No results found
di Alessandro Davanzo
Gestione aziendale di email, calendari, rubriche, attività, chat, sono le funzionalità offerte da Kerio Connect, un prodotto che rappresenta un’alternativa economica a Exchange, grazie al basso costo delle licenze d'uso, ma anche una valida opzione in grado di integrare la gestione completa della posta elettronica con il supporto ai dispositivi mobile come tablet e smartphone e l'interoperabilità con i tradizionali client di posta elettronica.
Kerio Connect offre le funzionalità e le caratteristiche di Microsoft Exchange, senza però avere la sua complessità di utilizzo. Tramite l’interfaccia web di amministrazione semplice e pulita, ossia la Dashboard, è possibile anche configurare il sistema da un tablet o smartphone, oltre a gestire tutte le funzionalità e ad eseguire ogni genere di impostazione.
In questo tutorial vedremo l'utilizzo di Kerio Connect come soluzione di posta elettronica in un Cloud privato (e-mail in Private Cloud), ossia demandando alla versione su Cloud di Kerio Connect, il ruolo di server secondario di posta elettronica; analizzeremo questa specifica situazione facendo preliminarmente una panoramica sull’utilizzo del prodotto e analizzando, per ciascuna procedura, le impostazioni ottimali.
La versione Cloud di Kerio Connect consente di trasferire su Cloud Computing posta elettronica, agende, rubriche, messaggeria istantanea, con tutti i benefici della sincronizzazione immediata anche dei dispositivi mobili iOS, Android e Windows; il tutto grazie a MultiWire, che rende l’utilizzo di Kerio Connect Cloud semplice e immediato.
Per quanto riguarda la posta elettronica possiamo contare sul Kerio Connect Client, tramite cui l’utente dispone di:
Diamo innanzitutto un’occhiata alla Dashboard, che è l’interfaccia di controllo accessibile dalla schermata di amministrazione mediante un clic sul pulsante, tra quelli della barra azzurra a sinistra, a forma di indicatore di segnale dei cellulari: in altre parole, quello con i trattini verticali di altezza crescente.
Dalla Dashboard abbiamo una visione complessiva dell'attività del prodotto, con la configurazione, le funzioni attive, l’occupazione di spazio di storage ecc. Nelle immagini seguenti vedete due schermate della Dashboard.
La stessa interfaccia di amministrazione di Kerio Connect permette di effettuare ogni genere d'impostazione, accedendo alle rispettive sezioni mediante i pulsanti che si trovano nella barra azzurra verticale a sinistra, vale a dire (dall'alto in basso) Mail, Utenti, Dashboard, Impostazioni, Log.
Analizziamo ora le procedure per creare il dominio in Kerio Connect. La creazione del dominio si esegue dalla schermata di amministrazione, che si apre cliccando, tra i pulsanti della barra azzurra a sinistra dello schermo, su quello a forma di ingranaggio; così accediamo alla sezione servizi, che si apre mostrando alla destra della barra con i pulsanti un menu contenente vari comandi. Tra questi clicchiamo su @Domini, che apre la pagina visibile nell’immagine seguente.
In essa vediamo, nel riquadro centrale, i domini disponibili e possiamo modificarli o aggiungerne di nuovi; siccome ci interessa creare un dominio, facciamo clic sul pulsante Aggiungi che si trova in basso nella schermata e, dal menu che si apre, sul tipo di dominio, che può essere Distribuito o Locale.
Il dominio distribuito è stato pensato per situazioni dove c'è la sede principale e poi vari Branch Office sparsi e nella quale tutti devono usare Kerio Connect, il che implica che tutti devono connettersi e quindi dialogare per scaricarsi tutta la posta dalla sede centrale, impegnando parecchio la linea e sovraccaricando sia il link di rete, sia il server della sede principale. Questo costituisce un problema se la connessione non è ad alta velocità.
