Difendiamoci dallo Spam con Lotus Protector for Mail Security
Lo Spam e le minacce che giungono per posta elettronica (come phishing e virus) rappresentano ormai da molti anni uno dei maggiori problemi della sicurezza informatica.
Nella prima fase di questa sessione faremo una veloce carrellata degli strumenti che Domino mette a nostra disposizione per ridurre il traffico di posta indesiderata, come ad esempio recipient verification, DNS blacklist e lookup.
In seguito ci concrentreremo su IBM Lotus Protector for Mail Security, un prodotto del branch ISS (Internet Security Systems), acquisito da IBM nel 2006, che si occupa di filtrare le email in ingresso con interessanti funzionalità ed una integrazione con Notes che consente di gestire la quarantena e le black/white list degli utenti direttamente dal client.
Vedremo poi come, in pochi semplici passaggi, è possibile installare e configurare Protector, come distribuire ai client la configurazione per l'integrazione in Notes ed infine alcuni "trucchetti" non documentati che ci aiuteranno a gestire al meglio il nostro sistema.
From Zero To Protected Hero… - Fabio Grasso - Dominopoint Days 2013 #dd13
1. From Zero To Protected Hero...
Difendiamoci dallo spam con
Lotus Protector for Mail Security
Fabio Grasso
2. Fabio Grasso
• Lavoro come sistemista per Itatis Srl (www.itatis.net) con
particolare focus sulle soluzioni di collaboration
IBM/Lotus
• Sono Certified System Administrator e Certified Instructor
per la versione 8.5 di Notes/Domino e conosco
l’ambiente Lotus dalla versione 6.5 con cui ho iniziato a
lavorare nel 2004
• Oltre al software di collaboration mi occupo di progettare
e manutenere infrastrutture con server e storage IBM e
sistemi operativi Microsoft e Linux
Presentiamoci...
3. Introduzione
• Durante questa presentazione analizzeremo le varie minacce
che possono giungere tramite posta elettronica
• Vedremo poi quali strumenti mette a nostra disposizione IBM
Domino per bloccare la posta indesiderata
• Ci concentreremo su Lotus Protector for Mail Security, un
interessante prodotto che consente di filtrare virus, spam e
phishing con un’integrazione nell’interfaccia utente di Notes
• Concluderemo poi con alcune funzionalità non documentate
di Protector e sarò a vostra disposizione per rispondere ad
eventuali domande
4. Indice
1. Tipi di minacce e qualche dato statistico
2. Impostazioni di Domino per contrastare lo spam
3. Lotus Protector… cos’è e cosa fa
4. Installazione di Protector
5. Configurazione di Protector
6. Qualche “trucco” non documentato
7. Q&A
6. Un breve ripasso…
• Spam/Junk Mail: messaggi indesiderati,
tipicamente con fini commerciali, spesso
contenenti immagini nascoste che
consentono di confermare l’avvenuta del
messaggio
• Phishing: messaggi di truffa che tentano, tramite tecniche di
ingegneria sociale, di indurre l’utente a fornire informazioni
personali (quali password, numeri di carte di credito, ecc.)
