Sei sulla pagina 1di 86

From Zero To Protected Hero...

Difendiamoci dallo spam con Lotus Protector for Mail Security Fabio Grasso

Presentiamoci... Fabio Grasso


Lavoro come sistemista per Itatis Srl (www.itatis.net) con particolare focus sulle soluzioni di collaboration IBM/Lotus Sono Certified System Administrator e Certified Instructor per la versione 8.5 di Notes/Domino e conosco lambiente Lotus dalla versione 6.5 con cui ho iniziato a lavorare nel 2004 Oltre al software di collaboration mi occupo di progettare e manutenere infrastrutture con server e storage IBM e sistemi operativi Microsoft e Linux

Introduzione
Durante questa presentazione analizzeremo le varie minacce che possono giungere tramite posta elettronica vedremo poi quali strumenti mette a nostra disposizione IBM Domino ci concentreremo su Lotus Protector for Mail Security, un interessante prodotto che consente di filtrare virus, spam e phishing con unintegrazione nellinterfaccia utente di Notes concluderemo poi con alcune funzionalit non documentate di Protector e sar a vostra disposizione per rispondere ad eventuali domande

Indice
1. 2. 3. 4. 5. 6. 7. Tipi di minacce e qualche dato statistico Impostazioni di Domino per contrastare lo spam Lotus Protector cos e cosa fa Installazione di Protector Configurazione di Protector Qualche trucco non documentato Q&A

1. Tipi di minacce e qualche dato statistico

Un breve ripasso
Spam/Junk Mail: messaggi indesiderati, tipicamente con fini commerciali, spesso contenenti immagini nascoste che consentono di confermare lavvenuta del messaggio Phishing: messaggi di truffa che tentano, tramite tecniche di ingegneria sociale, di indurre lutente a fornire informazioni personali (quali password, numeri di carte di credito, ecc.) Virus/Trojan/Malware: messaggi contenenti allegati (spesso cifrati per evitare di essere individuati) che installano sul computer dellutente software dannoso

Qualche dato
La posta indesiderata rappresenta circa il 70% del traffico

Primo semestre 2013 Fonte Kaspersky Lab


http://www.kaspersky.com/it/about/news/spam/201 3/Lo_spam_nel_secondo_trimestre_del_2013

Qualche dato
I messaggi di SPAM o Phishing normalmente sono molto piccoli (<1Kb), ma inviati in tale quantit da rappresentare cifre importanti anche dal punto di vista dello spazio occupato (e di conseguenza della banda Internet occupata)

Primo semestre 2013 - Fonte Kaspersky Lab


http://www.kaspersky.com/it/about/news/spam/2013/Lo_spam_nel_secondo_trimestre_del_2013

Phishing
Il phishing che mira ai social network ha superato (pi del doppio!) quello relativo alle banche Spesso i social network sono usati anche per scopi aziendali, quindi di vitale importanza proteggerne le credenziali
Primo semestre 2013 - Fonte Kaspersky Lab
http://www.kaspersky.com/it/about/news/spam/2013/Lo_spam_nel_secondo _trimestre_del_2013

Metodi per combattere lo spam


Software locale: installazione direttamente sui pc degli utenti di software che filtrano I messaggi in entrata/uscita (tipicamente funzionalit inclusa nellantivirus) Blacklist DNS (DNSBL): si tratta di speciali server DNS che raccolgono liste dei mittenti di spam (ogni servizio ha proprie regole e criteri) Software sul server di posta: si tratta di particolari plugin che aggiungono sistemi di filtraggio delle mail al server di posta in uso (Domino, Exchange, ecc)

Metodi per combattere lo spam


Mail gateway (on premise/in cloud): si tratta sostanzialmente di server SMTP che ricevono la posta, la analizzano e la inviano, una volta depurate dai messaggi indesiderati, al server di posta reale. Tale server pu essere installato sia localmente che utilizzato come servizio in cloud. Lotus Protector for Mail Security un esempio di software che utilizza questa metodologia.

