{"id":395,"date":"2019-10-08T10:51:00","date_gmt":"2019-10-08T09:51:00","guid":{"rendered":"http:\/\/eppesuigoccas.homedns.org\/wordpress\/?p=395"},"modified":"2019-10-10T10:23:36","modified_gmt":"2019-10-10T09:23:36","slug":"combattere-lo-spam-con-exim","status":"publish","type":"post","link":"https:\/\/blog.sguazz.it\/index.php\/archives\/395","title":{"rendered":"Combattere lo SPAM con exim"},"content":{"rendered":"\n

Affrontare lo SPAM \u00e8 una guerra continua, con regole e situazioni che cambiano di frequente. Riporto qui di seguito alcune considerazioni legate alla configurazione di exim4, in particolare su Debian.<\/p>\n\n\n\n

Non elencher\u00f2 qui le soluzioni pi\u00f9 diffuse, come utilizzare spamassassin per la verifica della posta in ingresso, oppure utilizzare le varie blacklist per negare l’accesso a server poco accreditati. Invece, scriver\u00f2 solo metodi aggiuntivi, per rafforzare ulteriormente il server.<\/p>\n\n\n\n

Nome account diverso dal nome della casella di posta elettronica<\/h2>\n\n\n\n

Molto spesso, chi raccoglie indirizzi di posta elettronica tramite ricerceh su web o tramite la lettura delle rubriche private, tenta poi l’accesso al server di posta utilizzando come nome utente l’indirizzo di posta, con o senza il dominio.<\/p>\n\n\n\n

Per esempio, se sulla macchina \u00abmacchina.tld\u00bb esiste un utente Francesco Rossi con una utenza \u00abfrancesco\u00bb, molto probabilmente esistena la casella di posta \u00abfrancesco@macchina.tld\u00bb. Se si fa un server di posta, dedicato alla parte SMTP e\/o IMAP, vanno definite le utenze e le caselle di posta. Il suggerimento \u00e8 di usare utenze diverse dalle caselle di posta. Ad esempio, si pu\u00f2 dare a Francesco l’utenza \u00abkl2482gg@macchina.tld\u00bb che corrisponda alla casella di posta \u00abfrancesco@macchina.tld\u00bb. <\/p>\n\n\n\n

In questo modo, chi conoscer\u00e0 la casella di posta \u00abfrancesco@macchina.tld\u00bb tenter\u00e0 di accedere usando l’utenza \u00abfrancesco\u00bb oppure \u00abfrancesco@macchina.tld\u00bb, che non esistono.<\/p>\n\n\n\n

Geolocalizzazione<\/h2>\n\n\n\n

Altra cosa importante \u00e8 che le credenziali vengono comunque rubate, in un modo o nell’altro, magari tramite virus. Una volta che queste sono in mano agli spammer, verranno effettuate migliaia di connessioni correttamente autenticate verso il server SMTP, che accetter\u00e0 i messaggi SPAM e cercher\u00e0 di inviarli.<\/p>\n\n\n\n

Una via per limitare questo attacco, \u00e8 quella di bloccare email inviate da IP stranieri. Per farlo conviene mettere un log per tracciare le nazioni dalle quali si riceve la posta autenticata e capire quali siano le nazioni valide. Su Debian c’\u00e8 un pacchetto chiamato \u00abgeoip-database\u00bb che contiene l’elenco degli IP con l’indicazione della nazione di appartenenza. Per exim esiste una libreria dinamica (disponibile qui<\/a>) che permette di interrogare quel database. Una volta compilata e installata seguendo le istruzioni sul sito della libreria, si devono aggiungere alcuni file di configurazione a exim. Il primo crea una variabile con la nazione dell’IP, chiamiamolo \u00ab\/etc\/exim4\/conf.d\/acl\/exim4-config_check_geoip_parte1\u00bb:<\/p>\n\n\n\n

#imposta la variabile acl_c_geoip_country_code
warn set acl_c_geoip_country_code = \\
${dlfunc{\/usr\/local\/lib\/exim4\/exim-geoipv6-dlfunc.so}\\
{geoip_country_code}{$sender_host_address}}<\/code><\/p>\n\n\n\n

Il secondo usa la variabile per bloccare l’accesso, chiamiamolo \u00ab\/etc\/exim4\/conf.d\/acl\/exim4-config_check_geoip_parte2\u00bb:<\/p>\n\n\n\n