• Virus/Trojan/Malware: messaggi contenenti allegati
(spesso cifrati per evitare di essere individuati) che
installano sul computer dell’utente software dannoso
7. Primo semestre 2013
Fonte Kaspersky Lab
http://www.kaspersky.com/it/about/news/spam/201
3/Lo_spam_nel_secondo_trimestre_del_2013
Qualche dato
La posta indesiderata rappresenta
circa il 70% del traffico
8. Qualche dato
Primo semestre 2013 - Fonte Kaspersky Lab
http://www.kaspersky.com/it/about/news/spam/2013/Lo_spam_nel_secondo_trimestre_del_2013
I messaggi di SPAM o
Phishing normalmente sono
molto piccoli (<1Kb), ma
inviati in tale quantità da
rappresentare cifre
importanti anche dal punto
di vista dello spazio occupato
(e di conseguenza della
banda Internet occupata)
9. Phishing
• Il phishing che mira ai social
network ha superato (più del
doppio!) quello relativo alle
banche
• Spesso i social network sono
usati anche per scopi
aziendali, è quindi di vitale
importanza proteggerne le
credenziali
Primo semestre 2013 - Fonte Kaspersky Lab
http://www.kaspersky.com/it/about/news/spam/2013/Lo_spam_nel_secondo
_trimestre_del_2013
10. Metodi per combattere lo spam
• Software locale: installazione
direttamente sui pc degli utenti di
software che filtrano I messaggi in
entrata/uscita (tipicamente funzionalità
inclusa nell’antivirus)
• Blacklist DNS (DNSBL): si tratta di speciali server DNS che
raccolgono liste dei mittenti di spam (ogni servizio ha
proprie regole e criteri)
• Software sul server di posta: si tratta di particolari
“plugin” che aggiungono sistemi di filtraggio delle mail al
server di posta in uso (Domino, Exchange, ecc)
11. Metodi per combattere lo spam
• Mail gateway (on premise/in cloud): si tratta
sostanzialmente di server SMTP che ricevono la posta, la
analizzano e la inviano, una volta depurate dai messaggi
indesiderati, al server di posta reale.
Tale server può essere installato sia localmente che
utilizzato come servizio in cloud.
Lotus Protector for Mail Security è un esempio di
software che utilizza questa metodologia.
13. Impostare una blacklist DNS
• E’ possibile bloccare totalmente i messaggi o marcarli
con uno speciale flag
• Bloccandoli si reduce il traffico SMTP, ma se c’è un falso
positivo non potrà essere recuperato
• Lista DNSBL attive: www.dnsbl.info
14. Impostare una blacklist DNS
• Se si sceglie l’opzione “Log and tag” sarà poi necessario
creare una regola nei singoli database degli utenti
• Il flag è infatti un campo nascosto chiamato $DNSBLSite
15. Controlli DNS
• E’ possibile verificare che il
server di origine del messaggio
in arrivo sia registrato nei DNS
pubblici
• Analogamente possiamo
verificare che anche il dominio
del mittente sia registrato
• In questo caso i messaggi
vengono rifiutati senza
possibilità di flag
• Seppur raramente si possono
verificare falsi positivi
16. Controllo destinatari
• Questa regola vale in generale e non solo per lo spam:
onde evitare di riempire le mailbox con messaggi
destinati a persone non presenti in rubrica, è possibile
bloccare a livello SMTP l’invio a destinatari inesistenti
• Infine tra le voci presenti in “SMTP Inbound Controls”
troviamo varie opzioni per bloccare singoli
host/destinatari, utilizzare blacklist/whitelist private e
molto altro
17. IMPORTANTE!!
Sembra scontato, ma spesso mi è capitato di trovare server
che si comportano da open relay:
salvo particolari esigenze i controlli anti-relay devono
sempre essere attivi!!
Per una maggiore
sicurezza bloccare la
connessione a tutti
gli host e specificare
manualmente quelli
autorizzati
19. Domino & Protector
• IBM Domino è un ambiente intrinsecamente sicuro,
tuttavia non è immune a phishing ed allegati pericolosi
aperti dall’utente
• Oltre alle mail pericolose ci sono comunque messaggi
indesiderati (es. pubblicità) che l’utente non
vuole ricevere
• Per ovviare a queste “mancanze” di
Domino ci viene in soccorso Protector
20. Lotus Protector for Mail Security
• Software di filtraggio spam, malware e content filtering
• Basato su tecnologia IBM ISS X-Force
• Analisi dei messaggi su più livelli
• Antivirus basato su signature ed euristica
• Controllo URL nel testo per phishing e spyware
• White/Black list globali e per utente
• Intrusion Prevention System integrato
• Analisi testo negli allegati (anche compressi)
• Possibilità di bloccare determinati tipi di allegati
• ...funziona a livello SMTP, quindi applicabile a qualsiasi server
di posta, non solo Domino...
