Server di posta, consigli

D3de · 2021-04-23T20:50:40+00:00

Buonasera a tutti. Leggendo una discussione di @matteocontrini che parla del perchè ha lasciato gmail, mi sono fatto una serie di domande sui server di posta...

[cancellato]

Mah, a me pare che abbiano ancora in mente il mass-market di 20 anni fa. Lo vediamo anche con i casini che fanno in IPv6 per non rispettare i molto semplici e sensati consigli del RIPE.

Un IP statico semplifica molte cose, dalla VPN al VoIP alla configurazione di regole di firewalling sui VPS per accettare connessioni di management solo da determinati IP - senza necessariamente fare self-hosting di tutto, qualcosa può anche fare comodo.

Visto che gestisci servizi a pagamento come il call ID, non vedo perché non gestirne anche altri di questo tipo. Ci potresti fare qualche soldo in più senza troppo sforzo.

[cancellato]

[cancellato] quando si parla di mass-market in linea di massima le offerte si calibrano sulla tipologia media di utilizzo, non sulle nicchie.

Vero, ma altresì condivido la considerazione di @[cancellato]; il "problema" (che problema non è) avrebbe una facile soluzione: abrogare l'obbligo di partita IVA per le offerte microbusiness. Tanto all'operatore che gli frega? Un cliente residenziale/SOHO "avanzato" vuole più della media? Pagherà di più... entrambe le parti felici e contente.

Che poi le soluzioni alternative esistono (vedi a memoria il mio caso, di cui ben sai da altri lidi) per avere offerte formalmente microbusiness anche a privati, è solo a questo punto ottusità del carrier.
Su rete TIM si possono attivare con operatori terzi le EasyIP NGA, quelle con IP statico sono de facto delle microbiz travestite da offerte a privati; per gli operatori su rete OF la cosa è più variegata... Tiscali come riportavi lo permette acquistando l'IP statico, Pianeta Fibra no (e non permette attivazione del piano "business" senza P.IVA) ad esempio, così come Dimensione. Poi sta all'utente finale accettare o meno i paletti imposti dal provider.

frakka

Quando ho iniziato a lavorare come IT (finta partita IVA che nascondeva collaborazioni esclusive, come era uso e consuetudine al tempo) ho registrato un dominio e mi sono installato il server di posta in casa.
Server basato su scheda madre Supermicro con processore ATOM, 4Gb DDR2, CentOS e due dischi in raid. Mi faceva da nas/gateway/firewall/dhcp/dns/server http ed ftp. Era fisicamente appeso ad una parete di un mobile della mia camera ed è rimasto attivo quasi 8 anni.
La connessione internet era su connettività Wi-Max 7/1Mbit con IP pubblico statico, l'ISP mi ha attivato il reverse DNS e non ho mai avuto problemi con le RBL (ma appunto perchè l'IP era associato ad una connettività "Pro" se non proprio "Business").
Il server ospitava meno di una decina di caselle di posta (dato che il dominio è il mio cognome ho fatto le caselle di posta per me, mio padre e le mie sorelle), i tentativi di violazione erano ovviamente continui e quotidiani, come accede per praticamente ogni host che abbia un IP pubblico, quindi tutti i giorni mi arrivava la mail con i log del server e ogni giorno verificavo che non ci fossero anomalie.
In tempo non sospetti, mi permetteva di avere una rubrica ed un calendario "centralizzati" per il client di posta in quanto avevo la possibilità di usare webdav per collegarci lo smartphone ma anche le diverse installazioni del client di posta sui PC Windows e Linux.

Esperienza interessante, pochi sbattimenti in realtà ma un discreto impegno comunque. Mai avuto grossi problemi.
Quando mi sono trasferito sono passato ad un'abitazione con la fibra di fastweb ma immaginavo che non mi avrebbero dato il reverse e/o avrei avuto problemi con le RBL quindi ho attivato presso Aruba anche il servizio webmail e ho migrato le caselle li sopra.
Ovviamente ho perso il webdav (quindi calendar e rubrica centralizzate) ma le ho passate tutte... sull'account gmail dello smartphone!!