Nel dominio distribuito:
In questa configurazione, praticamente ogni server con Active Directory sa quali utenti ci sono in quella determinata sede e le e-mail arrivano sul master: quest’ultimo sa, comunicando con gli slave dov’è l’utente destinatario e consegna la e-mail localmente a Kerio Connect installato nella sede corrispondente, così poi quando un utente risponde risponde alla e-mail di un collega di un’altra sede, sa dove andare a mettere la mail nell'altra sede e quindi alla fine lo store dei messaggi avviene in locale.
Potendo contare su una connessione migliore è conveniente utilizzare il dominio locale. Immaginiamo quindi di creare un dominio locale e quindi, dal menu contestuale che si apre cliccando sul pulsante Aggiungi in fondo alla pagina, scegliamo Dominio Locale; cliccando su questa voce si apre la finestra di dialogo contenente le impostazioni del caso, mostrata nell’immagine seguente.
Nella tab Generale si definiscono i principali parametri, come il nome del dominio, l’utilizzo della firma DKIM per i messaggi di posta in uscita (per una questione di protezione dallo SPAM), la limitazione del numero di utenti del dominio, l’attivazione della chat ecc.
La firma digitale DKIM certifica che le e-mail contrassegnate con essa non sono Spam. Apponendo il DKIM, quando il server di posta riceve dei messaggi di posta elettronica che contengono il relativo record li accetta incondizionatamente, fatto salvo l’eventuale controllo operato dall’antivirus. La DKIM funziona inserendo una chiave pubblica in un record DNS di tipo .txt che se corrisponde alla chiave privata inserita nella e-mail, la stessa e-mail, in ricezione, viene considerata attendibile.
Per ottenere la stringa DKIM da mandare al server DNS, nella tab Generale, dopo aver attivato la DKIM, fate clic sul pulsante Visualizza chiave pubblica e la stringa verrà mostrata in un'apposita finestra di notifica.
La chiave viene verificata con il server DNS, ragion per cui la DKIM deve venire pubblicata affinché la firma funzioni anche con altri server di posta elettronica; diversamente non funzionerà.
L’email viene inviata con la firma al server che la riceve la accetta e dal DNS riceve la chiave; se la chiave combacia, l’e-mail viene messa nella posta in arrivo, mentre se la chiave non combacia va nello spam.
Kerio Connect per il momento non supporta la DKIM nella posta in arrivo ma si limita ad apporre la firma DKIM solo alla posta in uscita. Kerio Connect si limita a verificare che la chiave sia stata pubblicata nel DNS e se lo è stata, allora allega la firma DKIM alla e-mail.
La DKIM rientra, insieme alla SPF, nella strategia di protezione dallo Spam e certificazione dei messaggi di posta elettronica come non generati da spammer; comprendete questo sapendo che il DMARC (Domain-based Message Authentication, Reporting & Conformance) è un protocollo di autenticazione delle e-mail. Sostanzialmente si tratta di una policy di verifica basata sulla combinazione di DKIM ed SPF (l’SPF è un record in formato .txt in cui possiamo indicare quali sono gli IP abilitati a inviare e-mail per conto del vostro dominio), grazie alla quale viene indicato ai server di posta elettronica come devono comportarsi quando ricevono una e-mail a nome nostro, in caso di mancanza o di errore di uno tra SFP e DKIM (cioè se sono sbagliati o non come previsto), ovvero:
Grazie all'utilizzo del DMARC si certifica che l’e-mail proviene da un mittente sicuro e che il dominio da cui è partita è effettivamente sotto il controllo del suo proprietario o gestore. Questo serve perché le e-mail di Spam non partono solo da domini spammer ma anche da domini e server di posta regolari che vengono hackerati per sfruttarli come spammer, all’insaputa dei proprietari o gestori.
Il funzionamento del DMARC è il seguente:
Se tutti i test vengono superati, l’e-mail passa e viene consegnata, altrimenti va in quarantena o viene rifiutata del tutto.
In caso di quarantena o rifiuto, Kerio Connect manda una e-mail di failure oppure un report aggregato (i report sono in formato .xml) dove sono contenuti i record di più eventi; possiamo indicare a Kerio Connect a quali indirizzi e-mail far arrivare le e-mail e ogni quanto tempo farvi arrivare il report aggregato. In questo modo potete sapere quanto spam ricevono gli altri a nome vostro o del vostro dominio.
È consigliabile implementare la DMARC come mostrato nell’immagine seguente, dove vedete (nella seconda riga) la voce pct, che sta per percentuale sulle e-mail cui deve essere applicata.
Conviene sempre impostarne il valore gradualmente, incrementandolo ogni settimana di un 10% e di tenere sotto controllo le e-mail di report, così da valutarne l’efficacia; questo perché magari vi siete scordati di inserire l’SPF oppure da qualche altra parte la DKIM e vi tornano indietro un sacco di e-mail contrassegnate come Spam. È il caso, ad esempio, dell’invio di newsletter piuttosto che di un sito web gestito dal vostro provider che invia le mail tramite un proprio server SMTP e non tramite il vostro.
Andiamo avanti e lasciamo la scheda generale per passare alla scheda Sicurezza (immagine seguente) nella quale vanno definite le impostazioni tipo la password e l’anti-spoofing (lo spoofing è l’invio di e-mail di Spam da parte di un dominio hackerato, ovvero utilizzando un dominio regolare a insaputa del proprietario o gestore).
Per quello che riguarda la sicurezza, possiamo impostare la password, ossia se deve esserci la password, quali requisiti di complessità deve soddisfare (ad esempio non deve contenere il nome dell’account, deve avere almeno 8 caratteri, maiuscole, minuscole, numeri e simboli) la eventuale scadenza della password, ecc. La scadenza conviene impostarla perché non una buona cosa avere password eterne, giacché più lungo è l’intervallo di validità, più facile è che vengano trovate dagli hacker.
Quanto all’anti-spoofing, la relativa protezione va attivata sia lato server che lato dominio.
Andiamo alla scheda Quota, da dove possiamo assegnare un limite di spazio su disco e stabilire una percentuale di utilizzo di tale quota, raggiungendo la quale viene generata una notifica e-mail all’amministratore di sistema (immagine seguente).
Da qui è possibile Possiamo definire una quota non solo sul dominio ma anche sull’utente.
Nella tab Messaggi (immagine seguente) possiamo impostare alcune caratteristiche delle e-mail in uscita, come ad esempio le dimensioni loro e dei rispettivi allegati (per ridurre l’occupazione di storage o per velocizzare la connessione) e l’eliminazione automatica dalle varie cartelle, scegliendo individualmente per Cestino, SPAM ecc. una volta che è trascorso un certo periodo; riguardo all’eliminazione, possiamo definire per quanto conservare i messaggi tolti dal cestino (spuntare la casella d’opzione nella sezione Ripristina elementi eliminati).
L’opzione in questione è molto utile perché consente di conservare i messaggi di posta elettronica eliminati per un certo tempo, il che consente di recuperarli se li avete rimossi per errore; il periodo indicato nella casella decorre da quando è stato svuotato il cestino.
Va notato che non si può ripristinare nel cestino un messaggio di posta specifico, ma con il comando Ripristina elementi eliminati, tutte le e-mail cancellate dal cestino non prima dello scadere dell’intervallo stabilito saranno riportate nel cestino insieme.
Vediamo adesso l’utilizzo degli alias, che ci permette di ridirigere su un gruppo o un altro utente quello diretto a un alias. Lo stesso ci permette di dirigere a una cartella pubblica un messaggio diretto agli utenti di un gruppo; quest’ultima funzione è utile per risparmiare spazio e la sua utilità si comprende con un esempio: se si invia una e-mail al gruppo “assistenza” cui appartengono 5 utenti, contenente un allegato da 10 MB, sul server di posta il messaggio raggiunge tutti gli utenti ed occupa sullo storage uno spazio di 5x10MB. Se invece il messaggio si invia ad un alias cui è associata una cartella pubblica, il messaggio va solo su quest’ultima, occupa lo spazio di una sola e-mail ma è disponibile a tutti gli utenti del gruppo.
Vediamo quindi come ridirigere la posta a un alias di dominio: nella scheda Alias, con il pulsante Aggiungi inseriamo un nuovo alias, mentre se dobbiamo rimuoverne qualcuno lo facciamo cliccandovi per selezionarlo e poi facendo clic sul pulsante Rimuovi. Il comando Aggiungi apre la finestra di dialogo nella quale scrivere il nome dell’alias e confermare con OK.
L’immagine seguente propone l’esempio di ridirezione della casella alias “info” su una cartella pubblica.
Creare un alias di dominio permette, se avete più domini facenti capo tutti a un’unica realtà e quindi collegati, di risparmiare l’acquisto di una licenza per ciascun dominio: definendo gli alias di dominio nella tab in oggetto, Kerio Connect fa in modo che tutti i messaggi di posta elettronica riguardanti un dominio siano replicati sugli alias di dominio specificati.
Grazie all’alias non c’è bisogno di ricreare tutti gli utenti su tutti i domini (quindi fare la procedura tante volte quanti sono i domini) perché inviando una e-mail a un alias di dominio, le stesse saranno recapitate su tutti i domini collegati all’alias.
Resta inteso che l’indirizzo e-mail che appare nell’invio riporta come dominio quello principale e non l’alias, a meno di non specificare altrimenti.
Passiamo alla tab Inoltro, dove possiamo definire (immagine seguente) le modalità di inoltro a un altro server se non viene trovato l’account destinatario delle e-mail in Kerio Connect; questo serve quando si effettua il POP3 Download descritto più avanti.
Questo può essere usato per esempio se avete Kerio Connect in azienda e le e-mail vengono scaricate in POP3 da un Service Provider (può essere Aruba, Register ecc.) perché non avete un IP pubblico, però esiste del personale che dovrebbe potersi collegare per scaricare la posta in mobilità, non avendo un IP pubblico non potete farli accedere a Kerio Connect.
In questo caso, per garantire l’utilizzo della posta elettronica in mobilità dovreste tenere gli account dei commerciali su un service provider e quelli del personale interno su Kerio Connect, tuttavia non potete creare l’account del commerciale su Kerio Connect.
Invece con l’opzione di inoltro fate inviare le e-mail al service provider e le stesse vengono inoltrate attraverso Kerio Connect.
In caso di provider esterni non dovete inserire l’indirizzo SMTP che vi forniscono ma il record MX.
Nell’utilizzo di un servizio Cloud come server di posta secondario viene un po’ meno questa funzionalità, perché abbiamo l’IP pubblico fisso o il lastname fisso eccetera.
È comunque utile quando, pur utilizzando Kerio Connect in Cloud, si desidera mantenere un altro provider, quindi le e-mail arrivano sull’altro provider e Kerio Connect se le scarica in POP3.
Altra funzione accessibile dalla finestra di dialogo Aggiungi dominio è quella relativa alla tab Nota a piè pagina, dalla quale (immagine seguente) è possibile apporre una nota in calce alle e-mail, come ad esempio un messaggio riguardante la privacy, l’invito a non divulgare il contenuto del messaggio se ricevuto per errore ecc.
La nota si imposta spuntando la casella Apporre la nota a piè di pagina ai messaggi in uscita e, se si spunta anche la casella sottostante, è possibile fare in modo che la nota non venga apposta se l’e-mail è destinata esclusivamente a personale dell’azienda.
Passiamo alla scheda Servizio directory, la quale permette di agganciare Kerio Connect ad Active Directory (immagine seguente), ovvero il dominio ad Active Directory.
Il nome dominio (da inserire nell'ultimo campo) può essere diverso dal nome del server di posta. Attenzione, però, che l'utente deve essere lo stesso della casella di posta, altrimenti l’autenticazione fallisce, perciò dovete modificare uno tra gli account di Active directory o della casella di posta.
