from zero to protected hero… - fabio grasso - dominopoint days 2013 #dd13
DESCRIPTION
Difendiamoci dallo Spam con Lotus Protector for Mail Security Lo Spam e le minacce che giungono per posta elettronica (come phishing e virus) rappresentano ormai da molti anni uno dei maggiori problemi della sicurezza informatica. Nella prima fase di questa sessione faremo una veloce carrellata degli strumenti che Domino mette a nostra disposizione per ridurre il traffico di posta indesiderata, come ad esempio recipient verification, DNS blacklist e lookup. In seguito ci concrentreremo su IBM Lotus Protector for Mail Security, un prodotto del branch ISS (Internet Security Systems), acquisito da IBM nel 2006, che si occupa di filtrare le email in ingresso con interessanti funzionalità ed una integrazione con Notes che consente di gestire la quarantena e le black/white list degli utenti direttamente dal client. Vedremo poi come, in pochi semplici passaggi, è possibile installare e configurare Protector, come distribuire ai client la configurazione per l'integrazione in Notes ed infine alcuni "trucchetti" non documentati che ci aiuteranno a gestire al meglio il nostro sistema.TRANSCRIPT
From Zero To Protected Hero...
Difendiamoci dallo spam conLotus Protector for Mail Security
Fabio Grasso
Fabio Grasso
• Lavoro come sistemista per Itatis Srl (www.itatis.net) con particolare focus sulle soluzioni di collaborationIBM/Lotus
• Sono Certified System Administrator e Certified Instructorper la versione 8.5 di Notes/Domino e conosco l’ambiente Lotus dalla versione 6.5 con cui ho iniziato a lavorare nel 2004
• Oltre al software di collaboration mi occupo di progettare e manutenere infrastrutture con server e storage IBM e sistemi operativi Microsoft e Linux
Presentiamoci...
Introduzione
• Durante questa presentazione analizzeremo le varie minacce che possono giungere tramite posta elettronica
• Vedremo poi quali strumenti mette a nostra disposizione IBM Domino per bloccare la posta indesiderata
• Ci concentreremo su Lotus Protector for Mail Security, un interessante prodotto che consente di filtrare virus, spam e phishing con un’integrazione nell’interfaccia utente di Notes
• Concluderemo poi con alcune funzionalità non documentate di Protector e sarò a vostra disposizione per rispondere ad eventuali domande
Indice
1. Tipi di minacce e qualche dato statistico
2. Impostazioni di Domino per contrastare lo spam
3. Lotus Protector… cos’è e cosa fa
4. Installazione di Protector
5. Configurazione di Protector
6. Qualche “trucco” non documentato
7. Q&A
1.
Tipi di minacce e qualche dato
statistico
Un breve ripasso…
• Spam/Junk Mail: messaggi indesiderati, tipicamente con fini commerciali, spesso contenenti immagini nascoste che consentono di confermare l’avvenuta del messaggio
• Phishing: messaggi di truffa che tentano, tramite tecniche di ingegneria sociale, di indurre l’utente a fornire informazioni personali (quali password, numeri di carte di credito, ecc.)