• NEW R2.8! Antivirus (ICAP) anche per Quickr e Connections
21. Lotus Protector for Mail Security
• IP Reputation: drop delle connessioni
di IP noti come malevoli a livello
SMTP
• Analisi del contenuto:
riconoscimento dello spam
dall’analisi avanzata del testo
• ZLA: utilizza un sottoinsieme di filtri
ottimizzato analizzando i bits
sequenzialmente. Termina la
connessione se rileva spam.
La posta che passa è comunque
sottoposta agli altri filtri
22. Lotus Protector for Mail Security
• Log di tutto il traffico con possibilità di ricerca con vari filtri
• Accesso alla quarantena a livello utente e amministratore
• Report schedulato della quarantena agli utenti
• Integrazione con Notes (a partire dalla rel 8.5.1)
24. Report di quarantena
Mittente ed oggetto
di ciascun messaggio
Recupero dalla
quarantena e gestione
black/white list
• Il report è tradotto nelle principali lingue e sia il testo che
il layout sono personalizzabili
• Viene inviato anche in format text only per essere
compatibile con qualsiasi client di posta
25. Schema di funzionamento
• Il record MX del dominio punta ad uno o più server
Protector
• I server Protector ricevono la posta, la filtrano e la
inviano (relay) ai server di posta interni
26. Schema di funzionamento
• Analogamente è possibile filtrare anche la posta in uscita,
impostando i server Protector come outgoing SMTP relay
• Per questa configurazione si rimanda alla
documentazione di Protector
29. Policy
• Creazione di policy semplice e basata principalmente sui
quattro fattori CHI – COSA – QUANDO – AZIONE
• Tutte le policy sono processate in sequenza, è quindi possibile
definire priorità e fermare l’analisi una volta che una regola è
scattata (risparmio elaborazione)
• Esempio pratico: antivirus prima
regola, whitelist seconda. Se il
mittente è in whitelist non processo
le altre regole risparmiando risorse
• Ogni regola è collegata ad oggetti,
modificando il singolo oggetto
agisco su tutte le regole che lo
utilizzano
30. Un caso pratico
• ITATIS fornisce ai clienti Lotus Protector con una formula
“in cloud” sia tramite server dedicati che tramite server
condivisi tra più clienti
• Di seguito alcuni grafici presi da uno di questi server...
• Totale 1 mese:
– 592,576 messaggi
– 35 Gb di traffico
31. Un caso pratico
• Su 592.576 messaggi 167.552 erano indesiderati
• Circa il 28,27% - percentuale molto più bassa della media
mondiale grazie anche al filtro dei destinatari attuato a
livello SMTP (se il destinatario non esiste la mail viene
rifiutata ancor prima di riceverne il testo)
• I recuperi dalla quarantena sono stati 117, pari allo 0,07%
dei messaggi filtrati e allo 0,02% del totale dei messaggi
ricevuti, un’ottima media di falsi positivi!
32. Un caso pratico
• Nonostante il cospicuo traffico di posta l’uso di memoria
e CPU rimane comunque molto basso:
34. Download
• Protector è racchiuso in un unico file ISO che può essere
installato sia su VMWare che su un HW certificato
• Per praticità la presentazione si basa sull’installazione su
VMWare. L’installazione su HW differisce solo per la
configurazione di un eventuale RAID dei dischi. Una volta
installata è identica alla versione VMWare
• Codice passport: CI3FWML
• La licenza è per utente ed è disponibile una versione
dimostrativa che dura 90 giorni
35. Requisiti HW
Requisiti minimi per
appliance virtuale:
VMware Server 1.0.2
VMware Workstation 5.5
VMware Player 1.0.3
VMware ESX 3.x
1Gb RAM
50Gb disco
Throughtput: 70K
emails/hour
36. Java
• Un grosso difetto di Protector è dato dalle applet java
dell’interfaccia web di amministrazione...