2. Impostare Domino per prevenire lo spam

Impostare una blacklist DNS


E possibile bloccare totalmente i messaggi o marcarli con uno speciale flag Bloccandoli si reduce il traffico SMTP, ma se c un falso positivo non potr essere recuperato

Lista DNSBL attive: www.dnsbl.info

Impostare una blacklist DNS


Se si sceglie lopzione Log and tag sar poi necessario creare una regola nei singoli database degli utenti Il flag infatti un campo nascosto chiamato $DNSBLSite

Controlli DNS
E possibile verificare che il server di origine del messaggio in arrivo sia registrato nei DNS pubblici Analogamente possiamo verificare che anche il dominio del mittente sia registrato In questo caso i messaggi vengono rifiutati senza possibilit di flag Seppur raramente si possono verificare falsi positivi

Controllo destinatari
Questa regola vale in generale e non solo per lo spam: onde evitare di riempire le mailbox con messaggi destinati a persone non presenti in rubrica, possibile bloccare a livello SMTP linvio a destinatari inesistenti

Infine tra le voci presenti in SMTP Inbound Controls troviamo varie opzioni per bloccare singoli host/destinatari, utilizzare blacklist/whitelist private e molto altro

IMPORTANTE!!
Sembra scontato, ma spesso mi capitato di trovare server che si comportano da open relay: salvo particolari esigenze i controlli anti-relay devono sempre essere attivi!! Per una maggiore sicurezza bloccare la connessione a tutti gli host e specificare manualmente quelli autorizzati

3. Lotus Protector cos e cosa fa

Domino & Protector


IBM Domino un ambiente intrinsecamente sicuro, tuttavia non immune a phishing ed allegati pericolosi aperti dallutente Oltre alle mail pericolose ci sono comunque messaggi indesiderati (es. pubblicit) che lutente non vuole ricevere Per ovviare a queste mancanze di Domino ci viene in soccorso Protector

Lotus Protector for Mail Security


Software di filtraggio spam, malware e content filtering Basato su tecnologia IBM ISS X-Force Analisi dei messaggi su pi livelli Antivirus basato su signature ed euristica Controllo URL nel testo per phishing e spyware White/Black list globali e per utente Intrusion Prevention System integrato Analisi testo negli allegati (anche compressi) Possibilit di bloccare determinati tipi di allegati ...funziona a livello SMTP, quindi applicabile a qualsiasi server di posta, non solo Domino... NEW R2.8! Antivirus (ICAP) anche per Quickr e Connections

Lotus Protector for Mail Security


IP Reputation: drop delle connessioni di IP noti come malevoli a livello SMTP Analisi del contenuto: riconoscimento dello spam dallanalisi avanzata del testo ZLA: utilizza un sottoinsieme di filtri ottimizzato analizzando i bits sequenzialmente. Termina la connessione se rileva spam. La posta che passa comunque sottoposta agli altri filtri

Lotus Protector for Mail Security


Log di tutto il traffico con possibilit di ricerca con vari filtri Accesso alla quarantena a livello utente e amministratore Report schedulato della quarantena agli utenti Integrazione con Notes (a partire dalla rel 8.5.1)

Integrazione con Notes

Scorciatoia per inserire il mittente in blacklist Accesso alla quarantena e white/black list

Report di quarantena

Mittente ed oggetto di ciascun messaggio

Recupero dalla quarantena e gestione black/white list

Il report tradotto nelle principali lingue e sia il testo che il layout sono personalizzabili Viene inviato anche in format text only per essere compatibile con qualsiasi client di posta

Schema di funzionamento
Il record MX del dominio punta ad uno o pi server Protector I server Protector ricevono la posta, la filtrano e la inviano (relay) ai server di posta interni

Schema di funzionamento
Analogamente possibile filtrare anche la posta in uscita, impostando i server Protector come outgoing SMTP relay Per questa configurazione si rimanda alla documentazione di Protector

Mail flow

Analisi multilivello

Policy
Creazione di policy semplice e basata principalmente sui quattro fattori CHI COSA QUANDO AZIONE Tutte le policy sono processate in sequenza, quindi possibile definire priorit e fermare lanalisi una volta che una regola scattata (risparmio elaborazione) Esempio pratico: antivirus prima regola, whitelist seconda. Se il mittente in whitelist non processo le altre regole risparmiando risorse Ogni regola collegata ad oggetti, modificando il singolo oggetto agisco su tutte le regole che lo utilizzano

