Product SiteDocumentation Site

Capitolo 11. Servizi di rete: Postfix, Apache, NFS, Samba, Squid, LDAP, SIP, XMPP, TURN

11.1. Server di posta
11.1.1. Installare Postfix
11.1.2. Configurare i domini virtuali
11.1.3. Restrizioni per ricezione ed invio
11.1.4. Impostare il greylisting
11.1.5. Personalizzare i filtri in base al destinatario
11.1.6. Integrazione di un filtro antivirus
11.1.7. Combattere lo spam con SPF, DKIM e DMARC
11.1.8. SMTP autenticato
11.2. Server web (HTTP)
11.2.1. Installare Apache
11.2.2. Aggiungere il supporto per SSL
11.2.3. Configurare gli host virtuali
11.2.4. Direttive comuni
11.2.5. Analizzatori di log
11.3. Server di file FTP
11.4. Server di file NFS
11.4.1. Mettere in sicurezza NFS
11.4.2. Server NFS
11.4.3. Client NFS
11.5. Configurare condivisioni Windows con Samba
11.5.1. Server Samba
11.5.2. Client Samba
11.6. Proxy HTTP/FTP
11.6.1. Installazione
11.6.2. Configurare una cache
11.6.3. Configurare un filtro
11.7. Directory LDAP
11.7.1. Installazione
11.7.2. Riempire la directory
11.7.3. Gestire gli account con LDAP
11.8. Servizi di Comunicazione Real-Time
11.8.1. Impostazioni DNS per i servizi RTC
11.8.2. Server TURN
11.8.3. Proxy Server SIP
11.8.4. Server XMPP
11.8.5. Servizi in esecuzione sulla porta 443
11.8.6. Aggiungere WebRTC
I servizi di rete sono i programmi con cui gli utenti interagiscono direttamente durante le loro attività quotidiane. Essi sono la punta dell'iceberg del sistema informativo ed in questo capitolo ci concentreremo su di loro; le componenti invisibili a cui si affidano sono l'infrastruttura che abbiamo descritto precedentemente. Di solito richiedono la tecnologia di crittografia descritta in Sezione 10.2, «Certificati X.509».

11.1. Server di posta

Gli amministratori della Falcot Corporation hanno scelto Postfix come loro server di posta elettronica per via della sua affidabilità e per la semplicità di configurazione. Allo stesso modo il suo design assicura che ogni operazione sia eseguita in un processo con l'insieme minimo di permessi richiesti, cosa che garantisce una misura ottimale contro i problemi di sicurezza.

11.1.1. Installare Postfix

Il pacchetto postfix include il demone SMTP principale. Altri pacchetti (come postfix-ldap e postfix-pgsql) aggiungono funzionalità addizionali a Postfix, incluso l'accesso ai database di mappatura. Dovrebbero essere installati solo se si ritiene di averne bisogno.
Saranno posti diversi quesiti Defconf durante l'installazione del pacchetto. Le risposte consentono di generare una prima versione del file di configurazione /etc/postfix/main.cf.
La prima domanda riguarda la tipologia di configurazione. Solo due delle risposte proposte sono rilevanti nel caso in cui il server sia connesso ad Internet: "Sito internet" e "Sito internet con smarthost". La prima opzione è appropriata per un server che riceve la posta in arrivo ed invia le email in uscita direttamente ai rispettivi destinatari: pertanto si adatta bene al caso della Falcot Corporation. La seconda opzione è appropriata per un server che riceve le email in arrivo normalmente ma che invia le email in uscita attraverso un server SMTP intermedio, lo "smarthost", anziché consegnarle direttamente al server del destinatario. Questo è particolarmente utile per chi ha con un indirizzo IP dinamico poiché molti server di posta rifiutano i messaggi che arrivano direttamente da questo tipo di indirizzo. In questo caso lo smarthost sarà generalmente il server SMTP dell'ISP che a sua volta è configurato per accettare ed inoltrare in modo appropriato le email provenienti dai clienti. Questo tipo di configurazione (con smarthost) è rilevante anche per i server che non sono costantemente connessi ad internet poiché evita di dover gestire una coda di messaggi non consegnabili da dover riprovare a inviare in seguito.
La seconda domanda riguarda il nome completo della macchina, utilizzato per generare gli indirizzi email a partire dal nome utente locale. Il nome completo della macchina appare dopo la chiocciola ("@"). Nel caso della Falcot, la risposta dovrebbe essere mail.falcot.com. Questa è l'unica domanda posta in via predefinita tuttavia la configurazione a cui porta non è sufficientemente completa per le necessità della Falcot: per questo motivo gli amministratori eseguono dpkg-reconfigure postfix per poter personalizzare altri parametri.
Una delle domande addizionali chiede tutti i nomi di dominio relativi alla macchina. La lista predefinita include il suo nome completo oltre ad alcuni sinonimi per localhost, ma il dominio principale falcot.com dev'essere aggiunto manualmente. Più generalmente, bisognerebbe rispondere a questa domanda con tutti i nomi di dominio per i quali la macchina agirà come server MX; in altre parole‍, tutti i nomi a dominio per cui il DNS dice che questa macchina accetterà email. Questa informazione finisce nella variabile mydestination del file di configurazione principale di Postfix, /etc/postfix/main.cf.
Ruolo del record MX nel DNS durante l'invio di un'email

