare spam.
Trovi questa funzione in Security | Security Settings.
  1. Blocca la porta 25 della tua rete in uscita
Configura il tuo firewall per accettare connessioni in uscita dalla porta 25 solo dal tuo mail server o dalla tua appliance antispam.
Nessun altro computer dovrebbe essere autorizzato a inviare dati in uscita dalla porta 25.
  1. Configura il tuo firewall affinché registri nel log tutta l'attività in uscita dalla porta 25 da tutte le macchine della tua rete
Questo aiuta a scoprire le eventuali macchine impegnate nel relaying di posta.
  1. Utilizza un IP statico

Se adoperi un indirizzo IP dinamico per il tuo mail server potrebbero insorgere diversi problemi.
Se il server dovesse perdere la connessione Internet, tornerebbe online con un indirizzo IP differente mentre i record DNS punterebbero ancora all'indirizzo IP precedente.
Se un altro computer dovesse ottenere il tuo vecchio indirizzo IP, la conseguenza sarebbero altri problemi ancora.
Per esempio, se il computer avesse un MTA adeguatamente configurato sulla porta 25, allora la tua email rimbalzerebbe.
Se il computer avesse sulla porta 25 un MTA open relay, allora la tua posta sarebbe inoltrata da questa macchina; se tale macchina si trovasse in qualche blacklist, i tuoi messaggi si perderebbero.
Per questi motivi ti raccomandiamo di associare al tuo server di posta un indirizzo IP statico.


Come so che queste impostazioni evitano di mettere il tuo server e quello dei tuoi clienti in blacklist?

Perché il mio server di posta in passato è già finito in blacklist e il tempo e gli sforzi per rimuoverlo dalle liste sono stati tanti.
Per non parlare del fatto che i clienti non ricevevano le mie email…

(Tratto da Alt-N Blog)

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.