Postfix 3.0.0

PostfixWietse Venema ha rilasciato la versione 3.0.0 di Postfix.

Il motivo del salto di numero di versione principale risiede anche in un cambiamento della struttura dei binari del programma: dalla versione 3.0.0 Postfix supporta opzionalmente le librerie linkate dinamicamente e i plugin esterni per le connessioni ai database. Questa novità porta con sé la modifica di alcuni parametri di compilazione legati ai database esterni.

Altre novità risiedono nella sintassi dei file di configurazione e nell’adozione (opzionale) di nuovi default per alcuni parametri del programma. Leggi tutto “Postfix 3.0.0”

Inibire il traffico mail sicuro

Pavia - Ponte CopertoEFF ha denunciato il fatto che alcuni provider americani e tailandesi impediscono ai client di posta elettronica di inviare messaggi su un canale sicuro.

Quelli segnalati da EFF sono i casi di cui si ha evidenza, ma è possibile che altri provider o altri fornitori di servizi di connettività, anche occasionale via WiFi, implementino le medesime politiche lesive della privacy.

Quello che viene bloccato è l’equivalente HTTPS del protocollo SMTP utilizzato per inviare la posta elettronica dal client (posta in uscita) oppure per trasmettere i messaggi email tra server differenti.

Il blocco in questione non ha nulla a che fare con eventuali metodi di cifratura del testo del messaggio. Se il testo del messaggio è cifrato, tale resta. Leggi tutto “Inibire il traffico mail sicuro”

Dovecot+SQL: tracciare l’ultimo login

In molti casi è utile sapere quando un utente ha effettuato l’ultimo login via IMAP o POP ad un server di posta elettronica.

In una configurazione con Dovecot come server IMPA/POP e MySQL/MariaDB come backend per l’archivio degli utenti fin’ora era necessario utilizzare delle scappatoie per tenere traccia dell’ultima volta in cui un utente si era collegato.

Dalla versione 2.2.14 rilasciata lo scorso 14 ottobre Timo Sirainen ha aggiunto il plugin Last Login.

Al momento la documentazione del plugin è abbastanza scarna, chi volesse implementare la tracciabilità dell’ultimo login in una configurazione con Dovecot, Postfix e Postfix Admin come gestione degli utenti può procedere come segue. Leggi tutto “Dovecot+SQL: tracciare l’ultimo login”

Attenzione alle finte richieste via mail

Ho notato un ritorno di fiamma delle mail con allegati compressi con ZIP che contengono eseguibili mascherati.

L’ultimo di questa mattina ha come presunto mittente comunicazioni@staff.aruba.it e come oggetto Invio copia bollettino. Anche il testo è abbastanza verosimile e privo di errori evidenti che caratterizzavano i primi tentativi di questo tipo, non fosse altro che non ho debiti pendenti con la ditta di Arezzo:

Gentile cliente,
come da lei richiesto in allegato potrà trovare copia del bollettino postale con cui effettuare il pagamento.

Saluti
______________________________
Aruba S.p.A.
Servizio Clienti - Aruba.it
http://www.aruba.it
http://assistenza.aruba.it
Call center: 0575/0505
Fax: 0575/862000
______________________________

Prima di buttare la mail ho voluto fare qualche analisi. Leggi tutto “Attenzione alle finte richieste via mail”

Protocolli S nella posta elettronica

Incontro all'alba / Sunrise meetingAlcuni utenti credono che l’utilizzo di HTTPS possa da solo risolvere i problemi di tutela dei dati nelle comunicazioni Internet.

Tralasciando i protocolli proprietari di app modaiole che non sono l’oggetto di questo articolo, molti dati viaggiano tramite la posta elettronica.

Un messaggio di posta elettronica viene inviato dal client al primo server (server di posta in uscita) con il protocollo SMTP, i server parlano tra di loro in SMTP e alla fine un client scarica un messaggio con IMAP o POP3 (server di posta in arrivo).

Le trasmissioni SMTP tra server di posta elettronica sono sempre più su canali cifrati, il punto debole restano la parte iniziale e finale del trasporto della mail dal server al client. Leggi tutto “Protocolli S nella posta elettronica”

SMTP STARTTLS in crescita

Sottopasssaggio con cavi / Subway with cablesUn rapporto di Facebook dimostra che la cifratura della posta elettronica ha raggiunto una “massa critica”.

Questa è senza dubbio una buona notizia per la tutela dei dati personali perché il normale protocollo SMTP, figlio di quando Internet era un’altra cosa, dialoga in chiaro.

L’estensione STARTTLS consente anche ad SMTP di passare ad una connessione cifrata utilizzando la medesima connessione TCP.