• Virus/Trojan/Malware: messaggi contenenti allegati (spesso cifrati per evitare di essere individuati) che installano sul computer dell’utente software dannoso
Primo semestre 2013Fonte Kaspersky Labhttp://www.kaspersky.com/it/about/news/spam/201
3/Lo_spam_nel_secondo_trimestre_del_2013
Qualche dato
La posta indesiderata rappresenta circa il 70% del traffico
Qualche dato
Primo semestre 2013 - Fonte Kaspersky Labhttp://www.kaspersky.com/it/about/news/spam/2013/Lo_spam_nel_secondo_trimestre_del_2013
I messaggi di SPAM o Phishing normalmente sono molto piccoli (<1Kb), ma inviati in tale quantità da rappresentare cifre importanti anche dal punto di vista dello spazio occupato (e di conseguenza della banda Internet occupata)
Phishing
• Il phishing che mira ai social network ha superato (più del doppio!) quello relativo alle banche
• Spesso i social network sono usati anche per scopi aziendali, è quindi di vitale importanza proteggerne le credenziali
Primo semestre 2013 - Fonte Kaspersky Labhttp://www.kaspersky.com/it/about/news/spam/2013/Lo_spam_nel_secondo
_trimestre_del_2013
Metodi per combattere lo spam
• Software locale: installazione direttamente sui pc degli utenti di software che filtrano I messaggi in entrata/uscita (tipicamente funzionalità inclusa nell’antivirus)
• Blacklist DNS (DNSBL): si tratta di speciali server DNS che raccolgono liste dei mittenti di spam (ogni servizio ha proprie regole e criteri)
• Software sul server di posta: si tratta di particolari “plugin” che aggiungono sistemi di filtraggio delle mail al server di posta in uso (Domino, Exchange, ecc)
Metodi per combattere lo spam
• Mail gateway (on premise/in cloud): si tratta sostanzialmente di server SMTP che ricevono la posta, la analizzano e la inviano, una volta depurate dai messaggi indesiderati, al server di posta reale.
Tale server può essere installato sia localmente che utilizzato come servizio in cloud.
Lotus Protector for Mail Security è un esempio di software che utilizza questa metodologia.
2.
Impostare Domino per prevenire lo
spam
Impostare una blacklist DNS
• E’ possibile bloccare totalmente i messaggi o marcarli con uno speciale flag
• Bloccandoli si reduce il traffico SMTP, ma se c’è un falso positivo non potrà essere recuperato
• Lista DNSBL attive: www.dnsbl.info
Impostare una blacklist DNS
• Se si sceglie l’opzione “Log and tag” sarà poi necessario creare una regola nei singoli database degli utenti
• Il flag è infatti un campo nascosto chiamato $DNSBLSite
Controlli DNS
• E’ possibile verificare che il server di origine del messaggio in arrivo sia registrato nei DNS pubblici
• Analogamente possiamo verificare che anche il dominio del mittente sia registrato
• In questo caso i messaggi vengono rifiutati senza possibilità di flag
• Seppur raramente si possono verificare falsi positivi
Controllo destinatari
• Questa regola vale in generale e non solo per lo spam: onde evitare di riempire le mailbox con messaggi destinati a persone non presenti in rubrica, è possibile bloccare a livello SMTP l’invio a destinatari inesistenti
• Infine tra le voci presenti in “SMTP Inbound Controls” troviamo varie opzioni per bloccare singoli host/destinatari, utilizzare blacklist/whitelist private e molto altro
IMPORTANTE!!
Sembra scontato, ma spesso mi è capitato di trovare server che si comportano da open relay:salvo particolari esigenze i controlli anti-relay devono sempre essere attivi!!
Per una maggiore sicurezza bloccare la connessione a tutti gli host e specificare manualmente quelli autorizzati
3.
Lotus Protectorcos’è e cosa fa
Domino & Protector
• IBM Domino è un ambiente intrinsecamente sicuro, tuttavia non è immune a phishing ed allegati pericolosi aperti dall’utente
• Oltre alle mail pericolose ci sono comunque messaggi indesiderati (es. pubblicità) che l’utente nonvuole ricevere
• Per ovviare a queste “mancanze” diDomino ci viene in soccorso Protector
Lotus Protector for Mail Security
• Software di filtraggio spam, malware e content filtering
• Basato su tecnologia IBM ISS X-Force
• Analisi dei messaggi su più livelli
• Antivirus basato su signature ed euristica
• Controllo URL nel testo per phishing e spyware
• White/Black list globali e per utente
• Intrusion Prevention System integrato
• Analisi testo negli allegati (anche compressi)
• Possibilità di bloccare determinati tipi di allegati
• ...funziona a livello SMTP, quindi applicabile a qualsiasi server di posta, non solo Domino...
• NEW R2.8! Antivirus (ICAP) anche per Quickr e Connections
Lotus Protector for Mail Security
• IP Reputation: drop delle connessioni di IP noti come malevoli a livello SMTP
• Analisi del contenuto: riconoscimento dello spam dall’analisi avanzata del testo
• ZLA: utilizza un sottoinsieme di filtri ottimizzato analizzando i bits sequenzialmente. Termina la connessione se rileva spam.La posta che passa è comunque sottoposta agli altri filtri
Lotus Protector for Mail Security
• Log di tutto il traffico con possibilità di ricerca con vari filtri
• Accesso alla quarantena a livello utente e amministratore
• Report schedulato della quarantena agli utenti
• Integrazione con Notes (a partire dalla rel 8.5.1)
Integrazione con Notes
Accesso alla quarantena e
white/black list
Scorciatoia per inserire il mittente
in blacklist
Report di quarantena
Mittente ed oggetto di ciascun messaggio
Recupero dalla quarantena e gestione
black/white list
• Il report è tradotto nelle principali lingue e sia il testo che il layout sono personalizzabili
• Viene inviato anche in format text only per essere compatibile con qualsiasi client di posta
Schema di funzionamento
• Il record MX del dominio punta ad uno o più server Protector
• I server Protector ricevono la posta, la filtrano e la inviano (relay) ai server di posta interni
Schema di funzionamento
• Analogamente è possibile filtrare anche la posta in uscita, impostando i server Protector come outgoing SMTP relay
• Per questa configurazione si rimanda alla documentazione di Protector
Mail flow
Analisi multilivello
Policy
• Creazione di policy semplice e basata principalmente sui quattro fattori CHI – COSA – QUANDO – AZIONE
• Tutte le policy sono processate in sequenza, è quindi possibiledefinire priorità e fermare l’analisi una volta che una regola è scattata (risparmio elaborazione)
• Esempio pratico: antivirus primaregola, whitelist seconda. Se ilmittente è in whitelist non processole altre regole risparmiando risorse
• Ogni regola è collegata ad oggetti,modificando il singolo oggettoagisco su tutte le regole che lo utilizzano
Un caso pratico
• ITATIS fornisce ai clienti Lotus Protector con una formula “in cloud” sia tramite server dedicati che tramite server condivisi tra più clienti
• Di seguito alcuni grafici presi da uno di questi server...
• Totale 1 mese:
– 592,576 messaggi
– 35 Gb di traffico
Un caso pratico
• Su 592.576 messaggi 167.552 erano indesiderati
• Circa il 28,27% - percentuale molto più bassa della media mondiale grazie anche al filtro dei destinatari attuato a livello SMTP (se il destinatario non esiste la mail viene rifiutata ancor prima di riceverne il testo)
• I recuperi dalla quarantena sono stati 117, pari allo 0,07% dei messaggi filtrati e allo 0,02% del totale dei messaggi ricevuti, un’ottima media di falsi positivi!
Un caso pratico
• Nonostante il cospicuo traffico di posta l’uso di memoria e CPU rimane comunque molto basso:
4.
Installazione di Protector
Download
• Protector è racchiuso in un unico file ISO che può essere installato sia su VMWare che su un HW certificato
• Per praticità la presentazione si basa sull’installazione su VMWare. L’installazione su HW differisce solo per la configurazione di un eventuale RAID dei dischi. Una volta installata è identica alla versione VMWare
• Codice passport: CI3FWML
• La licenza è per utente ed è disponibile una versione dimostrativa che dura 90 giorni
Requisiti HW
Requisiti minimi per appliance virtuale:
VMware Server 1.0.2VMware Workstation 5.5
VMware Player 1.0.3VMware ESX 3.x
1Gb RAM50Gb disco
Throughtput: 70Kemails/hour
Java
• Un grosso difetto di Protector è dato dalle applet java dell’interfaccia web di amministrazione...
