mail server e client di posta

[dMajo]

53) Se vorrai configurare il nas come server autorevole del tuo dominio pubblico (modificando i record ns del dominio pubblico), si, in quanto altri client/server esterni verranno risolvere i nomi sul tuo nas, altrimenti per l'uso locale no

Inoltre per ovviare che software terzi usino server dns non controllati (non quelli impostati nella configurazione di rete o dhcp, come ad esempio chrome che di suo usa server dns suoi) io bloccherei anche tutto il traffico in uscita sulle porte 53 tcp/udp ad eccezione dell'ip del nas e del router.
In pratica il pc client risolve i nomi sul server dns del nas. Questi se non ha la risposta (zona non configurata e nan ancora interrogata) chiedere ai server d'inoltro esterni e poi memorizzerà la risposta anche per risoluzioni future sino alla durata TTL del record e/o impostazioni cache del server stesso. Quindi ad uscire sulla 53 non sono i client della lan ma il server dns locale, gli altri vanno blindati.
Cosi facendo, nel log del tuo server dns, vedi tutte le richieste fatte da qualsiasi client.

[erficodesa]

ciao,
ma questa impostazione:

io bloccherei anche tutto il traffico in uscita sulle porte 53 tcp/udp ad eccezione dell'ip del nas e del router.


la dovrei fare sullla synology o sul mio firewall?

[erficodesa]

Ciao dMajo,
ho fatto alcuni test e ti riposto tutto partendo dalla parte più semplice.

1) porta 110/143 se chiusa completamente non scarica posta su outlook, appena riapro le porte sul synology sulla LAN interna scarica tutto corretamente, quindi bene
2) Ho notato che la porta 25 se la chiudo le mail non arrivano più!. la porta 25 sia su synology che su firewall deve essere aperta a tutti. ho provato ad aprirla solo sulla lan interna come mi hai consigliato, ma appena applico la regola le mail non arrivano più, poi appena la sblocco arrivano tutte di pacca.
3) per quanto riguarda la porta 53 DNS (dove sono molto ignorante) ho notato che se la chiudo sia su synology sia su firewall cmq le mail arrivano senza problemi.

Cmq il server DNS che ho configurato insieme a te l'ho fatto solo per il mail server quindi dimmi tu l'impostazione migliore per questa utilità

grazie mille

[dMajo]

Ciao dMajo,
ho fatto alcuni test e ti riposto tutto partendo dalla parte più semplice.

1) porta 110/143 se chiusa completamente non scarica posta su outlook, appena riapro le porte sul synology sulla LAN interna scarica tutto correttamente, quindi bene
2) Ho notato che la porta 25 se la chiudo le mail non arrivano più!. la porta 25 sia su synology che su firewall deve essere aperta a tutti. ho provato ad aprirla solo sulla lan interna come mi hai consigliato, ma appena applico la regola le mail non arrivano più, poi appena la sblocco arrivano tutte di pacca.
3) per quanto riguarda la porta 53 DNS (dove sono molto ignorante) ho notato che se la chiudo sia su synology sia su firewall cmq le mail arrivano senza problemi.

Cmq il server DNS che ho configurato insieme a te l'ho fatto solo per il mail server quindi dimmi tu l'impostazione migliore per questa utilità

ad esempio per il mailserver/webserver consiglio due regole
1) 80, 443, 25, 465, 587, 993, 995 aperte a tutti
2) 25, 110, 143 aperte solamente a lan locale o ip privati (ci vogliono 3 regole per coprire tutto il range 10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16)

1. 110/143 vanno bene aperte solo localmente perchè si presume che vengano utilizzate da pc fissi (server/desktop/antifurti/...) ... stabilmente nella lan e che di conseguenza non necessitino di scambiare traffico con il mailserver in forma crittografata.
   Ad esempio con un portatile configurerai pop3 e/o imap su ssl quindi utilizzerà le 993/995 al posto di 110/143 sia quando fuori che in lan. Altrimenti saresti costretto ad aprire anche 110/143 al mondo e li anche le credenziali (username/password) passerebbero in chiaro, leggibili da tutti che stanno sniffando traffico ... cosa che accade spessissimo in hotspot aeroportuali, wifi alberghieri ....
2. vorrei sapere dove ti ho consigliato l'apertura solo locale della 25. Io ti dissi di fare due regole (conta anche la priorità, la loro posizione alto/basso) e come vedi entrambe hanno la porta 25 quindi mentre la seconda la apre localmente la prima la apre a tutti.
   In sostanza la prima regola apre tutto quanto necessario per operare da esterno, mentre la seconda da interno ... una porta può essere anche in più regole. Avendo le regole "tematiche" si possono sempicemente abilitare/disabilitare senza perdere le funzionalità. Ad esempio in caso di massiccio attacco uno potrebbe inizialmente disabilitare la regola 1 così isolando il mail server dal mondo esterno. ma se la porta 25 non fosse presente anche nella regola 2 i client locali non potrebbero consegnare le mail, il server sarebbe zoppo anche per gli utenti interni.
   Poi come ti ho detto per chi usa ad esempio anche altri indirizzi locali 10.x.x.x o 172.16.x.x dovrebbe raddoppiare/triplicare la regola 2 per coprirli tutti.
3. la porta 53 non centra con la posta, ma il tuo nas svolge più servizi e il firewall li condiziona tutti (se la regola predefinita, quella in fondo, è blocca ce ne vuole almeno una che crei un "eccezione consenti" per ogni porta utilizzata).
   Quando un pc "chiede" la "traduzione" di "mail.dominio.it" in 1.2.3.4 lo fa verso l'ip di un server dns noto (generalmente quelli inseriti nelle impostazioni di rete o ottenuti via dhcp) ma tale traffico usa la porta 53. Se la blocchi (sul router) lo impedisci.

Avendo un server DNS locale ha senso pensarla così:
- tutti i miei dispositivi locali devono utilizzarlo, cosi la prima richiesta ignota verrà dal server inoltrata ad altri server DNS esterni, ma poi verrà risolta internamente (cache dns) senza creare inutile traffico sulla adsl
- se tutti i miei dispositivi utilizzano il dns locale solamente quest'ultimo dovrà eventualmente generare traffico in uscita sulla 53, un mio dispositivo non dovrebbe mai farlo visto che gli ho impostato che dns utilizzare (nas e router). Così non è: malware, virus ... ma anche chrome ad esempio ... hanno gli ip codificati internamente ed utilizzano server dns propri eventualmente ignorando le impostazioni di rete.
- quindi blocco per tutti la possibilità di utilizzare la porta 53 in uscita (sul router) ad eccezione di chi la necessità.
Veramente sarebbe coretto bloccare di default tutto in uscita ed aprire poi le porte utilizzate (due su tutte 80/443) per evitare che non ci siano "fughe" di traffico indesiderato. Quindi avendo per impostazione predefinita un uscita blocca dovrò aprire la 53 solamente ai server dns locali.

Cosi facendo:
- monitorando i log del server dns posso vedere quali siti sono contattati dai miei dispositivi
- posso selettivamente bloccare il traffico verso un sito ad uno o gruppo di miei dispositivi (es creando un record A http://www.synologyitalia.com=127.0.0.1 renderà questo forum irraggiungibile)
- posso bloccare molte delle pubblicità inserite nelle varie pagine web evitando che tutti quei banner vengano scaricati intasando l'adsl

[erficodesa]

Ciao,
Ti chiedo scusa per la porta 25 non avevo letto il dettaglio, comunque ho impostato tutto come si deve e funziona.

Raccontandoti un po' la mia realtà:
ho un server con installato Windows server 2012 con Il ruolo di controllo di dominio e appunto server di DNS. Nel mio caso questo server Ha come indirizzo IP 192.168.1.118. Dopo la configurazione del mail server, abbiamo eseguito la configurazione del DNS server sulla synology con appunto 192.168.1.100. Entrambi i server DNS li ho configurati nel firewall (che mi fa da DHCP) e quindi un PC che si collega alla mia lan troverà come DNS il 118 e il 100.
Se ricordi prima di configurare il DNS server su NAS quando impostavo su outlook mail.miodominio.it ber server pop e SMTP non funzionava nulla, poi una volta configurasti grazie alle tue preziose guide si è risolto anche questo problema.
Detto questo per le mie funzionalità penso di essere ok.
la porta 53 è sempre stata chiusa sia su firewall sia su NAS è tuttora è chiusa dappertutto.
Detto questo cosa nei pensi?