Un caso pratico
ITATIS fornisce ai clienti Lotus Protector con una formula in cloud sia tramite server dedicati che tramite server condivisi tra pi clienti Di seguito alcuni grafici presi da uno di questi server... Totale 1 mese: 592,576 messaggi 35 Gb di traffico

Un caso pratico
Su 592.576 messaggi 167.552 erano indesiderati Circa il 28,27% - percentuale molto pi bassa della media mondiale grazie anche al filtro dei destinatari attuato a livello SMTP (se il destinatario non esiste la mail viene rifiutata ancor prima di riceverne il testo) I recuperi dalla quarantena sono stati 117, pari allo 0,07% dei messaggi filtrati e allo 0,02% del totale dei messaggi ricevuti, unottima media di falsi positivi!

Un caso pratico
Nonostante il cospicuo traffico di posta luso di memoria e CPU rimane comunque molto basso:

4. Installazione di Protector

Download
Protector racchiuso in un unico file ISO che pu essere installato sia su VMWare che su un HW certificato Per praticit la presentazione si basa sullinstallazione su VMWare. Linstallazione su HW differisce solo per la configurazione di un eventuale RAID dei dischi. Una volta installata identica alla versione VMWare

Codice passport: CI3FWML


La licenza per utente ed disponibile una versione dimostrativa che dura 90 giorni

Requisiti HW

Requisiti minimi per appliance virtuale: VMware Server 1.0.2 VMware Workstation 5.5 VMware Player 1.0.3 VMware ESX 3.x 1Gb RAM 50Gb disco Throughtput: 70K emails/hour

Java
Un grosso difetto di Protector dato dalle applet java dellinterfaccia web di amministrazione... In particolare ufficialmente supportato solo JAVA JRE 1.6 inferiore ad update 24 Con versioni successive ci sono parecchi problemi di instabilit e spesso necessario chiudere e riaprire il browser per continuare la configurazione Importante: disattivare la cache dai settaggi Java nel pannello di controllo!

Porte TCP
Per un corretto funzionamento occorre che dallesterno Protector sia raggiungibile da queste porte:
SMTP (25) per il traffico di posta in entrata HTTPS (443) per linterfaccia web di gestione 4443 per laccesso alla quarantena da parte degli utenti

Se Protector in DMZ andr consentito questo traffico verso la rete interna:


LDAP (389) per laccesso alla rubrica di Domino via LDAP SMTP (25) per linoltro della posta ai server interni

Altre porte andranno abilitate per traffico cluster, SNMP, ecc. (si rimanda alla documentazione)

Installazione
Per questa demo stata creata una macchina virtuale su WMWare con queste caratteristiche: 2Gb RAM 100 Gb di disco (va dimensionato in base al volume di dati da tenere in quarantena) 2 schede di rete (la prima host only, la seconda bridged) O.S. SUSE Linux Enterprise 10 32bit Una volta creata, si monta la ISO e la sia avvia

Installazione
A questo punto parte il processo di installazione che impiega qualche minuto a trasferire i dati dalla ISO alla VM Il processo di installazione riavvier la VM due volte prima di concludersi

Installazione
Una volta completata linstallazione appare la schermata di login Password di root: admin E anche attivo laccesso tramite SSH

Accesso allinterfaccia web


Individuare lIP indicato in alto a destra, il primo preimpostato, il secondo in DHCP. Se non presente un server DHCP necessario accedere alla shell e modificare manualmente lindirizzo tramite YaST (lappliance Protector
basata su SuSE 10)

Aprire nel browser lIP dellappliance col protocollo HTTPS In alternativa con VMWare Workstation: impostare scheda di rete host only del PC su 192.168.123.1 ed aprire https://192.168.123.123 Utente: admin Password: admin Molte delle impostazioni di Protector vengono definite con una comoda procedura guidata, che ora analizzeremo...