Figura 11.1. Ruolo del record MX nel DNS durante l'invio di un'email

In alcuni casi l'installazione può anche chiedere quali reti devono essere autorizzate ad inviare email attraverso la macchina. Nella sua configurazione predefinita Postfix accetta unicamente email provenienti dalla macchina che lo ospita; la rete locale viene generalmente aggiunta. Gli amministratori della Falcot Corporation hanno aggiunto 192.168.0.0/16 alla risposta predefinita. Se la domanda non è posta, la relativa variabile nel file di configurazione è mynetworks come si vede nell'esempio qui sotto.
Le email locali possono anche essere consegnate con procmail. Questo strumento consente agli utenti di elaborare le loro email in arrivo attraverso le regole presenti nel file ~/.procmailrc. Sia Postfix che Exim4 suggeriscono procmail per impostazione predefinita, ma ci sono alternative come maildrop od i filtri Sieve.
Dopo questa prima fase gli amministratori dispongono del file di configurazione seguente; sarà utilizzato come punto di partenza per aggiungere alcune funzionalità addizionali nelle prossime sezioni.

Esempio 11.1. File /etc/postfix/main.cf iniziale

# See /usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# See http://www.postfix.org/COMPATIBILITY_README.html -- default to 2 on
# fresh installs.
compatibility_level = 2



# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_security_level=may

smtp_tls_CApath=/etc/ssl/certs
smtp_tls_security_level=may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache


smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = mail.falcot.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
mydestination = mail.falcot.com, falcot.com, localhost.localdomain, localhost
relayhost = 
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.0.0/16
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
default_transport = smtp
relay_transport = smtp
inet_protocols = all
myorigin = /etc/mailname

11.1.2. Configurare i domini virtuali

Il server di posta può ricevere anche email indirizzate ad altri domini oltre a quello principale: questi domini sono indicati come domini "virtuali". In molti casi, dove ciò accade, le email non sono destinate ad utenti locali. Postfix fornisce due funzionalità interessanti per gestire i domini virtuali.

11.1.2.1. Domini virtuali alias

Un dominio virtuale alias contiene solo indirizzi alias, cioè indirizzi che si occupano di inoltrare le email ad altri indirizzi.
Questo tipo di dominio sarà abilitato aggiungendo il suo nome alla variabile virtual_alias_domains ed indicando un file di mappatura indirizzi nella variabile virtual_alias_maps.
virtual_alias_domains = falcotsbrand.com
virtual_alias_maps = hash:/etc/postfix/virtual
Il file /etc/postfix/virtual descrive le mappature con una sintassi piuttosto lineare: ogni riga contiene due campi separati da uno spazio; il primo campo è il nome dell'alias, il secondo campo è una lista di indirizzi email a cui reindirizza. La sintassi speciale @domain.com copre tutti i restanti alias di un dominio.
webmaster@falcotsbrand.com  jean@falcot.com
contact@falcotsbrand.com    laure@falcot.com, sophie@falcot.com
# L'alias qui sotto è generico e copre tutti gli indirizzi all'interno 
# del dominio flacotsbrand.com che non sono altrimenti coperti in questo file.
# Questi indirizzi inoltrano le email allo stesso utente nel
# dominio falcot.com.
@falcotsbrand.com           @falcot.com
Dopo aver cambiato /etc/postfix/virtual la tabella postfix /etc/postfix/virtual.db deve essere aggiornata eseguendo sudo postmap /etc/postfix/virtual.

11.1.2.2. Caselle di posta su domini virtuali

I messaggi indirizzati ad una casella su di un dominio virtuale sono conservati in caselle di posta non assegnate ad un utente locale del sistema.
Abilitare una casella di posta in un dominio virtuale richiede di inserire il dominio nella variabile virtual_mailbox_domains fornendo un file di mappatura caselle in virtual_mailbox_maps. Il parametro virtual_mailbox_base contiene la directory dove le caselle di posta saranno conservate.
virtual_mailbox_domains = falcot.org
virtual_mailbox_maps = hash:/etc/postfix/vmailbox
virtual_mailbox_base = /var/mail/vhosts
I parametri virtual_uid_maps e virtual_gid_maps forniscono le mappature tra un indirizzo email e l'utente di sistema (o gruppo rispettivamente) che "possiede" la casella di posta corrispondente. Per assegnare tutte le caselle di posta allo stesso proprietario/gruppo la sintassi è static:5000.
Ancora una volta, la sintassi del file /etc/postfix/vmailbox è piuttosto lineare: due campi separati da uno spazio. Il primo campo è un indirizzo email all'interno di uno dei domini virtuali e il secondo campo è la posizione della casella di posta associata (relativamente alla directory specificata in virtual_mailbox_base). Se il nome della casella di posta termina con una barra (/) le email saranno conservate nel formato maildir, diversamente sarà utilizzato il formato tradizionale mbox. Il formato di maildir utilizza l'intera directory per conservare una casella di posta: ogni messaggio sarà conservato in un file separato. Diversamente, nel formato mbox, l'intera casella di posta elettronica è conservata in un file ed ogni riga che comincia con "From " (From seguito da uno spazio) segnala l'inizio di un nuovo messaggio.
# La posta di Jean è conservata come maildir, con
# un file per email in una directory dedicata
jean@falcot.org falcot.org/jean/
# La posta di Sophie è conservata in un tradizionale file "mbox",
# dove tutte le email sono concatenate in un unico file
sophie@falcot.org falcot.org/sophie

11.1.3. Restrizioni per ricezione ed invio

Il crescente numero di email massive non richieste (spam) richiede di essere sempre più rigorosi quando si stabilisce quali email devono essere accettate da un server. Questa sezione presenta alcune tra le strategie incluse in Postfix.
Se le regole di rifiuto sono troppo rigide, può succedere che anche il traffico legittimo di email venga bloccato. È quindi una buona abitudine testare le restrizioni e prevenire il rifiuto permanente delle richieste durante questo periodo usando la direttiva soft_bounce = yes. Facendo precedere una direttiva di tipo reject da warn_if_reject verrà registrato solo un messaggio di log invece di rifiutare la richiesta.

11.1.3.1. Restrizioni d'accesso basate su IP

La direttiva smtpd_client_restrictions controlla quali macchine sono autorizzate a comunicare con il server di posta.
Quando una variabile contiene una lista di regole, come nell'esempio qui sotto, queste regole sono valutate in ordine, dalla prima all'ultima. Ogni regola può accettare il messaggio, rifiutarlo o lasciare la decisione alla regola seguente. Come conseguenza l'ordine è importante ed invertire due regole può causare un comportamento molto diverso.

Esempio 11.2. Restrizioni basate sull'indirizzo del client

smtpd_client_restrictions =
    permit_mynetworks,
    warn_if_reject reject_unknown_client_hostname,
    check_client_access hash:/etc/postfix/access_clientip,
    reject_rhsbl_reverse_client dbl.spamhaus.org,
    reject_rhsbl_reverse_client rhsbl.sorbs.net,
    reject_rbl_client zen.spamhaus.org,
    reject_rbl_client dnsbl.sorbs.net
La direttiva permit_mynetworks usata come prima regola, accetta tutte le email provenienti da una macchina nella rete locale (così come definita nella variabile di configurazione mynetworks).
La seconda direttiva rifiuta, normalmente, le email provenienti da macchine che non dispongono di una configurazione DNS valida. Una configurazione è valida quando l'indirizzo IP può essere risolto con un nome e quest'ultimo, a sua volta, può essere risolto nell'indirizzo IP. Questa restrizione è spesso troppo rigorosa, poiché molti server di posta elettronica non dispongono di un indirizzo DNS inverso per il loro IP. Questo spiega perché gli amministratori della Falcot hanno inserito il parametro warn_if_reject prima della direttiva reject_unknown_client: tale parametro trasforma il rifiuto in un semplice avviso registrato nei log. Gli amministratori possono, quindi, tenere d'occhio il numero di messaggi che sarebbero rifiutati se la regola fosse applicata e decidere successivamente riguardo l'opportunità di abilitare questa restrizione.
La direttiva check_client_access consente all'amministratore di preparare una blacklist ed una whitelist di server di posta, memorizzate nel file /etc/postfix/access_clientip. I server nella whitelist sono considerati attendibili, quindi le email provenienti da questi non passano attraverso le successive regole di filtraggio.
Le ultime quattro regole rifiutano ogni messaggio proveniente da un server elencato in una delle blacklist indicate. RBL è l'acronimo di Remote Black List, e RHSBL sta per Right-Hand Side Black List. La differenza è che la prima elenca gli indirizzi IP, mentre la seconda elenca i nomi di dominio. Ci sono diversi servizi di questo tipo. Essi elencano domini ed indirizzi IP con una cattiva reputazione, server mal configurati che gli spammer utilizzano per inoltrare le loro email, così come macchine infettate da worm o virus usate per inoltrare la posta elettronica.

11.1.3.2. Controllare la validità dei comandi EHLO o HELO

Ogni comunicazione SMTP inizia con un comando HELO (o EHLO), seguito dal nome del server di posta elettronica di invio. Controllare la validità di questo nome può essere interessante. Per far rispettare pienamente le restrizioni elencate in smtpd_helo_restrictions dev'essere abilitata l'opzione smtpd_helo_required. In caso contrario i client potrebbero saltare le restrizioni non inviando alcun comando HELO/EHLO.

Esempio 11.3. Restrizioni sul nome annunciato in EHLO

smtpd_helo_required = yes
smtpd_helo_restrictions =
    permit_mynetworks,
    reject_invalid_helo_hostname,
    reject_non_fqdn_helo_hostname,
    warn_if_reject reject_unknown_helo_hostname,
    check_helo_access hash:/etc/postfix/access_helo,
    reject_rhsbl_helo multi.surbl.org
La prima direttiva permit_mynetworks consente a tutte le macchine nella rete locale di presentarsi liberamente. Questo è importante poiché molti programmi di posta non rispettano in modo adeguato questa parte del protocollo SMTP e possono presentarsi con nomi senza senso.
La regola reject_invalid_helo_hostname rifiuta le email quando l'annuncio EHLO elenca un nome host sintatticamente scorretto. La regola reject_non_fqdn_helo_hostname rifiuta i messaggi quando il nome host presentato non è un nome di dominio completamente qualificato (ovvero include il nome di dominio e il nome host). La regola reject_unknown_helo_hostname rifiuta i messaggi se il nome presentato non esiste nel DNS. Poiché quest'ultima regola, sfortunatamente, porta a molti rifiuti gli amministratori hanno trasformato il suo effetto in un semplice avviso usando il modificatore warn_if_reject come primo passo; possono decidere di rimuovere questo modificatore in una fase successiva, dopo aver verificato gli effetti di questa regola.
The reject_rhsbl_helo allows one to specify a black list to check the hostname against an RHSBL.
Utilizzare permit_mynetworks come prima regola ha un interessante effetto collaterale: le regole seguenti si applicano unicamente agli host fuori dalla rete locale. Questo consente di inserire in blacklist tutti gli host che si presentano come parte della rete di falcot.com, per esempio aggiungendo la riga falcot.com REJECT Non sei nella nostra rete! al file /etc/postfix/access_helo.

11.1.3.3. Accettare o rifiutare i messaggi di posta elettronica in base al mittente annunciato

Ogni messaggio ha un mittente annunciato dal comando MAIL FROM del protocollo SMTP. Ancora una volta questa informazione può essere verificata in diversi modi.

Esempio 11.4. Controlli sul mittente

smtpd_sender_restrictions =
    check_sender_access hash:/etc/postfix/access_sender,
    reject_unknown_sender_domain,
    reject_unlisted_sender,
    reject_non_fqdn_sender,
    reject_rhsbl_sender rhsbl.sorbs.net
La tabella /etc/postfix/access_sender mappa alcuni trattamenti speciali riservati ad alcuni mittenti. Generalmente questo significa elencare alcuni mittenti in una whitelist oppure in una blacklist.
La regola reject_unknown_sender_domain richiede un dominio valido per il mittente poiché è necessario per un indirizzo valido. La regola reject_unlisted_sender rifiuta i mittenti locali se l'indirizzo non esiste: questo impedisce alle email di essere inviate da un indirizzo non valido nel dominio falcot.com ed i messaggi originati da joe.bloggs@falcot.com sono accettati esclusivamente se questo indirizzo esiste realmente.
Per concludere, la regola reject_non_fqdn_sender rifiuta le email che si presume provengano da un indirizzo senza un nome di dominio pienamente qualificato. In pratica questo significa rifiutare email provenienti da utente@macchina: l'indirizzo dev'essere annunciato come utente@macchina.example.com o utente@example.com.
La regola reject_rhsbl_sender rifiuta i mittenti basandosi su un servizio RHSBL (basato sul dominio).

11.1.3.4. Accettare o rifiutare i messaggi di posta elettronica in base al destinatario

Ogni email ha almeno un destinatario, annunciato con il comando RCPT TO del protocollo SMTP. Anche questi indirizzi concorrono alla validazione del messaggio, tuttavia sono meno rilevanti rispetto ai controlli effettuati sull'indirizzo del mittente.

Esempio 11.5. Controlli sul destinatario

smtpd_recipient_restrictions =
    permit_mynetworks,
    reject_unauth_destination,
    reject_unlisted_recipient,
    reject_non_fqdn_recipient,
    permit
reject_unauth_destination è la regola base che richiede ai messaggi provenienti dall'esterno di essere indirizzati ai noi: messaggi inviati ad indirizzi non gestiti da questo server saranno rifiutati. Senza questa regola un server diviene un open relay che permette agli spammer di inviare posta non richiesta; questa regola è quindi caldamente raccomandata, e dovrebbe essere posizionata preferibilmente vicino all'inizio della lista, per evitare che altre regole possano autorizzare l'inoltro del messaggio prima che la sua destinazione sia stata controllata.
La regola reject_unlisted_recipient rifiuta ragionevolmente i messaggi inviati a utenti locali che non esistono. Infine reject_non_fqdn_recipient rifiuta gli indirizzi non completamente qualificati: questo rende impossibile l'invio di email a jean o jean@macchina e richiede invece l'uso dell'indirizzo completo come jean@macchina.falcot.com o jean@falcot.com.
La direttiva permit non è strettamente necessaria. Tuttavia, può essere utile alla fine di una lista di restrizioni per rendere esplicita la politica predefinita.

11.1.3.5. Restrizioni associate con il comando DATA

Il comando DATA di SMTP è emesso prima dei contenuti del messaggio. Non fornisce alcuna informazione di per sé, a parte l'annunciare quello che viene immediatamente dopo. Tuttavia può a sua volta essere soggetto a controlli.

Esempio 11.6. Controlli su DATA

smtpd_data_restrictions = reject_unauth_pipelining
La direttiva reject_unauth_pipelining fa sì che il messaggio sia rifiutato se il mittente invia un comando prima che sia inviata una risposta al comando inviato in precedenza. Questo protegge da una ottimizzazione comunemente utilizzata dagli spammer automatizzati poiché a loro non importa un fico secco delle risposte e si concentrano unicamente nell'invio del maggior numero di email nel minor tempo possibile.

11.1.3.6. Applicare restrizioni

Nonostante i comandi precedenti verificano informazioni nelle varie fasi dello scambio SMTP, Postfix, di default, invia l'effettivo rifiuto a seguito del comando RCPT TO.
Questo significa che anche se il messaggio viene rifiutato a causa di un comando EHLO non valido, Postfix conosce il mittente ed il destinatario quando annuncia il rifiuto e pertanto potrà poi inserire nel log un messaggio più esplicito di quanto avesse potuto fare nel caso la transazione si fosse interrotta all'inizio. Inoltre un certo numero di client SMTP non si attende problemi durante i primi comandi SMTP e questi client saranno meno disturbati da questo rifiuto posticipato.
Il vantaggio finale di questa scelta è di permettere alle regole di accumulare informazioni durante i vari passaggi dello scambio di SMTP; questo consente di definire permessi più dettagliati, come rifiutare una connessione non locale se si annuncia con un mittente locale.
Il comportamento predefinito è controllato dalla regola smtpd_delay_reject.

11.1.3.7. Filtrare in base al contenuto del messaggio

La validazione ed il sistema di restrizioni non sarebbero completi senza un modo per applicare controlli al contenuto dei messaggi. Postfix distingue tra i controlli applicati all'intestazione e quelli applicati al corpo del messaggio.

Esempio 11.7. Abilitare filtri basati sul contenuto

header_checks = regexp:/etc/postfix/header_checks
body_checks = regexp:/etc/postfix/body_checks
Entrambi i file contengono una lista di espressioni regolari (spesso chiamate regexp o regex) e relative azioni da intraprendere quando l'intestazione (o il corpo) delle email corrisponde con l'espressione.

Esempio 11.8. File d'esempio /etc/postfix/header_checks

/^X-Mailer: GOTO Sarbacane/ REJECT Io combatto lo spam (GOTO Sarbacane)
/^Subject: *La tua email contiene dei VIRUS/ DISCARD notifica di virus
La prima controlla l'intestazione che fa riferimento al software email; se viene individuato GOTO Sarbacane (un software per l'invio massivo di email) il messaggio viene rifiutato. La seconda espressione controlla l'oggetto del messaggio: se indica la notifica di un virus possiamo decidere di non respingere il messaggio ma di limitarci a scartarlo immediatamente.
Utilizzare questi filtri è un'arma a doppio taglio poiché è facile produrre regole troppo generiche e perdere di conseguenza email legittime. In questi casi i messaggi vanno perduti ed inoltre i rispettivi mittenti ricevono messaggi d'errore non desiderati (e fastidiosi).

11.1.4. Impostare il greylisting

Il "greylisting" è una tecnica di filtraggio per la quale un messaggio viene inizialmente rifiutato con un codice d'errore temporaneo e viene accettato solo dopo un successivo tentativo di consegna con un certo ritardo. Questo filtraggio è particolarmente efficiente contro lo spam inviato dalle tante macchine infette da virus e worm poiché questi software si comportano raramente come veri e propri agenti SMTP (i quali controllano i codici d'errore e ritentano l'invio dei messaggi successivamente), soprattutto perché molti degli indirizzi raccolti sono davvero invalidi e riprovare significherebbe soltanto perdere tempo.
Postfix non fornisce il greylisting nativamente ma esiste una funzionalità che permette di delegare la decisione riguardo il rifiuto o l'accettazione di un messaggio ad un programma esterno. Il pacchetto postgrey contiene proprio un programma di questo tipo, progettato per interfacciarsi con questo servizio per la delega delle politiche di accesso.
Una volta installato, postgrey si attiva come demone e si pone in ascolto sulla porta 10023. Postfix può quindi essere configurato per utilizzarlo, aggiungendo il parametro check_policy_service come restrizione aggiuntiva:
smtpd_recipient_restrictions =
    permit_mynetworks,
    [...]
    check_policy_service inet:127.0.0.1:10023
Ogni volta che Postfix raggiunge questa regola nell'insieme delle regole, si connette al demone postgrey e gli invia informazioni a proposito del messaggio in questione. Postgrey prende quindi in considerazione i tre parametri: indirizzo IP, mittente e destinatario; e controlla il suo database per verificare se sono già apparsi recentemente. Se è così Postgrey risponde che il messaggio deve essere accettato, altrimenti risponde indicando che il messaggio dev'essere temporaneamente respinto ed i tre parametri vengono inseriti nel database.
Il principale svantaggio del greylisting è dato dal ritardo causato ai messaggi legittimi, cosa che non è sempre accettabile. Inoltre incrementa il carico sui server che inviano molte email legittime.

11.1.5. Personalizzare i filtri in base al destinatario

La Sezione 11.1.3, «Restrizioni per ricezione ed invio» e la Sezione 11.1.4, «Impostare il greylisting» riportano molte delle possibili limitazioni. Tutte hanno un loro metodo per diminuire la quantità di spam ricevuto ma tutte hanno effetti collaterali. Quindi è sempre più comune personalizzare l'insieme di filtri in base al destinatario. Alla Falcot Corporation il greylisting è utile per la maggior parte degli utenti, ma ostacola l'attività di alcuni utenti che necessitano di una bassa latenza per le proprie email (come il servizio di supporto tecnico). Allo stesso modo il servizio di supporto commerciale incontra a volte delle difficoltà nella ricezione di email da alcuni provider asiatici che sono inseriti nelle blacklist: il servizio di supporto commerciale ha quindi richiesto un indirizzo email non filtrato per poter comunicare.
Postfix fornisce la personalizzazione sui filtri tramite il concetto di "restrizione di classe". Le classi sono dichiarate nel parametro smtpd_restriction_classes e sono definite come in smtpd_recipient_restrictions. La direttiva check_recipient_access definisce quindi una tabella che associa un destinatario ad un insieme appropriato di restrizioni.

Esempio 11.9. Definire classi di restrizione in main.cf

smtpd_restriction_classes = greylisting, aggressive, permissive

greylisting = check_policy_service inet:127.0.0.1:10023
aggressive =
        reject_rbl_client sbl-xbl.spamhaus.org,
        check_policy_service inet:127.0.0.1:10023
permissive = permit

smtpd_recipient_restrictions =
        permit_mynetworks,
        reject_unauth_destination,
        check_recipient_access hash:/etc/postfix/recipient_access

Esempio 11.10. Il file /etc/postfix/recipient_access

# Indirizzi non filtrati
postmaster@falcot.com  permissiva
support@falcot.com     permissiva
sales-asia@falcot.com  permissiva

# Filtraggio aggressivo per alcuni utenti privilegiati
joe@falcot.com         aggressiva

# Una regola speciale per il manager della mailing-list
sympa@falcot.com       reject_unverified_sender

# Greylisting predefinito
falcot.com             greylisting

11.1.6. Integrazione di un filtro antivirus

I molti virus che circolano come allegati di email rendono importante impostare una soluzione di antivirus al punto d'ingresso nella rete aziendale dal momento che, nonostante una costante campagna di sensibilizzazione, molti utenti continuano ad aprire i file allegati a messaggi palesemente loschi.
Gli amministratori di Falcot hanno scelto clamav dall'omonimo pacchetto.
Il compito di interfacciare l'antivirus ed il server di posta è affidato a clamav-milter. Un milter (abbreviazione dell'inglese mail filter) è un programma di filtraggio realizzato appositamente per interfacciarsi con i server di posta. Un milter utilizza un'interfaccia di programmazione standard (API) che fornisce prestazioni nettamente migliori rispetto ai filtri esterni ai server di posta. I milter sono stati introdotti inizialmente da Sendmail e Postfix ha presto seguito l'esempio.
Una volta che il pacchetto clamav-milter è installato, il milter deve essere riconfigurato per l'esecuzione su una porta TCP piuttosto che sul socket predefinito. Ciò può essere ottenuto con dpkg-reconfigure clamav-milter. Quando viene richiesta "L'interfaccia di comunicazione con Sendmail", verrà risposto “inet:10002@127.0.0.1”.
La configurazione standard di ClamAV è adeguata per molte situazioni, ma alcuni parametri importanti possono comunque essere personalizzati con dpkg-reconfigure clamav-base.
Come ultimo passo è necessario istruire Postfix affinché utilizzi i filtri appena configurati. Per farlo è sufficiente aggiungere la seguente direttiva a /etc/postfix/main.cf:
# Controllo virus con clamav-milter
smtpd_milters = inet:[127.0.0.1]:10002
Se l'antivirus causa problemi, questa riga può essere commentata, e dev'essere eseguito systemctl reload postfix perché la modifica sia applicata.
Tutti i messaggi gestiti da Postfix passano ora attraverso il filtro antivirus.

11.1.7. Combattere lo spam con SPF, DKIM e DMARC

L'elevato numero di email non richieste inviate ogni giorno ha portato alla creazione di diversi standard, che mirano a convalidare che l'host di invio di un'email è autorizzato e che l'email non è stata manomessa. I seguenti sistemi sono tutti basati su DNS e richiedono, per il dominio in questione, che gli amministratori abbiano il controllo sia sul server di posta che sul DNS.

11.1.7.1. Integrazione del Sender Policy Framework (SPF)

Il Sender Policy Framework (SPF) è utilizzato per convalidare se un certo server di posta è autorizzato ad inviare email per un determinato dominio. È per lo più configurato attraverso il DNS. La sintassi della voce (record) da inserire è spiegata in dettaglio su:
Quella che segue, è un esempio di voce DNS che specifica che tutti i Mail Exchange Resource Records (MX-RRs) del dominio sono autorizzati ad inviare email per il dominio corrente, e tutti gli altri sono proibiti. Non è necessario dare un nome alla voce DNS. Ma per usare la direttiva include deve averne uno.
Name: example.org
Type: TXT
TTL:  3600
Data: v=spf1 a mx -all
Diamo uno sguardo veloce alla voce falcot.org.
# host -t TXT falcot.org
falcot.org descriptive text "v=spf1 ip4:199.127.61.96 +a +mx +ip4:206.221.184.234 +ip4:209.222.96.251 ~all"
Esso afferma che l'IP del mittente deve corrispondere al record A per il dominio di invio, o deve essere elencato come uno dei Mail Exchange Resource Records per il dominio corrente, o deve essere uno dei tre indirizzi IP4 menzionati. Tutti gli altri host devono essere contrassegnati come non autorizzati ad inviare email per il dominio mittente. Quest'ultimo è chiamato "soft fail" e, di conseguenza, ha lo scopo di contrassegnare l'email, ma di accettarla comunque.
Il server di posta postfix può controllare il record SPF per le email in arrivo usando il pacchetto postfix-policyd-spf-python, un agente di policy scritto in Python. Il file /usr/share/doc/postfix-policyd-spf-python/README.Debian descrive i passi necessari per integrare l'agente in postfix, quindi non li ripeteremo qui.
La configurazione è definita nel file /etc/postfix-policyd-spf-python/policyd-spf.conf, che è completamente documentato in policyd-spf.conf(5) e /usr/share/doc/postfix-policyd-spf-python/policyd-spf.conf.commented.gz. I principali parametri di configurazione sono HELO_reject e Mail_From_reject, che configurano se le email devono essere rifiutate (Fail) o accettate inserendo nell'intestazione (False), se i controlli falliscono. Quest'ultimo è spesso utile, quando il messaggio viene ulteriormente elaborato da un filtro antispam.
Se il risultato dovrà essere usato da opendmarc (Sezione 11.1.7.3, «Integrazione per DMARC (Domain-based Message Authentication, Reporting and Conformance)»), allora Header_Type dev'essere impostato su AR.
Da notare che spamassassin contiene un plugin per controllare il record SPF.

11.1.7.2. Integrazione della firma e del controllo DKIM (DomainKeys)

Il Domain Keys Identified Mail (DKIM) è un sistema, standard, di autenticazione del mittente. L'agente di trasporto della posta, qui postfix, aggiunge nell'intestazione delle email in uscita una firma digitale associata al nome del dominio. La parte ricevente può convalidare il corpo del messaggio e i campi dell'intestazione controllando la firma con una chiave pubblica che viene recuperata dai record DNS del mittente.
Gli strumenti necessari sono forniti dai pacchetti opendkim e opendkim-tools.
Per prima cosa dev'essere creata la chiave privata usando il comando opendkim-genkey -s SELECTOR -d DOMAIN. SELECTOR dev'essere un nome univoco per la chiave. Può essere semplice come "mail" o la data di creazione, se hai intenzione di ruotare le chiavi.

Esempio 11.11. Creare una chiave privata per firmare le e-mail da falcot.com

# opendkim-genkey -s mail -d falcot.com -D /etc/dkimkeys
# chown opendkim.opendkim /etc/dkimkeys/mail.*
Questo creerà i file /etc/dkimkeys/mail.private e /etc/dkimkeys/mail.txt ed imposterà il corretto proprietario. Il primo file contiene la chiave privata, il secondo la chiave pubblica che dev'essere aggiunta al DNS:
Name: mail._domainkey
Type: TXT
TTL:  3600
Data: "v=DKIM1; h=sha256; k=rsa; s=email; p=[...]"
The opendkim package in Debian defaults to a keysize of 2048 bit. Unfortunately, some DNS servers can only handle text entries with a maximum length of 255 characters, which is exceeded by the chosen default keysize. In this case use the option -b 1024 to chose a smaller keysize. If opendkim-testkey succeeds, the entry has been successfully set up. The syntax of the entry is explained here:
Per configurare opendkim, SOCKET e RUNDIR deve essere scelto in /etc/default/opendkim. Notare che SOCKET deve essere accessibile da postfix nel suo ambiente chroot. Le configurazioni aggiuntive sono fatte in /etc/opendkim.conf. Quello che segue è un estratto della configurazione, che assicura che il Dominio "falcot.com" e tutti i sottodomini (SottoDomini) siano firmati dal Selector "mail" e dalla chiave privata (KeyFile) /etc/dkimkeys/mail.private. La Canonicalizzazione "rilassata" per entrambe, intestazioni e body, tollerano lievi modifiche (ad esempio da un software della mailing list). I filtri sono eseguiti sia in Modalità firma ("s") che in modalità verifica ("v"). Se una firma non viene validata (On-BadSignature), la mail dovrebbe essere messa in quarantena ("q").
[...]
Domain                  falcot.com
KeyFile                 /etc/dkimkeys/mail.private
Selector                mail

[...]
Canonicalization        relaxed/relaxed
Mode                    sv
On-BadSignature         q
SubDomains              yes

[...]
Socket                  inet:12345@localhost

[...]
UserID                  opendkim
È anche possibile usare più selettori/chiavi (KeyTable), domini (SigningTable) e specificare host interni o di fiducia (InternalHosts, ExternalIgnoreList), che possono inviare mail attraverso il server come uno dei domini firmatari senza credenziali.
Le seguenti direttive nel file /etc/postfix/main.cf consentono a postfix l'uso del filtro:
milter_default_action = accept
non_smtpd_milters = inet:localhost:12345
smtpd_milters = inet:localhost:12345
Per differenziare la firma e la verifica è invece, talvolta, più utile aggiungere le direttive ai servizi in /etc/postfix/master.cf.
Maggiori informazioni sono disponibili nella directory /usr/share/doc/opendkim/ e le pagine del manuale opendkim(8) e opendkim.conf(5).
Notare che spamassassin contiene un plugin per verificare i record di DKIM.

11.1.7.3. Integrazione per DMARC (Domain-based Message Authentication, Reporting and Conformance)

Lo standard Domain-based Message Authentication, Reporting and Conformance (DMARC) può essere usato per definire le entry TXT del DNS con il nome _dmarc e le azioni che devono essere intraprese quando le email che contengono il proprio dominio come host mittente falliscono la validazione tramite DKIM e SPF.
Vediamo le entry di due grandi provider:
# host -t TXT _dmarc.gmail.com
_dmarc.gmail.com descriptive text "v=DMARC1; p=none; sp=quarantine; rua=mailto:mailauth-reports@google.com"
# host -t TXT _dmarc.yahoo.com
_dmarc.yahoo.com descriptive text "v=DMARC1; p=reject; pct=100; rua=mailto:d@rua.agari.com; ruf=mailto:d@ruf.agari.com;"
Yahoo ha una politica rigorosa che rifiuta tutte le email che fingono di essere state spedite da account Yahoo ma sono mancanti o falliscono i controlli DKIM e SPF. Google Mail (Gmail) propaga una politica molto rilassata, nella quale tali messaggi provenienti dal dominio principale vengono ancora accettati (p=none). Per i sottodomini, dovrebbero essere contrassegnati come spam (sp=quarantine). Gli indirizzi indicati nella chiave rua possono essere utilizzati per inviare rapporti DMARC aggregati. La sintassi completa è spiegata qui:
Il mail server postfix può usare anche questa informazione. Il pacchetto opendmarc contiene il milter necessario. In modo simile a opendkim SOCKET e RUNDIR devono essere impostate in /etc/default/opendmarc (per i socket Unix bisogna assicurarsi che siano visibili all'interno del chroot di postfix). Il file di configurazione /etc/opendmarc.conf contiene molti commenti ed ulteriori dettagli sono disponibili in opendmarc.conf(5). Per impostazione predefinita, i messaggi di posta elettronica che non superano la convalida DMARC non vengono rifiutati ma contrassegnati, aggiungendo un apposito campo di intestazione. Per modificare questo comportamento, utilizzare RejectFailures true.
Il milter (filtro email) viene quindi aggiunto a smtpd_milters ed a non_smtpd_milters. Se si configurano i milter opendkim e opendmarc per restare in ascolto sulle porte 12345 e 54321, la voce in /etc/postfix/main.cf sarà qualcosa di simile a questo:
non_smtpd_milters = inet:localhost:12345,inet:localhost:54321
smtpd_milters = inet:localhost:12345,inet:localhost:54321
Il milter può anche essere applicato selettivamente a un servizio in /etc/postfix/master.cf.

11.1.8. SMTP autenticato

Per poter inviare email è necessario un server SMTP che sia raggiungibile; ed inoltre è necessario dire al server SMTP di inviare email attraverso di esso. Per gli utenti in movimento, questo potrebbe dire di dover cambiare regolarmente la configurazione dei propri client SMTP, dato che il server SMTP della Falcot rifiuta i messaggi provenienti da indirizzi IP apparentemente non correlati con l'azienda. Esistono due soluzioni a questo problema: l'utente in movimento può installare un server SMTP sul proprio computer oppure continuare ad utilizzare il server aziendale con qualche tipo di autenticazione che lo riconosca come dipendente. La prima soluzione non è raccomandata dato che il computer non sarà connesso permanentemente e non sarà quindi in grado di ritentare l'invio dei messaggi in caso di problemi: ci concentreremo quindi sulla seconda soluzione.
L'autenticazione SMTP con Postfix fa affidamento su SASL (Simple Authentication and Security Layer). Richiede l'installazione dei pacchetti libsasl2-modules e sasl2-bin e la registrazione di una password nel database SASL per ogni utente che necessita di autenticarsi sul server SMTP. Questo è realizzabile per mezzo del comando saslpasswd2 che accetta diversi parametri. L'opzione -u definisce il dominio di autenticazione e deve corrispondere al parametro smtpd_sasl_local_domain nella configurazione di Postfix. L'opzione -c consente di creare un utente e -f permette di specificare il file da usare se il database SASL necessita di essere conservato in una posizione diversa da quella predefinita (/etc/sasldb2).
# saslpasswd2 -u `postconf -h myhostname` -f /var/spool/postfix/etc/sasldb2 -c jean
[... type jean's password twice ...]
Notare che il database di SASL viene creato nella directory di Postfix. Per assicurare la coerenza modifichiamo /etc/sasldb2 in un collegamento simbolico che punta al database utilizzato da Postfix con il comando ln -sf /var/spool/postfix/etc/sasldb2 /etc/sasldb2.
A questo punto è necessario configurare Postfix affinché utilizzi SASL. Prima di tutto l'utente postfix dev'essere aggiunto al gruppo sasl così che possa accedere al database degli account SASL. Alcuni nuovi parametri sono inoltre necessari per abilitare SASL e il parametro smtpd_recipient_restrictions dev'essere configurato per consentire ai client autenticati da SASL di inviare email liberamente.

Esempio 11.12. Abilitare SASL nel file /etc/postfix/main.cf

# Enable SASL authentication
smtpd_sasl_auth_enable = yes
# Define the SASL authentication domain to use
smtpd_sasl_local_domain = $myhostname
[...]
# Adding permit_sasl_authenticated before reject_unauth_destination
# allows relaying mail sent by SASL-authenticated users
smtpd_recipient_restrictions =
    permit_sasl_authenticated,
    permit_mynetworks,
    reject_unauth_destination,
[...]
Di solito è una buona idea non inviare le password su una connessione non criptata. Postfix consente di utilizzare configurazioni diverse per ogni porta (servizio) su cui è in ascolto. Le predette porte, possono essere configurate con regole e direttive nel file /etc/postfix/master.cf. Per disattivare l'autenticazione sulla porta 25 (serviziosmtpd ) inserire la seguente direttiva:
smtp      inet  n       -       y       -       -       smtpd
    [..]
    -o smtpd_sasl_auth_enable=no
    [..]
Se per qualche motivo i client utilizzano un comando AUTH non aggiornato (alcuni client di posta molto vecchi lo fanno), l'interoperabilità con essi può essere abilitata utilizzando la direttiva broken_sasl_auth_clients.