I plugin incriminati sono i seguenti: AddThis, WPtouch and W3 Total Cach

Se li usate… AGGIORNATE!

Ci basta eseguire i seguenti comandi

apt-get install curl libcurl3 php5-curl

/etc/init.d/apache2 restart

A questo punto per sicurezza possiamo testare che sia correttamente installato inserendo un una file .php contenent il seguente codice:

<?php phpinfo(); ?>

cercate le stringa curl, se la trovate è correttamente [...]]]> Quesito di oggi, come installare curl su un LAMP php+apache.

Ci basta eseguire i seguenti comandi

apt-get install curl libcurl3 php5-curl

/etc/init.d/apache2 restart

A questo punto per sicurezza possiamo testare che sia correttamente installato inserendo un una file .php contenent il seguente codice:

<?php phpinfo(); ?>

cercate le stringa curl, se la trovate è correttamente configurata, dovreste vedere qualcosa come la foto seguente

Se necessario il file di configurazione di curl lo potete trovare in /etc/php5/apache2/conf.d/curl.ini

Saluti

Innanzitutto facciamo una distinzione fra Spam [...]]]> Un po’ di tempo fa ho scritto un articolo su come configurare Virtual Users And Domains With Postfix, Courier, MySQL (Ubuntu 8.04 LTS 64bit), ora a partire da questo articolo vediamo come poter migliorare l’identificazione dello spam tramite il comando sa-learn di spamassassin, e l’utilizzo dell’opzione –spam e –ham.

Innanzitutto facciamo una distinzione fra Spam e Ham

Spam : sono le email indesiderate che non si vogliono ricevere, e che quindi vanno scartate, taggate o comunque a cui va fatto aumentare il valore di spam in caso di matching del contenuto con i nostri db di spam.

Ham: sono le mail buone (Ham = prosciutto BUONO!), le email che quindi vogliamo tenere.

Dalla nostra webmail, creiamo una cartella che si chiama Spam e che verrà quindi creata sul filesystem in una cartellina che si chiama .Spam

Ricordando brevemente la struttura delle directory che abbiamo assegnato per ogni email avremo una struttura simile alla seguente

ls -al /home/vmail/domain.tld/info

drwx------  6 vmail vmail 4096 2010-02-23 19:18 .Bozze
drwx------  6 vmail vmail 4096 2010-02-23 19:18 .Cestino
drwx------  2 vmail vmail 4096 2010-04-07 12:05 courierimapkeywords
-rw-r--r--  1 vmail vmail  105 2010-02-23 19:48 courierimapsubscribed
-rw-r--r--  1 vmail vmail 1193 2010-04-07 11:56 courierimapuiddb
drwx------  2 vmail vmail 4096 2010-04-07 12:01 cur
drwx------  6 vmail vmail 4096 2010-04-07 12:41 .Drafts
drwx------  2 vmail vmail 4096 2010-04-07 11:56 new
drwx------  6 vmail vmail 4096 2010-04-07 12:43 .Sent
drwx------  6 vmail vmail 4096 2010-02-23 15:53 .sent-mail
drwx------  6 vmail vmail 4096 2010-02-23 19:18 .Spam
drwx------  6 vmail vmail 4096 2010-02-23 19:51 .Templates
drwx------  2 vmail vmail 4096 2010-04-07 16:51 tmp
drwx------  6 vmail vmail 4096 2010-03-02 20:22 .Trash

Tutti le email di tutti i domini hanno questa struttura, quindi cosa succede…

Quando dalla nostra webmail vediamo che c’è un’email che ha passato i nostri antispam, non facciamo altro che dire “no questa email la sposto nella cartellina Spam!”. (da horde c’è un opzione che permette eventualmente di marcare un’email come spam e automaticamente spostarla in quella cartella).

A questo punto noi avremo che in:

/home/vmail/domain.tld/info/cur = avremo le mail buone (Ham)

mentre in

/home/vmail/domain.tld/info/.Spam = avremo le email di Spam

Sfruttando questo possiamo creare una regola ad hoc, per fare “imparare” a spamassassin, quali sono le mail buone e quali quelle cattive.

Mettiamo tutto in crontab per ottenere questo:

20 * * * * /usr/bin/sa-learn --spam /home/vmail/*/*/.Spam/* &> /dev/null
10 * * * * /usr/bin/sa-learn --ham /home/vmail/*/*/cur/* &> /dev/null

Ai 10  e 20 minuti di ogni ora verranno fatti gli aggiornamenti e il nostro sistema “imparerà” da noi quali sono le mail che non sono spam.

