Sommario
Il modulo SMTP viene utilizzato per ricevere la posta, filtrarla e inoltrarla verso i mail server opportuni. Questa sezione contiene i dettagli relativi ai parametri di configurazione. Nel caso si desideri un'introduzione al funzionamento di tale modulo vedere Capitolo 10, Funzionamento del modulo SMTP
La sezione presenta un riepilogo dello stato del modulo:
: Lo stato del modulo SMTP può essere: Disabilitato, Fermo, Avviato o In avvio.
: Ultima volta che il modulo è stato avviato.
: Spazio occupato su disco dal file .log.
: Spazio occupato su disco dal file comandi (estensione .lcd).
: Spazio occupato su disco dal file con le informazioni di debug (estensione .err).
Ogni modulo, quando avviato, registra le informazioni relative al proprio funzionamento su tre file che portano il nome del modulo stesso ed estensioni (.log, .lcd e .err) dipendenti dal tipo di dati che raccolgono. Ogni giorno, ad un orario stabilito (che può essere variato a piacere) i file vengono rinominati e viene aggiunta la data corrente nel nome del file e poi viene creato un nuovo file senza data per il nuovo giorno. In questo modo i file si accumulano giorno per giorno e possono essere facilmente identificati dalla data che hanno nel nome stesso. Per default la rotazione avviene alle 23.58, quindi il file rinominato avrà la data corrente e tutte le informazioni relative a quel giorno (almeno fino alle 23:58) e gli ultimi 2 minuti del giorno precedente. In questo modo si otterranno dei file con riportata nel nome una data e all'interno di essi tutti i log relativi alla data indicata nel nome.
Nella parte inferiore della sezione è possibile accedere alle statistiche del modulo nell'ultima ora, giorno e settimana. Viene fornito un riassunto grafico delle attività del modulo, in modo da riconoscere immediatamente eventuali picchi di traffico, oltre al valore minimo, massimo e medio dell'attività visualizzata. Tipo specifica la caratteristica del modulo che si vuole visualizzare e Intervallo l'intervallo temporale che si desidera considerare nella statistica. Visualizza statistiche mostra le statistiche desiderate.
Significato dei parametri disponibili:
: durata massima in secondi di una connessione. Un valore pari a 0 indica un tempo infinito
: tempo massimo in secondi dopo il quale una connessione viene terminata se non arrivano dati dal server remoto
: regola la quantità di log che viene generata dal modulo (file .err). Più piccolo è tale valore, minori sono le informazioni registrate. Tipicamente si incrementa il livello di debug in fase di diagnostica per capire la causa di un dato problema.
: può capitare che eXtensiveControl® debba eseguire una query DNS inversa da indirizzo IP a nome per applicare la politica di accesso definita nella sezione Regole di accesso. Questo accade ad esempio se si imposta una politica basata sui nomi delle macchine piuttosto che sui loro indirizzi IP. Se la conversione fallisce la connessione viene rifiutata a meno che questo flag non venga impostato.
: accetta di effettuare il relay se la mail proviene da una macchina che appartiene agli host locali.
: consente l'invio di mail aventi mittente appartenente ai domini locali da host esterni verso i domini locali.
: permette ad un messaggio proveniente da un utente che non specifica il dominio di essere accettato ugualmente e consegnato a destinazione.
: in caso vi sia la necessità di notificare l'amministratore, i messaggi in questione vengono inoltrati all'indirizzo ivi specificato.
: Si tratta del numero di linee del messaggio originale che vengono riportate nel messaggio di warning (che riferendosi ad un altro messaggio, ne cita una parte).
Dopo avere cambiato la configurazione per salvare le modifiche è necessario premere il pulsante Salva. Il pulsante Annulla le modifiche effettua una rilettura della configurazione presente su disco rimuovendo le modifiche inserite e non ancora salvate.