• In particolare è ufficialmente supportato solo JAVA JRE 1.6 inferiore ad update 24
• Con versioni successive ci sono parecchi problemi di instabilità e spesso è necessario chiudere e riaprire il browser per continuare la configurazione
• Importante: disattivare la cache dai settaggi Java nel pannello di controllo!
Porte TCP
• Per un corretto funzionamento occorre che dall’esterno Protector sia raggiungibile da queste porte:
– SMTP (25) per il traffico di posta in entrata
– HTTPS (443) per l’interfaccia web di gestione
– 4443 per l’accesso alla quarantena da parte degli utenti
• Se Protector è in DMZ andrà consentito questo traffico verso la rete interna:
– LDAP (389) per l’accesso alla rubrica di Domino via LDAP
– SMTP (25) per l’inoltro della posta ai server interni
• Altre porte andranno abilitate per traffico cluster, SNMP, ecc. (si rimanda alla documentazione)
Installazione
• Per questa “demo” è stata creata una macchina virtuale su WMWare con queste caratteristiche:
– 2Gb RAM
– 100 Gb di disco (va dimensionato in base al volume di dati da tenere in quarantena)
– 2 schede di rete (la prima host only, la seconda bridged)
– O.S. SUSE Linux Enterprise 10 32bit
• Una volta creata, si monta la ISO e la sia avvia
Installazione
• A questo punto parte il processo di installazione che impiega qualche minuto a trasferire i dati dalla ISO alla VM
• Il processodi installazioneriavvierà la VMdue volte primadi concludersi
Installazione
• Una volta completata l’installazione appare la schermata di login
• Password di root: admin
• E’ anche attivo l’accesso tramite SSH
Accesso all’interfaccia web
• Individuare l’IP indicato in alto a destra, il primo è preimpostato, il secondo in DHCP. Se non è presente un server DHCP è necessario accedere alla shell e modificare manualmente l’indirizzo tramite YaST (l’appliance Protector è
basata su SuSE 10)
• Aprire nel browser l’IP dell’appliance col protocollo HTTPS
• In alternativa con VMWare Workstation: impostare scheda di rete host only del PC su 192.168.123.1 ed aprirehttps://192.168.123.123
• Utente: admin – Password: admin
• Molte delle impostazioni di Protector vengono definite con una comoda procedura guidata, che ora analizzeremo...
5.
Configurazione di Protector
Configurazione iniziale
• Si procede con l’installazione accettando la licenza d’uso e selezionando se usare la trial o inserire la chiave d’attivazione
Configurazione iniziale
• Si imposta l’host name e si toglie la spunta dal DHCP nella primary network, in modo da poter inserire gli indirizzi desiderati
Configurazione iniziale
• Occorre poi indicare i domini che andranno gestiti ed i relativi mail server su cui indirizzare la posta…
• …e se usare il DNS o dei forwarder per la posta in uscita
Configurazione iniziale
• RSS feed dell’event log ed impostazione delle notifiche
• Consiglio di attivare solo gli errori di Sistema, altrimenti le notifiche risultanoinvadenti
• Come giustamenteviene suggerito...usare 127.0.0.1come server di posta non è una buona idea!
Configurazione iniziale
• Dulcis in fundo si imposta il fuso orario ed il server NTP(per la coerenza dei logs è importante che l’orario sia corretto)
• ...e si conclude col classico tasto “FINISH”
Configurazione iniziale
• Appena raggiunta la pagina iniziale di Protector ci troveremo subito due warning per alcuni aggiornamenti critici
• Per il momento possiamo ignorarli dato che verranno risolti aggiornando il firmware dell’appliance con la procedura di aggiornamento che vedremo in seguito...
L’interfaccia webLa schermata inziale è divisa in due frame:
Nella parte sinistra troviamo il menu con le varie voci di configurazioni
A destra invece una serie di tabstatistici ed informativi
Statistiche su quantità di spam e
minacce
Stato dei vari nodi del cluster
Volumi di traffico e code di elaborazione
Risorse di sistema (CPU, memoria,
disco)Versione firmware,
uptime, ecc.