I dati presentati da Facebook evidenziano che tre quarti dei mail server con cui dialoga il social network supportano STARTTLS, anche se solamente poco più della metà delle mail vengono cifrate con successo. Leggi tutto “SMTP STARTTLS in crescita”

Heartbleed e la PA italiana

by heartbleed.comHeartbleed ha decisamente rubato la scena al fine del supporto di Windows XP.

Secondo le analisi, non solo metterebbe a rischio i server, ma anche i client; nel dubbio, meglio cambiare le password e, se possibile, riemettere i certificati SSL/TLS.

Dal momento che Siamo geek ha un database (scaricabile) dei siti della pubblica amministrazione italiana utilizzato per fare delle statistiche settimanali, ho pensato di utilizzarlo per vedere quanti server utilizzati PA sono vulnerabili.

Queste sono le metodologie e i risultati. Leggi tutto “Heartbleed e la PA italiana”

Spam nell’oggetto

SPAM nell'oggettoOgni tanto gli spammer riescono ancora a stupirmi.

Ieri sera ho ricevuto una mail di spam riprodotta a lato il cui messaggio di spam era tutto nell’oggetto.

Analizzando gli header, risulta che la mail è partita effettivamente da un account di Yahoo! giapponese, la cui validità è verificata anche dal DKIM, con buona pace di chi si illude che questa tecnologia possa servire ad evitare lo SPAM.

Il malfattore ha utilizzato l’IP 41.207.194.14 della Costa D’Avorio per collegarsi al webmail di Yahoo! e inviare la mail.

Se il sistema di filtro della posta elettronica lo permette e questo tipo di protezione non è già attiva, si potrebbe limitare la lunghezza dell’oggetto delle mail ad una dimensione ragionevole. Per la cronaca, la dimensione totale dell’header Subject della mail qui riprodotta è di 3501 byte.

Se l’attacco è mirato

MinervaLe mail di phishing arrivano quasi quotidianamente, nonostante le protezioni antispam e alcune sono talmente grossolane da strapparci qualche secondo di ilarità.

La storia cambia notevolmente se una persona o un’organizzazione viene presa di mira con un attacco mirato, detto tecnicamente spear phishing.

A differenza del phishing che pesca a strascico (come le notifiche da banche in cui non solo non abbiamo un conto, ma di cui ignoriamo l’esistenza), un attacco mirato avviene al termine di un’indagine sulla vittima.

Nel caso in cui la vittima sia un’organizzazione, l’attaccante conosce molte cose tra cui (a titolo di esempio) la regola con cui vengono assegnate le mail (nome.cognome@, ncognome@, eccetera), i nomi di alcuni dipartimenti o di alcuni manager, la firma standard in fondo alle mail. Sono tutte informazioni che aiutano ad aumentare la percezione che una comunicazione sia legittima.

Alcune di queste informazioni sono facilmente reperibili sul sito dell’organizzazione, altre possono essere raccolte con poco sforzo, come (sempre a titolo di esempio) sui social network, chiedendo informazioni sui prodotti venduti e facendo in modo di scambiare alcune mail con il personale della forza vendite.

Leggi tutto “Se l’attacco è mirato”

Forward secrecy in Postfix

È possibile implementare la forward secrecy anche nelle sessioni TLS di Postfix.

Questa guida parte dal presupposto che Postfix abbia TLS configurato e funzionante, non importa se con un certificato auto-emesso o rilasciato da un’autorità PKI, e si applica alla versione 2.10, le versioni precedenti potrebbero aver bisogno di qualche aggiustamento dei parametri, come indicato nel readme apposito.

Lo scopo è di avere delle chiavi di sessione effimere con una vita relativamente breve al fine di rendere più ardua la cosiddetta retrospective decryption attraverso una rigenerazione periodica dei parametri p e g dell’algoritmo Diffie-Hellman per lo scambio di chiavi.

Leggi tutto “Forward secrecy in Postfix”

Come gestisci la tua mail?

Fortunately it's a bug!Negli anni ho visto tante modalità di gestione della posta elettronica.

Grazie alle nuove versioni di Outlook, al fatto che altri programmi gestiscono serenamente mailbox voluminose e alla sempre maggiore diffusione di IMAP, adesso è facile tenere molti messaggi, ma ciascuno ha un proprio metodo di archiviazione.

Leggi tutto “Come gestisci la tua mail?”

Bambini, andate a giocare altrove!

Un cliente decide di attivare una linea Internet di terra (SHDSL) con Vodafone.

