antispam/antivirus per dominio aziendale: quale consigliate?

MircoT · 4 feb 2024

devo scegliere un antispam/antivirus per un dominio internet aziendale, con proprio server di posta.
il prodotto deve essere indipendente dal tipo di posta usato, un email gateway insomma.
deve essere installabile su vsp (hetzner preferibilmente, quindi hypervisor kvm) oppure fornito come SaaS.
indirizzi da proteggere 25 - 50.

in questi giorni ho provato libraesva e spamtitan, entrambi in versione SaaS.
non mi son piaciuti del tutto entrambi, ma per ora preferisco il primo, anche se costa parecchio per un numero così basso di licenze.
dovrei provare anche barracuda, se si decidono a prepararmi l'istanza di prova.

voi cosa consigliate?
nota: no a soluzioni autocostruite, tipo vm linux con postfix/spamassassin da gestire a mano. deve avere supporto aziendale.
nota 2: la posta rimane sul server autogestito, quindi no a trasferimenti su M365 o gsuite.

walt · 4 feb 2024

MircoT hai già valutato https://proxmox.com/en/proxmox-mail-gateway/overview ?

MircoT · 4 feb 2024

walt non lo conosco. lo provo, grazie.

TTechnetium · 4 feb 2024

Posso chiedere cosa non ti è piaciuto di libraEsva ?

MircoT · 4 feb 2024

Technetium soprattutto il prezzo, specialmente per la versione cloud con poche licenze (83€/cranio/anno per 10-25 licenze). la versione on premise ha prezzi molto migliori, ma l'installabilità su vps hetzner è una incognita (il supporto mi ha detto di provare la versione per proxmox... provare non ha senso per una azienda. ci fosse stata una iso..).
poi ci sono altri dettagli che non mi piacciono o che mancano: considerando che la versione cloud è di fatto una vps dedicata al cliente, mi aspettavo di poter dettagliare molto di più la configurazione, a parte la scheda di rete ovviamente.

TTechnetium · 4 feb 2024

MircoT
Si.. sapevo che è caro ma dicono sia il migliore.
Probabilmente ha senso su un numero alto di licenze dove fanno più sconto.

MircoT il supporto mi ha detto di provare la versione per proxmox... provare non ha senso per una azienda. ci fosse stata una iso..

Ma per proxmox cosa ti fornirebbero ? Direttamente il file per la VM ?

walt · 4 feb 2024

Technetium Ma per proxmox cosa ti fornirebbero ?

Direi immagini VMA:

https://docs.libraesva.com/document/advanced-configuration/how-to-deploy-libra-esva-images-on-your-hypervisor/#Proxmox_KVM_74

MircoT · 5 feb 2024

Technetium Si.. sapevo che è caro ma dicono sia il migliore

temo ci sia troppo marketing.
per dire: non supera tutti i test del loro stesso sito. alcuni messaggi di test passano indenni..

Technetium Ma per proxmox cosa ti fornirebbero ? Direttamente il file per la VM ?

come scrive walt, l'immagine vma, che a hetzner non piace, vogliono solo iso.

Hhandymenny · 5 feb 2024

MircoT come scrive walt, l'immagine vma, che a hetzner non piace, vogliono solo iso.

ma tu vuoi caricare la loro immagine su una vps? secondo me è lì il problema, credo che le loro immagini siano fatte per girare su hw dedicato su cui gira un hypervisor gestito da te (parlano di config di schede di rete ad hoc da non modificare ad es.), non in una vps. Al limite potresti tentare con una vm nested ma poi le prestazioni possono essere deludenti.

TTechnetium · 5 feb 2024

MircoT per dire: non supera tutti i test del loro stesso sito. alcuni messaggi di test passano indenni..

E lì c'è un problema

MircoT temo ci sia troppo marketing.

Ma in realtà io lo conoscevo perchè quando fanno qualche test indipendente era citato tra i primi.
In effetti ho guardato adesso i report di Virus bulletin e non provano libraesva dal 2022.

walt · 5 feb 2024

MircoT l'immagine vma, che a hetzner non piace, vogliono solo iso

Come indicato da @handymenny quelle immagini si utilizzano sotto hypervisor: affitti un server dedicato (anche un root Hetzner ovviamente), installi un hypervisor e configuri la VM partendo dall'immagine

Personalmente uso proprio un root server Hetzner (ben carrozzato) con Proxmox su cui tra le altre girano due VM piuttosto esigenti in termini di cicli CPU e RAM - probabilmente più esigenti di un mail gateway dedicato ad una PMI - e non ho mai avuto problemi di prestazioni.

Ovviamente i costi di mantenimento sono ben differenti da quelli di un VPS di fascia medio/bassa...

