SMTP - Achab

Come pubblicare
un server MDaemon su Internet
per ricevere in SMTP
Claudio Panerai - Direttore Tecnico di Achab S.r.l.
[email protected]
Agenda
•
•
•
•
•
•
•
Posta elettronica su una rete TCP/IP
Architettura di un server che riceve in SMTP
Operazioni con ISP
Operazioni con MDaemon
Operazioni con il router
Best practice
Domande e risposte
© Achab 2009
pagina 2
Posta elettronica su una rete TCP/IP
I protocolli utilizzati per inviare o per ricevere posta sono
i seguenti:
•
•
•
CLIENT
Simple Mail Transfer Protocol (SMTP)
Post Office Protocol 3 (POP3)
Internet Mail Access Protocol (IMAP)
MAIL SERVER
(es. Outlook)
POP 3 o IMAP
(mail.achab.it)
SMTP
SMTP
MAIL SERVER
CLIENT
(smtp.libero.it)
(es.
Thunderbird)
© Achab 2009
pagina 3
Simple Mail Trasfer Protocol (SMTP)
• L’SMTP permette di trasmettere messaggi tra due host,
definisce il formato dei messaggi ed il modo in cui si svolge la
trasmissione.
• L’SMTP utilizza il protocollo TCP per il trasporto.
• Un server SMTP rimane costantemente in ascolto sulla
porta 25 in attesa di connessioni a lui dirette. Al termine del
trasferimento dei messaggi di posta la connessione viene
chiusa.
© Achab 2009
pagina 4
Configurazione del DNS per l’SMTP
Affinché i messaggi di posta elettronica possano essere inoltrati alla
casella postale di destinazione, il server SMTP deve essere in grado di
risolvere la parte dominio dell’indirizzo di email in un indirizzo IP.
Il DNS dispone di speciali record MX (Mail eXchange) che indicano
il mail server di un dominio.
[email protected]
nome.cognome è la casella di posta (mailbox)
achab.it
è il dominio di posta
Nei file di configurazione DNS i record MX hanno questo aspetto:
achab.it
achab.it
IN
IN
MX
MX
10
20
mail.achab.it
mail2.achab.it
10, 20 indicano la priorità, numeri minori indicano priorità maggiore.
© Achab 2009
pagina 5
nomeazienda.it
IN
MX
10
<MDaemon mail server>
Internet
SMTP
SMTP
SMTP
Client
POP3
MDaemon
Dominio:
nomeazienda.it
account:
[email protected]
[email protected]
[email protected]
© Achab 2009
pagina 6
Premessa
• Indirizzo privato del server MDaemon: 10.10.10.10
• Indirizzi pubblico del router: 2.2.2.2
• Dominio di posta: nomeazienda.it
• Alias per puntamento MX: mail.nomeazienda.it
© Achab 2009
pagina 7
Operazioni con ISP
• A chi gestisce il dominio chiedere di
– Creare il record mail.nomeazienda.it che punti a IP pubblico
(2.2.2.2)
– Creare il record mx per nomeazienda.it che punti a
mail.nomeazienda.it
• A chi fornisce la connettività chiedere di
– Impostare il reverse DNS in modo che all’IP pubblico (2.2.2.2)
corrisponda mail.nomeazienda.it
© Achab 2009
pagina 8
Operazioni su MDaemon
• Nel dominio
– Dominio: nomeazienda.it
– FQDN: mail.nomeazienda.it
– IP (dovrebbe essere l’IP della macchina): 10.10.10.10
• Consegna
– Impostare il flag “Send all outbound email…directly..”
– In alternativa “Send all email…first, and then…”
© Achab 2009
pagina 9
Configurazioni router
• La porta 25 deve essere aperta in ingresso e deve essere girata
sull’IP privato di MDaemon (10.10.10.10)
• Accertarsi che sia aperta anche in uscita
• In ingresso devono esse anche aperte la
–
–
–
–
–
110 (POP)
143 (IMAP)
3000 (WorldClient)
1000 (Webadmin)
… altre a seconda dei servizi
© Achab 2009
pagina 10
Configurazione di MDaemon
• Se si riceveva in MultiPOP (o DomainPOP) occorre sostituire
l’indirizzo del mailserver POP (es: mail.azienda.it) con l’IP
pubblico del server del provider, per evitare confusioni fra la
macchina locale e la macchina del provider
• …attenzione ai file hosts
© Achab 2009
pagina 11
Best practice (I)
•
Verificare che tutti i domini gestiti dal server abbiano un account o un
alias del tipo: [email protected].
•
Verificare che tutti i domini gestiti dal server abbiano un account o un
alias del tipo: [email protected].
•
Verificare se il mail server recapita un'email inviata da
[email protected] a un destinatario remoto nell'ambito di
una sessione non autenticata.
•
Verificare che nel menu Accounts->Address aliases->Options (in
MDaemon 10 il menu Accounts->Account settings->Aliases->Options)
sia abilitata l'opzione "Mail From postmaster … ".
•
Evitare di creare gli account root e test a meno di aver abilitato
l'autenticazione per tutti gli account.
© Achab 2009
pagina 12
Best practice (II)
•
Verificare che nel menu Security->Relay/Trusts/....->Relay Settings
(in MDaemon 10 il menu Security->Security settings->Relay control)
siano abilitati i flag
– "Do not allow message relaying", "SMTP MAIL…"
– "SMTP RCPT TO …".
•
Verificare che siano abilitate le "strong password", controllando il menu
Setup->Miscellaneous options->Misc
(in MDaemon 10 il menu Accounts->Account settings->New Account
defaults)
e abilitando il flag "Require strong passwords".
•
Attivare il protocollo SPF nei propri DNS secondo quanto illustrato
nell’articolo http://www.achab.it/prod/kb/index.cfm/1/?idfaq=181
© Achab 2009
pagina 13
Grazie!
Claudio Panerai - Direttore Tecnico di Achab S.r.l.
[email protected]