• DM

    easy mail solution

    Un MailServer semplice da configurare e gestire nel tempo, con un'interfaccia intuitiva e documentata!

    Info Contattaci
  • DM

    secure mail solution

    Un MailServer sicuro e affidabile! In grado di bloccare gli attacchi e rilevare e risolvere autonomamente anomalie di funzionamento.

    Info Contattaci
  • DM

    integrated mail solution

    Un MailServer completo di tutto! Antivirus, Antispam, sistema di backup...

    Info Contattaci

FAQ - Best Practices

 

 

4.1. Porte, Servizi e configurazioni su apparati di routing non DM

4.1.1 Quali sono le porte in ingresso che utilizzano i MailServer DM?

4.1.2 Quali sono le porte in uscita che utilizzano i MailServer DM?

4.1.3 Perchè è utile assegnare un ip pubblico statico dedicato esclusivamente al MailServer?

4.1.4 In caso di proxy content filtering attivo sulla rete, quali siti devono essere abilitati dal mailserver verso internet sulla porta 80?

 

4.2. DNS e Domini

4.2.1 Best Practices DNS

4.2.2 Reverse DNS

4.2.3 SPF

4.2.4 Record DMARC

4.2.5 Altre linee guida utili

4.2.6 Strumenti di diagnostica

 

4.3. Prima Configurazione (caselle, alias, etc.)

4.3.1 Primo accesso al MailServer DM

4.3.2 Prima configurazione e Easy Wizard

4.3.3 Migrazione caselle

4.3.4 Operazioni Pre e Post SincroIMAP

4.3.5 Tipologie di SincroIMAP

 

4.4. Backup & Restore

4.4.1 Tipologie di Backup

 

 

 

 

4.1. Porte, Servizi e configurazioni su apparati di routing non DM

 

4.1.1 Quali sono le porte in ingresso che utilizzano i MailServer DM?

Dall'esterno VERSO il MailServer DM

4455/TCP - (opzionale e modificabile) Per l’accesso del pannello di controllo DMClient in configurazione

122/TCP - (opzionale) Per l’accesso del terminale esclusivamente per motivi diagnostici o in caso di richiesta di assistenza tecnica da parte del personale DM addetto

80/TCP e 443/TCP - (opzionale) Rispettivamente HTTP e HTTPS per l’accesso alla webmail e a calendari e rubriche condivise (é possibile forzare l’utilizzo esclusivo di HTTPS sulla webmail per aumentarne la sicurezza, in tal caso sulla porta 80 HTTP il mailserver gestisce solo un redirect alla porta 443 HTTPS)

25/TCP - Per l’utilizzo del protocollo SMTP addetto alla ricezione della posta elettronica trasferita da altri mailserver o da client di posta MUA

587/TCP - (opzionale) Per la consegna crittografata di posta elettronica da parte dei client MUA

110/TCP - (opzionale) Qualora si utilizzi il protocollo POP3

995/TCP - (opzionale) Qualora si utilizzi il protocollo POP3 su SSL

143/TCP - (opzionale) Qualora si utilizzi il protocollo IMAP

993/TCP - (opzionale) Qualora si utilizzi il protocollo IMAP su SSL

NB: Per verificare che le porte siano aperte e correttamente girate sul MailServer é possibile utilizzare l’utility “Telnet” con la sintassi telnet IP PORTA. 
Tutte le porte tranne la 122 e la 4455 risponderanno con un messaggio. Il banner SMTP dei MailServer DM é “DM ESMTP”.

 

4.1.2 Quali sono le porte in uscita che utilizzano i MailServer DM?

Dal MailServer DM VERSO internet

ICMP ECHO REQUEST e ECHO REPLY (ping) - Per la verifica e la diagnostica della connessione di rete mediante "ping"

80/TCP e 443/TCP - Rispettivamente HTTP e HTTPS, entrambe fondamentali per lo scaricamento degli aggiornamenti (antispam, sistema, dm, antivirus, etc..)