#
\n# Controllo dell'IP origine della connessione.
\n# Utilizza una libreria e il database degli IP
\n# la libreria \u00e8 https:\/\/github.com\/snabb\/exim-geoipv6-dlfunc
\n# il database e' nel pacchetto geoip-database
\n#
\n
\n# nella fase di test, aggiungo una intestazione per controllare la
\n# variabile
\n#warn
\n#\tcondition = ${if def:acl_c_geoip_country_code}
\n#\tauthenticated = *
\n#\tlog_message = Accesso autenticato dalla nazione $acl_c_geoip_country_code
\n
\n# nella fase di test, aggiungo una intestazione per controllare
\n# l'indirizzo se non \u00e8 nel database
\nwarn
\n\t!condition = ${if def:acl_c_geoip_country_code}
\n\tauthenticated = *
\n\t!hosts = 10.0.0.0\/24
\n\tlog_message = Accesso autenticato da un IP sconosciuto e non della LAN
\n
\n# accetta email che arrivano da IP della LAN a condizione che
\n# sia stata fatta l'autenticazione
\naccept
\n\tauthenticated = *
\n\thosts = 10.0.0.0\/24
\n\tlog_message = Accesso autenticato da computer in LAN
\n
\n# accetta email che arrivano da IP di nazioni conosciute, ma mancanti dal database,
\n# a condizione che sia stata fatta l'autenticazione
\naccept
\n\tauthenticated = *
\n\t# 88.209.103.0 - 88.209.103.255, Monaco-Telecom, MC
\n\thosts = 88.209.103.0\/24
\n\tlog_message = Accesso autenticato da computer in LAN
\n\n# accetta email che arrivano da IP in Francia e Monaco a condizione
\n# che sia stata fatta l'autenticazione
\naccept
\n\tauthenticated = *
\n\tcondition = ${if def:acl_c_geoip_country_code}
\n\tcondition = ${if inlist{$acl_c_geoip_country_code}{FR:IT:MC}}
\n\tlog_message = Accesso autenticato da IP della nazione $acl_c_geoip_country_code
\n
\n# blocca i messaggi per i quali \u00e8 stata fatta l'autenticazione SMTP,
\n# cio\u00e8 si conosce la password, ma vengono da una naziona conosciuta
\n# e straniera
\n# nota: in alcuni casi, acl_c_geoip_country_code non viene inizializzata
\n# perch\u00e9 l'IP non \u00e8 nel database. In quel caso, non si entra in questa
\n# regola
\ndeny
\n\tauthenticated = *
\n\tcondition = ${if def:acl_c_geoip_country_code}
\n\t!condition = ${if inlist{$acl_c_geoip_country_code}{FR:IT:MC}}
\n\tmessage = Authenticated access from foreign country denied.
\n\tlog_message = Accesso autenticato da nazione non autorizzata. Rifiutato.
\n<\/code><\/p>\n\n\n\n

Infine, per fare usare questi due file ad exim, \u00e8 necessario modificare il file con le opzioni locali, come ad esempio, \u00ab\/etc\/exim4\/conf.d\/main\/000_local_options\u00bb aggiungendovi quest righe:<\/p>\n\n\n\n

# controllo accessi tramite verifica geografica
CHECK_RCPT_LOCAL_ACL_FILE = \/etc\/exim4\/conf.d\/acl\/exim4-config_check_geoip_parte1
CHECK_DATA_LOCAL_ACL_FILE = \/etc\/exim4\/conf.d\/acl\/exim4-config_check_geoip_parte2<\/code><\/p>\n\n\n\n

Con la geolocalizzazione si bloccano le richieste dall’estero, ma questo potrebbe essere un problema se uno si spostasse all’estero, magari in vacanza. Va quindi usata con attenzione.<\/p>\n\n\n\n

Una seconda possibilit\u00e0, pi\u00f9 onerosa dal punto di vista computazionale, \u00e8 quella di fare il controllo antispam, con spamassassin o altro, anche ai messaggi che arrivano da connessioni autenticate.<\/p>\n","protected":false},"excerpt":{"rendered":"

Affrontare lo SPAM \u00e8 una guerra continua, con regole e situazioni che cambiano di frequente. Riporto qui di seguito alcune considerazioni legate alla configurazione di exim4, in particolare su Debian. Non elencher\u00f2 qui le soluzioni pi\u00f9 diffuse, come utilizzare spamassassin per la verifica della posta in ingresso, oppure utilizzare le varie blacklist per negare l’accesso […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4,3,11,10],"tags":[],"class_list":["post-395","post","type-post","status-publish","format-standard","hentry","category-sysadmin","category-computer","category-debian","category-open-source"],"_links":{"self":[{"href":"https:\/\/blog.sguazz.it\/index.php\/wp-json\/wp\/v2\/posts\/395","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.sguazz.it\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.sguazz.it\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.sguazz.it\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.sguazz.it\/index.php\/wp-json\/wp\/v2\/comments?post=395"}],"version-history":[{"count":6,"href":"https:\/\/blog.sguazz.it\/index.php\/wp-json\/wp\/v2\/posts\/395\/revisions"}],"predecessor-version":[{"id":401,"href":"https:\/\/blog.sguazz.it\/index.php\/wp-json\/wp\/v2\/posts\/395\/revisions\/401"}],"wp:attachment":[{"href":"https:\/\/blog.sguazz.it\/index.php\/wp-json\/wp\/v2\/media?parent=395"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.sguazz.it\/index.php\/wp-json\/wp\/v2\/categories?post=395"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.sguazz.it\/index.php\/wp-json\/wp\/v2\/tags?post=395"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}