• In particolare è ufficialmente supportato solo JAVA JRE
1.6 inferiore ad update 24
• Con versioni successive ci sono parecchi problemi di
instabilità e spesso è necessario chiudere e riaprire il
browser per continuare la configurazione
• Importante: disattivare la cache dai settaggi Java nel
pannello di controllo!
37. Porte TCP
• Per un corretto funzionamento occorre che dall’esterno
Protector sia raggiungibile da queste porte:
– SMTP (25) per il traffico di posta in entrata
– HTTPS (443) per l’interfaccia web di gestione
– 4443 per l’accesso alla quarantena da parte degli utenti
• Se Protector è in DMZ andrà consentito questo traffico
verso la rete interna:
– LDAP (389) per l’accesso alla rubrica di Domino via LDAP
– SMTP (25) per l’inoltro della posta ai server interni
• Altre porte andranno abilitate per traffico cluster, SNMP,
ecc. (si rimanda alla documentazione)
38. Installazione
• Per questa “demo” è stata creata una macchina virtuale
su WMWare con queste caratteristiche:
– 2Gb RAM
– 100 Gb di disco (va dimensionato in base al volume di
dati da tenere in quarantena)
– 2 schede di rete (la prima host only, la seconda
bridged)
– O.S. SUSE Linux Enterprise 10 32bit
• Una volta creata, si monta la ISO e la sia avvia
39. Installazione
• A questo punto parte il processo di installazione che impiega
qualche minuto a trasferire i dati dalla ISO alla VM
• Il processo
di installazione
riavvierà la VM
due volte prima
di concludersi
40. Installazione
• Una volta completata l’installazione appare la schermata di
login
• Password di
root: admin
• E’ anche
attivo
l’accesso
tramite SSH
41. Accesso all’interfaccia web
• Individuare l’IP indicato in alto a destra, il primo è
preimpostato, il secondo in DHCP. Se non è presente un
server DHCP è necessario accedere alla shell e modificare
manualmente l’indirizzo tramite YaST (l’appliance Protector è
basata su SuSE 10)
• Aprire nel browser l’IP dell’appliance col protocollo HTTPS
• In alternativa con VMWare Workstation: impostare scheda di
rete host only del PC su 192.168.123.1 ed aprire
https://192.168.123.123
• Utente: admin – Password: admin
• Molte delle impostazioni di Protector vengono definite con
una comoda procedura guidata, che ora analizzeremo...
43. Configurazione iniziale
• Si procede con l’installazione accettando la licenza d’uso e
selezionando se usare la trial o inserire la chiave d’attivazione
44. Configurazione iniziale
• Si imposta l’host name e si toglie la spunta dal DHCP nella
primary network, in modo da poter inserire gli indirizzi
desiderati
45. Configurazione iniziale
• Occorre poi indicare i domini che andranno gestiti ed i
relativi mail server su cui indirizzare la posta…
• …e se usare il DNS o dei forwarder per la posta in uscita
46. Configurazione iniziale
• RSS feed dell’event log ed impostazione delle notifiche
• Consiglio di attivare solo gli errori di Sistema, altrimenti le
notifiche risultano
invadenti
• Come giustamente
viene suggerito...
usare 127.0.0.1
come server di
posta non è una
buona idea!
47. Configurazione iniziale
• Dulcis in fundo si imposta il fuso orario ed il server NTP
(per la coerenza dei logs è importante che l’orario sia corretto)
• ...e si conclude col classico tasto “FINISH”
48. Configurazione iniziale
• Appena raggiunta la pagina iniziale di Protector ci troveremo
subito due warning per alcuni aggiornamenti critici
• Per il momento possiamo ignorarli dato che verranno risolti
aggiornando il firmware dell’appliance con la procedura di
aggiornamento che vedremo in seguito...