A livello di pure linee di terra business per il collegamento a Internet sono abbastanza neutrale: una volta che ho la mia classe di IP pubblici non nattata sulla porta ethernet dell’apparato del provider e non ho filtri sulle porte o cazzate come il bandwidth throttling a me vanno bene tutte. È più un problema commerciale del cliente che altro.

Il /29 che è stato assegnato probabilmente faceva parte di un vecchio blocco pubblico ad assegnamento dinamico che è stato riciclato perché due o tre mail server rifiutano di ricevere la posta dal mail server aziendale dietro la nuova connessione.

Dal momento che sono abituato a questo comportamento, avevo lasciato come al solito Postfix con il soft bounce attivo in modo tale da poter intervenire guardando la coda della posta in uscita reindirizzando a botte di transport la mail che rimaneva in coda sul mail relay del provider indicato nella documentazione allegata all’attivazione della linea.

Dopo due giorni la cosa si è normalizzata. Qualche giorno più tardi un utente mi dice che la posta verso Alice.it rimbalza e mi inoltra questo:

while talking to smtp.aliceposta.it.:
>>> MAIL From:<xxx@xxx.it> SIZE=63750 BODY=7BIT
<<< 550 mail not accepted from blacklisted IP address [91.80.36.102]
<<< 554 5.0.0 Service unavailable

91.80.36.102 non è un IP della classe /29 assegnata al cliente, ma l’IP del relay esterno di Vodafone che mi è stato detto di utilizzare e che ha funzionato correttamente fino a poche ore prima anche con Alice.it

Leggi tutto “Bambini, andate a giocare altrove!”

Email: come aumentare la produttività in azienda

Fortunately it's a bug!La posta elettronica può rappresentare un pericolo alla produttività aziendale, ecco tre semplici regole per evitare che ciò avvenga.

  1. Le mail intra-aziendali vengono recapitate con un ritardo casuale base che va dai 400 agli 800 secondi; la stocasticità del recapito evita che qualcuno ne tragga beneficio.
  2. Per ciascun destinatario (to) o destinatario in copia palese (cc) dopo il primo si aggiunge un ritardo casuale dai 40 agli 80 secondi; per ciascun destinatario in copia nascosta (bcc) si aggiunge un ritardo casuale dai 300 ai 600 secondi. Contano solamente i destinatari della medesima azienda, non contano i contatti esterni.
  3. Se il messaggio viene inviato entro i 90 minuti che precedono l’inizio dell’orario di lavoro o entro i 90 minuti che seguono il termine dell’orario di lavoro si applica un ulteriore ritardo casuale da 200 a 400 secondi; i messaggi inviati fuori dell’orario di lavoro oltre quei limiti verranno recapitati all’inizio dell’orario di lavoro del primo giorno disponibile. Anche in questo caso le regole si applicano ai messaggi intra-aziendali.

Chi utilizza il proprio account personale per aggirare le regole è passibile di lettera di richiamo.


Aggiornamenti dopo la prima pubblicazione:

Salvare in un PST le singole cartelle di Exchange

RefillPuò capitare di voler fare un backup supplementare rispetto a quello canonico di alcune cartelle di Exchange per alcuni utenti.

Lo scopo di quanto segue è fornire uno strumento schedulabile con il servizio integrato di Windows che consenta di salvare con cadenza regolare tutta o una parte di una mailbox di Exchange su un file PST.

Questa procedura non sostituisce il normale backup, ma lo affianca, in quanto potrebbe essere eseguita con una frequenza diversa rispetto al backup e il file generato può essere aperto dall’utente in maniera autonoma o con un minimo di supporto.

La procedura deve essere eseguita su un’installazione di Windows in cui è presente PowerShell con le estensioni per Exchange. L’esempio che segue è stato verificato con Exchange 2010 su un server Windows 2008.

Leggi tutto “Salvare in un PST le singole cartelle di Exchange”

Non avete ricevuto alcun MMS

Albero addobbatoSi avvicina il Natale, che porta con sé innumerevoli messaggi di posta elettronica inutili con allegate immagini oppure programmi che installano malware.

L’ultima notizia riguarda un messaggio di posta elettronica che sembra provenire da Vodafone U.K. che contiene l’avviso del presunto recapito di un messaggio MMS.

Come è successo in altri casi, è facile supporre che, se questo scherzetto avrà seguito oltre Manica, potrebbero diffondersi alternative in altre lingue o con altri operatori telefonici.

Al solito, se non avete delle SIM del presunto operatore telefonico che vi starebbe scrivendo, è difficile che abbiate ricevuto un MMS; inoltre diffidate sempre di mail sgrammaticate o con errori grossolani. (via Naked Security)

Interbusiness chiude il mail relay

Vuoto / EmptyCome annunciato nei mesi scorsi, dal prossimo 15 ottobre mail.cs.interbusiness.it non sarà più operativo.