Grazie mille

[dMajo]

ho un server con installato Windows server 2012 con Il ruolo di controllo di dominio e appunto server di DNS........

Non ti sembra che questo dettaglio lo avresti dovuto raccontare sin dall'inizio

Con un dominio AD:

• il server DNS di W2012 era sufficiente ed andava configurato quello. I client di dominio, specialmente quelli in dhcp, registrano il loro indirizzo nel server dns microsoft, mentre non possono farlo con quello del NAS. Poi può comunque esserci un server dns sul nas (secondario) con zone slave replicate dal dns 2012.
  in questo caso solo il server 2012 ed il nas dovrebbero aver aperta la 53 (in uscita) verso internet.
• Il nas andrebbe integrato nel dominio, così gli utenti possono accedervi con le stesse credenziali usate per windows.
• Se la rete non è grandissima e/o la macchina server 2012 non è striminzita (altrimenti sarebbe meglio una macchina/vm dedicata) anche il ruolo wsus non guasterebbe (con wsus si possono distribuire anche molti altri aggiornamenti/sw oltre a quelli ms).
• Molte impostazioni (mappatura unità di rete, collegamenti, url, stampanti di rete/condivise, impostazioni di ms office e moltissimi sw utilizzati, ...) possono venir distribuite ai client via GPO. Possono venir installati quasi tutti i sw (eventualmente a seconda dei reparti) in modo da averee configurazioni standard ed automatizzate.
  Cosi all'acquisto di un nuovo PC basta accenderlo, completare la prima configurazione e poi inserirlo nel dominio. Da qui office, java, stampanti, aggiornamenti ... e tutto quanto necessario si installa in automatico senza dover star li a lanciare setup e dare continui OK.

Detto questo cosa nei pensi?

Appunto che come detto i client di dominio devono avere come primo dns il controller DC-AD e come secondo, idealmente, un secondo DC-AD. Usando un NAS dovresti replicare le zone DNS dal DC come slave (secondarie).

Scusa, ma il nas lo usi come file server indipendente o in iSCSI su W2012? O unicamente come mail server?

[erficodesa]

Ciao,
Scusami ancora!
Allora io ho un 2 server vmware esxi (1 backup dell'altro) con installate più macchine virtuali tra cui appunto una con Windows server 2012 con ruote di DC e DNS. Il NAS l'ho acquistato dopo e non l'ho mai (per ora) configurato sulla rete di dominio. Il NAS lo usiamo per FTP, Cloud, file server, Videosorveglianza.
Attualmente il mio vero dominio risiede su aruba, e come server exchange ho un abbonamento con Office 365.
Mi sono creato un ambiente di test per configurare il mail server su NAS e valutare se spostare tutto qui sopra.
Grazie a tuo aiuto e alla configurazione ultimata ora appunto lo sto testando.
Purtroppo di server DNS non ci capisco niente, e faccio fatica. Il ruolo di server DNS di Windows 2012 come ben sai me l'hai configurato in automatico alla creazione del DC, ma da quel giorno non l'ho mai toccato e configurato.
Quindi usare il NAS come DNS server slave non so come si faccia. Quello che so è che nella configurazione attuale (forse sbagliata) funziona tutto.
Il fatto di aprire la porta 53 verso internet solo a NAS e server immagino sarebbe in impostazione su firewall?

[erficodesa]

ciao, in attesa di risposta, questi errori vanno coretti o vanno lasciati cosi?

grazie

[burghy86]

Erficodesa e spyke quando volete aspettiamo la guida completa

[erficodesa]

volentieri,
ma non è ancora completa, volevo sapere in sicurezza se sono da abilitare tutte le varie funzioni

grazie