From Zero To Protected Hero...

Difendiamoci dallo spam conLotus Protector for Mail Security

Fabio Grasso

Fabio Grasso

• Lavoro come sistemista per Itatis Srl (www.itatis.net) con particolare focus sulle soluzioni di collaborationIBM/Lotus

• Sono Certified System Administrator e Certified Instructorper la versione 8.5 di Notes/Domino e conosco l’ambiente Lotus dalla versione 6.5 con cui ho iniziato a lavorare nel 2004

• Oltre al software di collaboration mi occupo di progettare e manutenere infrastrutture con server e storage IBM e sistemi operativi Microsoft e Linux

Presentiamoci...

Introduzione

• Durante questa presentazione analizzeremo le varie minacce che possono giungere tramite posta elettronica

• Vedremo poi quali strumenti mette a nostra disposizione IBM Domino per bloccare la posta indesiderata

• Ci concentreremo su Lotus Protector for Mail Security, un interessante prodotto che consente di filtrare virus, spam e phishing con un’integrazione nell’interfaccia utente di Notes

• Concluderemo poi con alcune funzionalità non documentate di Protector e sarò a vostra disposizione per rispondere ad eventuali domande

Indice

1. Tipi di minacce e qualche dato statistico

2. Impostazioni di Domino per contrastare lo spam

3. Lotus Protector… cos’è e cosa fa

4. Installazione di Protector

5. Configurazione di Protector

6. Qualche “trucco” non documentato

7. Q&A

1.

Tipi di minacce e qualche dato

statistico

Un breve ripasso…

• Spam/Junk Mail: messaggi indesiderati, tipicamente con fini commerciali, spesso contenenti immagini nascoste che consentono di confermare l’avvenuta del messaggio

• Phishing: messaggi di truffa che tentano, tramite tecniche di ingegneria sociale, di indurre l’utente a fornire informazioni personali (quali password, numeri di carte di credito, ecc.)

• Virus/Trojan/Malware: messaggi contenenti allegati (spesso cifrati per evitare di essere individuati) che installano sul computer dell’utente software dannoso

Primo semestre 2013Fonte Kaspersky Labhttp://www.kaspersky.com/it/about/news/spam/201

3/Lo_spam_nel_secondo_trimestre_del_2013

Qualche dato

La posta indesiderata rappresenta circa il 70% del traffico

Qualche dato

Primo semestre 2013 - Fonte Kaspersky Labhttp://www.kaspersky.com/it/about/news/spam/2013/Lo_spam_nel_secondo_trimestre_del_2013

I messaggi di SPAM o Phishing normalmente sono molto piccoli (<1Kb), ma inviati in tale quantità da rappresentare cifre importanti anche dal punto di vista dello spazio occupato (e di conseguenza della banda Internet occupata)

Phishing

• Il phishing che mira ai social network ha superato (più del doppio!) quello relativo alle banche

• Spesso i social network sono usati anche per scopi aziendali, è quindi di vitale importanza proteggerne le credenziali

Primo semestre 2013 - Fonte Kaspersky Labhttp://www.kaspersky.com/it/about/news/spam/2013/Lo_spam_nel_secondo

_trimestre_del_2013

Metodi per combattere lo spam

• Software locale: installazione direttamente sui pc degli utenti di software che filtrano I messaggi in entrata/uscita (tipicamente funzionalità inclusa nell’antivirus)

• Blacklist DNS (DNSBL): si tratta di speciali server DNS che raccolgono liste dei mittenti di spam (ogni servizio ha proprie regole e criteri)

• Software sul server di posta: si tratta di particolari “plugin” che aggiungono sistemi di filtraggio delle mail al server di posta in uso (Domino, Exchange, ecc)

Metodi per combattere lo spam

• Mail gateway (on premise/in cloud): si tratta sostanzialmente di server SMTP che ricevono la posta, la analizzano e la inviano, una volta depurate dai messaggi indesiderati, al server di posta reale.

Tale server può essere installato sia localmente che utilizzato come servizio in cloud.

Lotus Protector for Mail Security è un esempio di software che utilizza questa metodologia.

2.