[cancellato]

frakka Era fisicamente appeso ad una parete di un mobile della mia camera

Riuscivi a dormire? Rumorisità e necessità di raffreddamento (e in parte anche i consumi) sono fra le ragioni che mi ha convinto a passare ad un VPS. Già mi dispiace che Supermicro ha fatto uscire la versione fanless del microserver che uso come router/firewall dopo che avevo comprato quello con le ventole 🤬

Alfoele

frakka non mi avrebbero dato il reverse e/o avrei avuto problemi con le RBL

Se te lo vuoi riportare in casa 😂 in realtà con SPF e DMARC a me funge tutto, per il momento ho solo problemi, come scrivevo sopra, a recapitare vs libero dot it

frakka

Nel mio caso, pago circa 40€/anno per dominio+servizio antispam/antivirus+IMAP+caselle illimitate ma di dimensione massima 1Gb ciascuna. Se potessi limitarmi a 5 caselle di posta la spesa sarebbe circa la metà.
Alias illimitati mi pare...

[cancellato]

[cancellato] Gli atom rischiano di essere anche fanless... Vedi gli eterni J1900 e simili.

Alfoele libero dot it

Francamente, non è che perdi poi molto...

frakka

[cancellato] Riuscivi a dormire?

L'Atom è fanless ma nello chassis c'erano un paio di ventoline e due dischi meccanici, alimentatore esterno tipo portatile, senza ventole (Curiosità: il server è ancora il mio attuale server nas/http/ftp domestico, ha compiuto 10 anni dalla prima installazione proprio qualche mese fa!).

Comunque prima di installare quello sono stato 3 anni imbarcato su una nave della MMI. Una delle pareti del mio camerino confinava con il vano in cui passavano le condotte degli scarichi dei motori e sull'altra c'era l'altoparlante della rete ordini collettivi (l'altoparlante con cui vengono impartiti gli ordini a tutto l'equipaggio, insomma).
Ti assicuro che posso dormire ovunque, con qualunque condizione meteo-marina o di rumorosità.

frakka

Alfoele

Per me invece sarebbe una rottura... Una delle mie caselle storiche è li sopra!

[cancellato]

C'era chi bloccava anche la 25 outbound (forse qualcuno ancora oggi) sostenendo che gli utenti dovessero usare solo l'SMTP messo a disposizione dell'ISP - che diventava l'unico accessibile sulla 25. Serviva ad evitare che le macchine infette diventassero spam bot facilmente. Però è un'idea che fa a pugni con il non far transitare la posta su server che non vuoi, visto che la vedono in chiaro (se non è cifrata e2e). Anche se come utente e non come server l'SMTP dovrebbe essere fatto sulla 465 o 587 con autenticazione e cifratura, però è possibile che qualche server non lo faccia.

[cancellato] Gli atom rischiano di essere anche fanless... Vedi gli eterni J1900 e simili.

Vero. Ma con due dischi in RAID se non SSD mi darebbero già fastidio quelli 😁

mpanella Seriamente, il rischio di trasformarsi in un open relay per un errore banale di configurazione

Beh, dovresti bloccare anche tutto l'HTTP inbound, il rischio che qualcuno abbia dei servizi web configurati malissimo e vulnerabili non è minore di quello di un server di posta.

mpanella

Non per essere ripetitivo, ma vale sempre "friends don't let friends run mailservers".

Seriamente, il rischio di trasformarsi in un open relay per un errore banale di configurazione è altissimo e in ogni caso i range residenziali (sempre SE la 25 outbound non è filtrata...) sono marchiati a fuoco in Spamhaus PBL.

[cancellato]

mpanella sempre SE la 25 outbound non è filtrata...

La TCP/25 outbound è assolutamente lecita... Se ti colleghi in SMTP al tuo relay di posta non c'è nulla di strano. È l'inbound che spesso viene bloccata per evitare che appunto qualcuno configuri un open relay in una connessione domestica. 😉

frakka

mpanella

Insomma, dai... Non sono esplosivi!!
Non è una cosa che deve essere installata "avanti, avanti, avanti, fine" senza leggere o capire quello che si sta facendo ma ci sono diverse distro pre-configurate che rendono comunque la cosa accessibile a qualunque bipede senziente che si approcci alla cosa con un po' di criterio. Può essere un'esperienza interessante, ovviamente richiede attenzione e responsabilità in quello che si fa, come in tutto. Se poi diventa troppo complicato e ti rompi le scatole "poweroff" e tanti saluti.

Potenzialmente ogni scemenza che si affaccia in rete può diventare membro di una botnet quindi cosa si fa?

mpanella

[cancellato] La TCP/25 outbound è assolutamente lecita... Se ti colleghi in SMTP al tuo relay di posta non c'è nulla di strano.

Per quello c'è tcp/587 (submission) che prevede autenticazione e TLS, la 25 outbound dai residenziali andrebbe filtrata anche e soprattutto per stroncare all'origine lo spam in uscita da PC compromessi.