Ad oggi, chiunque invii un’email, non ha mai la certezza assoluta che tale email sia arrivata a destinazione (le ricevute di ritorno classiche possono essere facilmente bypassate), per questo motivo è nata la PEC, [...]]]> E’ entrato ormai a far parte del parlare comune il termine PEC. Alcuni ancora non sanno cos’è, ve lo spiegherò brevemente.

Ad oggi, chiunque invii un’email, non ha mai la certezza assoluta che tale email sia arrivata a destinazione (le ricevute di ritorno classiche possono essere facilmente bypassate), per questo motivo è nata la PEC, meglio conosciuta come Posta Elettronica Certificata.

Tale sistema sta prendendo parecchia importanza, in quanto il suo utilizzo (data la natura della Certificazione dell’email, e la conferma temporale della consegna, della lettura e della notifica di ricezione) è equiparato all’invio di una raccomandata con ricevuta di ritorno. Questo vuol dire che con un servizio low cost, con 5-6 euro l’anno noi possiamo mandare quante raccomandate AR vogliamo, senza spendere nulla. Oltre a questo da fine anno, sarà obbligo per tutte le aziende ed enti pubblici disporre almeno di un indirizzo di questo tipo.

Per spedire un’email ad un indirizzo bisogna necessariamente possederne uno, oppure non si  potrà utiizzare questa tecnologia.

Per iniziare a studiare la cosa, ho creato il mio indirizzo PEC temporini.matteo@pec.it

Saluti

Tale problema è causata da alcune jquery errate nel codice (che speriamo vengano fixate [...]]]> Parliamo oggi di un problema che si è presentato su uno dei siti con cui collaboro, nello specifico dopo gli ultimi update con l’installazione di ie8, il sito non poteva essere visto in quanto il plugin NextGEN Gallery, lo faceva crashare.

Tale problema è causata da alcune jquery errate nel codice (che speriamo vengano fixate a breve).

Sino ad allora ecco a voi il workaround

Inserite nel codice di wordpress nel codice di wordpress nel file header.php del vostro tema la stringa

<meta http-equiv=”X-UA-Compatible” content=”IE=EmulateIE7″>

in questo modo il sito viene fatto girare in compatibilità ie7 e il sito funziona perfettamente anche con ie8.

In alternativa qualora steste usando tale plugin altrove, potete inserire le seguenti righe di codice php per ovviare al problema:

1. if (strpos($_SERVER['HTTP_USER_AGENT'],“MSIE 8″)) {header(“X-UA-Compatible: IE=7″);}

2. if (strpos($_SERVER['HTTP_USER_AGENT'],“MSIE 8″)) {header(“X-UA-Compatible: IE=EmulateIE7″);}

Nel caso 1. fate girare il sito in compatibility mode ie7, nel secondo caso invece, lo fate girare con il motore standard di ie7.

Saluti

Matteo

Nello specifico per risolvere il problema ho trovato della documentazione su internet che diceva di modificare il valore della variabile wait_timeout, [...]]]> In questi giorni mi sono trovato ad affrontare un problema che mi era già capitato e che su altri sistemi avevo risolto in altro modo, cioè la presenza di query in stato di sleep.

Nello specifico per risolvere il problema ho trovato della documentazione su internet che diceva di modificare il valore della variabile wait_timeout, ma su Ubuntu non funziona …

A detto di molte guide per fare questo bastava editare il file my.cnf o my.ini per cambiarlo ma di fatto non funziona.

Leggendo la documentazione di mysql ho letto invece che la variabile wait_timeout dipende direttamente dalla variabile interactive_timeout, pertanto editando il file di configurazione di mysql come segue

[mysqld]
…
interactive_timeout = 30
…

In automatico modifichiamo sia la variabile interactive_timeout che la variabile wait_timeout

Saluti

Matteo

Sino ad oggi me ne sono altamente sbattuto della risposta, avendo ormai da anni per le mani connessioni molto stabili, ma per alcune esigenze [...]]]> In questi ultimi anni spesso mi sono trovato di fronte a questo problema: il resume dei file caricati via ftp è una cosa che deve supportare il server o i client?

Sino ad oggi me ne sono altamente sbattuto della risposta, avendo ormai da anni per le mani connessioni molto stabili, ma per alcune esigenze di questi ultimi mesi ho dovuto affrontare di petto il problema.

La risposta che posso darvi per esperienza personale è che il problema del resume dei file è una combo violentissima server e client.

Nello specifico il server ftp deve supportare il trasferimento binario e allo stesso modo il client.

Ora come ora tutti tutti i server ftp e tutti i client ftp li supportano entrambi, premettendo che i server ftp di default li hanno abiitati entrambi, possiamo ricondurre il problema solo al client.

Quindi per supportare il ripristino dei file non ci resta altro da fare che impostare il trasferimento dei file in modalità binaria (o binary).