I server vengono utilizzati per associare ad un modulo uno o più indirizzi o porte di ascolto. Quando un client deve utilizzare un modulo per accedere ai servizi servizi forniti deve conoscere l'indirizzo e la porta TCP a cui connettersi per inviare le richieste. Tali parametri vengono configurati in questa sezione e sono specifici per ogni modulo. È importante fare attenzione all'utilizzo delle porte sulla propria macchina, poiché non è possibile permettere a due o più applicazioni di condividere la stessa coppia indirizzo/porta di ascolto. In particolare i moduli possono presentare dei malfunzionamenti qualora la coppia indirizzo/porta specificata come server sia già in uso da qualche altro processo. Se questo accade occorre cambiare i parametri associati al modulo, oppure le impostazioni dell'altro processo che crea il conflitto. Tipicamente il problema si risolve cambiando uno dei parametri in questione e riconfigurando i client che utilizzano quel servizio in modo da aggiornarli al cambiamento eseguito. Se è necessario cambiare un indirizzo IP ma la macchina ha una sola scheda di rete con un solo indirizzo IP associato, bisognerà aggiungere altri indirizzi alla scheda (e quindi alla macchina) attraverso le impostazioni di rete di Windows (sezione avanzate).
Il menu server presenta le seguenti azioni:
: Permette di alterare una voce già inserita nella lista.
: Permette di aggiungere una voce alla lista dei server. Ogni voce consiste in un indirizzo IP di ascolto e di una porta.
: Permette di eliminare una voce dalla lista.
: Permette di eliminare tutte le voci dalla lista.
Al fine di impedire utilizzi non autorizzati del motore SMTP di ricezione/trasmissione della posta elettronica, occorre fornire alcuni parametri che regolano l'accesso allo stesso. Una cattiva configurazione potrebbe portare a quello che è definito un open relay, cioè l'uso del servizio SMTP per spedire ad utenti esterni messaggi, tipicamente di pubblicità, non richiesti. Il vantaggio per costui consiste nel fatto che è la vostra macchina e non la sua a comparire come mittente (e questo gli permette quindi di celare la propria identità).
La sezione permette di impostare le regole di relay attraverso 4 sotto-sezioni:
: sono i domini per i quali il server accetta di fare da relay. Se il messaggio è diretto verso uno di questi domini esso verrà sempre consegnato. Se il messaggio proviene da uno di questi domini e l'indirizzo IP del mittente appartiene agli host locali, anche in questo caso il messaggio verrà instradato (qualunque sia la destinazione).
: esprime l'insieme degli indirizzi IP locali, ovvero gli indirizzi IP della rete interna. E' possibile utilizzare la wildcard '*' per definire tale insieme: ad esempio 10.1.* definisce un insieme di 256x256 = 65536 indirizzi IP, tutti aventi prefisso 10.1.
: è possibile impostare un filtro statico (con i dati su file), oppure un filtro dinamico attraverso il collegamento ad un dominio Active Directory (quest'ultimo utilizzabile solo con un server di posta Exchange) per bloccare messaggi indirizzati ad utenti del dominio interno non esistenti. Nel caso del file statico, è sufficiente indicare il path di un file che contiene la lista degli utenti (uno per riga) che il server deve accettare. Tutti gli altri vengono respinti. Nel caso di Active Directory con Exchange, occorre selezionare il dominio che interessa.
: domini da cui non si accetta posta (non è una vera e propria regola anti-relay, bensì una semplice blacklist). Si possono inserire indirizzi email oppure domini. Se si inserisce un dominio tutti gli indirizzi email che provengono dal quel dominio o da suoi sottodomini saranno rifiutati.
Notare che per ottenere un anti-relay efficace è necessario impostare sia i domini interni che gli host locali, in quanto una mail può avere falsificare il valore indicato come mittente ma l'indirizzo IP deve essere sempre valido.
Se si desidera avere maggiori informazioni su come configurare un server SMTP e sulle questioni legate al relay vedere Capitolo 12, Approfondimenti sul relay della posta via SMTP. Per aver informazioni sul collegamento di eXtensiveControl® con i domini Active Directory vedere Capitolo 15, Collegamento ad Active Directory
In questa sezione sono presenti tre sottosezioni principali. La sezione Avanzate parametrizza il comportamento dei filtri definendone dei parametri generici mentre le altre due definiscono i filtri applicati agli header e agli allegati. Ogni volta che arriva un messaggio viene prima applicato il filtro sugli header e poi quello sugli allegati.
La sezione Avanzate permette di definire dei parametri che modificano il comportamento dei filtri sugli header e sugli allegati. I parametri sono:
: talvolta capita che nel messaggio il nome dell'allegato contenga riferimenti (path) assoluti. Se questa voce viene abilitata, il messaggio viene lasciato passare anche se questo accade, altrimenti viene bloccato dal filtro sugli allegati senza che le regole di quest'ultimo vengano applicate. In altre parole il controllo sul path assoluto ha la precedenza sulle regole associate al filtro.
: esistono due campi per specificare il nome di un allegato nel formato MIME; se i due campi in questione sono in disaccordo, il messaggio viene lasciato passare solo se il box in questione è spuntato, altrimenti viene bloccato dal filtro sugli allegati prima di applicarne le regole.
: indica fino a che livello di ricorsività estrarre gli archivi (ad esempio .zip) che contengono altri archivi, che contengono altri achivi, etc...
: applica le stesse regole degli allegati anche al contenuto degli archivi. Per esempio, se si vietano le estensioni .doc, e se questa casella non è spuntata, un .doc all'interno di un file .zip non viene rilevato. Se tale opzione invece è attiva, allora il file viene riconosciuto.
: Quarantena tutti gli allegati crittati, anche se contenuti in un archivio.
Il filtro sugli header permette di eseguire determinate azioni in base al contenuto di header indicati.
Col pulsante Aggiungi è possibile inserire un numero a piacere di condizioni che dovranno essere tutte quante verificate affinché l'azione associata venga eseguita. Tali condizioni riguardano gli header del messaggio e sono:
: è il mittente dichiarato negli header del messaggio ("From").
: è il destinatario dichiarato negli header del messaggio nel campo "To".
: viene verificato il campo "To"("A") e "CC" ("CopiaConoscenza") del messaggio.
: campo "CopiaConoscenza" del messaggio.
: campo "Oggetto" del messaggio.
: corpo del messaggio, comprende tutto quello che non è parte degli header.
: è il mittente dichiarato nella connessione SMTP.
: è il destinatario dichiarato nella connessione SMTP.
: verifica la presenza di link all'interno del messaggio relativi a siti di determinate categorie.
: se si seleziona questo campo sarà possibile digitare nel box che compare a fianco il valore di un header che si vuole filtrare.
Ogni sottosezione accetta tre tipi diversi di input, vale a dire delle simple expression, delle regular expression e delle case sensitive simple expression. Se si desiderano informazioni sulla sintassi di questi costrutti, oppure avere una panoramica generale delle stesse vedere Capitolo 9, Pattern matching
Le possibili azioni associate a questo filtro sono:
: vengono saltate le rimanenti regole e si passa al filtro successivo (che in questo caso è il filtro AntiVirus).
: il messaggio viene eliminato.
: il messaggio viene accettato e quindi viene inviato all'utente che sta scaricando la posta.
: il messaggio viene trasferito nella sezione quarantena "email bloccate" e dovrà essere gestito dall'amministratore, che deciderà se rilasciarlo o eliminarlo.
Se nessuna delle condizioni di questo filtro è verificata il programma passa all'analisi del filtro successivo, cioè quello degli allegati. Lo stesso accade se viene applicata l'azione "Continua".
Permette di filtrare i messaggi in base al contenuto degli allegati. Una volta selezionata una regola si passa ad un pannello nel quale è possibile impostare oltre al "From" e al "To" una serie di condizioni ulteriori sul tipo di allegato. Da notare che il "From" e il "To" globali si riferiscono ai dati registrati dal modulo durante la connessione SMTP che ha inviato il messaggio e non a quelli dichiarati negli header. I pulsanti aggiungi e rimuovi permettono l'inserimento di queste condizioni. Ogni condizione può essere del tipo:
: la condizione è applicata al mittente del messaggio specificato durante la connessione SMTP.
: la condizione è applicata al destinatario del messaggio specificato durante la connessione SMTP.
: la condizione è applicata al nome del file allegato.
: la condizione è applicata alla dimensione dell'intero messaggio; imponendo quindi un vincolo sulla sua dimensione e richiedendo che sia più grande o più piccolo di un determinato valore.
: la condizione è applicata al tipo di file (apparirà a fianco una lista di tipi conosciuti). Il riconoscimento del tipo è basato su metodi euristici che analizzano la struttura interna del file.
Il filtro sugli allegati permette di effettuare le stesse azioni del filtro precedente (quello sugli header) e accetta la stessa forma di regular expression per la definizione delle regole.
Se nessuna delle condizioni in questa sottosezione viene verificata, il programma passa all'elaborazione del messaggio con il filtro successivo (in questo caso l'AntiVirus).
Il filtro AntiVirus permette di bloccare le mail contenenti virus worm o altro codice dannoso.
La sezione si compone di due sottosezioni: ed . La sottosezione è composta delle seguenti voci:
: spuntare questa casella per abilitare il controllo AntiVirus. Se manca la spunta le rimanenti opzioni perdono di significato e vengono pertanto ignorate.
: se l'antivirus non restituisce una risposta entro il tempo specificato in questa casella, la mail viene considerata infetta.
: Le azioni possibili su di un messaggio/allegato infetto sono le seguenti:
: Notifica l'amministratore che un dato utente ha ricevuto una mail virata e mette in quarantena il messaggio in questione.
: Mette in quarantena il messaggio senza alcuna notifica.
: notifica l'amministratore che un dato utente ha ricevuto una mail virata e invia al mittente una notifica che il messaggio è stato bloccato.
: Invia al mittente una notifica che il messaggio è stato bloccato senza avvisare l'amministratore.
: in questo box occorre digitare il nome dell'eseguibile che deve essere lanciato da linea di comando per effettuare la scansione antivirus.
: in questo box è possibile digitare i parametri che si desiderano passare al comando antivirus quando viene avviata la scansione di un allegato.
La sottosezione "Eccezioni" permette di specificare uno o più domini o indirizzi email che saranno esclusi dal controllo antivirus quando indicati come destinatari nella sessione SMTP.
Se eXtensiveControl® rileva la presenza di un AntiVirus supportato riempie automaticamente i campi "Comando AntiVirus" e "Parametri del comando AntiVirus".
La sezione si divide nelle seguenti sottosezioni:
: La sottosezione "Generale" si compone delle seguenti voci:
: questa casella determina se il filtro antispam è attivo. Se questa casella non è spuntata, il resto delle impostazioni nelle sezioni sottostanti perde di significato.
: decide cosa fare quando viene rilevato un messaggio di spam (cioè quando viene rilevato uno punteggio di spam sopra la soglia impostata).
: contrassegna il subject del messaggio con la stringa presente nel box sottostante Marcatore dello Spam inserito nel Subject.
: Sposta il messaggio nella quarantena. Sarà l'amministratore o gli utenti, se abilitati, successivamente a decidere se rilasciare o eliminare il messaggio.
: Scarta il messaggio senza notifica alcuna. È bene utilizzare questa opzione con cautela in quanto si rischiano di perdere dati importanti in caso di errore del filtro euristico.
: Nel caso l'azione associata al rilevamento Spam indichi: "Marca il subject", la stringa che viene messa come prefisso nel subject del messaggio è quella presente nel box a fianco. Per default tale valore è "[SPAM]".
: identifica una soglia oltre la quale il messaggio è considerato spam. Il punteggio assegnato al messaggio dipende dai campioni forniti come training per il database.
: si tratta di una lista di domini o indirizzi di posta (considerati come mittenti) dai quale i messaggi vengono automaticamente riconosciuti come buoni con un peso di spam pari a 0 (il valore minimo).
: si tratta di una lista di domini o indirizzi di posta (considerati come mittenti) dai quale i messaggi vengono automaticamente riconosciuti come spam con un peso di spam pari a 100 (il valore massimo).
: questa sezione è un collegamento alla sezione all'interno della voce della sezione e permette di effettuare un aggiornamento del database di spam, di pianificare il download in automatico e di configurare l'uso di un server proxy se è necessario per comunicare con Internet.
Questa sezione abilita il fitraggio antiphishing sulla posta gestita dal modulo ed è composta dalle seguenti sezioni:
:
: questo checkbox abilita il controllo AntiPhishing.
: in questo campo è possibile definire le azioni da compiere sui messaggi ritenuti phishing. Le possibili azioni sono:
: contrassegna il subject del messaggio con la stringa presente nel box sottostante Marcatore del Phishing inserito nel Subject.
: Sposta il messaggio nella quarantena. Sarà l'amministratore o gli utenti, se abilitati, successivamente a decidere se rilasciare o eliminare il messaggio.