[cancellato]

[cancellato] C'era chi bloccava anche la 25 outbound (forse qualcuno ancora oggi) sostenendo che gli utenti dovessero usare solo l'SMTP messo a disposizione dell'ISP

Comportamento da denuncia, IMHO.

mpanella Per quello c'è tcp/587 (submission) che prevede autenticazione e TLS,

Nel 2021, sì. 10 anni fa non era così diffuso, e molti provider davano indicazioni di configurare sulla 25... È (era?) il default anche di Outlook, tanto per dire.

[cancellato] con due dischi in RAID se non SSD mi darebbero già fastidio quelli 😁

Oddio, ce ne sono di parecchio silenziosi. In ottica basso consumo nulla vieta di usare dischi da portatile. 😉

mpanella

[cancellato] Beh, dovresti bloccare anche tutto l'HTTP inbound, il rischio che qualcuno abbia dei servizi web configurati malissimo e vulnerabili non è minore di quello di un server di posta.

Ni, il problema è che qualunque macchina compromessa può diventare sorgente di spam e per mitigare il problema è buona norma fermare alla frontiera il traffico in uscita verso tcp/25 se non dagli MTA ufficiali della propria rete. In più, come ho detto prima i residenziali sono listati su Spamhaus PBL e quindi mezzo mondo rifiuterebbe la posta in delivery diretto da un MTA casalingo.

frakka Potenzialmente ogni scemenza che si affaccia in rete può diventare membro di una botnet quindi cosa si fa?

Il problema è che SMTP è un mondo a sé, appena apri la 25 sei matematicamente certo che qualcuno provi ad usarti come open relay e quando te ne accorgi è troppo tardi perché sei finito nelle blacklist di tutto l'universo conosciuto (sempre se non lo sei già perché sei in un range residenziale).

[cancellato]

[cancellato] Comportamento da denuncia

Mi pare che - per dirne uno a caso - Libero non sia mai stato denunciato 🤣

[cancellato]

[cancellato] No 'spe... che il provider di posta permetta l'uso del suo server SMTP solo dalle sue connessioni è un conto (libera scelta del cliente che usa tale casella... e comunque con libero era un'opzione a pagamento).
Che un provider TelCo invece blocchi la TCP/25 verso altri server che non siano i suoi è deprecabile... e io commentavo questo secondo caso.

Ai tempi con Libero dialup inviavo tranquillamente posta via TCP/25 con altri fornitori (ovviamente).

[cancellato]

Ah quindi se lo fa il provider di posta tutto bene, se lo fa un ISP no...vabeh...crediamoci 🤓

[cancellato]

[cancellato] Il provider lo sceglie il cliente, ed è facilmente sostituibile ed affiancabile ad altri. I provider di telecomunicazioni invece sono soggetti alla net neutrality.

I servizi di posta possono scegliere di imporre limiti per differenziare le offerte free da quelle a pagamento, ed io utente posso scegliere se usare il loro servizio od andare da altri.

È come dire che l'auto la puoi rifornire solo con benzina alla Eni... non ha senso.

[cancellato]

mpanella Ni, il problema è che qualunque macchina compromessa può diventare sorgente di spam

Perché un sito web compromesso non può diventare una sorgente di spam utilizzando il server di posta proprio del suo ISP, impossibile da bloccare perché altrimenti blocchi anche gli utenti legittimi? Effettivamente vediamo quando sia efficace bloccare la porta 25, di spam ne gira così poco... magari se gli ISP cominciassero a bloccare i furboni downstream che vendono servizi di spam sarebbe più utile. Ah, ma con quelli ci fanno soldi....

In più qualsiasi server HTTP compromesso è utilissimo per tutta una serie di attività illegali e malevoli. E le spam botnet esistono ugualmente usando una serie di altre tecniche che non il diretto invio via porta 25.

mpanella residenziali sono listati su Spamhaus PBL

Dalla PBL puoi chiedere di essere rimosso - hai bisogno di un IP statico però.

mpanella ppena apri la 25 sei matematicamente certo che qualcuno provi ad usarti come open relay

Sì, però ormai i server che appena li installi si configurano come open relay non esistono più - almeno spero.

Anche appena metti su un sito Wordpress sei sicuro che qualcuno cercherà di entrare - se l'hai configurato male e con una versione vulnerabile gli hai appena regalato un nuovo endpoint. Poi dare un'occhiata a Shodan per vedere quanti dispositivi aperti ci sono.

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile