Backscattering

Il backscatter è il termine utilizzato per indicare la diffusione di messaggi di mancato recapito di un messaggio di spam originato da altri, ma utilizzando l’indirizzo email della vittiamo come mittente.

Questo genere di messaggio viene generato perché l’indirizzo email a cui lo spammer, a tentato di inviare il messaggio non esiste, o comunque il server che gestisce quel dominio non è stato in grado di consegnare il messaggio che aveva accettato in precedenza (per approfondire reject vs bounce)

Il problema fondamentale è che il protocollo SMTP impone ad un server che ha ricevuto un messaggio e che per qualsiasi ragione non è stato in grado di consegnarlo, di generare una mail di errore, per avvertire il mittente. Quindi bloccare o limitare questi messaggi sarebbe una violazione del protocollo, vale a dire che la soluzione è molto peggiore del problema.

La chiave per arrivare ad una soluzione è nel passaggio “un server che ha ricevuto un messaggio” infatti il problema si supera evitando che il nostro server riceva (reject) messaggi che non è in grado di recapitare. Il messaggio si intende ricevuto, nel momento in cui viene permessa la trasmissione della parte DATA del messaggio, di conseguenza basterebbe verificare prima di permettere la trasmissione l’esistenza dell’indirizzo per ridurre notevolmente il rischio di backscatter.

Una domanda legittima è del perché devo preoccuparmi di non inviare messaggi che sono richiesti dal protocollo.
Le motivazioni sono:

  1. Perché è molto fastidioso per chi riceve il messaggio ritrovarsi la casella inondata di messaggi di ritorno per email che non sono mai stati inviati.
  2. Perché è altissimo il rischio di finire in RBL e vedersi rifiutata la maggior parte della posta inviata dal server.
  3. Perché il nostro server dovrebbe lavorare per smistare posta che non potrà consegnare e di conseguenza utilizzerà risorse e banda per messaggi inutili.

Zimbra permette di difendersi dal backscatter, il controllo dei recipient si attiva con i seguenti comandi

su zimbra
zmlocalconfig -e postfix_smtpd_reject_unlisted_recipient=yes
zmmtactl upgrade-configuration

Argonavis è in grado di fornire supporto tecnico e commerciale su Zimbra, se hai necessità di altre informazioni puoi mandare un messaggio.

Richiedi Informazioni

26 Giugno 2015

Sender Policy Framework

Sender Policy Framework (SPF), è una tecnica utilizzata per limitare gli abusi nell’invio di messaggi di posta elettronica. Al contrario di altre tecniche che servono a limitare lo spam ricevuto dal dominio, SPF evita che qualcuno possa inviare messaggi utilizzando il nostro dominio come mittente.

La tecnica, codificata nel RFC 4408, consiste nel dichiarare quali sono i server autorizzati a spedire posta per il nostro dominio, ne consegue che un messaggio inviato da qualsiasi altro server a nostro nome si configura come un abuso e di conseguenza il messaggio verrà rifiutato (per appronfondire puoi leggere reject vs bounce) dal destinatario.

Le informazioni sui server autorizzati vengono pubblicate su un record TXT della configurazione del dominio.

Il record viene composto in questa maniera:

"v=spf1 <qualificatore1><meccanismo1> <qualificatore#><meccanismo#>"

I meccanismi possibili sono:

all  ip4 | ip6 | a | mx | ptr | exists | include

ciascun meccanismo può essere preceduto da un qualificatore

"+" | "-" | "~" | "?"

Vediamo alcuni esempi:

E’ valida esclusivamente la posta inviata dalla rete identificata dal record A

"v=spf1 a/24 a:offsite.example.com/24 -all"

E’ valida esclusivamente la posta inviata dall’indirizzo identificato dal record MX

"v=spf1 mx/24 mx:offsite.domain.com/24 -all"

E’ valida esclusivamente la posta inviata dalla rete 192.168.0.1/16

"v=spf1 ip4:192.168.0.1/16 -all"

Argonavis è in grado di fornire supporto tecnico per configurare correttamente il vostro server di posta, se hai necessità di altre informazioni puoi mandare un messaggio.

Richiedi Informazioni

25 Giugno 2015

Reject vs Bounce

Capita che alcuni messaggi ricevuti dal nostro server di posta, non possano essere effettivamente consegnati, ad esempio il destinatario del messaggio non esiste nel nostro dominio.

In questo caso il protocollo SMTP prevede due possibilità: il reject (rifiuto) o il rimbalzo (bounce).

La differenza fra queste due tecniche è abbastanza fine, ma sostanziale.

Nel caso di reject del messaggio il server di posta verifica le intestazioni che gli sono state fornite, e se riscontra degli errori, non accetta il comando DATA, per cui la trasmissione del messaggio viene interrotta prima che il messaggio venga ricevuto.

Nel caso di bounce, invece, il server di posta accetta il messaggio completamente, per analizzarlo successivamente, in questo caso se il server considererà di non poterlo consegnare, deve generare un messaggio da recapitare al mittente per informarlo delle ragioni per cui non è stato possibile consegnare la mail.

Le differenze fra queste due strategie si possono sintetizzare in questa maniera:

  • Reject è meno rapido nella ricezione del messaggio, in sistemi poco performanti rischia di mandare in timeout la sessione SMTP, ma riduce il traffico generato ed evita il rischio di backscattering
  • Bounce è più rapido nella chiusura della sessione SMTP, ma accetta ogni volta l’intero messaggio, anche se non verrà mai consegnato ed è alto il rischio di essere considerato server di backscattering.

Esiste una ulteriore possibilità, detta Silently dropping, tipicamente utilizzata nelle quarantene, il messaggio viene completamente accettato, non viene consegnato (a seguito del verdetto di un insieme di regole) ma non viene generato il messaggio di mancato delivery. L’utente è ancora in grado di sbloccare manualmente la consegna del messaggio.

Argonavis è in grado di fornire supporto tecnico per ottimizzare la tua configurazione, se hai necessità di altre informazioni puoi mandare un messaggio.

Richiedi Informazioni

24 Giugno 2015

Kaspersky Ottimizzazione delle prestazioni

I prodotti KasperskyLAB sono risultati nei test comparativi eseguiti dalle aziende di certificazione più conosciuti nel settore, fra i più rapidi e meno invasivi sulle risorse.

Per ottenere il massimo del risultato è necessario conoscere il significato di due opzioni nel Proprietà Avanzate della policy.

Si tratta dei parametri:

Concede resources to other applications: esegue i processi dell’antivirus con priorità inferiore rispetto agli processi, lasciando libere le risorse quando una applicazione ne deve far uso.

Perform Idle Scan: esegue le operazioni più pesanti, come una scansione, quando il sistema non è utilizzato.

Ottimizzazione Kaspersky

Altri parametri che possono influenzare le prestazioni sono presenti all’interno della policy. La configurazione di default è tipicamente molto valida, ma in alcuni casi specifici è necessario ottimizzarla in base al contesto.

Non è sufficiente acquistare il prodotto migliore per avere il massimo della protezione, è necessario anche configurarlo correttamente.

Affida subito la protezione della tua azienda all’esperienza e competenza di KasperskyLAB ed Argonavis, una volta acquistata la licenza*, andrà ad attivarsi immediatamente e gratuitamente per i mesi attualmente forniti dal precedente software di sicurezza.

*promozione valida per clienti che sostituiscono il loro attuale prodotto (non Kaspersky) in scadenza con Kaspersky Endpoint Security for Business e/o Kaspersky Security for Virtualization entro il 30 giugno 2015

SCOPRI LA PROMOZIONE

22 Giugno 2015

Limitare un attacco brute force

Abbiamo già visto come deve essere una password per potersi considerare sicura, tuttavia anche se in tempi decisamente lunghi qualcuno potrebbe effettuare un attacco brute force, ovvero si tentano tutte le possibili combinazioni alfanumeriche, in realtà spesso si tentano termini da dizionario per ridurre le combinazioni da tentare (da qui il termine attacco dizionario).

Zimbra permette di stabilire nella policy dopo quanti tentativi falliti per quell’utente impostare un blocco e la durata, ovvero dopo quante ore sarà nuovamente possibile collegarsi.

Durante questo periodo anche se venisse inserita una password corretta all’utente verrebbe mostrato il messaggio di errore in fase di autenticazione come se avesse inserito una password sbagliata.

Zimbra password

Il comando

/opt/zimbra/bin/zmprov -l gaaa -v | grep "# name \|zimbraAccountStatus:

permette di mostrare quali utenti sono bloccati.

I tecnici Argonavis potranno fornirti informazioni tecniche e commerciali su Zimbra di cui potresti avere bisogno

Richiedi Informazioni

17 Giugno 2015

Blog & News

Categorie