Per l’utilizzo di Active Directory esistono due possibilità:
In caso di problemi come il cambio di password o una nuova versione installata di Active Directory, Kerio Connect non riuscirebbe a dialogare con Active Directory perché fallirebbe l’autenticazione e le e-mail scambiate verrebbero respinte, quindi è preferibile utilizzare l’autenticazione da Active Directory, perché in questo caso i messaggi di posta possono essere ricevuti anche se non ci si riesce ad autenticare.
Le stesse procedure descritte sinora per la creazione, si applicano alla modifica del dominio; infatti da @Domini, cliccando sul pulsante Modifica si apre la finestra di dialogo contenente le impostazioni del caso (Modifica Dominio). L’unica accortezza da adottare quando si modifica un dominio, per esempio lo si rinomina, è che una volta confermata l’operazione cliccando sul pulsante OK della finestra di dialogo corrispondente occorre riavviare Kerio Connect e gli utenti che erano collegati al momento. Bisogna inoltre modificare i parametri di autenticazione mettendo il nome del nuovo dominio.
La creazione e gestione dei gruppi di utenti è simile a quella degli utenti, pur con opzioni specifiche e vi si accede dalla stessa schermata, però cliccando sulla voce di menu Gruppi. Anche qui abbiamo un pulsante Aggiungi in fondo alla schermata, che apre la finestra di dialogo corrispondente, la quale, come mostra nell’immagine seguente, ha quattro tab.
La scheda Diritti, come quella vista per gli utenti, permette di stabilire diritti di accesso e utilizzo validi per gli utenti appartenenti al gruppo; qui è possibile, se non si desidera una specifica concessione di diritti, cliccare su nessuna autorizzazione.
Una volta impostato il gruppo si clicca su OK e lo stesso viene creato. A questo punto è possibile aprire o ricaricare Kerio Connect e, nella sezione a sinistra, cliccare su Cartelle pubbliche e scegliere una certa cartella, quindi cliccarvi con il pulsante destro del mouse e impartire il comando condivisione. Così si apre la finestra mostrata nell’immagine seguente, dove si può definire quali utenti o gruppi di utenti debbano accedervi, scegliendoli dall’elenco proposto.
Nella finestra con l’elenco, se cliccate su +AGGIUNGI si apre un menu a tendina dove selezionare eventuali gruppi da aggiungere, ad esempio perché l’elenco non è aggiornato (immagine seguente).
Notate che per ciascun gruppo possiamo, cliccando sulla voce corrispondente, decidere se può solo avere accesso in lettura (Lettore) scrittura (Scrittore) o se è l’amministratore (Proprietario). Notate altresì che gli utenti o gruppi mostrati nell’elenco relativo a Condivisione appaiono solo se, nell’impostazione Diritti degli utenti appartenenti, sono stati spuntati come permessi di accesso Cartelle pubbliche, Cartelle di archivio o entrambi.
Passiamo alla gestione degli utenti partendo dalla creazione di nuovi utenti, che si esegue dalla sezione dell’interfaccia di amministrazione accessibile cliccando, sulla barra azzurra a sinistra dello schermo, sul pulsante con i due omini, universalmente interpretato nei programmi moderni come Users o Utenti; con esso si apre la schermata Utenti e cliccando sulla voce omonima del menu viene mostrata nell’immagine seguente, che riepiloga le informazioni sugli utenti esistenti. Cliccando sul pulsante Aggiungi in fondo alla schermata si apre la relativa finestra di dialogo Aggiungi utente.
Da qui è possibile definire tutto quanto riguarda il nuovo utente in fase di creazione, dalle sue credenziali alle modalità di autenticazione (si scelgono dal menu a tendina accessibile dalla casella Autenticazione) fino alle regole di inoltro e di Spam, alla quota, all’autorizazione dell’utente al cambio di password (se si nega l’autorizzazione il cambio potrà essere effettuato dal solo amministratore) ecc.
Dalla scheda Indirizzi email potete aggiungere o rimuovere indirizzi di posta elettronica associati all’utente in fase di creazione (immagine seguente). Notate che il numero di indirizzi e-mail non influisce sulla licenza, cioè la licenza resta sempre una anche se ad un utente associate più caselle di posta, giacché la licenza è sugli utenti.
