Innanzitutto facciamo una distinzione fra Spam e Ham

Spam [...]]]> Un po’ di tempo fa ho scritto un articolo su come configurare Virtual Users And Domains With Postfix, Courier, MySQL (Ubuntu 8.04 LTS 64bit), ora a partire da questo articolo vediamo come poter migliorare l’identificazione dello spam tramite il comando sa-learn di spamassassin, e l’utilizzo dell’opzione –spam e –ham.

Innanzitutto facciamo una distinzione fra Spam e Ham

Spam : sono le email indesiderate che non si vogliono ricevere, e che quindi vanno scartate, taggate o comunque a cui va fatto aumentare il valore di spam in caso di matching del contenuto con i nostri db di spam.

Ham: sono le mail buone (Ham = prosciutto BUONO!), le email che quindi vogliamo tenere.

Dalla nostra webmail, creiamo una cartella che si chiama Spam e che verrà quindi creata sul filesystem in una cartellina che si chiama .Spam

Ricordando brevemente la struttura delle directory che abbiamo assegnato per ogni email avremo una struttura simile alla seguente

ls -al /home/vmail/domain.tld/info

drwx------  6 vmail vmail 4096 2010-02-23 19:18 .Bozze
drwx------  6 vmail vmail 4096 2010-02-23 19:18 .Cestino
drwx------  2 vmail vmail 4096 2010-04-07 12:05 courierimapkeywords
-rw-r--r--  1 vmail vmail  105 2010-02-23 19:48 courierimapsubscribed
-rw-r--r--  1 vmail vmail 1193 2010-04-07 11:56 courierimapuiddb
drwx------  2 vmail vmail 4096 2010-04-07 12:01 cur
drwx------  6 vmail vmail 4096 2010-04-07 12:41 .Drafts
drwx------  2 vmail vmail 4096 2010-04-07 11:56 new
drwx------  6 vmail vmail 4096 2010-04-07 12:43 .Sent
drwx------  6 vmail vmail 4096 2010-02-23 15:53 .sent-mail
drwx------  6 vmail vmail 4096 2010-02-23 19:18 .Spam
drwx------  6 vmail vmail 4096 2010-02-23 19:51 .Templates
drwx------  2 vmail vmail 4096 2010-04-07 16:51 tmp
drwx------  6 vmail vmail 4096 2010-03-02 20:22 .Trash

Tutti le email di tutti i domini hanno questa struttura, quindi cosa succede…

Quando dalla nostra webmail vediamo che c’è un’email che ha passato i nostri antispam, non facciamo altro che dire “no questa email la sposto nella cartellina Spam!”. (da horde c’è un opzione che permette eventualmente di marcare un’email come spam e automaticamente spostarla in quella cartella).

A questo punto noi avremo che in:

/home/vmail/domain.tld/info/cur = avremo le mail buone (Ham)

mentre in

/home/vmail/domain.tld/info/.Spam = avremo le email di Spam

Sfruttando questo possiamo creare una regola ad hoc, per fare “imparare” a spamassassin, quali sono le mail buone e quali quelle cattive.

Mettiamo tutto in crontab per ottenere questo:

20 * * * * /usr/bin/sa-learn --spam /home/vmail/*/*/.Spam/* &> /dev/null
10 * * * * /usr/bin/sa-learn --ham /home/vmail/*/*/cur/* &> /dev/null

Ai 10  e 20 minuti di ogni ora verranno fatti gli aggiornamenti e il nostro sistema “imparerà” da noi quali sono le mail che non sono spam.

Le feature principali sono:

- SMTP-AUTH e TLS

- password encrypted

- Amavisd, SpamAssassin e ClamAV

La guida di riferimento principale la potete trovare all’indirizzo http://www.howtoforge.com/virtual-users-domains-postfix-courier-mysql-squirrelmail-ubuntu8.04, la scrivo per il semplice motivo che [...]]]> Questa guida vuole essere una quick reference per installare un server di posta con antispam e gestione relativamente semplice di utenti e domini, tramite ubuntu 8.04 TLS 64bit.

Le feature principali sono:

- SMTP-AUTH e TLS

- password encrypted

- Amavisd, SpamAssassin e ClamAV

La guida di riferimento principale la potete trovare all’indirizzo http://www.howtoforge.com/virtual-users-domains-postfix-courier-mysql-squirrelmail-ubuntu8.04, la scrivo per il semplice motivo che la versione di ubuntu a 64bit differisce per alcuni pacchetti rispetto alla versione equivalente a 32bit. A differenza della guida principale ho deciso di non utilizzare la quota, in quanto volevo un sistema che non necessitasse di alcun tipo di ricompilazione esterna.

1. Preliminari

Eseguiamo:
root@localhost: sudo su
root@localhost: ln -sf /bin/bash /bin/sh
root@localhost: /etc/init.d/apparmor stop
root@localhost: update-rc.d -f apparmor remove

2. Install Postfix, Courier, Saslauthd, MySQL, phpMyAdmin

Procediamo con l’installazione dei pacchetti che ci servono:

root@localhost: apt-get install postfix postfix-mysql postfix-doc mysql-client mysql-server courier-authdaemon courier-authlib-mysql courier-pop courier-pop-ssl courier-imap courier-imap-ssl libsasl2-2 libsasl2-modules libsasl2-modules-sql sasl2-bin libpam-mysql openssl phpmyadmin apache2 libapache2-mod-php5 php5 php5-mysql libpam-smbpass

A questo punto vi verranno fatte delle domande post installazione a cui dovrete risopndere come a seguire:

New password for the MySQL “root” user: <– yourrootsqlpassword
Repeat password for the MySQL “root” user: <– yourrootsqlpassword
Create directories for web-based administration? <– No
General type of mail configuration: <– Internet Site
System mail name: <– server1.example.com
SSL certificate required <– Ok
Web server to reconfigure automatically: <– apache2

A questo punto sulla guida originale si passava alla configurazione della quota, che noi non vogliamo usare, se voi volete farlo, prendete come riferimento la guida originale.

3. Creiamo il database MySQL per Postfix/Courier

Creiamo il database mail

root@localhost: mysqladmin -u root -p create mail

entriamo nella shell di mysql

root@localhost: mysql -u root -p

On the MySQL shell, we create the user mail_admin with the passwort mail_admin_password (replace it with your own password) who has SELECT,INSERT,UPDATE,DELETE privileges on the mail database. This user will be used by Postfix and Courier to connect to the mail database

Sulla shell di MySQL, creeremo l’utente mail_admin con la password “mail_admin_password“, che avrà diritti di SELECT,INSERT,UPDATE,DELETE sul database mail.

mysql> GRANT SELECT, INSERT, UPDATE, DELETE ON mail.* TO 'mail_admin'@'localhost' IDENTIFIED BY 'mail_admin_password';
mysql> GRANT SELECT, INSERT, UPDATE, DELETE ON mail.* TO 'mail_admin'@'localhost.localdomain' IDENTIFIED BY 'mail_admin_password';
mysql> FLUSH PRIVILEGES;

selezioniamo ora il database mail

mysql> USE mail;

Creiamo ora le tabelle che ci servono:

CREATE TABLE domains (
domain varchar(50) NOT NULL,
PRIMARY KEY (domain) )
TYPE=MyISAM;

CREATE TABLE forwardings (
source varchar(80) NOT NULL,
destination TEXT NOT NULL,
PRIMARY KEY (source) )
TYPE=MyISAM;

CREATE TABLE users (
email varchar(80) NOT NULL,
password varchar(20) NOT NULL,
PRIMARY KEY (email)
) TYPE=MyISAM;

CREATE TABLE transport (
domain varchar(128) NOT NULL default '',
transport varchar(128) NOT NULL default '',
UNIQUE KEY domain (domain)
) TYPE=MyISAM;

quit;

A questo punto avremo le seguenti tabelle:

- domains : indica quali domini gestisce il nostro server di posta

- forwardings : gestisce la lista dei forwarding di una determinata casella di posta verso un altra

- users : le effettive caselle di posta, con tanto di nome utente e password

- transport: serve a passare la gestione della singola email a un altro server, sintassi smtp:[1.2.3.4] le parentesi quadre indicano che non si deve fare nessuna query al dns, in questo caso va indicato l'indirizzo ip corretto.

Ora tramite phpmyadmin accessibile sul vostro webserver http://ip-del-server/phpmyadmin potrete gestire tutto quel che riguarda gli account di posta.

4- Configurazione Postfix

Editiamo

vi /etc/mysql/my.cnf

e configuriamo la voce

[...]
bind-address            = 127.0.0.1
[...]

se abbiamo modificato il file, eventualmente lanciamo il comando /etc/init.d/mysql restart

Creiamo il file
vi /etc/postfix/mysql-virtual_domains.cf

e inseriamo

user = mail_admin
password = mail_admin_password
dbname = mail
query = SELECT domain AS virtual FROM domains WHERE domain='%s'
hosts = 127.0.0.1

creiamo il file

vi /etc/postfix/mysql-virtual_forwardings.cf

user = mail_admin
password = mail_admin_password
dbname = mail
query = SELECT destination FROM forwardings WHERE source='%s'
hosts = 127.0.0.1

creiamo il file

vi /etc/postfix/mysql-virtual_mailboxes.cf

user = mail_admin
password = mail_admin_password
dbname = mail
query = SELECT CONCAT(SUBSTRING_INDEX(email,'@',-1),'/',SUBSTRING_INDEX(email,'@',1),'/') FROM users WHERE email='%s'
hosts = 127.0.0.1

creiamo il file

vi /etc/postfix/mysql-virtual_email2email.cf

user = mail_admin
password = mail_admin_password
dbname = mail
query = SELECT email FROM users WHERE email='%s'
hosts = 127.0.0.1

creiamo il file

nano /etc/postfix/mysql-virtual_transports.cf

user = mail_admin
password = mail_admin_password
dbname = mail
query = SELECT transport FROM transport WHERE domain='%s'
hosts = 127.0.0.1

Modifichiamo ora i permessi ai file

chmod o= /etc/postfix/mysql-virtual_*.cf
chgrp postfix /etc/postfix/mysql-virtual_*.cf

Creiamo ora il gruppo e l’utente vmail

groupadd -g 5000 vmail
useradd -g vmail -u 5000 vmail -d /home/vmail -m

Eseguiamo ora i comandi di configurazione di postfix, facendo cura di modificare il server server1.example.com con il nostro FQDN.

postconf -e 'myhostname = server1.example.com'
postconf -e 'mydestination = server1.example.com, localhost, localhost.localdomain'
postconf -e 'mynetworks = 127.0.0.0/8'
postconf -e 'virtual_alias_domains ='
postconf -e 'virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, mysql:/etc/postfix/mysql-virtual_email2email.cf'
postconf -e 'virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf'
postconf -e 'virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf'
postconf -e 'virtual_mailbox_base = /home/vmail'
postconf -e 'virtual_uid_maps = static:5000'
postconf -e 'virtual_gid_maps = static:5000'
postconf -e 'smtpd_sasl_auth_enable = yes'
postconf -e 'broken_sasl_auth_clients = yes'
postconf -e 'smtpd_sasl_authenticated_header = yes'
postconf -e 'smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination'
postconf -e 'smtpd_use_tls = yes'
postconf -e 'smtpd_tls_cert_file = /etc/postfix/smtpd.cert'
postconf -e 'smtpd_tls_key_file = /etc/postfix/smtpd.key'
postconf -e 'transport_maps = proxy:mysql:/etc/postfix/mysql-virtual_transports.cf'
#postconf -e 'virtual_create_maildirsize = yes'
#postconf -e 'virtual_mailbox_extended = yes'
#postconf -e 'virtual_mailbox_limit_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailbox_limit_maps.cf'
#postconf -e 'virtual_mailbox_limit_override = yes'
#postconf -e 'virtual_maildir_limit_message = "The user you are trying to reach is over quota."'
#postconf -e 'virtual_overquota_bounce = yes'
postconf -e 'proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $virtual_mailbox_limit_maps'

Creiamo ora il certificato ssl

cd /etc/postfix
openssl req -new -outform PEM -out smtpd.cert -newkey rsa:2048 -nodes -keyout smtpd.key -keyform PEM -days 365 -x509

e completiamo le richieste del certificato come a seguire

Country Name (2 letter code) [AU]: <-- Enter your Country Name (e.g., "DE").
State or Province Name (full name) [Some-State]: <-- Enter your State or Province Name.
Locality Name (eg, city) []: <-- Enter your City.
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <-- Enter your Organization Name (e.g., the name of your company).
Organizational Unit Name (eg, section) []: <-- Enter your Organizational Unit Name (e.g. "IT Department").
Common Name (eg, YOUR name) []: <-- Enter the Fully Qualified Domain Name of the system (e.g. "server1.example.com").
Email Address []: <-- Enter your Email Address.

e modifichiamo i permessi come segue

chmod o= /etc/postfix/smtpd.key

5. Configure Saslauthd

Creiamo la cartella per saslauthd

mkdir -p /var/spool/postfix/var/run/saslauthd

Editiamo ora il file /etc/default/saslauthd settando START a yes e cambiando OPTIONS=”-c -m /var/run/saslauthd” a OPTIONS=”-c -m /var/spool/postfix/var/run/saslauthd -r”:

vi /etc/default/saslauthd

il risultato sarà

#
# Settings for saslauthd daemon
# Please read /usr/share/doc/sasl2-bin/README.Debian for details.
#

# Should saslauthd run automatically on startup? (default: no)
START=yes

# Description of this saslauthd instance. Recommended.
# (suggestion: SASL Authentication Daemon)
DESC="SASL Authentication Daemon"

# Short name of this saslauthd instance. Strongly recommended.
# (suggestion: saslauthd)
NAME="saslauthd"

# Which authentication mechanisms should saslauthd use? (default: pam)
#
# Available options in this Debian package:
# getpwent  -- use the getpwent() library function
# kerberos5 -- use Kerberos 5
# pam       -- use PAM
# rimap     -- use a remote IMAP server
# shadow    -- use the local shadow password file
# sasldb    -- use the local sasldb database file
# ldap      -- use LDAP (configuration is in /etc/saslauthd.conf)
#
# Only one option may be used at a time. See the saslauthd man page
# for more information.
#
# Example: MECHANISMS="pam"
MECHANISMS="pam"

# Additional options for this mechanism. (default: none)
# See the saslauthd man page for information about mech-specific options.
MECH_OPTIONS=""

# How many saslauthd processes should we run? (default: 5)
# A value of 0 will fork a new process for each connection.
THREADS=5

# Other options (default: -c -m /var/run/saslauthd)
# Note: You MUST specify the -m option or saslauthd won't run!
#
# See /usr/share/doc/sasl2-bin/README.Debian for Debian-specific information.
# See the saslauthd man page for general information about these options.
#
# Example for postfix users: "-c -m /var/spool/postfix/var/run/saslauthd"
#OPTIONS="-c -m /var/run/saslauthd"
OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd -r"

Editiamo il file

vi /etc/pam.d/smtp

inseriamo

auth    required   pam_mysql.so user=mail_admin passwd=mail_admin_password host=127.0.0.1 db=mail table=users usercolumn=email passwdcolumn=password crypt=1
account sufficient pam_mysql.so user=mail_admin passwd=mail_admin_password host=127.0.0.1 db=mail table=users usercolumn=email passwdcolumn=password crypt=1

Creiamo il file

vi /etc/postfix/sasl/smtpd.conf

e inseriamo

pwcheck_method: saslauthd
mech_list: plain login
allow_plaintext: true
auxprop_plugin: mysql
sql_hostnames: 127.0.0.1
sql_user: mail_admin
sql_passwd: sysop
sql_database: mail
sql_select: select password from users where email = '%u'

aggiungiamo l’utente postfix al gruppo sals

root@localhost: adduser postfix sasl

e riavviamo postfix e sasl

/etc/init.d/postfix restart
/etc/init.d/saslauthd restart

Configuriamo ora courier

vi /etc/courier/authdaemonrc

e modifichiamo

[...]
authmodulelist="authmysql"
[...]

Creiamo un backup di /etc/courier/authmysqlrc e svuotiamo il vecchio file

cp /etc/courier/authmysqlrc /etc/courier/authmysqlrc_orig
cat /dev/null > /etc/courier/authmysqlrc

Editiamo ora il file

vi /etc/courier/authmysqlrc

e inseriamo

MYSQL_SERVER localhost
MYSQL_USERNAME mail_admin
MYSQL_PASSWORD mail_admin_password
MYSQL_PORT 0
MYSQL_DATABASE mail
MYSQL_USER_TABLE users
MYSQL_CRYPT_PWFIELD password
#MYSQL_CLEAR_PWFIELD password
MYSQL_UID_FIELD 5000
MYSQL_GID_FIELD 5000
MYSQL_LOGIN_FIELD email
MYSQL_HOME_FIELD "/home/vmail"
MYSQL_MAILDIR_FIELD CONCAT(SUBSTRING_INDEX(email,'@',-1),'/',SUBSTRING_INDEX(email,'@',1),'/')
#MYSQL_NAME_FIELD

e riavviamo courier

/etc/init.d/courier-authdaemon restart
/etc/init.d/courier-imap restart
/etc/init.d/courier-imap-ssl restart
/etc/init.d/courier-pop restart
/etc/init.d/courier-pop-ssl restart

Controlliamo ora se il nostro server pop3 funziona

telnet localhost pop3

scrivete QUIT e dovrebbe darvi qualcosa di simile a

root@localhost: telnet localhost 110
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
+OK Hello there.
quit
+OK Better luck next time.
Connection closed by foreign host.
root@localhost:

7. Modifichiamo /etc/aliases

Modifichiamo /etc/aliases con qualcosa simile a

vi /etc/aliases

[...]
postmaster: root
root: postmaster@yourdomain.tld
[...]

dopo di che ad ogni modifica di /etc/aliases lanciamo

root@localhost: newaliases

e riavviamo postfix

root@localhost: /etc/init.d/postfix restart

8. Installiamo Amavisd-new, Spamassassin, Clamv

Lanciamo il comando:

apt-get install amavisd-new spamassassin clamav clamav-daemon zoo unzip bzip2 unzoo libnet-ph-perl libnet-snpp-perl libnet-telnet-perl nomarch lzop pax

Abilitamo Clamav e Spamassassin editando il file /etc/amavis/conf.d/15-content_filter_mode , decommentando le linee @bypass_virus_checks_maps e @bypass_spam_checks_maps

vi /etc/amavis/conf.d/15-content_filter_mode

Che diventerà una cosa simile a:

@bypass_virus_checks_maps = (
   \%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re);

#
# Default SPAM checking mode
# Uncomment the two lines below to enable it back
#

@bypass_spam_checks_maps = (
   \%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);

1;  # ensure a defined return

Controlliamo inoltre i settaggi dell’antispam e dell’antivirus nel file /etc/amavis/conf.d/20-debian_defaults , dovrebbero andare bene per tutti e non necessitano di modifiche particolari.

Editiamo il file /etc/amavis/conf.d/50-user

vi /etc/amavis/conf.d/50-user

ed aggiungiamo

$pax='pax';

avendo come risultato qualcosa di simile a:

use strict;

#
# Place your configuration directives here.  They will override those in
# earlier files.
#
# See /usr/share/doc/amavisd-new/ for documentation and examples of
# the directives you can use in this file
#

$pax='pax';

#------------ Do not modify anything below this line -------------
1;  # ensure a defined return

Eseguiamo questi comandi per aggiungere clamav al gruppo di amavis e riavviare amavisd-new e clamav:

adduser clamav amavis
/etc/init.d/amavis restart
/etc/init.d/clamav-daemon restart
/etc/init.d/clamav-freshclam restart

Configuriamo ora postfix affinchè inoltri le email in arrivo all’antivirus amavisd-new

postconf -e 'content_filter = amavis:[127.0.0.1]:10024'
postconf -e 'receive_override_options = no_address_mappings'

Modifichiamo il file /etc/postfix/master.cf

vi /etc/postfix/master.cf

e aggiungiamo alla fine

[...]
amavis unix - - - - 2 smtp
        -o smtp_data_done_timeout=1200
        -o smtp_send_xforward_command=yes

127.0.0.1:10025 inet n - - - - smtpd
        -o content_filter=
        -o local_recipient_maps=
        -o relay_recipient_maps=
        -o smtpd_restriction_classes=
        -o smtpd_client_restrictions=
        -o smtpd_helo_restrictions=
        -o smtpd_sender_restrictions=
        -o smtpd_recipient_restrictions=permit_mynetworks,reject
        -o mynetworks=127.0.0.0/8
        -o strict_rfc821_envelopes=yes
        -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
        -o smtpd_bind_address=127.0.0.1

e riavviamo postfix

/etc/init.d/postfix restart

ora eseguendo

netstat -tap

dovreste vedere Postfix (smtp 25) e 10025, e amavisd-new sulla 10024

root@server1:/etc/postfix# netstat -tap
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 localhost.localdo:10024 *:*                     LISTEN      15645/amavisd (mast
tcp        0      0 localhost.localdo:10025 *:*                     LISTEN      16677/master
tcp        0      0 localhost.localdo:mysql *:*                     LISTEN      6177/mysqld
tcp        0      0 *:www                   *:*                     LISTEN      5367/apache2
tcp        0      0 *:smtp                  *:*                     LISTEN      16677/master
tcp6       0      0 [::]:imaps              [::]:*                  LISTEN      14020/couriertcpd
tcp6       0      0 [::]:pop3s              [::]:*                  LISTEN      14088/couriertcpd
tcp6       0      0 [::]:pop3               [::]:*                  LISTEN      14051/couriertcpd
tcp6       0      0 [::]:imap2              [::]:*                  LISTEN      13983/couriertcpd
tcp6       0      0 [::]:ssh                [::]:*                  LISTEN      4006/sshd
tcp6       0     52 server1.example.com:ssh 192.168.0.210%8191:3340 ESTABLISHED 4059/0
root@server1:/etc/postfix#

9. Install Razor, Pyzor And Configure SpamAssassin

Installiamo ora Razor, Pyzor che utilizzano una rete di filtri spam collaborativa sostenuta da varie community.

Eseguiamo il comando:

apt-get install razor pyzor

A questo punto editiamo

vi /etc/spamassassin/local.cf

[...]
#pyzor
use_pyzor 1
pyzor_path /usr/bin/pyzor

#razor
use_razor2 1
razor_config /etc/razor/razor-agent.conf

#bayes
use_bayes 1
use_bayes_rules 1
bayes_auto_learn 1

Possiamo configurare la nostra configurazione di spamassassin con il comando:

spamassassin --lint

e non dovrebbe darci alcun errore sul risultato.

Riavviamo ora amavis:

/etc/init.d/amavis restart

Aggiorniamo le nuove regole di Spamassassin con

sa-update --no-gpg

Creiamo un comando crontab per aggiornare le regole ogni tot tempo

crontab -e

e inseriamo

23 4 */2 * * /usr/bin/sa-update --no-gpg &> /dev/null

10. Test postfix

Controliamo ora se tutto funziona, controlliamo ora se postfix è pronto per SMTP-AUTH e TLS
telnet localhost 25

dopo la connessione diamo il comando

ehlo localhost

e dovremmo trovare la stringa

250-STARTTLS

e
50-AUTH LOGIN PLAIN

Qualcosa tipo:

root@server1:/usr/local/sbin# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.localdomain.
Escape character is '^]'.
220 server1.example.com ESMTP Postfix (Ubuntu)
ehlo localhost
250-server1.example.com
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
quit
221 2.0.0 Bye
Connection closed by foreign host.
root@server1:/usr/local/sbin#

Non ci resta che popolare il database con i dati che ci interessano, ometto questa parte in quanto la ritengo particolarmente semplice ed intuitiva,

Mi soffermo su due aspetti, il primo riguarda le PASSWORD. Quando inserite un nuovo utente mi raccomando di selezionare il tipo di campo per le password come ENCRYPT, altrimenti non vi funzionerà l’autenticazione.

Date un occhio alle tabelle del link http://www.howtoforge.com/virtual-users-domains-postfix-courier-mysql-squirrelmail-ubuntu8.04-p4 in fondo alla pagina.

11. Inviare un messaggio di benvenuto per creare la Maildir

Una volta creato un account email è necessario inviare un’email affinchè venga creata immediatamente la directory dove verranno salvate le email. Se questo non viene fatto, quando qualcuno proverà a collegarsi via pop3 gli verrà dato un messaggio di errore. Provvediamo quandi a installare mailx tramite:

apt-get install mailx

per inviare un’email ci basta dare il comando

mailx sales@example.com

e compilare i seguenti campi

mailx sales@example.com
Subject: Welcome <-- ENTER
Welcome! Have fun with your new mail account. <-- ENTER
<-- CTRL+D
Cc: <-- ENTER

A questo punto potete installare squirrelmail e company per gestire la posta come preferite.

Saluti
Matteo

Purtroppo in alcune situazioni essi sono indispensabili (pensate ad un provider che deve permettere ai proprio utenti di gestirsi tutto il loro spazio, e questi [...]]]> Solitamente sui server sono abbastanza contrario all’installazione di pannelli di controllo (plesk, cubepanel, cpanel o simili), in quanto non fanno altro che appesantire i server, portare bug e problemi di vario tipo.

Purtroppo in alcune situazioni essi sono indispensabili (pensate ad un provider che deve permettere ai proprio utenti di gestirsi tutto il loro spazio, e questi non sanno nemmeno cos’è un webserver).

Quello di cui vogliamo parlare oggi è webmin, si tratta di un pannello di controllo molto “low-level”, non è molto user-friendly come ptorebbe essere un plesk, è leggerissimo e permette di gestire pressochè qualunque servizio all’interno di un server (cosa che nessun altro pannello di controllo fa, solitamente si limitano alla parte web-hosting).

Prima di iniziare installiamo i pacchetti necessari sulla nostra debian:

apt-get install libnet-ssleay-perl openssl libauthen-pam-perl libio-pty-perl libmd5-perl

senza questi pacchetti non potremmo installare il nostro pannello, per cui fatelo.

