mail server e client di posta

[Spike]

Ho quindi potuto fare tutte le verifiche finali e mi sono rimasti 2 problemi:

1) il primo errore è il seguente:

Schermata 2016-02-18 alle 16.57.36.png

gli errori sono i seguenti

Cert NOT VALIDATED: unable to get local issuer certificate
[001.113] this may help: What Is An Intermediate Certificate
[001.114] So email is encrypted but the domain is not verified
[001.114] Cert Hostname DOES NOT VERIFY (1.2.3.4 != *.miodominio.it)
[001.114] (see RFC-2818 section 3.1 paragraph 4 for info on wildcard ("*") matching)
[001.114] So email is encrypted but the host is not verified

Cert NOT VALIDATED: unable to get local issuer certificate
[006.189] this may help: What Is An Intermediate Certificate
[006.189] So email is encrypted but the domain is not verified





2) il secondo errore è il seguente:
appena attivo la funzione DKIM sul server, il client sul computer non riesce più ad inviare le mail
e mi da il seguente errore:

L'invio del contenuto del messaggio al server non è riuscito.
La risposta del server è stata: Service unavailable - try again later
Seleziona un server di posta in uscita diverso dall'elenco seguente o fai clic su “Riprova più tardi” per lasciare il messaggio nella casella Uscita finché non viene inviato.

[dMajo]

il fatto che non abbia aperto la porta 53 su firewall e su NAS è normale che funzioni tutto cmq?

Sul tuo fw usg tu probabilmente non hai polizze che regolamentano il traffico in uscita. La porta 53 viene usata in uscita dal server dns del nas.
Sul nas invece se usi il fw devi aprire la udp 53 altrimenti i client non possono fare le query.
Probabilmente sul nas non usi il fw o e' configurato male.

Sul usg sarebbe invece corretto bloccare tutto il traffico in uscita come scelta predefinita. Poi pero bisogna apprire tutte le porte necessarie ai vari dispositivi con regole apposite.
In questo modo hai il controllo del traffico e non rischi che i vari dispositivi inviino autononamente dati a tua insaputa perche infetti o semplicemente perche i vari produttori ms in primis se ne fregano della privacy.
Ad esempio le smarttv inviano un sacco di dati sui programmi visionati a siti terzi che nulla centrano con il produttore dell'apparecchio.

[dMajo]

Finalmente anche il servizio reverseDNS (rDNS) mi è stato configurato da Telecom Italia,
per chi ne avesse bisogno (lo riporterò poi nel PDF da inserire nella guida) la procedura da seguire è questa:

fare una chiamata a Telecom al n° 800-018914, opzione 5
e chiedere il cambio, fornendo:

- vostro nome dominio/mail server, tipo mail.nomedominio.it
- vostro indirizzo ip che comunque hanno già perché vi chiederanno i dati

Poi vi avvertiranno tramite mail ad operazione avvenuta o almeno così dicono perché
con me hanno effettuato il cambio senza poi avvertirmi.

Va ricordato che prima di chiedere l'impostazione del record PTR bisogna impostare correttamente il rispettivo record A in quanto la maggior parte degli ISP lo richiedono e lo verificano.

[erficodesa]

sul nas infatti per quanto riguarda DNS non ho configurato nulla in questa parte.
vedi foto...
devi creare stile mail server??
1) selezionare applicazione
2) IP origine tutto

se faccio questa modifica devi andare ad aprire le porte anche sull'USG se non va più nulla?
grazie

[Spike]

Ho risolto una part del problema, ho inserito il certificato intermedio che non mi
avevano inviato ma che ho trovato in una pagina dell'autorità da cui l'ho acquistato,
rimane comunque un'errore, forse può dipendere dal fatto che non ho impostato un sito ma solo un server email?

B.png

[dMajo]

erficodesa: non si vede il fondo della schermata: se e' selezionato consenti le regole sono superflue ovvero avrebbe senso farne qualcuna per bloccare qualcosa.
Devi selezionare nega in modo che le regole fatte poi con consenti siano delle eccezioni al generico nega.

Spike: non si vedono i domini. Il certificato copre un solo host a meno che non sia un wildecard. In questo caso deve esser fatto per *.dominio.it e non *.mail.dominio.it.

[erficodesa]

In fondo c'è una frase..

SE NON VI SONO REGOLE IN TUTTE LE INTERFACCE CORRISPONDONO, LE REGOLE IN CIASCUNA INTERFACCIA VERRANNO FATTE CORRISPONDERE.

Intendi quella?
Nei precedenti post nella configurazione del mail server, nella voce firewall del NAS abbiamo aperto le varie porte 80/443 e e 110/25/465 ecc ecc, facendo risultare l'immagine che ti ho postato sopra.
Quello che volevo intendere io, devo fare la stessa cosa per la porta 53 per il server DNS?

Grazie

[erficodesa]

la frase che dici tu l'ho vista in un altro NAS, ma nel mio è come vedi in allegato

[dMajo]

in alto a destra hai la finestra di selezione con scritto "tutte le interfaccie", seleziona lan1 e lan2 o bond0 se il LACP e poi in basso vedrai le opzioni nega/consenti

Seleziona nega su tutte le interfaccie, ma prima imposta una regola (per ogni interfaccia oppure generica in tutte le interfaccie) che apra almeno le porte 5000/5001 del dsm per non chiuderti fuori ... anche se ben ricordo il nas dovrebbe verificare e darti un avviso.

da ora in poi (dopo aver selezionato nega) per ogni porta che ti dovesse servire (telnet, ssh, dlna, smb, ftp, http ...) dovra esserci una regola che ne consenta l'utilizzo por la lan interna (es 192.168.1.0/255.255.255.0(/24)) oppure tutti gli ip se deve essere acceduta anche esternamente (come quelle per il mailserver)

ad esempio per il mailserver/webserver consiglio due regole
1) 80, 443, 25, 465, 587, 993, 995 aperte a tutti
2) 25, 110, 143 aperte solamente a lan locale o ip privati (ci vogliono 3 regole per coprire tutto il range 10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16)
questo perche al di la di possibili configurazioni errate sul router/firewall mai darei accesso dall'esterno a pop3 e imap non su ssl mentre invece da lan interna (quindi relativamente sicura) su un pc fisso imposterei invece accesso pop3 i imap normali per evitare la crittografica della comunicazione al nas. un portatile o smarphone che si spostano fra interno esterno invece andranno sempre in ssl.

idem per il resto: ad esempio smb, telnet, dlna saranno aperti solo localmente mentre un ftp dovrà esser aperto a tutti. è ovvio che quelli aperti solo localmente non necessitano instradamenti sul router/firewall mentre quelli a tutti si.

[erficodesa]

Ok, grazie mille, provo.
È la porta 53 server DNS aperta a tutti?