49. L’interfaccia web
La schermata
inziale è divisa
in due frame:
Nella parte
sinistra
troviamo il
menu con le
varie voci di
configurazioni
A destra
invece una
serie di tab
statistici ed
informativi
Statistiche su
quantità di spam e
minacce
Stato dei vari nodi
del cluster
Volumi di traffico e
code di elaborazione
Risorse di sistema
(CPU, memoria,
disco)
Versione firmware,
uptime, ecc.
Versioni delle firme
dei vari moduli
50. L’interfaccia web
Le varie voci del menu laterale sono divise in 6
macro categorie:
– Mail Security: policy, reportistica, browse delle mail
processate, verifica LDAP ed impostazioni cluster
– SMTP: tutto ciò che riguarda le comunicazioni a livello
SMTP ed eventuali certificati TLS
– System: impostazioni di sistema, logs, impostazioni
scheda di rete, SNMP, orologio e sotto system tools
riavvio o spegnimento dell’appliance
– Backup & Restore: consente di effettuare backup dei
logs e delle impostazioni
– Updates: schedulazione degli aggiornamenti e
gestione chiave di attivazione
– Support: estrazione dei file diagnostici, condizioni
d’uso e contatti di supporto
51. Le Policy
Vediamo più nel dettaglio le varie voci dei menu...
Impostazioni
Abilitazione di:
Message Tracking (log dei messaggi con vari
livelli di verbosità
Reporting (compresa schedulazione di report
da inviare via e-mail agli admin)
SNMP Traps
Parametri avanzati (es.
threads SMTP,
verbosità dei logs, ecc.)
Flusso delle regole Attivazione/disattivazione
dell’accesso web agli
utenti e scelta porta
HTTPS da utilizzare
Definizione blacklist
DNS e peso di
ciascuna Attivazione/disattivazione
dell’analisi allegati
(consuma un po’ di CPU
ma è consigliabile
attivarla!)
52. Settings - Rules
Sono processate in sequenza dall’alto verso il basso
• Seguono un flusso:
– Condizioni preliminari
– Mittente
– Destinatario
– Quando
– Modulo d’analisi
– Risposta
– Azione
• Tutte le componenti del
flusso sono definite dai
“Policy Objects”
• E’ possibile quindi
differenziare le regole
anche per gruppi di
utenti, orari, ecc.
• Quando una policy interviene si può scegliere se continuare con le
successive regole o bloccarlo/autorizzarlo (risparmio elaborazione)
53. Settings - Rules
Un esempio, la regola predefinita per lo spam:
• Si applica a tutti i domini (My Domains)
• Esegue una serie di moduli d’analisi (Spam Bayesian, Spam
URL, Pharmacy Keywords, ecc)
• Esegue come azione ‘Tag as Spam’ che aggiunge [SPAM]
all’oggetto del messaggio
• Al termine della regola, prosegue con le seguenti (Continue)
54. Settings – End User Interface .
Impostazione d’accesso
predefinita
URL dell’interfaccia web
Se l’hostname esterno
corrisponde a quello
interno e se non è stata
modificata la porta TCP si
può lasciare
l’impostazione
predefinita
Impostazioni specifiche per le varie Directory:
è possibile ad esempio autorizzare l’accesso a
tutti ma negarlo ad una categoria di utenti,
oppure al contrario negarlo a tutti tranne che ad
alcuni.
Salvo esigenze specifiche la configurazione che si
adotta abitualmente è di lasciarlo aperto a tutti
(Default Access Mode: Granted)
55. • DNSBL può essere applicato sia ad una policy che a livello SMTP
• Applicandolo come policy ci permette di definire azioni quali tag
nell’oggetto o quarantena
• Applicandolo sull’SMTP ci permette di risparmiare parecchio
traffico dati (ma eventuali falsi positivi non sono recuperabili)
Settings – DNSBL/Spam flow .
