Buongiorno a tutti. Riporto la mia esperienza di installazione e configurazione di un server di posta casalingo con connettività fastweb, caso mai riesca a far risparmiare un po’ di tempo per chi volesse provare a fare qualcosa di simile.
Ecco intanto le questioni che tutti si stanno domandando:
D: Ma fastweb non ha bloccato il traffico in uscita sulla porta 25?
R: Si. Ecco come farsela riattivare. Bisogna naturalmente passare per la chat di assistenza su WhatsApp, e dopo qualche inconcludente interazione col bot, potremmo infine fissare un appuntamento telefonico. Quando riceveremo la telefonata dal call center, che tipicamente è situato in Albania, noi chiederemo di poter parlare con un call center italiano. (almeno, io con gli operatori albanesi non sono riuscito a cavare un ragno dal buco. Ma eh, magari è un limite mio). Ci vorrà un pochino, ma infine potrete spiegare ad un operatore italiano che dovete aprire una segnalazione perché vi serve abilitare il traffico in uscita sulla porta 25, per il vostro server casalingo. Specificate che è un server, non un client, ma comunque probabilmente vi suggeriranno di usare le porte sicure per la posta elettronica, come la 465 o 587. Non perdetevi d'animo e spiegate tutto da capo. Se trovate un operatore particolarmente solerte, vi dirà che sta configurando la porta e magari vi chiederà pure di ritestare. In relatà probabilmente se proprio ha fatto qualcosa, è stato verificare la configurazione del traffico IN INGRESSO del vostro fastgate. Ma io, concedendo a tutti il beneficio della buona fede, avevo un prompt con questo comando test:
telnet gmail-smtp-in.l.google.com 25
che appunto apre una connessione con i server di posta di google. Se il comando va in timeout, la porta è chiusa in uscita, altrimenti i server di google risponderanno con
220 mx.google.com
E quando vedrete infine il 220, siete a cavallo.

D: Ma gli ip residenziali, benchè statici, non sono blacklistati?
R: Si. Potete fare il test con https://mxtoolbox.com/blacklists.aspx Mettete il vostro ip e lanciate il test. Minimo sarete in 3 blacklist, probabilmente di più. E niente, una volta che il server di posta è funzionante, contattate ogni blacklist e chiedete che il vostro ip venga rimosso dalla lista.
Non funzionerà per tutte le backlist, però. Attualmente io sono presente ancora in 2 blacklist.
La prima è UCEPROTECTL2 e questi sono dei maledetti. Bloccano tutte le sottoreti di ip residenziali e chiedono 25 franchi svizzeri AL MESE per fare delle eccezioni. Consiglio a tutti di evitare di prendere in considerazione questa blacklist per i propri server antispam. Spero falliscano male.
La seconda è RATS Dyna che per delistarmi vuole che sia configurata correttamente la risoluzione inversa del DNS. E questo non ho potuto farlo.

D: Ma perché non hai configurato la risoluzione inversa del DNS??
R: Eh, ho provato e riprovato con l’assistenza telefonica a farmi configurare il record PTR. A parte le fantasiose risposte che ho ricevuto, mi sono arreso quando una gentilissima operatrice telefonica fastweb mi ha detto che ha riportato esattamente la richiesta al suo responsabile e questo gli ha assicurato che non non si può fare. Certamente non è una questione tecnica, ma a quanto pare non hanno delle procedura per gestire queste casistiche.

D: Ma non facevi prima con un VPS o con protonmail /gmail / stocaz-mail?
R: Si ovvio. Ma sarà che sono affezionato ad alcune questioni che per carità sono invecchiate male. Tipo la net neutrality. Mi aspetto che il mio provider non possa arbitrariamente impedirmi di ricevere o inviare contenuti. E il modello per comunicare in maniera paritaria e sicura è quello della posta elettronica. Non i blog, i social, le chat o qualsiasi versione del fediverso che possa usare quel complicatissimo protocollo che è ActivityPub.
E’ se io voglio avere il mio server sotto il mio controllo a casa mia, devo poterlo fare. Lasciare che diventi di esclusiva gestione dei grandi player che regalano caselle di posta come fossero noccioline è una gigantesca perdita di autonomia e di libertà. IMHO, ovviamente. (Ma sarei anche più drastico, non c’è nessun motivo tantomeno quello economico per cui una azienda dia in outsourcing la gestione della propria posta elettronica. Più che altro è un problema di competenze e di sottovalutazione dell’importanza dello strumento).

D: Ma non è complicatissimo configurare e gestire un server di posta?
R: Per la verità è un falso mito. Si la configurazione e il rispetto di tutte le best practice richiede un po’ di lavoro, ma questo vale per qualsiasi servizio esposto in rete. Anche tenere un nexcloud su un container, se non viene configurato a puntino e costantemente presidiato, prima o poi presenterà delle sgradite sorprese.