Nei nuovi contratti business di Telecom il servizio di mail relay è a pagamento.

Chi ha dei mail server dietro una linea Interbusiness che sfruttano come relay mail.cs.interbusiness.it dovrebbe recapitare direttamente la mail ai destinatari o contattare il servizio clienti business e concordare un’alternativa, preparandosi, ovviamente, ad aprire i cordoni della borsa.

Nel comunicato inviato ai clienti Telecom adduce come motivazione della chiusura una non meglio precisata “obsolescenza tecnologica della piattaforma”.

Mail server in IPv6

Cabina da distribuziunQuesto articolo spiega come passare in IPv6 un mail server Linux con Postfix, Amavisd-new e Dovecot.

Il sistema di partenza è un Linux con il dual stack IPv4/IPv6 attivo e funzionante con un indirizzo pubblico IPv4 e uno IPv6. Anche il sistema di posta elettronica è perfettamente funzionante in IPv4 con le ultime versioni dei programmi indicati sopra installati da sorgente, non da pacchetto della distribuzione Linux. Ciò perché con IPv6 è sempre meglio avere le ultime versioni, anche se la maggior parte delle istruzioni che seguono dovrebbero funzionare anche con le versioni distribuite nei pacchetti standard.

Leggi tutto “Mail server in IPv6”

IDN? No grazie… (almeno per il momento)

Dalle ore 14:00 dell’11 luglio 2012 il NIC italiano (l’ente preposto a regolamentare e gestire la registrazione dei domini con estensione .it) consente di registrare domini IDN (internationalized domain name) ovvero domini contenenti lettere accentate ed altri caratteri speciali che prima non erano consentiti nei domini italiani.

Peccato che nessuno si è preso la briga di controllare se i vari programmi in uso dagli utenti o in funzione sui server siano compatibili e supportino i nuovi domini.

Lo standard per i nomi di dominio non permette normalmente caratteri non ASCII ma alla fine un metodo per internazionalizzare i nomi di dominio in un formato ASCII standard è stato trovato, salvaguardando con ciò la stabilità del Domain Name System. La prima bozza di IDN è stata proposta nel 1996 ed implementata nel 1998. Nel marzo 2008 l’Internet Engineering Task Force ha formato un nuovo IDN Working Group per rimodernare il corrente protocollo IDNA.

Attualmente diverse decine di domini di primo livello supportano la registrazione gli IDN. Anche il dominio di primo livello .eu, dal 10 dicembre 2009, supporta gli IDN.

Ovviamente perché tutto funzioni tutte le varie tessere del mosaico di software che costituisce Internet deve essere aggiornato e compatibile. E quì cominciano i problemi.

Ho eseguito personalmente dei test di invio mail da alcuni dei più grandi (come numero utenti) sistemi webmail verso delle mailbox appositamente create con domini IDN ed i risultati a parer mio sono sono disastrosi.

Gmail e Tiscali non supportano gli IDN e non consentono l’invio del messaggio. Yahoo prima lo accetta poi manda un messaggio d’errore perché uno dei suoi server non riesce ad inviare il messaggio a destinazione. V’invito ad effettuare dei test con altri account, se lasciate un commento, indicando la vostra mail vera nell’apposito campo, con il quale chiedete di collaborare al test vi contatterò personalmente per indicarvi un paio di indirizzi verso cui inviare i test. I risultati saranno pubblicati su questo blog.

ATTENZIONE! Non indicate la mail nel commento ma nell’apposito spazio del form. In questo modo io potrò vedere la vostra mail e contattarvi ma questa non sarà pubblicata sul sito.

Quando gli spammer strappano un sorriso

Ogni tanto qualche mail di spam riesce a penetrare le difese e ogni tanto butto un occhio alle mail di spam per ragioni professionali.

Questa settimana una mail di spam mi ha divertito, ve la riporto in formato testuale non formattato:

From: "Welcome to Western Union®"
Subject: SPAM VICTIMS COMPENSATION NOTICE !

Welcome to Western Union®
Send Money Worldwide
www.westernunion.com

Attention: E-mail Address Owner

The International Monetary Fund (IMF) is compensating all the spam victims and your email address was found in the spam victim's list. This Western Union® office has been mandated by the IMF to transfer your compensation to you via Western Union® Money Transfer.

However, we have concluded to affect your own payment through Western Union® Money Transfer, $5,000 twice daily until the total sum of $200,000.00USD is completely transferred to you.

We can not be able to send the payment with your email address alone, thereby we need your information as to where we will be sending the funds, such as;

Seguono le richieste dei dati la firma e altri yadda yadda.