Sets the number of seconds the analysis
module keeps and maintains a certain signature
Qui si possono indicare le varie
blacklist da utilizzare, con il peso da
associare a ciascuna
Specifies the necessary amount of occurrences for a certain
signature in the flow of analyzed
email messages before any subsequent occurrence of the
signature is considered a match.
Questo valore rappresenta il punteggio minimo da
raggiungere per far scattare la regola DNSBL
56. • In questo caso non ci sono opzioni, il controllo degli
allegati può essere solo attivo o non attivo
• Si tratta di un
controllo sul
contenuto dei file
• Se si attiva le regole
agiranno
considerando sia il
testo della mail che
il testo dell’allegato
• Nelle regole si
possono creare
anche regexp
Settings – File Attachment .
57. Message Tracking / Reporting .
Attivazione / Disattivazione del tracking dei
messaggi e definizione del numero di giorni
da tenere e verbosità
Numero di giorni di logs da tenere per la
generazione di reportistica
Configurazione SNMP e salvataggio report nel
system log
Qui è possibile definire dei report schedulati
che verranno inviati per posta elettronica
58. I Policy Objects
• Definiscono i criteri su cui agiscono le regole
• Anche in questo caso analizziamo le varie voci
dei menu...
Definisce i
contenitori delle mail
bloccate.
Mittenti/Destinatari
dei messaggi (può
essere una directory
o un file di testo)
Fasce
orarie
Risposte (es. tag,
cancellazione
messaggio, rimozione
allegato, disclaimer)
Schedulazioni (es. ogni
ora, ogni giorno, ecc.)
Template per le mail
automatiche inviate agli
utenti col contenuto della
quarantena
Precondizioni
(attualmente solo una:
binary detected)
Moduli d’analisi (es.
spam, phishing, porn url,
newsleter)
Connessioni LDAP
per l’autenticazione
utenti
Server per eventuale
archiviazione dei logs
59. Message Stores
Invio del report schedulato, scelta del
template ed orario di invio
ATTENZIONE! se si seleziona
‘quarantine’ come tipo, abilitare
sempre i report. Altrimenti non
funziona la pulizia dopo x giorni
Due tipi:
Quarantine Store: archivia i messaggi ed invia il report
(esempio d’uso lo spam)
Message Store: archivia solo i messaggi (es. bck virus rimossi)
Numero di giorni da
conservare
60. Who
Definiscono mittenti/destinatari
Lista di tutti gli oggetti
presenti. Possono
essere Directory
(LDAP), liste di emails,
gruppi, user o
raggruppamenti di
queste categorie
Ci possono essere
Directory (LDAP), liste
di emails, gruppi, user
o raggruppamenti di
queste categorie
61. Analysis Modules
Qui è possibile vedere
la lista di tutti i moduli
di analisi disponibili.
E’ anche possibile
aggiungerne di
personalizzati usando
regex
62. Responses
Varie azioni predefinite.
E’ possibile utilizzarle o
crearne di nuove
Per le azioni che
inviano messaggi negli
store è possibile
selezionare in quale
archivio memorizzarli...