MircoT · 5 feb 2024

handymenny in realtà pare esista la possibilità di farsi caricare una iso personalizzata in modo da poterla installare su una vps non dedicata. ho aperto un ticket, sto aspettando la risposta del supporto.
le vm nested non sono permesse.

Technetium E lì c'è un problema

eh, mi sa di si
vaben che la vm di test che mi hanno dato aveva uno dei motori antivitus disattivati (c'era clamav, bitdefender era disattivato), ma avrebbe comunque dovuto agire correttamente su tutti i loro messaggi di test.

walt lo so che un server dedicato è meglio, ma come hai scritto i costi sono ben altri e per ora non sono giustificati per le mie necessità.
per altro c'è una controindicazione sul server dedicato: se si rompe in maniera grave, rimani senza servizio e magari dopo devi ricostruire tutto dal backup. personalmente preferisco i dedicati quando il budget mi permette di fare cluster. negli altri casi prendo vps, così sotto c'è un hypervisor che gira su più host fisici.

walt · 5 feb 2024

MircoT in realtà pare esista la possibilità di farsi caricare una iso personalizzata

Meglio così!

MircoT lo so che un server dedicato è meglio

Calma & gesso: ho indicato che una data tipologia di immagine è dedicate a VM da eseguire necessariamente in hypervisor dedicati...poi in generale il giudizio sulla bontà di una scelta dipende perlopiù dalle finalità

MircoT · 5 feb 2024

hetzner ha risposto: hanno caricato la iso che di cui gli dato il link diretto.
gli avevo mandato la iso di spamtitan. ora gli mando quella di proxmox emg. poi proverò a installarle su una vps nuova.

sto provando proxmox emg su un host locale: è un po' incasinato, ma ci si fa l'abitudine.
sarebbe interessante se ci fosse una licenza di prova: senza è difficile valutarlo non essendoci gli aggiornamenti.

edit: sbaglio o su proxmox non c'è modo di indicare una lista di destinatari ammessi alla posta in ingresso?
nel senso: voglio evitare che proxmox interroghi il server di posta prima di accettare un messaggio in ingresso, quindi gli metto una lista di destinatari autorizzati a ricevere posta. se il destinatario non è in quella lista, rifiuta il messaggio e buonanotte.

nota: su hetzner è già presente la iso di proxmox mail gateway.. il che mi fa pensare che funzioni senza problemi.

MircoT · 11 feb 2024

riesumo questa discussione per riproporre una domanda su proxmox mail gateway: c'è modo di specificare una lista di indirizzi autorizzati a ricevere posta senza far fare il controllo dinamico verso il server di posta?
voglio tenere il log del server di posta il più pulito possibile (mia manìa, ma anche per non stressare inutilmente l'smtp) e quindi vorrei vedere in ingresso solo connessioni smtp per consegna di messaggi puliti verso destinatari esistenti.
non mi piacciono le continue aperture di connessioni smtp "senza motivo": quelle se le deve piangere il server antispam. ci son momenti in cui arrivano mitragliate di tentativi di invio verso destinatari inesistenti (da cina e russia..) e siccome son sempre destinatari farlocchi diversi, la cache di proxmox non aiuta e quindi ogni volta chiede al server di posta se è un destinatario valido.. vorrei evitarlo. non mi scoccia aggiungere i destinatari autorizzati in una lista in proxmox mail gateway.

ho visto che c'è la possibilità di creare oggetti e regole, ma non ho capito come impostarle adeguatamente.
qualcuno mi può aiutare?

SkyNut · 11 feb 2024

Spezzo un'arancia in favore di libraesva, il loro supporto è più che valido: rispondono sempre rapidamente, ed in italiano. non che l'inglese sia un problema, ma con altri prodotti ho supporto indiano ed è più macchinoso farsi capire. Con libraesva, le volte che mi è capitato di chiedere una mano, son sempre stati più che gentil ed in un paio di mail già avevo risolto. Senti il loro commerciale e chiedi più sconto!

MircoT · 11 feb 2024

SkyNut chiedi più sconto!

già fatto. sui piccoli numeri (10-20 licenze) non scontano nulla.

MircoT · 25 feb 2024

aggiornamento: sono riuscito a impostare le regole necessarie alla verifica dei destinatari senza rompere le scatole al server di posta. alla fine non è difficile, ma occorre prima capire come vengono intepretate.

il prodotto PMG è simpatico ma abbastanza grezzo. deve essere personalizzato.
su hetzner va su senza problemi. non a caso la iso è già presente tra quelle disponibili per installazione "a posteriori".
vediamo come va con l'uso.