Saluti
Matteo

Solitamente vengono utilizzate dagli intrusi di un sistema, ad esempio un utente malevolo che riesce a [...]]]> Di cosa stiamo parlando? Alcuni di voi sicuramente sapranno che cosa sono i rootkit, per quelli che non lo sanno i rootkit sono delle “collezioni” di software utilizzate per amministrare una macchina linux senza possedere i privilegi di amministratore.

Solitamente vengono utilizzate dagli intrusi di un sistema, ad esempio un utente malevolo che riesce a sfruttare la vulnerabilità di un utente non privilegiato, potrebbe utilizzare un rootkit per procedere poi a una privilege escalation per diventare amministratore della macchina.

Per difendersi da questo tipo di utilizzi, la cosa migliore è cercare di tenere sempre aggiornato il sistema, soprattutto se si tratta di server online con accesso pubblico, quello di cui voglio occuparmi ora, non è tanto questo aspetto, ma è quello di controllare se la nostra macchina è stata “infettata” da un rootkit o meno.

A questo scopo ho iniziato ad utilizzare il programma rkhunter, che serve a controllare tramite degli hash, se i nostri file di sistema importanti sono stati in qualche modo modificati.

L’installazione in ubuntu si fa un semplice

apt-get install rkhunter

o

aptitude install rkhunter

Una volta installato il programma, procediamo con l’aggiornamento delle definizioni con il comando

rkhunter --update

ottenendo come output una cosa simile a:

[ Rootkit Hunter version 1.3.0 ]

Checking rkhunter data files...
Checking file mirrors.dat                                  [ No update ]
Checking file programs_bad.dat                             [ No update ]
Checking file backdoorports.dat                            [ No update ]
Checking file suspscan.dat                                 [ No update ]
Checking file i18n/cn                                      [ No update ]
Checking file i18n/en                                      [ No update ]
Checking file i18n/zh                                      [ No update ]
Checking file i18n/zhutf                                   [ No update ]

Ora facciamo partire la nostra prima scannata con il comando

rkhunter -c

questo metodo di scan ha una modalità interattiva, ad ogni particolare tipologia di scan dovrete premere enter, alla fine otterrete una tabella riassuntiva come quella seguente

System checks summary
=====================

File properties checks...
Files checked: 127
Suspect files: 0

Rootkit checks...
Rootkits checked : 110
Possible rootkits: 0

Applications checks...
Applications checked: 6
Suspect applications: 0

The system checks took: 3 minutes and 44 seconds

All results have been written to the logfile (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

Per ottenere uno scan non intereattivo aggiungete l’opzione -sk alla fine

rkhunter -c -sk

Fra i vari report rkhunter vi segnalerà che avete abilitato l’accesso root via ssh, che di norma non è il massimo della siscurezza e vi darà un segnale di errore tipo questo

Checking for allowed root login... Watch out Root login possible. Possible risk!
info: "PermitRootLogin yes" found in file /etc/ssh/sshd_config
Hint: See logfile for more information about this issue

Se sapete cosa state facendo, per eliminarlo basta editare /etc/rkhunter.conf

e cambiate la riga da ALLOW_SSH_ROOT_USER=no a ALLOW_SSH_ROOT_USER=yes

Una volta che avete lanciato il primo scan e tutto è corretto e non vi sono state segnalazioni strane, lanciate il comando

rkhunter –propupd

Questo comando, aggiorna le tabelle hash dei vostri file, di modo che se vengono modificati in qualche modo verrete notificati al riguardo. Quando farete degli update che aggiornano i file interessato da rkhunter, noterete che vi verrà notificato il fatto che tali file sono cambiati. Solitamente quando fate gli aggiornamenti, se tutto è corretto, dovreste eseguire questo comando dopo l’aggiornamento, di modo che le tabelle hash per i check verranno aggiornate con i nuovi eseguibili e non riceverete (giustamente), notifiche al riguardo.

Saluti

Le feature principali sono:

- SMTP-AUTH e TLS

- password encrypted

- Amavisd, SpamAssassin e ClamAV

La guida di riferimento principale la potete trovare all’indirizzo http://www.howtoforge.com/virtual-users-domains-postfix-courier-mysql-squirrelmail-ubuntu8.04, [...]]]> Questa guida vuole essere una quick reference per installare un server di posta con antispam e gestione relativamente semplice di utenti e domini, tramite ubuntu 8.04 TLS 64bit.

Le feature principali sono:

- SMTP-AUTH e TLS

- password encrypted

- Amavisd, SpamAssassin e ClamAV

La guida di riferimento principale la potete trovare all’indirizzo http://www.howtoforge.com/virtual-users-domains-postfix-courier-mysql-squirrelmail-ubuntu8.04, la scrivo per il semplice motivo che la versione di ubuntu a 64bit differisce per alcuni pacchetti rispetto alla versione equivalente a 32bit. A differenza della guida principale ho deciso di non utilizzare la quota, in quanto volevo un sistema che non necessitasse di alcun tipo di ricompilazione esterna.

1. Preliminari

Eseguiamo:
root@localhost: sudo su
root@localhost: ln -sf /bin/bash /bin/sh
root@localhost: /etc/init.d/apparmor stop
root@localhost: update-rc.d -f apparmor remove

2. Install Postfix, Courier, Saslauthd, MySQL, phpMyAdmin

Procediamo con l’installazione dei pacchetti che ci servono:

root@localhost: apt-get install postfix postfix-mysql postfix-doc mysql-client mysql-server courier-authdaemon courier-authlib-mysql courier-pop courier-pop-ssl courier-imap courier-imap-ssl libsasl2-2 libsasl2-modules libsasl2-modules-sql sasl2-bin libpam-mysql openssl phpmyadmin apache2 libapache2-mod-php5 php5 php5-mysql libpam-smbpass

A questo punto vi verranno fatte delle domande post installazione a cui dovrete risopndere come a seguire:

New password for the MySQL “root” user: <– yourrootsqlpassword
Repeat password for the MySQL “root” user: <– yourrootsqlpassword
Create directories for web-based administration? <– No
General type of mail configuration: <– Internet Site
System mail name: <– server1.example.com
SSL certificate required <– Ok
Web server to reconfigure automatically: <– apache2

A questo punto sulla guida originale si passava alla configurazione della quota, che noi non vogliamo usare, se voi volete farlo, prendete come riferimento la guida originale.

3. Creiamo il database MySQL per Postfix/Courier

Creiamo il database mail

root@localhost: mysqladmin -u root -p create mail

entriamo nella shell di mysql

root@localhost: mysql -u root -p

On the MySQL shell, we create the user mail_admin with the passwort mail_admin_password (replace it with your own password) who has SELECT,INSERT,UPDATE,DELETE privileges on the mail database. This user will be used by Postfix and Courier to connect to the mail database

Sulla shell di MySQL, creeremo l’utente mail_admin con la password “mail_admin_password“, che avrà diritti di SELECT,INSERT,UPDATE,DELETE sul database mail.

mysql> GRANT SELECT, INSERT, UPDATE, DELETE ON mail.* TO 'mail_admin'@'localhost' IDENTIFIED BY 'mail_admin_password';
mysql> GRANT SELECT, INSERT, UPDATE, DELETE ON mail.* TO 'mail_admin'@'localhost.localdomain' IDENTIFIED BY 'mail_admin_password';
mysql> FLUSH PRIVILEGES;

selezioniamo ora il database mail

mysql> USE mail;

Creiamo ora le tabelle che ci servono:

CREATE TABLE domains (
domain varchar(50) NOT NULL,
PRIMARY KEY (domain) )
TYPE=MyISAM;

CREATE TABLE forwardings (
source varchar(80) NOT NULL,
destination TEXT NOT NULL,
PRIMARY KEY (source) )
TYPE=MyISAM;

CREATE TABLE users (
email varchar(80) NOT NULL,
password varchar(20) NOT NULL,
PRIMARY KEY (email)
) TYPE=MyISAM;

CREATE TABLE transport (
domain varchar(128) NOT NULL default '',
transport varchar(128) NOT NULL default '',
UNIQUE KEY domain (domain)
) TYPE=MyISAM;

quit;

A questo punto avremo le seguenti tabelle:

- domains : indica quali domini gestisce il nostro server di posta

- forwardings : gestisce la lista dei forwarding di una determinata casella di posta verso un altra

- users : le effettive caselle di posta, con tanto di nome utente e password

- transport: serve a passare la gestione della singola email a un altro server, sintassi smtp:[1.2.3.4] le parentesi quadre indicano che non si deve fare nessuna query al dns, in questo caso va indicato l'indirizzo ip corretto.

Ora tramite phpmyadmin accessibile sul vostro webserver http://ip-del-server/phpmyadmin potrete gestire tutto quel che riguarda gli account di posta.