25/TCP - Per l’utilizzo del protocollo SMTP addetto alla consegna della posta elettronica verso altri server

110/TCP e 143/TCP - (opzionale) Rispettivamente per il prelievo di posta da una casella esterna via POP3 o IMAP (NB: non è normalmente necessario e l'eventuale chiusura in "uscita" non preclude l'utilizzo dei protocolli IMAP e POP3 in ingresso da parte dei client di posta)

53/UDP - Per consentire l'interrogazione di server DNS per il corretto smistamento della posta elettronica in uscita, del DM-Autoblock e per favorire l'interrogazione delle RBL AntiSpam

873/TCP - (opzionale) Sanesecurity Database Extra per ClamAV (se abilitato utilizza questa porta per scaricare gli aggiornamenti)

123/TCP - NTP, sincronizzazione orario.

62378/TCP - Per consentire le funzioni del DM-Catalogo Globale.

 

4.1.3 Perchè è utile assegnare un ip pubblico statico dedicato esclusivamente al MailServer?

Molti virus e malware compromettono i client con lo scopo di inviare email di spam verso l'esterno. Qualora questo accada, con ogni probabilità l'indirizzo ip pubblico da dove il client compromesso invia spam verrà messo in blacklist. Se questo coincide con quello del MailServer, ci saranno evidenti problemi nel recapito di tutta la posta. Al contrario, se il mailserver si presenta su internet con un suo ip diverso (anche adiacente a quello del resto della rete LAN), il problema non sussiste.

Ci sono situazioni dove, tuttavia, questo non può tecnicamente accadere (connettività con un solo IP, non disponibilità di ulteriori IP, etc..). In tal caso si consiglia di utilizzare le policy sul router o sul firewall per impedire che altri apparati al di fuori del mailserver possano utilizzare la porta SMTP (25/TCP).

IP

 

 

4.1.4 In caso di proxy content filtering attivo sulla rete, quali siti devono essere abilitati dal mailserver verso internet sulla porta 80?

repo.dmpro.it

update1.dmpro.it

update2.dmpro.it

update3.dmpro.it

update4.dmpro.it

database.clamav.net (clamav antivirus)

postfix.charite.de (clamav db extra sanesecurity mirror)

secure.kozstyle.com (clamav db extra sanesecurity mirror)

saturn.retrosnub.co.uk (clamav db extra sanesecurity mirror)

luxuo-host.unix-scripts.info (clamav db extra sanesecurity mirror)

www.dabaum.net (clamav db extra sanesecurity mirror)

sanesecurity.spamrl.com (clamav db extra sanesecurity mirror)

ws3-170.freeformit.com (clamav db extra sanesecurity mirror)

clamav.bofhland.org (clamav db extra EB)

www.whoisdominio.it (verifica scadenza dominio)

 

 

 

 

4.2. DNS e Domini

 

4.2.1 Best Practices DNS

Gli errori piú comuni possono inficiare la corretta consegna delle email verso altri MailServer, pertanto é buona prassi seguire questa guida affinché nessun passaggio venga tralasciato.

BEST Practices per la corretta configurazione di un MailServer DM:

1) Assicurarsi che il MailServer DM sia raggiungibile dall’esterno su un indirizzo IP pubblico Statico. Per un elenco delle porte necessarie al corretto funzionamento del mailserver, si rimanda alla voce "Porte da aprire per il corretto funzionamento del mailserver" all'interno di questa categoria.

NB: In genere é opportuno che il mailserver si presenti all’esterno con un ip differente da quello del resto della rete. Basti pensare ad uno scenario in cui un client affetto da virus
propaga autonomamente spam. Cosí facendo porterá il suo IP pubblico verso l’inserimento in una blacklist. Se il mailserver si presenta su internet con un ip differente, l’utente potrebbe non accorgersi nemmeno del problema e ció non comporta alcun disservizio. Qualora, invece, mailserver e rete dei client condividono il medesimo IP pubblico, problemi di
“reputazione” inerenti ai client potrebbero inficiare anche il server mail. Quindi, quando la connettivitá prevede piú indirizzi ip statici pubblici, é opportuno che il mailserver ed i
client NON condividano lo stesso indirizzo. 


2) Registrare/trasferire il dominio ed assicurarsi che i record DNS siano correttamente configurati. 

Tramite i MailServer DM é possibile registrare o trasferire i domini direttamente dal pannello di controllo e direttamente tramite DM (in convenzione con Tiscali S.p.A.), senza sottoscrivere alcun ulteriore contratto con registar esterni. Il canone di mantenimento del dominio é incluso nella maintenance annuale, in ogni momento é comunque possibile leggere il transfert auth code per spostare il dominio altrove. Per verificare che il dominio sia correttamente configurato dal registar si puó utilizzare il tool microsoft (R) Mslookup con la sintassi 
nslookup -type=MX DOMINIO IPSERVERDNS 

E’ bene ricordare che ogni dominio deve avere almeno due entry DNS: la prima di tipo “A” con l’hostname e l’ip pubblico statico del server (esempio: mail.dmpro.it ! A ! 1.2.3.4), la seconda di tipo “MX” che punti alla query “A” (esempio: MX ! prioritá 10 ! mail.dmpro.it).