Versioni delle firme dei vari moduli
L’interfaccia web
Le varie voci del menu laterale sono divise in 6 macro categorie:
– Mail Security: policy, reportistica, browse delle mail processate, verifica LDAP ed impostazioni cluster
– SMTP: tutto ciò che riguarda le comunicazioni a livello SMTP ed eventuali certificati TLS
– System: impostazioni di sistema, logs, impostazioni scheda di rete, SNMP, orologio e sotto system toolsriavvio o spegnimento dell’appliance
– Backup & Restore: consente di effettuare backup dei logs e delle impostazioni
– Updates: schedulazione degli aggiornamenti e gestione chiave di attivazione
– Support: estrazione dei file diagnostici, condizioni d’uso e contatti di supporto
Le Policy
Vediamo più nel dettaglio le varie voci dei menu...
Impostazioni
Abilitazione di:Message Tracking (log dei messaggi con vari
livelli di verbositàReporting (compresa schedulazione di report
da inviare via e-mail agli admin)SNMP Traps
Parametri avanzati (es. threads SMTP,
verbosità dei logs, ecc.)
Flusso delle regole Attivazione/disattivazione dell’accesso web agli utenti e scelta porta HTTPS da utilizzare
Definizione blacklistDNS e peso di
ciascuna Attivazione/disattivazione dell’analisi allegati
(consuma un po’ di CPU ma è consigliabile
attivarla!)
Settings - Rules
Sono processate in sequenza dall’alto verso il basso
• Seguono un flusso:– Condizioni preliminari
– Mittente
– Destinatario
– Quando
– Modulo d’analisi
– Risposta
– Azione
• Tutte le componenti del flusso sono definite dai “Policy Objects”
• E’ possibile quindi differenziare le regole anche per gruppi di utenti, orari, ecc.
• Quando una policy interviene si può scegliere se continuare con le successive regole o bloccarlo/autorizzarlo (risparmio elaborazione)
Settings - Rules
Un esempio, la regola predefinita per lo spam:
• Si applica a tutti i domini (My Domains)
• Esegue una serie di moduli d’analisi (Spam Bayesian, Spam URL, Pharmacy Keywords, ecc)
• Esegue come azione ‘Tag as Spam’ che aggiunge [SPAM] all’oggetto del messaggio
• Al termine della regola, prosegue con le seguenti (Continue)
Settings – End User Interface .
Impostazione d’accesso predefinita
URL dell’interfaccia webSe l’hostname esterno corrisponde a quello
interno e se non è stata modificata la porta TCP si
può lasciare l’impostazione
predefinita
Impostazioni specifiche per le varie Directory:è possibile ad esempio autorizzare l’accesso a
tutti ma negarlo ad una categoria di utenti, oppure al contrario negarlo a tutti tranne che ad
alcuni.Salvo esigenze specifiche la configurazione che si adotta abitualmente è di lasciarlo aperto a tutti
(Default Access Mode: Granted)
• DNSBL può essere applicato sia ad una policy che a livello SMTP
• Applicandolo come policy ci permette di definire azioni quali tagnell’oggetto o quarantena
• Applicandolo sull’SMTP ci permette di risparmiare parecchio traffico dati (ma eventuali falsi positivi non sono recuperabili)
Settings – DNSBL/Spam flow .Sets the number of seconds the analysis
module keeps and maintains a certain signature
Qui si possono indicare le varie blacklist da utilizzare, con il peso da
associare a ciascuna
Specifies the necessary amount of occurrences for a certainsignature in the flow of analyzed
email messages before any subsequent occurrence of the signature is considered a match.
Questo valore rappresenta il punteggio minimo da raggiungere per far scattare la regola DNSBL
• In questo caso non ci sono opzioni, il controllo degli allegati può essere solo attivo o non attivo
• Si tratta di un controllo sul contenuto dei file
• Se si attiva le regole agiranno considerando sia il testo della mail che il testo dell’allegato
• Nelle regole si possono creare anche regexp
Settings – File Attachment .