Impostare Domino per prevenire lo

spam

Impostare una blacklist DNS

• E’ possibile bloccare totalmente i messaggi o marcarli con uno speciale flag

• Bloccandoli si reduce il traffico SMTP, ma se c’è un falso positivo non potrà essere recuperato

• Lista DNSBL attive: www.dnsbl.info

Impostare una blacklist DNS

• Se si sceglie l’opzione “Log and tag” sarà poi necessario creare una regola nei singoli database degli utenti

• Il flag è infatti un campo nascosto chiamato $DNSBLSite

Controlli DNS

• E’ possibile verificare che il server di origine del messaggio in arrivo sia registrato nei DNS pubblici

• Analogamente possiamo verificare che anche il dominio del mittente sia registrato

• In questo caso i messaggi vengono rifiutati senza possibilità di flag

• Seppur raramente si possono verificare falsi positivi

Controllo destinatari

• Questa regola vale in generale e non solo per lo spam: onde evitare di riempire le mailbox con messaggi destinati a persone non presenti in rubrica, è possibile bloccare a livello SMTP l’invio a destinatari inesistenti

• Infine tra le voci presenti in “SMTP Inbound Controls” troviamo varie opzioni per bloccare singoli host/destinatari, utilizzare blacklist/whitelist private e molto altro

IMPORTANTE!!

Sembra scontato, ma spesso mi è capitato di trovare server che si comportano da open relay:salvo particolari esigenze i controlli anti-relay devono sempre essere attivi!!

Per una maggiore sicurezza bloccare la connessione a tutti gli host e specificare manualmente quelli autorizzati

3.

Lotus Protectorcos’è e cosa fa

Domino & Protector

• IBM Domino è un ambiente intrinsecamente sicuro, tuttavia non è immune a phishing ed allegati pericolosi aperti dall’utente

• Oltre alle mail pericolose ci sono comunque messaggi indesiderati (es. pubblicità) che l’utente nonvuole ricevere

• Per ovviare a queste “mancanze” diDomino ci viene in soccorso Protector

Lotus Protector for Mail Security

• Software di filtraggio spam, malware e content filtering

• Basato su tecnologia IBM ISS X-Force

• Analisi dei messaggi su più livelli

• Antivirus basato su signature ed euristica

• Controllo URL nel testo per phishing e spyware

• White/Black list globali e per utente

• Intrusion Prevention System integrato

• Analisi testo negli allegati (anche compressi)

• Possibilità di bloccare determinati tipi di allegati

• ...funziona a livello SMTP, quindi applicabile a qualsiasi server di posta, non solo Domino...

• NEW R2.8! Antivirus (ICAP) anche per Quickr e Connections

Lotus Protector for Mail Security

• IP Reputation: drop delle connessioni di IP noti come malevoli a livello SMTP

• Analisi del contenuto: riconoscimento dello spam dall’analisi avanzata del testo

• ZLA: utilizza un sottoinsieme di filtri ottimizzato analizzando i bits sequenzialmente. Termina la connessione se rileva spam.La posta che passa è comunque sottoposta agli altri filtri

Lotus Protector for Mail Security

• Log di tutto il traffico con possibilità di ricerca con vari filtri

• Accesso alla quarantena a livello utente e amministratore

• Report schedulato della quarantena agli utenti

• Integrazione con Notes (a partire dalla rel 8.5.1)

Integrazione con Notes

Accesso alla quarantena e

white/black list

Scorciatoia per inserire il mittente

in blacklist

Report di quarantena

Mittente ed oggetto di ciascun messaggio

Recupero dalla quarantena e gestione

black/white list

• Il report è tradotto nelle principali lingue e sia il testo che il layout sono personalizzabili

• Viene inviato anche in format text only per essere compatibile con qualsiasi client di posta

Schema di funzionamento

• Il record MX del dominio punta ad uno o più server Protector

• I server Protector ricevono la posta, la filtrano e la inviano (relay) ai server di posta interni

Schema di funzionamento

• Analogamente è possibile filtrare anche la posta in uscita, impostando i server Protector come outgoing SMTP relay

• Per questa configurazione si rimanda alla documentazione di Protector

Mail flow

Analisi multilivello

Policy

• Creazione di policy semplice e basata principalmente sui quattro fattori CHI – COSA – QUANDO – AZIONE

• Tutte le policy sono processate in sequenza, è quindi possibiledefinire priorità e fermare l’analisi una volta che una regola è scattata (risparmio elaborazione)

• Esempio pratico: antivirus primaregola, whitelist seconda. Se ilmittente è in whitelist non processole altre regole risparmiando risorse

• Ogni regola è collegata ad oggetti,modificando il singolo oggettoagisco su tutte le regole che lo utilizzano

Un caso pratico

• ITATIS fornisce ai clienti Lotus Protector con una formula “in cloud” sia tramite server dedicati che tramite server condivisi tra più clienti

• Di seguito alcuni grafici presi da uno di questi server...

• Totale 1 mese:

– 592,576 messaggi

– 35 Gb di traffico

Un caso pratico

• Su 592.576 messaggi 167.552 erano indesiderati

• Circa il 28,27% - percentuale molto più bassa della media mondiale grazie anche al filtro dei destinatari attuato a livello SMTP (se il destinatario non esiste la mail viene rifiutata ancor prima di riceverne il testo)

• I recuperi dalla quarantena sono stati 117, pari allo 0,07% dei messaggi filtrati e allo 0,02% del totale dei messaggi ricevuti, un’ottima media di falsi positivi!

Un caso pratico

• Nonostante il cospicuo traffico di posta l’uso di memoria e CPU rimane comunque molto basso:

4.

Installazione di Protector

Download

• Protector è racchiuso in un unico file ISO che può essere installato sia su VMWare che su un HW certificato

• Per praticità la presentazione si basa sull’installazione su VMWare. L’installazione su HW differisce solo per la configurazione di un eventuale RAID dei dischi. Una volta installata è identica alla versione VMWare

• Codice passport: CI3FWML

• La licenza è per utente ed è disponibile una versione dimostrativa che dura 90 giorni

Requisiti HW

Requisiti minimi per appliance virtuale:

VMware Server 1.0.2VMware Workstation 5.5

VMware Player 1.0.3VMware ESX 3.x

1Gb RAM50Gb disco

Throughtput: 70Kemails/hour

Java

• Un grosso difetto di Protector è dato dalle applet java dell’interfaccia web di amministrazione...

• In particolare è ufficialmente supportato solo JAVA JRE 1.6 inferiore ad update 24

• Con versioni successive ci sono parecchi problemi di instabilità e spesso è necessario chiudere e riaprire il browser per continuare la configurazione

• Importante: disattivare la cache dai settaggi Java nel pannello di controllo!

Porte TCP

• Per un corretto funzionamento occorre che dall’esterno Protector sia raggiungibile da queste porte:

– SMTP (25) per il traffico di posta in entrata

– HTTPS (443) per l’interfaccia web di gestione

– 4443 per l’accesso alla quarantena da parte degli utenti

• Se Protector è in DMZ andrà consentito questo traffico verso la rete interna:

– LDAP (389) per l’accesso alla rubrica di Domino via LDAP

– SMTP (25) per l’inoltro della posta ai server interni

• Altre porte andranno abilitate per traffico cluster, SNMP, ecc. (si rimanda alla documentazione)

Installazione

• Per questa “demo” è stata creata una macchina virtuale su WMWare con queste caratteristiche:

– 2Gb RAM

– 100 Gb di disco (va dimensionato in base al volume di dati da tenere in quarantena)

– 2 schede di rete (la prima host only, la seconda bridged)

– O.S. SUSE Linux Enterprise 10 32bit

• Una volta creata, si monta la ISO e la sia avvia

Installazione

• A questo punto parte il processo di installazione che impiega qualche minuto a trasferire i dati dalla ISO alla VM

• Il processodi installazioneriavvierà la VMdue volte primadi concludersi

Installazione

• Una volta completata l’installazione appare la schermata di login

• Password di root: admin

• E’ anche attivo l’accesso tramite SSH

Accesso all’interfaccia web

• Individuare l’IP indicato in alto a destra, il primo è preimpostato, il secondo in DHCP. Se non è presente un server DHCP è necessario accedere alla shell e modificare manualmente l’indirizzo tramite YaST (l’appliance Protector è

basata su SuSE 10)

• Aprire nel browser l’IP dell’appliance col protocollo HTTPS

• In alternativa con VMWare Workstation: impostare scheda di rete host only del PC su 192.168.123.1 ed aprirehttps://192.168.123.123

• Utente: admin – Password: admin

• Molte delle impostazioni di Protector vengono definite con una comoda procedura guidata, che ora analizzeremo...

5.

Configurazione di Protector

Configurazione iniziale

• Si procede con l’installazione accettando la licenza d’uso e selezionando se usare la trial o inserire la chiave d’attivazione

Configurazione iniziale

• Si imposta l’host name e si toglie la spunta dal DHCP nella primary network, in modo da poter inserire gli indirizzi desiderati

Configurazione iniziale

• Occorre poi indicare i domini che andranno gestiti ed i relativi mail server su cui indirizzare la posta…

• …e se usare il DNS o dei forwarder per la posta in uscita

Configurazione iniziale

• RSS feed dell’event log ed impostazione delle notifiche

• Consiglio di attivare solo gli errori di Sistema, altrimenti le notifiche risultanoinvadenti

• Come giustamenteviene suggerito...usare 127.0.0.1come server di posta non è una buona idea!

Configurazione iniziale

• Dulcis in fundo si imposta il fuso orario ed il server NTP(per la coerenza dei logs è importante che l’orario sia corretto)

• ...e si conclude col classico tasto “FINISH”

Configurazione iniziale

• Appena raggiunta la pagina iniziale di Protector ci troveremo subito due warning per alcuni aggiornamenti critici

• Per il momento possiamo ignorarli dato che verranno risolti aggiornando il firmware dell’appliance con la procedura di aggiornamento che vedremo in seguito...

L’interfaccia webLa schermata inziale è divisa in due frame:

Nella parte sinistra troviamo il menu con le varie voci di configurazioni

A destra invece una serie di tabstatistici ed informativi

Statistiche su quantità di spam e

minacce

Stato dei vari nodi del cluster

Volumi di traffico e code di elaborazione

Risorse di sistema (CPU, memoria,

disco)Versione firmware,

uptime, ecc.

Versioni delle firme dei vari moduli

L’interfaccia web

Le varie voci del menu laterale sono divise in 6 macro categorie:

– Mail Security: policy, reportistica, browse delle mail processate, verifica LDAP ed impostazioni cluster

– SMTP: tutto ciò che riguarda le comunicazioni a livello SMTP ed eventuali certificati TLS

– System: impostazioni di sistema, logs, impostazioni scheda di rete, SNMP, orologio e sotto system toolsriavvio o spegnimento dell’appliance

– Backup & Restore: consente di effettuare backup dei logs e delle impostazioni

– Updates: schedulazione degli aggiornamenti e gestione chiave di attivazione

– Support: estrazione dei file diagnostici, condizioni d’uso e contatti di supporto

Le Policy

Vediamo più nel dettaglio le varie voci dei menu...

Impostazioni

Abilitazione di:Message Tracking (log dei messaggi con vari

livelli di verbositàReporting (compresa schedulazione di report

da inviare via e-mail agli admin)SNMP Traps

Parametri avanzati (es. threads SMTP,

verbosità dei logs, ecc.)

Flusso delle regole Attivazione/disattivazione dell’accesso web agli utenti e scelta porta HTTPS da utilizzare

Definizione blacklistDNS e peso di

ciascuna Attivazione/disattivazione dell’analisi allegati

(consuma un po’ di CPU ma è consigliabile

attivarla!)

Settings - Rules

Sono processate in sequenza dall’alto verso il basso

• Seguono un flusso:– Condizioni preliminari

– Mittente

– Destinatario

– Quando

– Modulo d’analisi

– Risposta

– Azione

• Tutte le componenti del flusso sono definite dai “Policy Objects”

• E’ possibile quindi differenziare le regole anche per gruppi di utenti, orari, ecc.

• Quando una policy interviene si può scegliere se continuare con le successive regole o bloccarlo/autorizzarlo (risparmio elaborazione)

Settings - Rules

Un esempio, la regola predefinita per lo spam:

• Si applica a tutti i domini (My Domains)

• Esegue una serie di moduli d’analisi (Spam Bayesian, Spam URL, Pharmacy Keywords, ecc)

• Esegue come azione ‘Tag as Spam’ che aggiunge [SPAM] all’oggetto del messaggio

• Al termine della regola, prosegue con le seguenti (Continue)

Settings – End User Interface .

Impostazione d’accesso predefinita

URL dell’interfaccia webSe l’hostname esterno corrisponde a quello

interno e se non è stata modificata la porta TCP si

può lasciare l’impostazione

predefinita

Impostazioni specifiche per le varie Directory:è possibile ad esempio autorizzare l’accesso a

tutti ma negarlo ad una categoria di utenti, oppure al contrario negarlo a tutti tranne che ad

alcuni.Salvo esigenze specifiche la configurazione che si adotta abitualmente è di lasciarlo aperto a tutti

(Default Access Mode: Granted)

• DNSBL può essere applicato sia ad una policy che a livello SMTP

• Applicandolo come policy ci permette di definire azioni quali tagnell’oggetto o quarantena

• Applicandolo sull’SMTP ci permette di risparmiare parecchio traffico dati (ma eventuali falsi positivi non sono recuperabili)

Settings – DNSBL/Spam flow .Sets the number of seconds the analysis

module keeps and maintains a certain signature

Qui si possono indicare le varie blacklist da utilizzare, con il peso da

associare a ciascuna

Specifies the necessary amount of occurrences for a certainsignature in the flow of analyzed

email messages before any subsequent occurrence of the signature is considered a match.

Questo valore rappresenta il punteggio minimo da raggiungere per far scattare la regola DNSBL

• In questo caso non ci sono opzioni, il controllo degli allegati può essere solo attivo o non attivo

• Si tratta di un controllo sul contenuto dei file

• Se si attiva le regole agiranno considerando sia il testo della mail che il testo dell’allegato

• Nelle regole si possono creare anche regexp

Settings – File Attachment .

Message Tracking / Reporting .

Attivazione / Disattivazione del tracking dei messaggi e definizione del numero di giorni

da tenere e verbosità

Numero di giorni di logs da tenere per la generazione di reportistica

Configurazione SNMP e salvataggio report nel system log

Qui è possibile definire dei report schedulati che verranno inviati per posta elettronica

I Policy Objects

• Definiscono i criteri su cui agiscono le regole

• Anche in questo caso analizziamo le varie voci dei menu...

Definisce i contenitori delle mail

bloccate.

Mittenti/Destinataridei messaggi (può

essere una directory o un file di testo)

Fasce orarie

Risposte (es. tag, cancellazione

messaggio, rimozione allegato, disclaimer)

Schedulazioni (es. ogni ora, ogni giorno, ecc.)

Template per le mail automatiche inviate agli

utenti col contenuto della quarantena

Precondizioni (attualmente solo una:

binary detected)

Moduli d’analisi (es. spam, phishing, porn url,

newsleter)

Connessioni LDAP per l’autenticazione

utenti

Server per eventuale archiviazione dei logs

Message Stores

Invio del report schedulato, scelta del template ed orario di invio

ATTENZIONE! se si seleziona ‘quarantine’ come tipo, abilitare sempre i report. Altrimenti non funziona la pulizia dopo x giorni

Due tipi:Quarantine Store: archivia i messaggi ed invia il report

(esempio d’uso lo spam)Message Store: archivia solo i messaggi (es. bck virus rimossi)

Numero di giorni da conservare

Who

Definiscono mittenti/destinatari

Lista di tutti gli oggetti presenti. Possono essere Directory

(LDAP), liste di emails, gruppi, user o

raggruppamenti di queste categorie

Ci possono essere Directory (LDAP), liste di emails, gruppi, usero raggruppamenti di

queste categorie

Analysis Modules

Qui è possibile vedere la lista di tutti i moduli di analisi disponibili.

E’ anche possibile aggiungerne di

personalizzati usando regex

Responses

Varie azioni predefinite. E’ possibile utilizzarle o

crearne di nuove

Per le azioni che inviano messaggi negli

store è possibile selezionare in quale

archivio memorizzarli...

...e si può decidere se archiviare il messaggio originale o il messaggio

processato dalle regole (ad esempio di rimozione dell’allegato)

DirectoriesLista di tutte le directory

configurate. Sono già presenti i parametri per LDAP di Domino

ed Active Directory

Modificando la directory è possibile inserire i vari parametri

del nostro server LDAP

Per una configurazione base con una sola directory utilizzare

‘Domino Directory Online’ ed impostare host/ip ed utenza per

il binding

Email browser

• Permette di cercare (ed eventualmente rilasciare) le mail in quarantena

• Se è stato attivato il trackingpermette di cercare tutti i messaggi entrati/usciti

• Molto utile per effettuare debug in caso di problemi di ricezione posta

• Viene tracciato oggetto, mittente, destinatario ed orario – solo nelle mail in quarantena si può vedere anche il contenuto

Verify Who Objects

• Verifica il buon funzionamento delle connessioniLDAP e delgli oggetti ‘Who’

• Inserendo uno specifico indirizzo e-mail, individua in quali oggetti esso è contenuto

SMTP - Configuration

• Vediamo nel dettaglio la configurazione SMTP

Il root domain e gli indirizzi e-mail di servizio

(postmaster, no-reply, ecc)

Tutti i settaggi delle mail in arrivo

Tutti i settaggi delle mail in uscita, tra cui domino da presentare col

comando ‘helo’, tentativi da effettuare per le mail non

recapitabili ed eventuali server DNS custom per alcuni domini

Impostazioni legate al TLS: richiesta dei certificati, ‘always try TLS’, accettazione

certificati self signed, ecc

expiration dei messaggi non recapitati e dei logs

• Nelle prossime slide vedremo le varie voci di “Receiving SMTP”, le altre voci hanno comunque parametri molto intuitivi

Settings

• La maggior parte dei settaggi è di facile interpretazione

Qui si indicano tutti i domini gestiti da Protector

e per ciascuno i server SMTP su cui girare la posta

Eventuali reti autorizzate ad utilizzare Protector

come relay

Global IP ACL

• In quest’area è possibile definire IP autorizzati o negati alla connessione al nostro server

è anche possibile personalizzare la risposta del server SMTP

DNSBL

• Abilitando questa funzione blocchiamo le connessioni riconosciute in black list DNS direttamente a livello SMTP

• In questo modo risparmiamo sia traffico dati che potenza di calcolo (il messaggio viene rifiutato ancora prima di essere ricevuto e processato dagli altri filtri)

• NB: eventuali falsi positivi non saranno recuperabili

è anche possibile bloccare la connessione in modo

silente, senza dare notifica al server mittente

i parametri DNSBL sono quelli visti in precedenza. Cliccando su ‘DNSBL Settings’ si viene rimandati alle impostazioni

DNSBL nell’area Policy

• Rifiutiamo i messaggi verso destinatari inesistenti: risparmiamo traffico dati, elaborazione ed evitiamo di fare il relay di messaggi inutili al server Domino

Recipient Verification

anche in questo caso è possibile personalizzare la risposta del server SMTP

In quest’area andranno aggiunte tutte le directory che vogliamo utilizzare.

è anche poossibile bloccare una singola directory (es utenti non autorizzati a ricevere posta)

• Aumenta le prestazioni di Protector

• Effettua il drop a livello SMTP appena si accorge che una mail è spam, senza attendere la conclusione della sessione

ZLA

anche in questo caso è possibile personalizzare la risposta del server SMTP

Tipo di risposta da adottare (block o tag)

• Tecnologia in grado di bloccare lo spam basandosi sulla reputazione di un host

• Se Protector riceve molto spam da un idirizzo IP, superata una certa soglia comincerà a bloccarlo a livello SMTP

DHR

è possibile definire il comportamento da

adottare (reject, silentdrop, tag)

parametri che definiscono il comportamento del filtro (finestra, durata della quarantena, spam hitsper far scattare la quarantena, ecc)

Vediamo velocemente il menu System:

– Events: registro degli eventi e degli errori

– Log files: permette di esportare i logs (compresi i logs a livello SMTP)

– End User Manager: possiamo controllare le black/white list degli utenti

– Firewall: imposta in quali schede di rete sono in ascolto i servizi (max 4 NIC)

– IPS: attiva l’Intrusion Prevenction

– ICAP: protezione antivirus per IBM WebSphere ICAPinterface (Quickr e Connections)

– Networking/Routes: parametri di rete (IP, gateway,ecc)

– Admin Passwords: modifica password root e admin

– E-mail & SNMP: permette di definire quali tipi di alertdevono essere notificati via SNMP o e-mail

– Time: fuso orario e server NTP

– System tools: ping, traceroute, clear DNS cache

System

• Parametro notes.ini $PROTECTOR_LOCATION=url:port(es. $PROTECTOR_LOCATION=demoprotector.itatis.net:4443)

• Al primo accesso dell’utente viene richiesta l’autenticazione (internet password se si utilizza Domino come LDAP)

