SSLv3 e RC4 con i server SMTP di Google

Google ha annunciato che dal prossimo 16 giugno bloccherà le connessioni SMTP cifrate con SSLv3 e RC4.

Questo potrebbe avere qualche impatto di poco conto sugli utenti e qualche piccola ripercussione per chi invia la mail da altri fornitori. Leggi tutto “SSLv3 e RC4 con i server SMTP di Google”

Postfix 3.0.0

PostfixWietse Venema ha rilasciato la versione 3.0.0 di Postfix.

Il motivo del salto di numero di versione principale risiede anche in un cambiamento della struttura dei binari del programma: dalla versione 3.0.0 Postfix supporta opzionalmente le librerie linkate dinamicamente e i plugin esterni per le connessioni ai database. Questa novità porta con sé la modifica di alcuni parametri di compilazione legati ai database esterni.

Altre novità risiedono nella sintassi dei file di configurazione e nell’adozione (opzionale) di nuovi default per alcuni parametri del programma. Leggi tutto “Postfix 3.0.0”

Perché la mail non viene recapitata?

Spesso gli utenti si chiedono come mai i loro messaggi di posta elettronica rimbalzino o non vengano recapitati istantaneamente ai destinatari.

Chiariamo subito un concetto base: la posta elettronica NON è un instant message.

Un messaggio di posta elettronica una volta uscito dal client può trovarsi in questi stati: in transito, in coda, recapitato, rimbalzato, scartato silenziosamente.  Leggi tutto “Perché la mail non viene recapitata?”

Inibire il traffico mail sicuro

Pavia - Ponte CopertoEFF ha denunciato il fatto che alcuni provider americani e tailandesi impediscono ai client di posta elettronica di inviare messaggi su un canale sicuro.

Quelli segnalati da EFF sono i casi di cui si ha evidenza, ma è possibile che altri provider o altri fornitori di servizi di connettività, anche occasionale via WiFi, implementino le medesime politiche lesive della privacy.

Quello che viene bloccato è l’equivalente HTTPS del protocollo SMTP utilizzato per inviare la posta elettronica dal client (posta in uscita) oppure per trasmettere i messaggi email tra server differenti.

Il blocco in questione non ha nulla a che fare con eventuali metodi di cifratura del testo del messaggio. Se il testo del messaggio è cifrato, tale resta. Leggi tutto “Inibire il traffico mail sicuro”

Protocolli S nella posta elettronica

Incontro all'alba / Sunrise meetingAlcuni utenti credono che l’utilizzo di HTTPS possa da solo risolvere i problemi di tutela dei dati nelle comunicazioni Internet.

Tralasciando i protocolli proprietari di app modaiole che non sono l’oggetto di questo articolo, molti dati viaggiano tramite la posta elettronica.

Un messaggio di posta elettronica viene inviato dal client al primo server (server di posta in uscita) con il protocollo SMTP, i server parlano tra di loro in SMTP e alla fine un client scarica un messaggio con IMAP o POP3 (server di posta in arrivo).

Le trasmissioni SMTP tra server di posta elettronica sono sempre più su canali cifrati, il punto debole restano la parte iniziale e finale del trasporto della mail dal server al client. Leggi tutto “Protocolli S nella posta elettronica”

La posta elettronica

Honeywell Electronic MailCorreva l’Anno Zero dell’Era Star Wars, noto a molti anche come 1977, e Honeywell pubblicava negli USA questa pubblicità.

Tomorrow’s automated office will clearly include Electronic Mail.

Su questo bisogna dire che la pubblicità ci ha azzeccato, anche se nessuno avrebbe potuto mai prevedere lo SPAM. E, a parte il posacenere e l’assenza di un computer, la scrivania da impiegato quadratico medio maniaco dell’ordine non è cambiata molto.

Sette anni dopo quella pubblicità Tom Jennings attivava su una macchina MS-DOS Fido BBS e gettava le basi della FidoNet, palestra informatica e telematica per molti di noi prima dell’Era di Internet. La FidoNet era una rete di scambio di messaggi privati denominati netmail (in Italia era meglio non chiamarla posta elettronica per via del monopolio delle Poste) e solamente dopo è diventata una rete di scambio di messaggi pubblici divise in aree: molti ricorderanno il famoso mantra “l’echomail si appoggia sulla netmail” derivato dal fatto che i messaggi pubblici non erano altro che allegati compressi spediti tramite l’infrastruttura della netmail (espressioni come “tossare i messaggi echo” erano all’ordine del giorno). Leggi tutto “La posta elettronica”

Postfix: forzare IPv4 o IPv6 con un dominio

Questo articolo spiega come forzare la connessione IPv4 o IPv6 verso un dominio specifico utilizzando Postfix.