Ora scarichiamo gratuitamente dal sito www.webmin.com il nostro file .deb nelo specifico al momento in cui sto scrivendo l’articolo siamo alla versione 1.400, ora con un semplice

wget http://garr.dl.sourceforge.net/sourceforge/webadmin/webmin_1.400_all.deb

installiamo semplicemente il pacchetto tramite dpkg

dpkg -i webmin_1.400_all.deb

ora non ci resterà altro da fare che accedere tramite un browser all’url https://ip.del.nostro.server:10000

Il tutto è corredata da una svariata quantità di plugin aggiuntivi e di terze parti per poter configurare anche servizi non previsti di default, fra i quali vi segnalo Virtualmin per poter avere una migliore gestione edgli utenti e poter dare loro accesso a particolari sezioni o gestirsi autonomamente i propri dati.

Mi rifiuto di pubblicarla, per quanto mi riguarda un hoster serio non dovrebbe mandare certe email ai clienti… oltre tutto senza alcun senso e motivo.

La cosa spassosa è che non avendo nulla da fare perdono anche tempo [...]]]> Non ce la faccio più, è arrivata l’ennesima email di lagne di tophost… ma quelli cosa fanno invece di lavorare?

Mi rifiuto di pubblicarla, per quanto mi riguarda un hoster serio non dovrebbe mandare certe email ai clienti… oltre tutto senza alcun senso e motivo.

La cosa spassosa è che non avendo nulla da fare perdono anche tempo a SPIARE i propri clienti su twitter… ASSURDO!

Come consigliato da tophost consiglio la lattura dell’articolo di Stefano Epifan.

Segnalo inoltre:

Brainlog: La mia esperienza con TopHost

Pseudotecnico: Strategie comunicative? Brainstorming?

Luca Conti: quest’uomo viene spiato di continuo su twitter dallo staff di tophost!!! INCREDIBILE!!

Non capisco la gente che prende questi servizi ci carica il sito aziendale e si incazza se ogni tanto [...]]]> Non finirò mai di stupirmi a leggere certe cose… Questo sito è ospitato presso Tophost e visto il prezzo esiguo che pago per il servizio se ogni tanto ho qualche down (anche 3-4 ore) sinceramente non mi lamento.

Non capisco la gente che prende questi servizi ci carica il sito aziendale e si incazza se ogni tanto non funziona niente… cioè per 10 euro l’anno che cosa pretendono? Se avessi un sito aziendale in cui perdo soldi se va down, mi prendo un bel servizio da 1000 euro l’anno dove posso pretendere giustamente di incazzarmi.

Ma fin qua nulla di strano… clienti che si lamentano… gente che rompe… diciamo i classici eventi che popolano la rete…

Ma si è mai sentito parlare di un provider che manda email di lamentele ai proprio clienti, perchè alcuni di loro parlano male dell’azienda sulla rete? Vi incollo di seguito la mail che è giunta a tutti i clienti del provider in questione…

“Un saluto a tutti, come prima cosa vi comunichiamo che i lavori miranti alla soluzione del problema che ha afflitto il nodo 03 vittima di alcuni crash sporadici manifestatisi a partire dal 15/08 stanno terminando, con l’occasione abbiamo anche aggiornato i vari software. Aspettiamo le prossime 24 ore ma il problema dovrebbe essere definitivamente rientrato.

Torniamo ora al “titolo” della nostra comunicazione, noi pensiamo di fare il nostro lavoro con la massima professionalità, pensiamo altresì che quella che all’inizio era solo un’utopia e cioè fornire un servizio di Hosting minimale ma completo ad un prezzo che fosse un punto di riferimento e che mettesse chiunque, anche il più squattrinato dei ragazzi nella condizione di avere un suo sito sia ormai una scommessa vinta: decine di migliaia di clienti complessivi, centinaia di nuovi al giorno.

Certo abbiamo problemi, come li hanno tutti dei quali siamo molto consci. Consentiteci anche una considerazione: in proporzione al nostro parco clienti la quantità dei problemi è comunque contenuto e vi assicuriamo che c’è un enorme lavoro dietro le quinte per migliorare l’affidabilità e la qualità dei nostri servizi.
Forte è l’impegno ogni giorno per fare meglio, ogni giorno per superarci.

Non possiamo comunque non rilevare come la disponibilita’ dei nostri servizi, nonostante i problemi che ci sono stati, nel loro complesso su base annuale per il periodo trascorso sia stata addirittura superiore ad alcuni altri Hoster più “blasonati” e “costosi” di noi.

Con questo post “estivo” però vogliamo rilevare come “in giro per la rete” ci siano dei “gruppetti” più o meno organizzati che “sparano a zero” nei nostri confronti con un’acredine ed una violenza degna della peggiore tifoseria della peggiore curva sud.

Abbiamo pensato di farne una recensione, si proprio noi li vogliamo recensire nella speranza che esista anche un solo nostro utente che si trova bene, nonostante tutto, con noi e che abbia voglia di spiegarglielo, magari direttamente a loro, in casa loro.