Esempio di configurazione di dominio dal pannello di controllo Aruba:

Se tutto è stato eseguito correttamente, entro le 24 ore un server DNS esterno dovrebbe risponderci indicandoci la corretta correlazione tra Dominio, MX e IP pubblico dove si trova il MailServer.

Esempio di utilizzo:
Interrogazione MX verso i google DNS

Nella prima interrogazione chiediamo ad un server DNS pubblico (in questo caso il server DNS di Google) se per il dominio .it c’é un record MX associato. Il Server DNS risponde affermativamente, indicandoci la correlazione con il record “A” mail.dominio.it.
Nella seconda interrogazione ci assicuriamo che mail.dominio.it sia correttamente mappato con l’indirizzo IP statico ove risiede il MailServer DM.

Note: sia che questa operazione sia stata fatta dal pannello di controllo registrando o trasferendo un “dominio DM” o un “dominio autogestito”, i tempi di aggiornamento delle informazioni in genere richiedono dalle 2 alle 48 ore. E’ quindi del tutto inutile fare le modifiche sui record DNS e subito dopo verificare che siano state propagate.

 

 

4.2.2 Reverse DNS

Il Reverse DNS va richiesto all'operatore di connettività ove il MailServer risiede. La sua non abilitazione comporta inevitabilmente il rifiuto di un numero elevato di email da parte dei MailServer destinatari, restituendo un errore di risposta di tipo "rDNS non presente o non trovato".

Per richiedere il Reverse DNS è opportuno comunicare al proprio ISP su quale indirizzo IP risiede il mailserver.

Esempio di email:

"Con la presente si richiede la creazione di un rDNS sull’indirizzo IP pubblico 1.1.1.2 per il mailserver mail.dmpro.it relativo al dominio dmpro.it"

 

Elenco delle caselle di posta comunemente utilizzate per questa comunicazione:

Wind: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Fastweb: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Welcome Italia: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Tiscali: Chiamare il Callcenter

Telecom: 800/018914, opzione 5

Vodafone: 800/227755

Attenzione: è del tutto indifferente il Registar del dominio, chi effettua il rDNS è l'ISP il cui ip pubblico è dedicato al mailserver.

 

 

4.2.3 SPF

Il record SPF indica ai mailserver di destinazione cosa fare qualora pervenga loro un'email. La configurazione più comune consiste nell'indicare "accetta email esclusivamente dall'MX del dominio".

All'interno del pannello di controllo DNS del proprio dominio (Aruba, Tiscali, Registar, etc.., ovvero dove è registrato il dominio) creare un record TXT senza alcun suffisso e contenente la seguente stringa:

v=spf1 mx -all

In questo modo indicheremo la versione di SPF (1), di accettare le email da tutti gli MX (mx) e rifiutare tutte le altre email (-all).

Per effettuare una verifica è possibile fare una semplice interrogazione su http://www.kitterman.com/spf/validate.html o su qualsiasi altro sito in grado di fare un check SPF.

 

 

4.2.4 Record DMARC

Il DM non gestisce, attualmente, le chiavi DKIM. E' pertanto opportuno configurare il record DMARC in maniera tale da essere permissivo, per non incorrere in problemi nel recapito della posta verso mailserver terzi.

Così come indicato nella FAQ 4.2.3 (SPF) è necessario creare un record TXT con suffisso _dmarc.DOMINIO.EXT (per il dominio dmpro.it, ad esempio, sarà _dmarc.dmpro.it). Il contenuto sarà:

v=DMARC1; p=none; rua=mailto:Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

ovviamente Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. corrisponderà ad un'email di servizio a cui recapitare eventuali problemi.

Questa configurazione indica di non rifiutare le email qualora queste non siano firmate DKIM.

 

 

4.2.5 Altre linee guida utili 

Come indicato nella best practices google, è opportuno registrare i propri domini su https://postmaster.google.com/managedomains seguendo le relative istruzioni di verifica. Ricordarsi di rimuovere il record di verifica al termine dell'operazione.