Message Tracking / Reporting .
Attivazione / Disattivazione del tracking dei messaggi e definizione del numero di giorni
da tenere e verbosità
Numero di giorni di logs da tenere per la generazione di reportistica
Configurazione SNMP e salvataggio report nel system log
Qui è possibile definire dei report schedulati che verranno inviati per posta elettronica
I Policy Objects
• Definiscono i criteri su cui agiscono le regole
• Anche in questo caso analizziamo le varie voci dei menu...
Definisce i contenitori delle mail
bloccate.
Mittenti/Destinataridei messaggi (può
essere una directory o un file di testo)
Fasce orarie
Risposte (es. tag, cancellazione
messaggio, rimozione allegato, disclaimer)
Schedulazioni (es. ogni ora, ogni giorno, ecc.)
Template per le mail automatiche inviate agli
utenti col contenuto della quarantena
Precondizioni (attualmente solo una:
binary detected)
Moduli d’analisi (es. spam, phishing, porn url,
newsleter)
Connessioni LDAP per l’autenticazione
utenti
Server per eventuale archiviazione dei logs
Message Stores
Invio del report schedulato, scelta del template ed orario di invio
ATTENZIONE! se si seleziona ‘quarantine’ come tipo, abilitare sempre i report. Altrimenti non funziona la pulizia dopo x giorni
Due tipi:Quarantine Store: archivia i messaggi ed invia il report
(esempio d’uso lo spam)Message Store: archivia solo i messaggi (es. bck virus rimossi)
Numero di giorni da conservare
Who
Definiscono mittenti/destinatari
Lista di tutti gli oggetti presenti. Possono essere Directory
(LDAP), liste di emails, gruppi, user o
raggruppamenti di queste categorie
Ci possono essere Directory (LDAP), liste di emails, gruppi, usero raggruppamenti di
queste categorie
Analysis Modules
Qui è possibile vedere la lista di tutti i moduli di analisi disponibili.
E’ anche possibile aggiungerne di
personalizzati usando regex
Responses
Varie azioni predefinite. E’ possibile utilizzarle o
crearne di nuove
Per le azioni che inviano messaggi negli
store è possibile selezionare in quale
archivio memorizzarli...
...e si può decidere se archiviare il messaggio originale o il messaggio
processato dalle regole (ad esempio di rimozione dell’allegato)
DirectoriesLista di tutte le directory
configurate. Sono già presenti i parametri per LDAP di Domino
ed Active Directory
Modificando la directory è possibile inserire i vari parametri
del nostro server LDAP
Per una configurazione base con una sola directory utilizzare
‘Domino Directory Online’ ed impostare host/ip ed utenza per
il binding
Email browser
• Permette di cercare (ed eventualmente rilasciare) le mail in quarantena
• Se è stato attivato il trackingpermette di cercare tutti i messaggi entrati/usciti
• Molto utile per effettuare debug in caso di problemi di ricezione posta
• Viene tracciato oggetto, mittente, destinatario ed orario – solo nelle mail in quarantena si può vedere anche il contenuto
Verify Who Objects
• Verifica il buon funzionamento delle connessioniLDAP e delgli oggetti ‘Who’
• Inserendo uno specifico indirizzo e-mail, individua in quali oggetti esso è contenuto
SMTP - Configuration
• Vediamo nel dettaglio la configurazione SMTP
Il root domain e gli indirizzi e-mail di servizio
(postmaster, no-reply, ecc)
Tutti i settaggi delle mail in arrivo
Tutti i settaggi delle mail in uscita, tra cui domino da presentare col
comando ‘helo’, tentativi da effettuare per le mail non
recapitabili ed eventuali server DNS custom per alcuni domini
Impostazioni legate al TLS: richiesta dei certificati, ‘always try TLS’, accettazione
certificati self signed, ecc
expiration dei messaggi non recapitati e dei logs
• Nelle prossime slide vedremo le varie voci di “Receiving SMTP”, le altre voci hanno comunque parametri molto intuitivi
Settings
• La maggior parte dei settaggi è di facile interpretazione
Qui si indicano tutti i domini gestiti da Protector
e per ciascuno i server SMTP su cui girare la posta
Eventuali reti autorizzate ad utilizzare Protector
come relay
Global IP ACL
• In quest’area è possibile definire IP autorizzati o negati alla connessione al nostro server