D: E dopo tutto ‘sto lavoro e ‘sto pippone, sei soddisfatto??
R: ma soddisfatto cosa, che sono ancora in 2 blacklist! Porco mondo, sono stato ad ascoltarmi la musichetta del call center per mezzore di fila. Volevo riuscirci con un internet provider di portata nazionale, ma passerò ad un fornitore più piccolo che però possa darmi una configurazione più adatta alle mie esigenze. Ma posso dire di averci provato!
E se avete suggerimenti, qualche altro tentativo per farmi configurare la risoluzione dns inversa sono disposto a farlo!
Ecco fine del pippone. Ciao.

    berto-mike

    Ciao, innanzitutto complimenti per la perseveranza 🙂
    Sono d'accordo con te che passare a un operatore più piccolo sia l'unico modo di risolvere definitivamente, sia perché ti lascia impostare i ptr sia perché può darti un ip che di base non è in nessuna blacklist. L'altra possibilità è passare da un relay per la posta in uscita, per esempio con ovh ce l'hai gratis se prendi il dominio da loro

      Interessante esperienza, di certo non ti manca la pazienza.

      Non so se può interessarti, ma io ho un mail server su una linea Aruba, dove non filtrano alcun tipo di traffico, quindi nemmeno la porta 25 in uscita, e gli indirizzi non risultano in alcuna blacklist. Credo che uno dei motivi sia che il loro pool di indirizzi è utilizzato anche per i contratti business, e quindi non sono flaggati come residenziali.

      L'unico "neo" è che anche con loro non esiste una procedura per impostare il record PTR, ma nei fatti da quando il server funziona (qualche anno ormai) non ho mai avuto problemi a inviare o ricevere messaggi. Me ne ricordo solo perché faccio 9.8/10 su https://www.mail-tester.com/ 😄

        La domanda principale è: Perché?

        Cioè è solo per dire "ce l'ho fatta!" e per il gusto di farla o è un qualcosa che dopo userai?
        Perché dal mio punto di vista le rotture di cazzo superano di gran lunga i possibili vantaggi nel mettere su un server di posta privato (se non sei una azienda)

          berto-mike UCEPROTECTL2

          UCEProtect sono peggio del pizzo. Per farti delistare hanno richieste assurde

              berto-mike

              Scusa ma perchè usi ancora la porta 25 (senza criptazione) e non usi servizi avanzati con maggiore protezione tipo SSLe porta ad esempio 465?

                  bovirus

                  I server di posta si parlano tra loro esclusivamente sulla porta 25

                      kbios Felice per te che sei riuscito nel setup ma IMHO nel 2024 non si mandano dati senza crittografia autenticata sulla rete.

                          Marco25

                          1) non sono io op 2) leggiti un attimo come funziona smtp 😉

                            kbios

                            Quindi i server scambiano i dati tra di loro senza SSL o altri sistemi di sicurezza sulla porta 25?
                            A me sembra strano sarebbe un sistema altamente non sicuro.

                                Belzebu69 Aspetta di scoprire in quante blacklist sei su https://multirbl.valli.org/ 😃


                                😇

                                bovirus Scusa ma perchè usi ancora la porta 25 (senza criptazione) e non usi servizi avanzati con maggiore protezione tipo SSLe porta ad esempio 465?

                                Marco25 Felice per te che sei riuscito nel setup ma IMHO nel 2024 non si mandano dati senza crittografia autenticata sulla rete.

                                Non avete capito di cosa si sta parlando, non usa la porta 25 per connettersi con un client...

                                bovirus Quindi i server scambiano i dati tra di loro senza SSL o altri sistemi di sicurezza sulla porta 25?
                                A me sembra strano sarebbe un sistema altamente non sicuro.

                                Il protocollo SMTP è infatti totalmente in chiaro. I server che inviano e ricevono i messaggi, e i vari nodi intermedi, sono in grado di leggere i messaggi. Questo è uno dei motivi per cui sono nate tecniche di crittografia tipo PGP. Opzionalmente i server, se entrambi supportano STARTTLS, possono negoziare l'utilizzo di TLS, ma non è uno standard e l'email è intrinsecamente in chiaro essendo un protocollo vecchissimo.

                                Tra l'altro, il fatto che le email siano leggibili da chiunque, a cominciare dai server coinvolti, è uno dei motivi per cui ha senso gestire il proprio mail server, sempre se se ne hanno le capacità.

                                          bovirus opzionalmente se supportato da entrambe le parti possono passare alla modalità crittografata con starttls, sempre sulla porta 25

                                            Anche il mio ipv6 è bello pulito

                                            IPv4

                                            fl4co Il protocollo SMTP è infatti totalmente in chiaro. I server che inviano e ricevono i messaggi, e i vari nodi intermedi, sono in grado di leggere i messaggi. Questo è uno dei motivi per cui sono nate tecniche di crittografia tipo PGP. Opzionalmente i server, se entrambi supportano STARTTLS, possono negoziare l'utilizzo di TLS, ma non è uno standard e l'email è intrinsecamente in chiaro essendo un protocollo vecchissimo.