5. Configurazione di Protector

Configurazione iniziale
Si procede con linstallazione accettando la licenza duso e selezionando se usare la trial o inserire la chiave dattivazione

Configurazione iniziale
Si imposta lhost name e si toglie la spunta dal DHCP nella primary network, in modo da poter inserire gli indirizzi desiderati

Configurazione iniziale
Occorre poi indicare i domini che andranno gestiti ed i relativi mail server su cui indirizzare la posta e se usare il DNS o dei forwarder per la posta in uscita

Configurazione iniziale
RSS feed dellevent log ed impostazione delle notifiche Consiglio di attivare solo gli errori di Sistema, altrimenti le notifiche risultano invadenti Come giustamente viene suggerito... usare 127.0.0.1 come server di posta non una buona idea!

Configurazione iniziale
Dulcis in fundo si imposta il fuso orario ed il server NTP (per la coerenza dei logs importante che lorario sia corretto) ...e si conclude col classico tasto FINISH

Configurazione iniziale
Appena raggiunta la pagina iniziale di Protector ci troveremo subito due warning per alcuni aggiornamenti critici

Per il momento possiamo ignorarli dato che verranno risolti aggiornando il firmware dellappliance con la procedura di aggiornamento che vedremo in seguito...

Linterfaccia web
La schermata inziale divisa in due frame: Nella parte sinistra troviamo il menu con le varie voci di configurazioni A destra invece una serie di tab statistici ed informativi
Statistiche su quantit di spam e minacce Volumi di traffico e code di elaborazione Versioni delle firme dei vari moduli

Stato dei vari nodi del cluster

Risorse di sistema (CPU, memoria, disco)

Versione firmware, uptime, ecc.

Linterfaccia web
Le varie voci del menu laterale sono divise in 6 macro categorie:
Mail Security: policy, reportistica, browse delle mail processate, verifica LDAP ed impostazioni cluster SMTP: tutto ci che riguarda le comunicazioni a livello SMTP ed eventuali certificati TLS System: impostazioni di sistema, logs, impostazioni scheda di rete, SNMP, orologio e sotto system tools riavvio o spegnimento dellappliance Backup & Restore: consente di effettuare backup dei logs e delle impostazioni Updates: schedulazione degli aggiornamenti e gestione chiave di attivazione Support: estrazione dei file diagnostici, condizioni duso e contatti di supporto

Le Policy
Vediamo pi nel dettaglio le varie voci dei menu...
Abilitazione di: Message Tracking (log dei messaggi con vari livelli di verbosit Reporting (compresa schedulazione di report da inviare via e-mail agli admin) SNMP Traps Parametri avanzati (es. threads SMTP, verbosit dei logs, ecc.)

Impostazioni

Flusso delle regole

Attivazione/disattivazione dellaccesso web agli utenti e scelta porta HTTPS da utilizzare

Definizione blacklist DNS e peso di ciascuna

Attivazione/disattivazione dellanalisi allegati (consuma un po di CPU ma consigliabile attivarla!)

Settings - Rules
Sono processate in sequenza dallalto verso il basso
Tutte le componenti del flusso sono definite dai Policy Objects E possibile quindi differenziare le regole anche per gruppi di utenti, orari, ecc.

Seguono un flusso:
Condizioni preliminari Mittente Destinatario Quando Modulo danalisi Risposta Azione

Quando una policy interviene si pu scegliere se continuare con le successive regole o bloccarlo/autorizzarlo (risparmio elaborazione)

Settings - Rules
Un esempio, la regola predefinita per lo spam: Si applica a tutti i domini (My Domains) Esegue una serie di moduli danalisi (Spam Bayesian, Spam URL, Pharmacy Keywords, ecc) Esegue come azione Tag as Spam che aggiunge [SPAM] alloggetto del messaggio Al termine della regola, prosegue con le seguenti (Continue)

Settings End User Interface


Impostazione daccesso predefinita

URL dellinterfaccia web Se lhostname esterno corrisponde a quello interno e se non stata modificata la porta TCP si pu lasciare limpostazione predefinita

Impostazioni specifiche per le varie Directory: possibile ad esempio autorizzare laccesso a tutti ma negarlo ad una categoria di utenti, oppure al contrario negarlo a tutti tranne che ad alcuni. Salvo esigenze specifiche la configurazione che si adotta abitualmente di lasciarlo aperto a tutti (Default Access Mode: Granted)

Settings DNSBL/Spam flow


Sets the number of seconds the analysis module keeps and maintains a certain signature

Specifies the necessary amount of occurrences for a certain signature in the flow of analyzed email messages before any subsequent occurrence of the signature is considered a match.