è anche possibile personalizzare la risposta del server SMTP
DNSBL
• Abilitando questa funzione blocchiamo le connessioni riconosciute in black list DNS direttamente a livello SMTP
• In questo modo risparmiamo sia traffico dati che potenza di calcolo (il messaggio viene rifiutato ancora prima di essere ricevuto e processato dagli altri filtri)
• NB: eventuali falsi positivi non saranno recuperabili
è anche possibile bloccare la connessione in modo
silente, senza dare notifica al server mittente
i parametri DNSBL sono quelli visti in precedenza. Cliccando su ‘DNSBL Settings’ si viene rimandati alle impostazioni
DNSBL nell’area Policy
• Rifiutiamo i messaggi verso destinatari inesistenti: risparmiamo traffico dati, elaborazione ed evitiamo di fare il relay di messaggi inutili al server Domino
Recipient Verification
anche in questo caso è possibile personalizzare la risposta del server SMTP
In quest’area andranno aggiunte tutte le directory che vogliamo utilizzare.
è anche poossibile bloccare una singola directory (es utenti non autorizzati a ricevere posta)
• Aumenta le prestazioni di Protector
• Effettua il drop a livello SMTP appena si accorge che una mail è spam, senza attendere la conclusione della sessione
ZLA
anche in questo caso è possibile personalizzare la risposta del server SMTP
Tipo di risposta da adottare (block o tag)
• Tecnologia in grado di bloccare lo spam basandosi sulla reputazione di un host
• Se Protector riceve molto spam da un idirizzo IP, superata una certa soglia comincerà a bloccarlo a livello SMTP
DHR
è possibile definire il comportamento da
adottare (reject, silentdrop, tag)
parametri che definiscono il comportamento del filtro (finestra, durata della quarantena, spam hitsper far scattare la quarantena, ecc)
Vediamo velocemente il menu System:
– Events: registro degli eventi e degli errori
– Log files: permette di esportare i logs (compresi i logs a livello SMTP)
– End User Manager: possiamo controllare le black/white list degli utenti
– Firewall: imposta in quali schede di rete sono in ascolto i servizi (max 4 NIC)
– IPS: attiva l’Intrusion Prevenction
– ICAP: protezione antivirus per IBM WebSphere ICAPinterface (Quickr e Connections)
– Networking/Routes: parametri di rete (IP, gateway,ecc)
– Admin Passwords: modifica password root e admin
– E-mail & SNMP: permette di definire quali tipi di alertdevono essere notificati via SNMP o e-mail
– Time: fuso orario e server NTP
– System tools: ping, traceroute, clear DNS cache
System
• Parametro notes.ini $PROTECTOR_LOCATION=url:port(es. $PROTECTOR_LOCATION=demoprotector.itatis.net:4443)
• Al primo accesso dell’utente viene richiesta l’autenticazione (internet password se si utilizza Domino come LDAP)
• Attualmente non supporta integrazione con iNotes e SSO
• Per evitare che ad ogni accesso chieda di accettare il certificato SSL, installarlo nella root certification del PC (o distribuirlo tramite Active Directory con le GPO)
Integrazione con Notes
Integrazione con Notes
Il parametro si può distribuire automaticamente via policy:
• Policy di tipo ‘Desktop Settings’: nei ‘Custom Settings’ inserire il parametro del notes.ini
• A partire dalla R9 è possibile fare la stessa configurazione, in modo più agevole, dalla scheda ‘Basics’ delle policy Desktop
• Molti bugs di integrazione tra Protector e Notes sono stati risolti con 8.5.2FP1 ed 8.5.3 (oltre che con la R9), assicuratevi quindi che i client siano aggiornati
• Se un client riceve errori di autenticazione, nonostante la password sia giusta, provare a cancellare ‘PROTECTOR_ACCOUNT_NAME’ dagli Accounts della rubrica locale
Integrazione con Notes
Link utili
• Info:www-03.ibm.com/software/products/us/en/protector/
• Documentazione: www.ibm.com/developerworks/lotus/documentation/protector/mailsecurity/
• Wiki:www-10.lotus.com/ldd/dominowiki.nsf/xpViewCategories.xsp?lookupName=Lotus%20Protector
• Trial:www.ibm.com/developerworks/downloads/ls/lotusprotector/index.html
• Risorse marketing:www-304.ibm.com/partnerworld/wps/servlet/ContentHandler/X721840E59886A74
6.