Si va dal “giornalista” radical-scic che si augura fallimenti e roghi:

http://www.pandemia.info/2005/11/06/tophost_la_telenovela_continua.html

http://www.pandemia.info/2005/10/31/tophost_e_in_come_ma_anchespli.html

a chi con molta classe è comunque attento agli antipasti per finire con una citazione di bella memoria: “el pueblo unido”

http://www.sw4n.net/2007/08/19/el-pueblo-unido/

a chi invece eccelle nel dono della sintesi ma non per questo perde in efficacia:

http://greenwich.tumblr.com/post/9025051

E come non citare poi tutti coloro che, animati da mille interessi parlano di noi in preda ad una specie di “delirio onirico” come se per loro fossimo “un’apparizione” minacciando diffide e azioni legali:

http://www.prozone.it/smf/index.php/topic,2032.msg16935.html#msg16935

E come dimenticare quelli che “parlano male si”, ma in maniera circostanziata e documentata”:

http://www.domainers.it/forum/viewtopic.php?t=33

E perchè tacere e non riportare la prosa di qualche “illuminato altruista” che vuole evitare il suo stesso dramma anche ad altri:

http://www.aggery.it/munnezza/tophost-hosting-revolution-ah-beh/

E per finire perchè non essere proprio noi a consigliarvi una “way out” per fuggire da tophost?

con tanto di codice promozionale per l’affiliazione del caro “Ubuntista” che mentre aiuta i malcapitati a “fuggire da tophost” raggrenella anche la sua “birra”; bello in particolare il passaggio: “- il costo è ragionevole;”. è 10 volte quello di tophost e, permetteteci non è assolutamente 10 volte meglio !

Terminiamo questo post tra il serio ed il faceto saremmo curiosi di sapere se c’è almeno un uguale numero di clienti che ci stima e che apprezza il nostro lavoro, che è convinto che in tophost ci sono delle persone che lavorano seriamente e non dei “ragazzini che avendo perso le biglie hanno cambiato gioco e sono passati all’hosting”; e ci farebbe anche piacere che qualcuno di questi lo dicesse pubblicamente, magari in quegli stessi posti che abbiamo citato. Così giusto per capire se la nostra scelta di fornire un servizio di Hosting al prezzo più basso possibile (e al momento nessuno ha battuto la nostra offerta) sia stata giusta o sbagliata, apprezzata o detestata.

Per chi volesse anche solo dire la propria abbiamo attivato un topic sulla nostra area nel forum di Prozone:

http://www.prozone.it/smf/index.php/topic,2657.0.html

Rinnoviamo il saluto a tutti e un augurio di sfruttare al meglio gli ultimi giorni d’agosto. “

Ho sempre reputato il servizio di tophost abbastanza buono e professionale, ma questa mi sembra solamente una cosa ridicola e puerile, senza alcun senso… è una trovata per far parlare di più di se stessi? Aumentare le vendite o che altro?

Oltre a questo, nominare in un email indirizzata ai clienti i siti di altre persone addittandoli come sobillatori di fanatismo di massa, li reputo ridicoli e basta.

Consiglio anche la lettura del sito di “Luca Moretto” al riguardo di questo argomento.

Nello specifico per ragioni di comodità e facilità d’uso (purtroppo non sono l’unico a utilizzarei server e devo badare anche a questo aspetto), utilizzo firestarter.

Si tratta di un firewall molto semplice [...]]]> Come al solito le problematiche al lavoro sono le più disparate, oggi mi sono dovuto occupare del tuning di un firewall che utilizzo sul lavoro.

Nello specifico per ragioni di comodità e facilità d’uso (purtroppo non sono l’unico a utilizzarei server e devo badare anche a questo aspetto), utilizzo firestarter.

Si tratta di un firewall molto semplice da utilizzare anche ai “non addetti ai lavori“, in quanto non si tratta altro che di un semplice front end grafico per iptables, assai più ostico da utilizzare per i principianti.

Questo breve documento non si occuperà pertanto di configurare il firewall (discretamene semplice anche senza documentazione) ma semplicemente spiegherà come apportare direttamente delle modifiche tramite iptables che sono escluse dalle casistiche previste dal frontend.

Il firewall l’ho configurato in un modo molto semplice, ho messo come policy di default tutto in drop, ed ho aggiunto le eccezioni per i servizi che mi interessavano.

Pertanto la mia situazione di partenza era che qualunque pacchetto inviato da e verso la macchina veniva scartato ad eccezione di: webserver, dns e posta.

Ora il problema che mi si era posto era il seguente: avevo dei simpatici “amici” che non avevano nulla da fare e ogni tanto senza preavviso iniziavano a dossare una macchina, e l’unica soluzione possibile senza dover intervenire sulla dorsale (di cui ovviamente non ho il minimo controllo) era di fare in modo che venissero scartate le connessioni di quella specifica rete.

La soluzione è stata molto semplice, con firestarter basta editare il file

[root@localhost ~]# nano /etc/firestarter/user-pre

e a questo punto aggiungere i comandi di iptables che ci interessavano, ad esempio

iptables -A INPUT -d 195.54.0.0/20 -j DROP
iptables -A INPUT -s 195.54.0.0/20 -j DROP
iptables -A OUTPUT -d 195.54.0.0/20 -j DROP
iptables -A OUTPUT -s 195.54.0.0/20 -j DROP
iptables -A FORWARD -d 195.54.0.0/20 -j DROP
iptables -A FORWARD -s 195.54.0.0/20 -j DROP

In tal modo vengono droppate tutte le connessioni che entrano, escono o solamente transitano su questa classe di ip.

Una volta aggiunte le righe che ci interessano basta dare un semplice

[root@localhost ~]# /etc/init.d/firestarter restart

ed ecco fatto, il nostro piccolo firewall personalizzato

Ovviamente con questo metodo si possono creare tutte le policy che ci interessano tramite i comandi di iptables.