• Attualmente non supporta integrazione con iNotes e SSO

• Per evitare che ad ogni accesso chieda di accettare il certificato SSL, installarlo nella root certification del PC (o distribuirlo tramite Active Directory con le GPO)

Integrazione con Notes

Integrazione con Notes

Il parametro si può distribuire automaticamente via policy:

• Policy di tipo ‘Desktop Settings’: nei ‘Custom Settings’ inserire il parametro del notes.ini

• A partire dalla R9 è possibile fare la stessa configurazione, in modo più agevole, dalla scheda ‘Basics’ delle policy Desktop

• Molti bugs di integrazione tra Protector e Notes sono stati risolti con 8.5.2FP1 ed 8.5.3 (oltre che con la R9), assicuratevi quindi che i client siano aggiornati

• Se un client riceve errori di autenticazione, nonostante la password sia giusta, provare a cancellare ‘PROTECTOR_ACCOUNT_NAME’ dagli Accounts della rubrica locale

Integrazione con Notes

Link utili

• Info:www-03.ibm.com/software/products/us/en/protector/

• Documentazione: www.ibm.com/developerworks/lotus/documentation/protector/mailsecurity/

• Wiki:www-10.lotus.com/ldd/dominowiki.nsf/xpViewCategories.xsp?lookupName=Lotus%20Protector

• Trial:www.ibm.com/developerworks/downloads/ls/lotusprotector/index.html

• Risorse marketing:www-304.ibm.com/partnerworld/wps/servlet/ContentHandler/X721840E59886A74

6.

Qualche “trucco” non documentato

Accesso “helpdesk”

• Spesso si vuole avere un utente che ha accesso allaquarantena ma non alla configurazione

• Aggiungendo l’utente “helpdesk” alla configurazione diApache su Protector, quest’ultimo avrà visibilità dellaquarantena e potrà sbloccare le mail per conto degli utenti

• Funziona solo con l’utente “helpdesk”, qualsiasi altroutente creato non ha accesso alla console di Protector

• Per attivarlo:

– Login come root via SSH

– Eseguire il commandohtpasswd2 /var/www/auth/htpasswd helpdesk

– Digitare la password desiderata

Rubrica offline

• La funzionalità di caching offline della rubrica di Protectorscade dopo 24 ore (… e comunque non funziona bene…)

• Per poter avere una copia offline della rubrica è necessario utilizzare un task che estrapola dal server LDAP la lista degli indirizzi e la salva su un file di testo.

• Si procede in questo modo:

– Accesso come root a Protector

– Si crea un cronjob con questo comando:0 * * * * /usr/sbin/ldap_smtpextractor

/etc/mailsec/SETConfig/itatis\ directory_config.txt

(sostituendo “itatis\ directory” col nome definito nell’oggetto Who che punta all’LDAP – nell’esempio il task viene eseguito ogni ora, si può comunque modificare)

Rubrica offline

– Se il file contiene uno spazio creare un linkes: ln itatis\ directory_config.emails itatis.emails

– Verificare che nella cartella /etc/mailsec/SETConfig/ vengano creato il file .emails– Creare un nuovo oggetto “Who” contenente questa stringa:$(FILE./etc/mailsec/SETConfig/itatis.emails)

Rubrica offline

– Impostare il nuovo oggetto nel recipient verification delle impostazioni SMTP (ed eventualmente nelle regole, se ne avete create basate sulle directory aniché sui domini)– Da questo momento per le regole/verifica destinatari verrà usato il file “asincrono”, mentre per l’autenticazione utenti l’LDAP

TLS e Certificati SSL

• L’installazione di certificati SSL firmati da terze parti non funziona correttamente dalla console web

• Per poterli utilizzare correttamente seguire le indicazioni presenti nelle technote:swg21578783 ed swg21578722

• L’uso di TLS può essere una buona soluzione anche per cifrare il transito delle mail tra Protector ed i server Domino interni

• Per configurare TLS su Domino: technote swg21108352

7.

Q&A

[slide finale]

GRAZIE PER L’ATTENZIONE!

I miei contatti...

Fabio GrassoITATIS S.r.l - www.itatis.net

fabio.grasso@itatis.net - fabio.grasso@gmail.com

www.linkedin.com/in/fabiograsso82/it

Grazie agli sponsor per aver reso possibile i Dominopoint Days 2013!

Main Sponsor

Vad sponsor

Platinum sponsor

Gold sponsor