Qualche “trucco” non documentato
Accesso “helpdesk”
• Spesso si vuole avere un utente che ha accesso allaquarantena ma non alla configurazione
• Aggiungendo l’utente “helpdesk” alla configurazione diApache su Protector, quest’ultimo avrà visibilità dellaquarantena e potrà sbloccare le mail per conto degli utenti
• Funziona solo con l’utente “helpdesk”, qualsiasi altroutente creato non ha accesso alla console di Protector
• Per attivarlo:
– Login come root via SSH
– Eseguire il commandohtpasswd2 /var/www/auth/htpasswd helpdesk
– Digitare la password desiderata
Rubrica offline
• La funzionalità di caching offline della rubrica di Protectorscade dopo 24 ore (… e comunque non funziona bene…)
• Per poter avere una copia offline della rubrica è necessario utilizzare un task che estrapola dal server LDAP la lista degli indirizzi e la salva su un file di testo.
• Si procede in questo modo:
– Accesso come root a Protector
– Si crea un cronjob con questo comando:0 * * * * /usr/sbin/ldap_smtpextractor
/etc/mailsec/SETConfig/itatis\ directory_config.txt
(sostituendo “itatis\ directory” col nome definito nell’oggetto Who che punta all’LDAP – nell’esempio il task viene eseguito ogni ora, si può comunque modificare)
Rubrica offline
– Se il file contiene uno spazio creare un linkes: ln itatis\ directory_config.emails itatis.emails
– Verificare che nella cartella /etc/mailsec/SETConfig/ vengano creato il file .emails– Creare un nuovo oggetto “Who” contenente questa stringa:$(FILE./etc/mailsec/SETConfig/itatis.emails)
Rubrica offline
– Impostare il nuovo oggetto nel recipient verification delle impostazioni SMTP (ed eventualmente nelle regole, se ne avete create basate sulle directory aniché sui domini)– Da questo momento per le regole/verifica destinatari verrà usato il file “asincrono”, mentre per l’autenticazione utenti l’LDAP
TLS e Certificati SSL
• L’installazione di certificati SSL firmati da terze parti non funziona correttamente dalla console web
• Per poterli utilizzare correttamente seguire le indicazioni presenti nelle technote:swg21578783 ed swg21578722
• L’uso di TLS può essere una buona soluzione anche per cifrare il transito delle mail tra Protector ed i server Domino interni
• Per configurare TLS su Domino: technote swg21108352
7.
Q&A
[slide finale]
GRAZIE PER L’ATTENZIONE!
I miei contatti...
Fabio GrassoITATIS S.r.l - www.itatis.net
[email protected] - [email protected]
www.linkedin.com/in/fabiograsso82/it
Grazie agli sponsor per aver reso possibile i Dominopoint Days 2013!
Main Sponsor
Vad sponsor
Platinum sponsor
Gold sponsor