4- Configurazione Postfix

Editiamo

vi /etc/mysql/my.cnf

e configuriamo la voce

[...]
bind-address            = 127.0.0.1
[...]

se abbiamo modificato il file, eventualmente lanciamo il comando /etc/init.d/mysql restart

Creiamo il file
vi /etc/postfix/mysql-virtual_domains.cf

e inseriamo

user = mail_admin
password = mail_admin_password
dbname = mail
query = SELECT domain AS virtual FROM domains WHERE domain='%s'
hosts = 127.0.0.1

creiamo il file

vi /etc/postfix/mysql-virtual_forwardings.cf

user = mail_admin
password = mail_admin_password
dbname = mail
query = SELECT destination FROM forwardings WHERE source='%s'
hosts = 127.0.0.1

creiamo il file

vi /etc/postfix/mysql-virtual_mailboxes.cf

user = mail_admin
password = mail_admin_password
dbname = mail
query = SELECT CONCAT(SUBSTRING_INDEX(email,'@',-1),'/',SUBSTRING_INDEX(email,'@',1),'/') FROM users WHERE email='%s'
hosts = 127.0.0.1

creiamo il file

vi /etc/postfix/mysql-virtual_email2email.cf

user = mail_admin
password = mail_admin_password
dbname = mail
query = SELECT email FROM users WHERE email='%s'
hosts = 127.0.0.1

creiamo il file

nano /etc/postfix/mysql-virtual_transports.cf

user = mail_admin
password = mail_admin_password
dbname = mail
query = SELECT transport FROM transport WHERE domain='%s'
hosts = 127.0.0.1

Modifichiamo ora i permessi ai file

chmod o= /etc/postfix/mysql-virtual_*.cf
chgrp postfix /etc/postfix/mysql-virtual_*.cf

Creiamo ora il gruppo e l’utente vmail

groupadd -g 5000 vmail
useradd -g vmail -u 5000 vmail -d /home/vmail -m

Eseguiamo ora i comandi di configurazione di postfix, facendo cura di modificare il server server1.example.com con il nostro FQDN.

postconf -e 'myhostname = server1.example.com'
postconf -e 'mydestination = server1.example.com, localhost, localhost.localdomain'
postconf -e 'mynetworks = 127.0.0.0/8'
postconf -e 'virtual_alias_domains ='
postconf -e 'virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, mysql:/etc/postfix/mysql-virtual_email2email.cf'
postconf -e 'virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf'
postconf -e 'virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf'
postconf -e 'virtual_mailbox_base = /home/vmail'
postconf -e 'virtual_uid_maps = static:5000'
postconf -e 'virtual_gid_maps = static:5000'
postconf -e 'smtpd_sasl_auth_enable = yes'
postconf -e 'broken_sasl_auth_clients = yes'
postconf -e 'smtpd_sasl_authenticated_header = yes'
postconf -e 'smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination'
postconf -e 'smtpd_use_tls = yes'
postconf -e 'smtpd_tls_cert_file = /etc/postfix/smtpd.cert'
postconf -e 'smtpd_tls_key_file = /etc/postfix/smtpd.key'
postconf -e 'transport_maps = proxy:mysql:/etc/postfix/mysql-virtual_transports.cf'
#postconf -e 'virtual_create_maildirsize = yes'
#postconf -e 'virtual_mailbox_extended = yes'
#postconf -e 'virtual_mailbox_limit_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailbox_limit_maps.cf'
#postconf -e 'virtual_mailbox_limit_override = yes'
#postconf -e 'virtual_maildir_limit_message = "The user you are trying to reach is over quota."'
#postconf -e 'virtual_overquota_bounce = yes'
postconf -e 'proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $virtual_mailbox_limit_maps'

Creiamo ora il certificato ssl

cd /etc/postfix
openssl req -new -outform PEM -out smtpd.cert -newkey rsa:2048 -nodes -keyout smtpd.key -keyform PEM -days 365 -x509

e completiamo le richieste del certificato come a seguire

Country Name (2 letter code) [AU]: <-- Enter your Country Name (e.g., "DE").
State or Province Name (full name) [Some-State]: <-- Enter your State or Province Name.
Locality Name (eg, city) []: <-- Enter your City.
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <-- Enter your Organization Name (e.g., the name of your company).
Organizational Unit Name (eg, section) []: <-- Enter your Organizational Unit Name (e.g. "IT Department").
Common Name (eg, YOUR name) []: <-- Enter the Fully Qualified Domain Name of the system (e.g. "server1.example.com").
Email Address []: <-- Enter your Email Address.

e modifichiamo i permessi come segue

chmod o= /etc/postfix/smtpd.key

5. Configure Saslauthd

Creiamo la cartella per saslauthd

mkdir -p /var/spool/postfix/var/run/saslauthd

Editiamo ora il file /etc/default/saslauthd settando START a yes e cambiando OPTIONS=”-c -m /var/run/saslauthd” a OPTIONS=”-c -m /var/spool/postfix/var/run/saslauthd -r”:

vi /etc/default/saslauthd

il risultato sarà

#
# Settings for saslauthd daemon
# Please read /usr/share/doc/sasl2-bin/README.Debian for details.
#

# Should saslauthd run automatically on startup? (default: no)
START=yes

# Description of this saslauthd instance. Recommended.
# (suggestion: SASL Authentication Daemon)
DESC="SASL Authentication Daemon"

# Short name of this saslauthd instance. Strongly recommended.
# (suggestion: saslauthd)
NAME="saslauthd"

# Which authentication mechanisms should saslauthd use? (default: pam)
#
# Available options in this Debian package:
# getpwent  -- use the getpwent() library function
# kerberos5 -- use Kerberos 5
# pam       -- use PAM
# rimap     -- use a remote IMAP server
# shadow    -- use the local shadow password file
# sasldb    -- use the local sasldb database file
# ldap      -- use LDAP (configuration is in /etc/saslauthd.conf)
#
# Only one option may be used at a time. See the saslauthd man page
# for more information.
#
# Example: MECHANISMS="pam"
MECHANISMS="pam"

# Additional options for this mechanism. (default: none)
# See the saslauthd man page for information about mech-specific options.
MECH_OPTIONS=""

# How many saslauthd processes should we run? (default: 5)
# A value of 0 will fork a new process for each connection.
THREADS=5

# Other options (default: -c -m /var/run/saslauthd)
# Note: You MUST specify the -m option or saslauthd won't run!
#
# See /usr/share/doc/sasl2-bin/README.Debian for Debian-specific information.
# See the saslauthd man page for general information about these options.
#
# Example for postfix users: "-c -m /var/spool/postfix/var/run/saslauthd"
#OPTIONS="-c -m /var/run/saslauthd"
OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd -r"

Editiamo il file

vi /etc/pam.d/smtp

inseriamo

auth    required   pam_mysql.so user=mail_admin passwd=mail_admin_password host=127.0.0.1 db=mail table=users usercolumn=email passwdcolumn=password crypt=1
account sufficient pam_mysql.so user=mail_admin passwd=mail_admin_password host=127.0.0.1 db=mail table=users usercolumn=email passwdcolumn=password crypt=1

Creiamo il file

vi /etc/postfix/sasl/smtpd.conf

e inseriamo

pwcheck_method: saslauthd
mech_list: plain login
allow_plaintext: true
auxprop_plugin: mysql
sql_hostnames: 127.0.0.1
sql_user: mail_admin
sql_passwd: sysop
sql_database: mail
sql_select: select password from users where email = '%u'

aggiungiamo l’utente postfix al gruppo sals

root@localhost: adduser postfix sasl

e riavviamo postfix e sasl

/etc/init.d/postfix restart
/etc/init.d/saslauthd restart

Configuriamo ora courier

vi /etc/courier/authdaemonrc

e modifichiamo

[...]
authmodulelist="authmysql"
[...]

Creiamo un backup di /etc/courier/authmysqlrc e svuotiamo il vecchio file

cp /etc/courier/authmysqlrc /etc/courier/authmysqlrc_orig
cat /dev/null > /etc/courier/authmysqlrc

Editiamo ora il file

vi /etc/courier/authmysqlrc

e inseriamo

MYSQL_SERVER localhost
MYSQL_USERNAME mail_admin
MYSQL_PASSWORD mail_admin_password
MYSQL_PORT 0
MYSQL_DATABASE mail
MYSQL_USER_TABLE users
MYSQL_CRYPT_PWFIELD password
#MYSQL_CLEAR_PWFIELD password
MYSQL_UID_FIELD 5000
MYSQL_GID_FIELD 5000
MYSQL_LOGIN_FIELD email
MYSQL_HOME_FIELD "/home/vmail"
MYSQL_MAILDIR_FIELD CONCAT(SUBSTRING_INDEX(email,'@',-1),'/',SUBSTRING_INDEX(email,'@',1),'/')
#MYSQL_NAME_FIELD

e riavviamo courier

/etc/init.d/courier-authdaemon restart
/etc/init.d/courier-imap restart
/etc/init.d/courier-imap-ssl restart
/etc/init.d/courier-pop restart
/etc/init.d/courier-pop-ssl restart

Controlliamo ora se il nostro server pop3 funziona

telnet localhost pop3

scrivete QUIT e dovrebbe darvi qualcosa di simile a

root@localhost: telnet localhost 110
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
+OK Hello there.
quit
+OK Better luck next time.
Connection closed by foreign host.
root@localhost:

7. Modifichiamo /etc/aliases

Modifichiamo /etc/aliases con qualcosa simile a

vi /etc/aliases

[...]
postmaster: root
root: postmaster@yourdomain.tld
[...]

dopo di che ad ogni modifica di /etc/aliases lanciamo

root@localhost: newaliases

e riavviamo postfix

root@localhost: /etc/init.d/postfix restart

8. Installiamo Amavisd-new, Spamassassin, Clamv

Lanciamo il comando:

apt-get install amavisd-new spamassassin clamav clamav-daemon zoo unzip bzip2 unzoo libnet-ph-perl libnet-snpp-perl libnet-telnet-perl nomarch lzop pax