...e si può decidere se archiviare il
messaggio originale o il messaggio
processato dalle regole (ad esempio
di rimozione dell’allegato)
63. Directories
Lista di tutte le directory
configurate. Sono già presenti i
parametri per LDAP di Domino
ed Active Directory
Modificando la directory è
possibile inserire i vari parametri
del nostro server LDAP
Per una configurazione base con
una sola directory utilizzare
‘Domino Directory Online’ ed
impostare host/ip ed utenza per
il binding
64. Email browser
• Permette di cercare (ed eventualmente rilasciare)
le mail in quarantena
• Se è stato attivato il tracking
permette di cercare tutti i
messaggi entrati/usciti
• Molto utile per effettuare
debug in caso di problemi di
ricezione posta
• Viene tracciato oggetto,
mittente, destinatario ed
orario – solo nelle mail in
quarantena si può vedere
anche il contenuto
65. Verify Who Objects
• Verifica il buon funzionamento delle connessioni
LDAP e delgli oggetti ‘Who’
• Inserendo uno specifico indirizzo e-mail, individua in quali
oggetti esso è contenuto
66. SMTP - Configuration
• Vediamo nel dettaglio la configurazione SMTP
Il root domain e gli
indirizzi e-mail di servizio
(postmaster, no-reply,
ecc)
Tutti i settaggi delle mail
in arrivo
Tutti i settaggi delle mail in uscita,
tra cui domino da presentare col
comando ‘helo’, tentativi da
effettuare per le mail non
recapitabili ed eventuali server DNS
custom per alcuni domini
Impostazioni legate al TLS: richiesta dei
certificati, ‘always try TLS’, accettazione
certificati self signed, ecc
expiration dei messaggi
non recapitati e dei logs
• Nelle prossime slide vedremo le varie voci di “Receiving SMTP”,
le altre voci hanno comunque parametri molto intuitivi
67. Settings
• La maggior parte dei settaggi è di facile interpretazione
Qui si indicano tutti i
domini gestiti da Protector
e per ciascuno i server
SMTP su cui girare la posta
Eventuali reti autorizzate
ad utilizzare Protector
come relay
68. Global IP ACL
• In quest’area è possibile definire IP autorizzati o negati alla
connessione al nostro server
è anche possibile personalizzare la
risposta del server SMTP
69. DNSBL
• Abilitando questa funzione blocchiamo le connessioni
riconosciute in black list DNS direttamente a livello SMTP
• In questo modo risparmiamo sia traffico dati che potenza di
calcolo (il messaggio viene rifiutato ancora prima di essere
ricevuto e processato dagli altri filtri)
• NB: eventuali falsi positivi non saranno recuperabili
è anche possibile bloccare
la connessione in modo
silente, senza dare notifica
al server mittente
i parametri DNSBL sono quelli
visti in precedenza. Cliccando
su ‘DNSBL Settings’ si viene
rimandati alle impostazioni
DNSBL nell’area Policy
70. • Rifiutiamo i messaggi verso destinatari inesistenti: risparmiamo
traffico dati, elaborazione ed evitiamo di fare il relay di
messaggi inutili al server Domino
Recipient Verification
anche in questo caso è possibile
personalizzare la risposta del server SMTP
In quest’area andranno aggiunte tutte le directory
che vogliamo utilizzare.
è anche poossibile bloccare una singola directory
(es utenti non autorizzati a ricevere posta)
71. • Aumenta le prestazioni di Protector
• Effettua il drop a livello SMTP appena si accorge che una mail è
spam, senza attendere la conclusione della sessione
ZLA
anche in questo caso è possibile
personalizzare la risposta del server SMTP
Tipo di risposta da adottare (block o tag)
72. • Tecnologia in grado di bloccare lo spam basandosi sulla
reputazione di un host
• Se Protector riceve molto spam da un idirizzo IP, superata una
certa soglia comincerà a bloccarlo a livello SMTP
DHR
è possibile definire il
comportamento da
adottare (reject, silent
drop, tag)
parametri che definiscono il
comportamento del filtro (finestra,
durata della quarantena, spam hits
per far scattare la quarantena, ecc)
73. Vediamo velocemente il menu System:
– Events: registro degli eventi e degli errori
– Log files: permette di esportare i logs (compresi i logs a livello SMTP)