Questo valore rappresenta il punteggio minimo da raggiungere per far scattare la regola DNSBL
Qui si possono indicare le varie blacklist da utilizzare, con il peso da associare a ciascuna

DNSBL pu essere applicato sia ad una policy che a livello SMTP Applicandolo come policy ci permette di definire azioni quali tag nelloggetto o quarantena Applicandolo sullSMTP ci permette di risparmiare parecchio traffico dati (ma eventuali falsi positivi non sono recuperabili)

Settings File Attachment


In questo caso non ci sono opzioni, il controllo degli allegati pu essere solo attivo o non attivo Si tratta di un controllo sul contenuto dei file Se si attiva le regole agiranno considerando sia il testo della mail che il testo dellallegato Nelle regole si possono creare anche regexp

Message Tracking / Reporting


Attivazione / Disattivazione del tracking dei messaggi e definizione del numero di giorni da tenere e verbosit

Numero di giorni di logs da tenere per la generazione di reportistica Configurazione SNMP e salvataggio report nel system log

Qui possibile definire dei report schedulati che verranno inviati per posta elettronica

I Policy Objects
Definiscono i criteri su cui agiscono le regole Anche in questo caso analizziamo le varie voci dei menu...
Definisce i contenitori delle mail bloccate. Fasce orarie Risposte (es. tag, cancellazione messaggio, rimozione allegato, disclaimer) Precondizioni (attualmente solo una: binary detected)

Schedulazioni (es. ogni ora, ogni giorno, ecc.)

Mittenti/Destinatari dei messaggi (pu essere una directory o un file di testo)

Moduli danalisi (es. spam, phishing, porn url, newsleter)

Template per le mail automatiche inviate agli utenti col contenuto della quarantena Connessioni LDAP per lautenticazione utenti Server per eventuale archiviazione dei logs

Message Stores

Due tipi: Quarantine Store: archivia i messaggi ed invia il report (esempio duso lo spam) Message Store: archivia solo i messaggi (es. bck virus rimossi) Numero di giorni da conservare Invio del report schedulato, scelta del template ed orario di invio ATTENZIONE! se si seleziona quarantine come tipo, abilitare sempre i report. Altrimenti non funziona la pulizia dopo x giorni

Who
Definiscono mittenti/destinatari

Ci possono essere Directory (LDAP), liste di emails, gruppi, user o raggruppamenti di queste categorie

Lista di tutti gli oggetti presenti. Possono essere Directory (LDAP), liste di emails, gruppi, user o raggruppamenti di queste categorie

Analysis Modules

Qui possibile vedere la lista di tutti i moduli di analisi disponibili. E anche possibile aggiungerne di personalizzati usando regex

Responses

Varie azioni predefinite. E possibile utilizzarle o crearne di nuove

Per le azioni che inviano messaggi negli store possibile selezionare in quale archivio memorizzarli... ...e si pu decidere se archiviare il messaggio originale o il messaggio processato dalle regole (ad esempio di rimozione dellallegato)

Directories
Lista di tutte le directory configurate. Sono gi presenti i parametri per LDAP di Domino ed Active Directory

Modificando la directory possibile inserire i vari parametri del nostro server LDAP

Per una configurazione base con una sola directory utilizzare Domino Directory Online ed impostare host/ip ed utenza per il binding

Email browser
Permette di cercare (ed eventualmente rilasciare) le mail in quarantena Se stato attivato il tracking permette di cercare tutti i messaggi entrati/usciti Molto utile per effettuare debug in caso di problemi di ricezione posta Viene tracciato oggetto, mittente, destinatario ed orario solo nelle mail in quarantena si pu vedere anche il contenuto

Verify Who Objects


Verifica il buon funzionamento delle connessioni LDAP Inserendo uno specifico indirizzo e-mail, individual in quali oggetti esso contenuto

SMTP - Configuration
Vediamo nel dettaglio la configurazione SMTP
Tutti i settaggi delle mail in arrivo Impostazioni legate al TLS: richiesta dei certificati, always try TLS, accettazione certificati self signed, ecc

Il root domain e gli indirizzi e-mail di servizio (postmaster, no-reply, ecc)

Tutti i settaggi delle mail in uscita, tra cui domino da presentare col comando helo, tentativi da effettuare per le mail non recapitabili ed eventuali server DNS custom per alcuni domini

expiration dei messaggi non recapitati e dei logs

Nelle prossime slide vedremo le varie voci di Receiving SMTP, le altre voci hanno comunque parametri molto intuitivi

Settings
La maggior parte dei settaggi di facile interpretazione

Qui si indicano tutti i domini gestiti da Protector e per ciascuno i server SMTP su cui girare la posta

Eventuali reti autorizzate ad utilizzare Protector come relay

Global IP ACL
In questarea possibile definire IP autorizzati o negate alla connessione al nostro server
anche possibile personalizzare la risposta del server SMTP

DNSBL
Abilitando questa funzione blocchiamo le connessioni riconosciute in black list DNS direttamente a livello SMTP In questo modo risparmiamo sia traffico dati che potenza di calcolo (il messaggio viene rifiutato ancora prima di essere ricevuto e processato dagli altri filtri)

anche possibile bloccare la connessione in modo silente, senza dare notifica al server mittente

i parametri DNSBL sono quelli visti in precedenza. Cliccando su DNSBL Settings si viene rimandati alle impostazioni DNSBL nellarea Policy

Recipient Verification
Rifiutiamo i messaggi verso destinatari inesistenti: risparmiamo traffico dati, elaborazione ed evitiamo di fare il relay di messaggi inutili al server Domino
anche in questo caso possibile personalizzare la risposta del server SMTP

In questarea andranno aggiunte tutte le directory che vogliamo utilizzare. anche poossibile bloccare una singola directory (es utenti non autorizzati a ricevere posta)

ZLA
Aumenta le prestazioni di Protector Effettua il drop a livello SMTP appena si accorge che una mail spam, senza attendere la conclusione della sessione

Tipo di risposta da adottare (block o tag) anche in questo caso possibile personalizzare la risposta del server SMTP

DHR
Tecnologia in grado di bloccare lo spam basandosi sulla reputazione di un host Se Protector riceve molto spam da un idirizzo IP, superata una certa soglia comincer a bloccarlo a livello SMTP
possibile definire il comportamento da adottare (reject, silent drop, tag)

parametri che definiscono il comportamento del filtro (finestra, durata della quarantena, spam hits per far scattare la quarantena, ecc)

System
Vediamo velocemente il menu System:
Events: registro degli eventi e degli errori Log files: permette di esportare i logs (compresi i logs a livello SMTP) End User Manager: possiamo controllare le black/white list degli utenti Firewall: imposta in quali schede di rete sono in ascolto i servizi (max 4 NIC) IPS: attiva lIntrusion Prevenction ICAP: protezione antivirus per IBM WebSphere ICAP interface (Quickr e Connections) Networking/Routes: parametri di rete (IP, gateway,ecc) Admin Passwords: modifica password root e admin E-mail & SNMP: permette di definire quali tipi di alert devono essere notificati via SNMP o e-mail Time: fuso orario e server NTP System tools: ping, traceroute, clear DNS cache

Integrazione con Notes


Parametro del notes.ini $PROTECTOR_LOCATION=url:port
(es. $PROTECTOR_LOCATION=demoprotector.itatis.net:4443)

Al primo accesso dellutente viene richiesta lautenticazione (internet password se si utilizza Domino come LDAP)