Abilitamo Clamav e Spamassassin editando il file /etc/amavis/conf.d/15-content_filter_mode , decommentando le linee @bypass_virus_checks_maps e @bypass_spam_checks_maps

vi /etc/amavis/conf.d/15-content_filter_mode

Che diventerà una cosa simile a:

@bypass_virus_checks_maps = (
   \%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re);

#
# Default SPAM checking mode
# Uncomment the two lines below to enable it back
#

@bypass_spam_checks_maps = (
   \%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);

1;  # ensure a defined return

Controlliamo inoltre i settaggi dell’antispam e dell’antivirus nel file /etc/amavis/conf.d/20-debian_defaults , dovrebbero andare bene per tutti e non necessitano di modifiche particolari.

Editiamo il file /etc/amavis/conf.d/50-user

vi /etc/amavis/conf.d/50-user

ed aggiungiamo

$pax='pax';

avendo come risultato qualcosa di simile a:

use strict;

#
# Place your configuration directives here.  They will override those in
# earlier files.
#
# See /usr/share/doc/amavisd-new/ for documentation and examples of
# the directives you can use in this file
#

$pax='pax';

#------------ Do not modify anything below this line -------------
1;  # ensure a defined return

Eseguiamo questi comandi per aggiungere clamav al gruppo di amavis e riavviare amavisd-new e clamav:

adduser clamav amavis
/etc/init.d/amavis restart
/etc/init.d/clamav-daemon restart
/etc/init.d/clamav-freshclam restart

Configuriamo ora postfix affinchè inoltri le email in arrivo all’antivirus amavisd-new

postconf -e 'content_filter = amavis:[127.0.0.1]:10024'
postconf -e 'receive_override_options = no_address_mappings'

Modifichiamo il file /etc/postfix/master.cf

vi /etc/postfix/master.cf

e aggiungiamo alla fine

[...]
amavis unix - - - - 2 smtp
        -o smtp_data_done_timeout=1200
        -o smtp_send_xforward_command=yes

127.0.0.1:10025 inet n - - - - smtpd
        -o content_filter=
        -o local_recipient_maps=
        -o relay_recipient_maps=
        -o smtpd_restriction_classes=
        -o smtpd_client_restrictions=
        -o smtpd_helo_restrictions=
        -o smtpd_sender_restrictions=
        -o smtpd_recipient_restrictions=permit_mynetworks,reject
        -o mynetworks=127.0.0.0/8
        -o strict_rfc821_envelopes=yes
        -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
        -o smtpd_bind_address=127.0.0.1

e riavviamo postfix

/etc/init.d/postfix restart

ora eseguendo

netstat -tap

dovreste vedere Postfix (smtp 25) e 10025, e amavisd-new sulla 10024

root@server1:/etc/postfix# netstat -tap
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 localhost.localdo:10024 *:*                     LISTEN      15645/amavisd (mast
tcp        0      0 localhost.localdo:10025 *:*                     LISTEN      16677/master
tcp        0      0 localhost.localdo:mysql *:*                     LISTEN      6177/mysqld
tcp        0      0 *:www                   *:*                     LISTEN      5367/apache2
tcp        0      0 *:smtp                  *:*                     LISTEN      16677/master
tcp6       0      0 [::]:imaps              [::]:*                  LISTEN      14020/couriertcpd
tcp6       0      0 [::]:pop3s              [::]:*                  LISTEN      14088/couriertcpd
tcp6       0      0 [::]:pop3               [::]:*                  LISTEN      14051/couriertcpd
tcp6       0      0 [::]:imap2              [::]:*                  LISTEN      13983/couriertcpd
tcp6       0      0 [::]:ssh                [::]:*                  LISTEN      4006/sshd
tcp6       0     52 server1.example.com:ssh 192.168.0.210%8191:3340 ESTABLISHED 4059/0
root@server1:/etc/postfix#

9. Install Razor, Pyzor And Configure SpamAssassin

Installiamo ora Razor, Pyzor che utilizzano una rete di filtri spam collaborativa sostenuta da varie community.

Eseguiamo il comando:

apt-get install razor pyzor

A questo punto editiamo

vi /etc/spamassassin/local.cf

[...]
#pyzor
use_pyzor 1
pyzor_path /usr/bin/pyzor

#razor
use_razor2 1
razor_config /etc/razor/razor-agent.conf

#bayes
use_bayes 1
use_bayes_rules 1
bayes_auto_learn 1

Possiamo configurare la nostra configurazione di spamassassin con il comando:

spamassassin --lint

e non dovrebbe darci alcun errore sul risultato.