 

 

4.2.6 Strumenti di diagnostica

Punteggio email: Per stabilire la qualità dell'installazione, inviare da un'email del dominio (come fosse un'email normale, quindi non con testo vuoto o oggetto "test") un messaggio all'indirizzo che compare sul sito https://www.mail-tester.com/ .Un punteggio ottimale è 9/10 (mancando la firma DKIM 9/10 è il punteggio massimo raggiungibile).

Strumenti online posso aiutare a verificare se tutto è stato configurato correttamente:

https://mxtoolbox.com/diagnostic.aspx -> inserire il nome FQDN del mailserver

https://mxtoolbox.com/ -> inserire il dominio

https://mxtoolbox.com/blacklists.aspx -> effettuare una verifica sull'esistenza di blacklist iscritte a nome del mailserver

 

 

 

4.3. Prima Configurazione (caselle, alias, etc.)

 

4.3.1 Primo accesso al MailServer DM

Avviare il DMClient ricevuto con il prodotto oppure scaricarlo nella partner/client area dopo aver fatto la registrazione su questo sito.

Login con parametri di default
default IPAddress: (se non é stato cambiato in precedenza: 192.168.4.10 (/24) (assicurarsi di trovarsi su una classe compatibile 192.168.4.0 255.255.255.0)
default Username: admin
default Password: admin

NB: Se non émai stato fatto prima, inserire le informazioni di registrazione relative al prodotto. Tale procedura avvierà il periodo di garanzia in modalità Fast Hardware Replacement.

 

4.3.2 Prima configurazione e Easy Wizard

Il wizard (in basso a sinistra) porterá l’utente in 7 differenti schermate, in ordine e seguendo un percorso logico di configurazione.

 

Di seguito i passaggi più rilevanti:

- aggiungi i domini che il mailserver gestirá (se hai registrato un dominio “DM”, in attesa del rilascio puoi configurare un “dominio utilizzatore”, questo verrá automaticamente successivamente convertito); Assicurati che l’hostname coincida con il record MX pubblicato!! Se hai pubblicato “mail.dominio.it”, l’hostname settato in questa schermata deve essere lo stesso!

- imposta data/ora/email con cui il mailserver invia comunicazioni agli amministratori del sistema definisci gli utenti adibiti alla configurazione del mailserver, cambia la password di admin
e definisci l’invio anonimo di segnalazioni di malfunzionamenti alla casa madre

- aggiungi le caselle di posta elettronica

- aggiungi gli alias

- pianifica i backup su eventuali dischi USB, share di rete o della sola configurazione su una casella di posta esterna

 

4.3.3 Migrazione Caselle

La migrazione delle caselle può avvenire in 2 maniere.

La più comoda è quella di utilizzare la sincronizzazione imap (SincroIMAP) locata sotto il menu Sistema. Creando un'associazione tra la vecchia casella (sul vecchio server) e quella nuova (sul DM), è possibile mantenere perfettamente allineate le due caselle fino al momento in cui viene fatto il passaggio del record MX.

Indicativamente è necessario prevedere circa 15 minuti a Gb se i due server si trovano sullo stesso segmento di rete (altrimenti è necessario calcolare il tempo in base alla velocità della banda internet). L'operazione è lunga, ma non bloccante (le caselle vecchie lavorano normalmente mentre il server DM raccoglie tutte le email e le copia su di esso).

Per una migrazione di 100Gb è plausibile calcolare 2gg se i server sono entrambi sulla stessa rete (il protocollo IMAP inserisce un naturale overhead che non può essere sottovalutato).

Migrazione Caselle

La seconda modalità prevede il trasferimento effettuato direttamente dal MUA (Outlook, Thunderbird, etc..). Operazione comunque da effettuarsi solo se non si è in possesso delle credenziali di accesso o se il server IMAP non è compatibile con la funzionalità SincroIMAP del DM MailServer. 

 

 

4.3.4 Operazioni pre e post SincroIMAP 

Prima di effettuare la sincronizzazione di una casella, è bene normalizzare le cartelle imap sul server di origine. Nello specifico, è importante che le cartelle di origine non abbiano caratteri all'infuori di a-z, A-Z, - e _.