: Scarta il messaggio senza notifica alcuna. È bene utilizzare questa opzione con cautela in quanto si rischiano di perdere dati importanti in caso di errore del filtro euristico.
: questo form permette di specificare il tag da inserire nel subject delle mail ritenute phishing nel caso nel campo precendente si sia scelta l'azione di marcare il subject.
: questa sezione è un collegamento alla sezione all'interno della voce della sezione e permette di effettuare un aggiornamento del database, di pianificare il download in automatico e di configurare l'uso di un server proxy se è necessario per comunicare con Internet.
Il tasto "Annulla le modifiche" legge la configurazione correntemente presente sul disco cancellando le modifiche inserite e non ancora salvate, mentre il tasto "Salva" scrive la configurazione presente a video sul file di configurazione.
La sezione di quarantena permette di gestire i messaggi che vengono bloccati e quarantenati da uno dei filtri applicati alla posta.
In questa sezione è possibile effettuare le seguenti azioni:
: elimina tutti i messaggi che sono stati messi in quarantena.
: cancella tutti i messaggi sicuramente infetti. I messaggi posti in quarantena dai filtri o per i quali il controllo antivirus non ha fornito il responso di sicuremente infetti non sono cancellati.
Sono presenti le seguenti sezioni:
: Questa sezione mostra i messaggi che vengono messi in quarantena perché ritenuti infetti o perché bloccati dalle regole di filtraggio sugli header o sugli allegati. Le tre righe presenti permettono di cercare per: id del messaggio, coda di messaggi più recenti (mostra gli ultimi n messaggi, dove n viene inserito nel box a fianco) oppure mostra i messaggi ricevuti nelle ultime n ore.
: Il funzionamento è analogo alla sottosezione Quarantena/Email bloccate con la differenza che questo deposito contiene i messaggi ritenuti Spam o Phishing.
: Il funzionamento è analogo alla sottosezione Quarantena/Antivirus eccetto che in questo caso contiene i messaggi malformati.
La sezione è divisa in 3 sotto sezioni che hanno funzionamento analogo fra loro, cioè quella di permettere la visualizzazione dei dati registrati nei 3 diversi file di log generati.
Log: mostra il contenuto del file di log dove vengono registrate le attività dei proxy, in particolare essi tengono traccia delle azioni svolte dai client. Il formato segue lo standard Welf, pertanto suddetti file possono essere utilizzati per compilare report non solo dal motore interno di eXtensiveControl® ma anche da programmi di terze parti che supportano il formato Welf.
Comandi: questa sezione mostra il contenuto del file comandi; nel file comandi vengono registrate informazioni aggiuntive rispetto al file di log, che per motivi di compatibilità col formato Welf non possono essere inserite direttamente nel file di log.
Debug: mostra il contenuto del file di debug. Questo file risulta particolarmente indicato per diagnosticare eventuali problemi di funzionamento del modulo. La quantità di informazioni registrate nel file dipende dal livello di debug impostato nel menu Avanzate. Più il livello di debug è alto, maggiori saranno le informazioni registrate nel file (ma anche lo spazio occupato su disco, mentre le prestazioni del sistema tendono invece a calare). Solitamente si alza il livello di debug quando si presentano problemi di funzionamento e il numero di informazioni con il livello di default risulta essere insufficiente.
Tutti e tre i pannelli presentano la medesima interfaccia che si compone di tre voci:
Punto di inizio della lettura: Permette di stabilire da quale punto del file iniziare la visualizzazione. È possibile visualizzare il contenuto dall'inizio del file, dalla fine o a partire da una linea specificata dall'utente.
Numeri di linee: Numero di linee che l'utente intende visualizzare. Ad esempio impostando tale valore a 10 e la visualizzazione a partire dalla fine del file, si otterranno le ultime 10 linee del file. Tipicamente questa è la scelta più comune in quanto spesso si vogliono visualizzare le linee in prossimità di un errore appena avvenuto e che si trova dunque nelle alla fine del file.
Risoluzione dei nomi: Con questa impostazione gli indirizzi IP vengono risolti in hostname in modo da essere più esplicativi. Ad esempio l'amministratore potrebbe voler sapere su quali siti navigano i suoi utenti (e non accontentarsi degli indirizzi IP). Non sempre è possibile risalire al nome di un host conoscendone l'indirizzo IP.