Infatti solitamene si incappa nel problema che caricando un file tramite uno script in php ad esempio, l’ownership del file caricato viene cambiata, rendendo di fatto difficoltosa la gestione dello stesso tramite ftp che [...]]]> Questo modulo per apache serve a risolvere un problema che da sempre crea non pochi problemi legati alla gestione dei permessi tramite apache.

Infatti solitamene si incappa nel problema che caricando un file tramite uno script in php ad esempio, l’ownership del file caricato viene cambiata, rendendo di fatto difficoltosa la gestione dello stesso tramite ftp che risulta essere associato ad un altro utente.

Stiamo parlando di hosting condivisi multiutente che lavorano tramite virtualhost

Installare suphp su fedora core 5

Basta semplicemente installare mod_suphp

[root@backup ~]# yum install mod_suphp

e configurare i file
/etc/httpd/conf.d/php.conf
/etc/httpd/conf.d/mod_suphp.conf
/etc/suphp.conf

NEl file /etc/httpd/conf.d/php.conf fare attenzione a commentare questa riga

#AddHandler php5-script .php

in modo da togliere all’interprete di default il php

Nel file /etc/httpd/conf.d/mod_suphp.conf aggiungere

AddHandler x-httpd-php .php

e decommentare le righe

LoadModule suphp_module modules/mod_suphp.so

suPHP_Engine on
suPHP_AddHandler x-httpd-php

Infine nel file /etc/suphp.conf cambiare il parametro

umask=0022

con i prmessi desiderati per i file creati dagli script.

Inoltre modificare le security optoins come segue

; Security options
;allow_file_group_writeable=false
allow_file_group_writeable=true
allow_file_others_writeable=false
;allow_directory_group_writeable=false
allow_directory_group_writeable=true
allow_directory_others_writeable=false

e mettere i minimum UID e GUD con quelli di apache pe mantenere la compatibilità con eventuali script con l’ownership di apache
in fedora il 48 corrisponde all’utente apache, bisogna mettere zero altrimenti ci son problemi con phpmyadmin che gira come root, oppure bisogna studiare una soluzione alternativa che non tratto in questo documento.

; Minimum UID
min_uid=0

; Minimum GID
min_gid=0

Inoltre bisogna mettere a false questo sennò da problemi con mysql.domain.tld per il mysql

;Check wheter script is within DOCUMENT_ROOT
check_vhost_docroot=false

Di seguito trovate i tre file di configurazione.

###########################
/etc/httpd/conf.d/php.conf#
###########################
#
# PHP is an HTML-embedded scripting language which attempts to make it
# easy for developers to write dynamically generated webpages.
#

LoadModule php5_module modules/libphp5.so

#
# Cause the PHP interpreter to handle files with a .php extension.
#
#AddHandler php5-script .php
AddType text/html .php

#
# Add index.php to the list of files that will be served as directory
# indexes.
#
DirectoryIndex index.php

#
# Uncomment the following line to allow PHP to pretty-print .phps
# files as PHP source code:
#
#AddType application/x-httpd-php-source .phps

#################################
/etc/httpd/conf.d/mod_suphp.conf#
#################################
# This is the Apache server configuration file providing suPHP support..
# It contains the configuration directives to instruct the server how to
# serve php pages while switching to the user context before rendering.
# For directives see <URL:http://httpd.apache.org/docs-2.0/mod/mod_suphp.html>

LoadModule suphp_module modules/mod_suphp.so
AddHandler x-httpd-php .php

# To use suPHP to parse PHP-Files

# This option tells mod_suphp if a PHP-script requested on this server (or
# VirtualHost) should be run with the PHP-interpreter or returned to the
# browser “as it is”.
### Uncomment to activate mod_suphp
suPHP_Engine on
suPHP_AddHandler x-httpd-php

# This option tells mod_suphp which path to pass on to the PHP-interpreter
# (by setting the PHPRC environment variable).
# Do *NOT* refer to a file but to the directory the file resists in.
#
# E.g.: If you want to use “/path/to/server/config/php.ini”, use “suPHP_Config
# /path/to/server/config”.
#
# If you don’t use this option, PHP will use its compiled in default path.
#suPHP_ConfigPath /etc

################
/etc/suphp.conf#
################
[global]
;Path to logfile
logfile=/var/log/suphp.log

;Loglevel
loglevel=info

;User Apache is running as
webserver_user=apache

;Path all scripts have to be in
docroot=/

;Path to chroot() to before executing script
;chroot=/mychroot

; Security options
;allow_file_group_writeable=false
allow_file_group_writeable=true
allow_file_others_writeable=false
;allow_directory_group_writeable=false
allow_directory_group_writeable=true
allow_directory_others_writeable=false

;Check wheter script is within DOCUMENT_ROOT
check_vhost_docroot=true

;Send minor error messages to browser
errors_to_browser=true

;PATH environment variable
env_path=/bin:/usr/bin

;Umask to set, specify in octal notation
;umask=0077
umask=0022

; Minimum UID
min_uid=500

; Minimum GID
min_gid=500

; Use correct permissions for mod_userdir sites
handle_userdir=true

[handlers]
;Handler for php-scripts
x-httpd-php=php:/usr/bin/php-cgi

;Handler for CGI-scripts
x-suphp-cgi=execute:!self