Riavviamo ora amavis:

/etc/init.d/amavis restart

Aggiorniamo le nuove regole di Spamassassin con

sa-update --no-gpg

Creiamo un comando crontab per aggiornare le regole ogni tot tempo

crontab -e

e inseriamo

23 4 */2 * * /usr/bin/sa-update --no-gpg &> /dev/null

10. Test postfix

Controliamo ora se tutto funziona, controlliamo ora se postfix è pronto per SMTP-AUTH e TLS
telnet localhost 25

dopo la connessione diamo il comando

ehlo localhost

e dovremmo trovare la stringa

250-STARTTLS

e
50-AUTH LOGIN PLAIN

Qualcosa tipo:

root@server1:/usr/local/sbin# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.localdomain.
Escape character is '^]'.
220 server1.example.com ESMTP Postfix (Ubuntu)
ehlo localhost
250-server1.example.com
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
quit
221 2.0.0 Bye
Connection closed by foreign host.
root@server1:/usr/local/sbin#

Non ci resta che popolare il database con i dati che ci interessano, ometto questa parte in quanto la ritengo particolarmente semplice ed intuitiva,

Mi soffermo su due aspetti, il primo riguarda le PASSWORD. Quando inserite un nuovo utente mi raccomando di selezionare il tipo di campo per le password come ENCRYPT, altrimenti non vi funzionerà l’autenticazione.

Date un occhio alle tabelle del link http://www.howtoforge.com/virtual-users-domains-postfix-courier-mysql-squirrelmail-ubuntu8.04-p4 in fondo alla pagina.

11. Inviare un messaggio di benvenuto per creare la Maildir

Una volta creato un account email è necessario inviare un’email affinchè venga creata immediatamente la directory dove verranno salvate le email. Se questo non viene fatto, quando qualcuno proverà a collegarsi via pop3 gli verrà dato un messaggio di errore. Provvediamo quandi a installare mailx tramite:

apt-get install mailx

per inviare un’email ci basta dare il comando

mailx sales@example.com

e compilare i seguenti campi

mailx sales@example.com
Subject: Welcome <-- ENTER
Welcome! Have fun with your new mail account. <-- ENTER
<-- CTRL+D
Cc: <-- ENTER

A questo punto potete installare squirrelmail e company per gestire la posta come preferite.

Saluti
Matteo

Per fare un esempio pratico, ipotizziamo di voler aprire un sito come www.l.google.com che ha un indirizzo ip [...]]]> Di recente (neanche tanto a dire il vero) è stato resa nota una falla di molti dns che permette, tramite un attacco di dns poisoning, di manomettere i nomi host utlizzati da molti dns server sul pianeta.

Per fare un esempio pratico, ipotizziamo di voler aprire un sito come www.l.google.com che ha un indirizzo ip pari a 209.85.135.147, ora quello che fa un potenziale “hacker” non fa altro che sfruttare la falla del dns per fare risolvere www.l.google.com invece che con il suo indirizzo vero con un indirizzo qualunque tipo 127.0.0.1.

Ora per controllare se il proprio dns server è sicuro da questo tipo di problemi ci sono due strade:

1- collegarvi direttamente al sito DoxPara, sulla destra trovete la finestrella “dns checker” non dovrete fare altro che premere il pulsante Check My DNS.

2- oppure tramite linux mediante il comando dig.

Per il secondo punto il comando da lanciare è il seguente:

root@localhost:# dig +short @[your nameserver] porttest.dns-oarc.net txt

dove dovete sostituire [your nameserver] con l’indirizzo ip del dns di cui volete fare il controllo.

Esaminiamo ora i possibili risultati.

Se utilizziamo come dns uno dei dns del servizio OpenDNS otteniamo quanto segue:

root@localhost:# dig +short @208.67.222.222 porttest.dns-oarc.net txt
porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"208.69.34.8 is GREAT: 26 queries in 4.1 seconds from 26 ports with std dev 15951"

se vedete scritta nell’ultima riga GREAT allora il dns è ok ed è stato correttamente patchato.

Nel caso contrario invece utilizzando uno dei dns Telecom STRANAMENTE, i dns non sono patchati e quindi vulnerabili a questo tipo di attacchi

root@localhost:# dig +short @151.99.125.1 porttest.dns-oarc.net txt
porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"82.53.187.212 is POOR: 26 queries in 4.8 seconds from 1 ports with std dev 0"

come vedete questa volta nell’ultima riga trovate scritto POOR che indica che il dns non è correttamente aggiornato e quindi vulnerabile.

Su windows il comando è il seguente da lanciare da una console del DOS:

nslookup -querytype=TXT porttest.dns-oarc.net. ns1.nucleus.be

Saluti

Matteo