Segni di punteggiatura (il . è da evitare categoricamente), caratteri accentati  (àèìòù) e $ % & \ / [ ] { } ^ devono essere rimossi prima di effettuare la sincronizzazione.

E' opportuno, inoltre e per la sola fase di migrazione, mantenere massimo un livello di sottocartella (le cartelle non devono contenere sottocartelle, in alcuni casi e su server non RFC Compliant, questo può comportare errori di trasferimento).

La sincronizzazione è BIDIREZIONALE. Conviene, quindi e in un'ottica di migrazione completa da un altro MailServer, iniziare da caselle di test, per poi proseguire con caselle poco popolate. Procedere con una prima sincronizzazione manuale e gradualmente (dalle caselle meno voluminose a quelle più impegnative e critiche), è sempre una buona idea.

La verifica dell'avvenuta sincronizzazione può avvenire tramite Webmail DM.

Alcune modifiche apportate sulla casella di destinazione (sul MailServer DM) potrebbero essere perse alla sincronizzazione successiva, quindi è opportuno disabilitare il SincroIMAP e poi apporre modifiche alle cartelle lato DM.

Ricapitolando, quindi, una migrazione può avvalersi della funzione SincroIMAP, utilizzando la seguente cronologia:

  1. Creare le caselle sul MailServer DM
  2. Normalizzare (attentamente) le cartelle IMAP sul MailServer remoto
  3. Testare la sincronizzazione da caselle di test remote a caselle di test locali DM, verificando tramite webmail che i dati siano coerenti
  4. Abilitare il SincroIMAP con frequenza manuale, iniziando dalle caselle meno voluminose e meno critiche
  5. Verificare che i dati sul MailServer DM siano coerenti tramite Webmail DM
  6. Abilitare la sincronizzazione automatica ad intervalli regolari (così da avere le caselle sempre aggiornate)
  7. Cambiare il record MX (portando online il server DM)
  8. Disabilitare il SincroIMAP
  9. Verificare e rettificare (qualora necessario) le cartelle IMAP presenti sul MailServer DM, per ogni account e dal client di posta

 

 

4.3.5 Tipologie di SincroIMAP

IMAP Standard: Consente la sincronizzazione da un server perfettamente RFC compliant e quindi conforme allo standard IMAP;

GMail: Consente la sincronizzazione specifica per server gmail, con namespace speciale;

IMAP to IMAP + INBOX.: Nei casi in cui il mailserver di origine non sia perfettamente IMAP RCF Compliant, è possibile utilizzare una sincronizzazione da IMAP a IMAP. Tale procedura consente una normalizzazione ad opera del LDA di destinazione (DM Dovecot). Affinchè il namespace sia rispettato, questa sincronizzazione aggiunge INBOX. alle cartelle di origine. Particolarmente utile in caso di migrazione da server Exchange. Attenzione: quasi sicuramente sarà necessario rivedere, ad operazioni di migrazione terminate e a sincronizzazione spenta, le cartelle di destinazione (Posta inviata, ad esempio, potrebbe essere una semplice cartella IMAP e non quella "speciale" di Posta inviata .Sent).

 

 

4.4. Backup & Restore

 

4.4.1 Tipologie di Backup

Nei MailServer DM è molto semplice effettuare i backup. Tale operazione è stata volontariamente resa immediata grazie a semplici tool.

Allo stato attuale è possibile effettuare un backup con i dati su (completo o incrementale):

- Un disco USB

- Una share di rete (samba, active directory, cifs, nfs)

Ed un backup con la sola configurazione su

- Un disco USB

- Una share di rete (samba, active directory, cifs, nfs)

- Un indirizzo di posta elettronica (possibilmente esterno al mailserver per ovvie ragioni)

con cadenza giornaliera o settimanale.

 

Cerca

Privacy Policy e Cookies

Questo sito non traccia i suoi utenti e non raccoglie informazioni sensibili, tuttavia utilizza i cookies per funzionare correttamente. Per saperne di piu'

Approvo

Per maggiori informazioni leggi la nostra privacy policy.

FAQ

Video e Social

Utenti online

Abbiamo 121 visitatori e nessun utente online

Partner/Client Area

 


Dabbicco Telecomunicazioni S.r.l. Strada Pezze del Sole, 5 - 70126 Bari - PIVA 04952540724 - N.Verde: 800955501 - Tutti i diritti sono riservati. www.dabbicco.it - Claudio Dabbicco sp4mbot@dabbicco.it