– End User Manager: possiamo controllare le black/white list degli utenti
– Firewall: imposta in quali schede di rete sono in ascolto i servizi (max 4 NIC)
– IPS: attiva l’Intrusion Prevenction
– ICAP: protezione antivirus per IBM WebSphere ICAP
interface (Quickr e Connections)
– Networking/Routes: parametri di rete (IP, gateway,ecc)
– Admin Passwords: modifica password root e admin
– E-mail & SNMP: permette di definire quali tipi di alert
devono essere notificati via SNMP o e-mail
– Time: fuso orario e server NTP
– System tools: ping, traceroute, clear DNS cache
System
74. • Parametro notes.ini $PROTECTOR_LOCATION=url:port
(es. $PROTECTOR_LOCATION=demoprotector.itatis.net:4443)
• Al primo accesso dell’utente viene richiesta l’autenticazione
(internet password se si utilizza Domino come LDAP)
• Attualmente non supporta integrazione con iNotes e SSO
• Per evitare che ad ogni accesso chieda di accettare il
certificato SSL, installarlo nella root certification del PC (o
distribuirlo tramite Active Directory con le GPO)
Integrazione con Notes
75. Integrazione con Notes
Il parametro si può distribuire automaticamente via policy:
• Policy di tipo ‘Desktop Settings’: nei ‘Custom Settings’ inserire
il parametro del notes.ini
• A partire dalla R9 è possibile fare la stessa configurazione, in
modo più agevole, dalla scheda ‘Basics’ delle policy Desktop
76. • Molti bugs di integrazione tra Protector e Notes sono stati
risolti con 8.5.2FP1 ed 8.5.3 (oltre che con la R9), assicuratevi
quindi che i client siano aggiornati
• Se un client riceve errori di autenticazione, nonostante la
password sia giusta, provare a cancellare
‘PROTECTOR_ACCOUNT_NAME’ dagli Accounts della rubrica
locale
Integrazione con Notes
79. Accesso “helpdesk”
• Spesso si vuole avere un utente che ha accesso alla
quarantena ma non alla configurazione
• Aggiungendo l’utente “helpdesk” alla configurazione di
Apache su Protector, quest’ultimo avrà visibilità della
quarantena e potrà sbloccare le mail per conto degli utenti
• Funziona solo con l’utente “helpdesk”, qualsiasi altro
utente creato non ha accesso alla console di Protector
• Per attivarlo:
– Login come root via SSH
– Eseguire il commando
htpasswd2 /var/www/auth/htpasswd helpdesk
– Digitare la password desiderata
80. Rubrica offline
• La funzionalità di caching offline della rubrica di Protector
scade dopo 24 ore (… e comunque non funziona bene…)
• Per poter avere una copia offline della rubrica è necessario
utilizzare un task che estrapola dal server LDAP la lista degli
indirizzi e la salva su un file di testo.
• Si procede in questo modo:
– Accesso come root a Protector
– Si crea un cronjob con questo comando:
0 * * * * /usr/sbin/ldap_smtpextractor
/etc/mailsec/SETConfig/itatis directory_config.txt
(sostituendo “itatis directory” col nome definito
nell’oggetto Who che punta all’LDAP – nell’esempio il task
viene eseguito ogni ora, si può comunque modificare)
81. Rubrica offline
– Se il file contiene uno spazio creare un link
es: ln itatis directory_config.emails itatis.emails
– Verificare che nella cartella /etc/mailsec/SETConfig/ vengano
creato il file .emails
– Creare un nuovo oggetto “Who” contenente questa stringa:
$(FILE./etc/mailsec/SETConfig/itatis.emails)
82. Rubrica offline
– Impostare il nuovo oggetto nel recipient verification delle
impostazioni SMTP (ed eventualmente nelle regole, se ne avete
create basate sulle directory aniché sui domini)
– Da questo momento per le regole/verifica destinatari verrà
usato il file “asincrono”, mentre per l’autenticazione utenti l’LDAP
83. TLS e Certificati SSL
• L’installazione di certificati SSL firmati da terze parti non
funziona correttamente dalla console web
• Per poterli utilizzare correttamente seguire le indicazioni
presenti nelle technote:
swg21578783 ed swg21578722
• L’uso di TLS può essere una buona soluzione anche per
cifrare il transito delle mail tra Protector ed i server
Domino interni
• Per configurare TLS su Domino: technote swg21108352