                                            Crittografia end-to-end (PGP) è una tecnica, crittografia client-server e server-server è un altra. Se avessi voglia di fare self-hosting di un server mail supporterei solo SMTPS. Poco male se qualche mail server antiquato dall’altra parte supporta solo SMTP in chiaro, almeno saprei di non comunicarci.

                                            Ricordo che il programma dell’NSA MUSCULAR per intercettare le comunicazioni giocava proprio sul fatto che i client utilizzavano SSL/TLS per la comuncazione sicura, ma poi i dati erano in chiaro nella comunicazione server-server. Oggigiorno persino aziende private catturano questi dati tramite sonde negli ISP/core router e li vendono a terzi.

                                            • fl4co ha risposto a questo messaggio

                                                Marco25 Non hai le idee chiare, SMTPS è utilizzato dai MUA (i client di posta) per consegnare al proprio server SMTP la posta da inviare. Se non supporti SMTP sulla porta 25 praticamente puoi inviare messaggi solo a te stesso e agli altri utenti sul tuo server, visto che il resto del mondo usa quella per le comunicazioni server-server, altro che antiquati 😂

                                                • Juza ha messo mi piace.

                                                  Che tipo di connettivita' fastweb stai utilizzando? Perche' se non hai IP statico, a mio parere, tutto questo lavoro e' essenzialmente un esercizio. Premesso questo, diversi mail server non vedono di buon occhio server senza l'rDNS configurato, magari le mail arrivano ma sono spesso penalizzate per quanto riguarda lo spam. Poi ci sta, e' esperienza anche questa. Posso chiedere che server hai installato?

                                                  Ciao.

                                                    fl4co
                                                    Complimenti. Io su https://www.mail-tester.com/ mi sono fermato ad un 9.3/10.
                                                    Si sto pensando anche io di cambiare fornitore di linea, infatti. Ma volevo provare con fastweb. Per una questione di principio: in internet chiunque in linea teorica può mettere su il suo servizio e distribuire contenuti.
                                                    Per la posta, il più utile e scontato dei servizi, a volte pare che non sia così vero.

                                                    Davidechp
                                                    Certo che sto usando il mio server di posta. Le rotture di cazzo, secondo me, non sono diverse dall'avere in casa un sito web od un server mastodon, Od un piccolo nexcloud per salvare le foto del cellulare.
                                                    Lasciati a se stessi ad un certo punto possono avere dei problemi. Ma postifix e dovecot daranno comunque meno problemi di un wordpress, a parità di firewall davanti.
                                                    La posta è lo strumento più usato, più importante e più sottovalutato da quando libero.it ha cominciato a regalare caselle. Io la penso al contrario di te: non c'è nessun motivo per cui ad esempio ogni LUG di italia non si sia già fatto il proprio piccolo server di posta per i soci. Mi pare folle anche che le aziende esternalizzino questo servizio. Penso sia uno dei segni dell'arretratezza media informatica italiana. (oppure sono io che sono strambo, che può essere anche questo).

                                                    fabioferrero
                                                    Una normalissima FTTC fastweb, letteralmente l'offerta che costava meno quando mi sono trasferito. Poi si, ho fatto richiesta di IP statico, per forza. Mi serviva già da prima di predisporre anche la posta elettronica.
                                                    In realtà per il mio ip rDNS è configurato... ma risponde con x-x-x-x.ip84.fastwebnet.it al posto di rispondere con il mio dominio. Una risposta sbagliata è sempre meglio del record non configurato, ma cambia poco. La configurazione è per il resto completa, spf, dkim, dmarc. Uso postfix più dovecot, borg come backup e rspamd come motore antispam. Manca un Sogo per la webmail, e il collegamento al server ldap.
                                                    Tutta la configurazione sta su script Ansible, a parte quelle operazioni sui dns che bisogna un po' per forza farle a manina.

                                                          michii son delinquenti: hanno messo nella loro blaclist anche l'ip del mio server di posta (su hetzner), ma non il singolo ip pubblico, tutta la classe B pubblica!
                                                          se faccio il test sul loro sito, il mio ip risulta pulito, ma dato che hanno rilevato attività sospette da 2 dei 65000 ip della stessa classe B, hanno messo nella loro black list tutti i 65000 indirizzi.
                                                          e vorrebbero esser pagati per il delisting. dei veri e propri delinquenti.

                                                          ho aperto un ticket sul supporto hetzner. vediamo cosa mi dicono.

                                                            Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                            P.I. IT16712091004 - info@fibraclick.it

                                                            ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile