Postfix 3.0.0

PostfixWietse Venema ha rilasciato la versione 3.0.0 di Postfix.

Il motivo del salto di numero di versione principale risiede anche in un cambiamento della struttura dei binari del programma: dalla versione 3.0.0 Postfix supporta opzionalmente le librerie linkate dinamicamente e i plugin esterni per le connessioni ai database. Questa novità porta con sé la modifica di alcuni parametri di compilazione legati ai database esterni.

Altre novità risiedono nella sintassi dei file di configurazione e nell’adozione (opzionale) di nuovi default per alcuni parametri del programma. Leggi tutto “Postfix 3.0.0”

Perché la mail non viene recapitata?

Royal Mail buildingSpesso gli utenti si chiedono come mai i loro messaggi di posta elettronica rimbalzino o non vengano recapitati istantaneamente ai destinatari.

Chiariamo subito un concetto base: la posta elettronica NON è un instant message.

Un messaggio di posta elettronica una volta uscito dal client può trovarsi in questi stati: in transito, in coda, recapitato, rimbalzato, scartato silenziosamente.  Leggi tutto “Perché la mail non viene recapitata?”

SMTP STARTTLS in crescita

Sottopasssaggio con cavi / Subway with cablesUn rapporto di Facebook dimostra che la cifratura della posta elettronica ha raggiunto una “massa critica”.

Questa è senza dubbio una buona notizia per la tutela dei dati personali perché il normale protocollo SMTP, figlio di quando Internet era un’altra cosa, dialoga in chiaro.

L’estensione STARTTLS consente anche ad SMTP di passare ad una connessione cifrata utilizzando la medesima connessione TCP.

I dati presentati da Facebook evidenziano che tre quarti dei mail server con cui dialoga il social network supportano STARTTLS, anche se solamente poco più della metà delle mail vengono cifrate con successo. Leggi tutto “SMTP STARTTLS in crescita”

Forward secrecy in Postfix

È possibile implementare la forward secrecy anche nelle sessioni TLS di Postfix.

Questa guida parte dal presupposto che Postfix abbia TLS configurato e funzionante, non importa se con un certificato auto-emesso o rilasciato da un’autorità PKI, e si applica alla versione 2.10, le versioni precedenti potrebbero aver bisogno di qualche aggiustamento dei parametri, come indicato nel readme apposito.

Lo scopo è di avere delle chiavi di sessione effimere con una vita relativamente breve al fine di rendere più ardua la cosiddetta retrospective decryption attraverso una rigenerazione periodica dei parametri p e g dell’algoritmo Diffie-Hellman per lo scambio di chiavi.

Leggi tutto “Forward secrecy in Postfix”

Postfix: forzare il dialogo cifrato fra due MTA

ECCETTO RESIDENTIÈ possibile forzare il dialogo cifrato TLS tra due server di posta elettronica (MTA).

Di seguito viene spiegato come farlo con Postfix 2.10.2, l’ultima disponibile, compilata sul server in cui gira con il supporto TLS attivato. È naturalmente possibile ottenere lo stesso risultato anche con altri MTA o con versioni precedenti di Postfix (sconsiglio di scendere sotto la 2.6.0 ed è meglio evitare il range  2.9.0 – 2.9.5 (incluse) perché hanno un baco nel calcolo del fingerprint della chiave pubblica.

È fondamentale una certa padronanza con Postfix, che viene data per scontata dalla procedura descritta di seguito.

Lo scopo è forzare l’MTA ad utilizzare una connessione via TLS quando dialoga con un altro MTA noto. Per fare ciò non è necessario un certificato rilasciato da una CA nota, ma va benissimo anche un certificato autogenerato. Lo scopo di questa configurazione è proprio quello di non utilizzare necessariamente la PKI.

Leggi tutto “Postfix: forzare il dialogo cifrato fra due MTA”

Mail server in IPv6

Cabina da distribuziunQuesto articolo spiega come passare in IPv6 un mail server Linux con Postfix, Amavisd-new e Dovecot.

Il sistema di partenza è un Linux con il dual stack IPv4/IPv6 attivo e funzionante con un indirizzo pubblico IPv4 e uno IPv6. Anche il sistema di posta elettronica è perfettamente funzionante in IPv4 con le ultime versioni dei programmi indicati sopra installati da sorgente, non da pacchetto della distribuzione Linux. Ciò perché con IPv6 è sempre meglio avere le ultime versioni, anche se la maggior parte delle istruzioni che seguono dovrebbero funzionare anche con le versioni distribuite nei pacchetti standard.

Leggi tutto “Mail server in IPv6”

Bloccare le conferme di lettura con Postfix

Alcune organizzazioni vogliono impedire che vengano inoltrate le conferme di lettura dei messaggi.

Con Postfix questo blocco si attua attraverso la funzione header_checks. Nel file main.cf si specifica qualcosa tipo

header_checks = regexp:/etc/postfix/header_checks

La distribuzione standard di Postfix contiene un file header_checks senza direttive ma con alcune istruzioni sommarie nei commenti.

Tenendo presente che le conferme di recapito hanno generalmente tra gli header la direttiva MIME che indica che il contenuto è di tipo Multipart/Report (RFC6522), è sufficiente aggiungere una riga di questo tipo a /etc/postfix/header_checks

/^Content-type: Multipart\/report/   DISCARD

Il file va quindi compilato con

postmap /etc/postfix/header_checks

e alla fine si ricarica Postfix per attivare la configurazione.

Postfix 2.9

 Wietse Venema ha rilasciato la versione 2.9 di Postfix.

Tra le nuove caratteristiche:

  • supporto di id lunghi e non ripetibili dei messaggi elaborati; la funzione si attiva aggiungendo al file di configurazione la direttiva enable_long_queue_ids = yes
  • supporto di memcache;
  • introduzione del concetto di gradual degradation: se un database utilizzato dal programma non è (più) disponibile, Postfix non si blocca con un errore fatale, ma cerca di continuare a funzionare mantenendo attive le funzioni che non dipendono dal database;
  • miglioramento dell’utility postconf;
  • nuove misure per rallentare la risposta nel caso in cui venga rilevato un DoS a livello applicativo.

La versione completa dell’annuncio è qui.

Contestualmente all’uscita della nuova versione di Postfix, è stata rilasciata la nuova versione 1.1.4 di Pflogsumm.