Attualmente non supporta integrazione con iNotes e SSO Per evitare che ad ogni accesso chieda di accettare il certificato SSL, installarlo nella root certification del PC (o distribuirlo tramite Active Directory con le GPO)

Integrazione con Notes


Il parametro si pu distribuire automaticamente via policy: Policy di tipo Desktop Settings: nei Custom Settings inserire il parametro del notes.ini

A partire dalla R9 possibile fare la stessa configurazione, in modo pi agevole, dalla scheda Basics delle policy Desktop

Integrazione con Notes


Molti bugs di integrazione tra Protector e Notes sono stati risolti con 8.5.2FP1 ed 8.5.3 (oltre che con la R9), assicuratevi quindi che i client siano aggiornati Se un client riceve errori di autenticazione, nonostante la password sia giusta, provare a cancellare PROTECTOR_ACCOUNT_NAME dagli Accounts della rubrica locale

Link utili
Info:
www-03.ibm.com/software/products/us/en/protector/

Documentazione:
www.ibm.com/developerworks/lotus/documentation/protector/mailsecurity/

Wiki:
www10.lotus.com/ldd/dominowiki.nsf/xpViewCategories.xsp?lookupName=Lotus%20Protector

Trial:
www.ibm.com/developerworks/downloads/ls/lotusprotector/index.html

Risorse marketing:
www-304.ibm.com/partnerworld/wps/servlet/ContentHandler/X721840E59886A74

6. Qualche trucco non documentato

Accesso helpdesk
Spesso si vuole avere un utente che ha accesso alla quarantena ma non alla configurazione Aggiungendo lutente helpdesk alla configurazione di Apache su Protector, questultimo avr visibilit della quarantena e potr sbloccare le mail per conto degli utenti Funziona solo con lutente helpdesk, qualsiasi altro utente creato non ha accesso alla console di Protector Per attivarlo: Login come root via SSH Eseguire il commando
htpasswd2 /var/www/auth/htpasswd helpdesk

Digitare la password desiderata

Rubrica offline
La funzionalit di caching offline della rubrica di Protector scade dopo 24 ore ( e comunque non funziona bene) Per poter avere una copia offline della rubrica necessario utilizzare un task che estrapola dal server LDAP la lista degli indirizzi e la salva su un file di testo. Si procede in questo modo: Accesso come root a Protector Si crea un cronjob con questo comando:
0 * * * * /usr/sbin/ldap_smtpextractor /etc/mailsec/SETConfig/itatis\ directory_config.txt

(sostituendo itatis\ directory col nome definito nelloggetto Who che punta allLDAP nellesempio il task viene eseguito ogni ora, si pu comunque modificare)

Rubrica offline
Se il file contiene uno spazio creare un link es: ln itatis\ directory_config.emails itatis.emails Verificare che nella cartella /etc/mailsec/SETConfig/ vengano creato il file .emails Creare un nuovo oggetto Who contenente questa stringa:
$(FILE./etc/mailsec/SETConfig/itatis.emails)

Rubrica offline
Impostare il nuovo oggetto nel recipient verification delle impostazioni SMTP (ed eventualmente nelle regole, se ne avete create basate sulle directory anich sui domini) Da questo momento per le regole/verifica destinatari verr usato il file asincrono, mentre per lautenticazione utenti lLDAP

TLS e Certificati SSL


Linstallazione di certificati SSL firmati da terze parti non funziona correttamente dalla console web Per poterli utilizzare correttamente seguire le indicazioni presenti nelle technote: swg21578783 ed swg21578722

Luso di TLS pu essere una buona soluzione anche per cifrare il transito delle mail tra Protector ed i server Domino interni Per configurare TLS su Domino: technote swg21108352

7. Q&A

GRAZIE PER LATTENZIONE!


I miei contatti...

Fabio Grasso
ITATIS S.r.l - www.itatis.net
fabio.grasso@itatis.net - fabio.grasso@gmail.com
www.linkedin.com/in/fabiograsso82/it

Grazie agli sponsor per aver reso possibile i Dominopoint Days 2013!
Main Sponsor

Vad sponsor

Platinum sponsor

Gold sponsor