Se si imposta inet_protocols = all con un MTA che ha sia un record A sia un record AAAA Postfix sceglie di volta in volta a caso se utilizzare IPv4 o IPv6 per minimizzare i problemi di recapito.

Durante il primo periodo di adozione dell’IPv6 ci possono essere degli MTA con il record AAAA nel DNS ma con dei problemi a ricevere mail via IPv6. Oppure semplicemente si vogliono fare dei test con un dominio specifico senza modificare la configurazione generale di Postfix.

Leggi tutto “Postfix: forzare IPv4 o IPv6 con un dominio”

Bambini, andate a giocare altrove!

Un cliente decide di attivare una linea Internet di terra (SHDSL) con Vodafone.

A livello di pure linee di terra business per il collegamento a Internet sono abbastanza neutrale: una volta che ho la mia classe di IP pubblici non nattata sulla porta ethernet dell’apparato del provider e non ho filtri sulle porte o cazzate come il bandwidth throttling a me vanno bene tutte. È più un problema commerciale del cliente che altro.

Il /29 che è stato assegnato probabilmente faceva parte di un vecchio blocco pubblico ad assegnamento dinamico che è stato riciclato perché due o tre mail server rifiutano di ricevere la posta dal mail server aziendale dietro la nuova connessione.

Dal momento che sono abituato a questo comportamento, avevo lasciato come al solito Postfix con il soft bounce attivo in modo tale da poter intervenire guardando la coda della posta in uscita reindirizzando a botte di transport la mail che rimaneva in coda sul mail relay del provider indicato nella documentazione allegata all’attivazione della linea.

Dopo due giorni la cosa si è normalizzata. Qualche giorno più tardi un utente mi dice che la posta verso Alice.it rimbalza e mi inoltra questo:

while talking to smtp.aliceposta.it.:
>>> MAIL From:<xxx@xxx.it> SIZE=63750 BODY=7BIT
<<< 550 mail not accepted from blacklisted IP address [91.80.36.102]
<<< 554 5.0.0 Service unavailable

91.80.36.102 non è un IP della classe /29 assegnata al cliente, ma l’IP del relay esterno di Vodafone che mi è stato detto di utilizzare e che ha funzionato correttamente fino a poche ore prima anche con Alice.it

Leggi tutto “Bambini, andate a giocare altrove!”

Postfix 2.9

 Wietse Venema ha rilasciato la versione 2.9 di Postfix.

Tra le nuove caratteristiche:

  • supporto di id lunghi e non ripetibili dei messaggi elaborati; la funzione si attiva aggiungendo al file di configurazione la direttiva enable_long_queue_ids = yes
  • supporto di memcache;
  • introduzione del concetto di gradual degradation: se un database utilizzato dal programma non è (più) disponibile, Postfix non si blocca con un errore fatale, ma cerca di continuare a funzionare mantenendo attive le funzioni che non dipendono dal database;
  • miglioramento dell’utility postconf;
  • nuove misure per rallentare la risposta nel caso in cui venga rilevato un DoS a livello applicativo.

La versione completa dell’annuncio è qui.

Contestualmente all’uscita della nuova versione di Postfix, è stata rilasciata la nuova versione 1.1.4 di Pflogsumm.

Postfix: bloccare le mailing list hackerate

Fortunately it's a bug!Capita ogni tanto di dover bloccare un flusso cospicuo di mail in arrivo da un indirizzo o una mailing list hackerata o che rifiuta il comando di disiscrizione e di doverlo fare adesso.

I filtri applicati ai client possono essere efficaci, ma non comunicano al mittente la nostra intenzione di non voler ricevere più i suoi messaggi. Nel caso di un list server, inoltre, la raffica di delivery failure dovrebbe provocare la rimozione amministrativa dell’account. Leggi tutto “Postfix: bloccare le mailing list hackerate”