Nella scheda Contatto si definiscono le caratteristiche di contatto dell’utente che appaiono nelle e-mail inviate da esso (immagine seguente) nella sezione del piè di pagina; è possibile allegare anche una fotografia.
Le informazioni di contatto appariranno anche nella rubrica di Kerio Connect.
Nella scheda Inoltro possiamo definire se inoltrare o meno le e-mail arrivate verso una casella di posta interna o esterna a Kerio Connect: nel primo caso bisogna cliccare sul pulsante d’opzione Inoltra all’indirizzo e poi su Aggiungi (immagine seguente).
Dalla stessa finestra è possibile gestire l’eventuale lista di indirizzi di inoltro già esistente e, spuntando l’opzione a fondo pagina (Consegna messaggio a entrambe le caselle email…), fare in modo che i messaggi di posta in entrata vengano inviati sia alla casella locale, sia a quelle inoltrate. A riguardo va notato che se l’utente destinatario è fuori sede o trasferito ed occorre generare il messaggio di fuori sede in risposta alle e-mail in arrivo, tale casella dev’essere spuntata, perché siccome il messaggio in questione viene generato da Kerio Connect, se non si chiede l’inoltro a entrambe le caselle lo stesso Kerio Connect non rileva le e-mail in arrivo e non può rispondere automaticamente.
Ciò detto passiamo alla tab Gruppi, che permette di comprendere l’utente in un gruppo di Distribuzione o di Autorizzazione. Il gruppo di distribuzione sostanzialmente è la classica casella di gruppo, quindi può essere relativa a una divisione aziendale: per esempio si crea una casella che si chiama “assistenza” e nel gruppo si mettono le varie caselle di posta dei tecnici di assistenza, cosicché inviando l’e-mail a un gruppo viene replicata a tutti gli utenti appartenenti.
Quanto al gruppo di autorizzazione, riguarda i gruppi che possono fare le autorizzazioni: ad esempio gruppi di utenti autorizzati a vedere una cartella.
Passiamo quindi alla tab Diritti, dove si possono impostare i diritti di accesso o di modifica sul server, oppure di amministrazione di cartelle pubbliche e cartelle di archivio (immagine seguente).
Per quel riguarda la tab Quota, è simile a quanto descritto nella gestione dei domini e permette di stabilire limiti di operatività, ossia un limite di spazio su disco riservato all’utente o un numero massimo di messaggi (immagine seguente).
Dall’ultima scheda, ossia Messaggi, possiamo ad esempio imporre di inviare o ricevere e-mail solo da e verso il dominio di appartenenza (prima casella della finestra visibile nell’immagine seguente) e quindi utilizzare solo la casella istituzionale o aziendale, utilizzare il limite di spazio occupato configurato per il dominio di appartenenza o definire uno specifico volume di storage indipendente dalla quota fissata per il dominio, ed altro ancora.
Tra le impostazioni abbiamo anche quelle di eliminazione automatica dei messaggi, che può essere quella già definita nella creazione del dominio o personalizzata e indipendente per l’utente.
Concludiamo spiegando come si può modificare un utente, ovvero cambiare l’indirizzo di posta elettronica: dalla solita sezione Utenti accessibile con il pulsante della barra azzurra che riporta i due omini, cliccate nella voce di menu Utenti e, nella relativa finestra cliccate col pulsante destro del mouse sull’utente, impartite il comando Elimina utente e nella finestra di dialogo cui accedete (immagine seguente) Kerio Connect vi permette di definire cosa fare dei messaggi correlati.
Qui potete ad esempio decidere di salvare le e-mail relative all’utente, eventualmente nella cartella di un’altra casella di posta elettronica, ovvero su un utente esistente. Se scegliete semplicemente Non eliminare la cartella messaggi dell’utente l’utente viene eliminato ma i suoi messaggi restano nella cartella che ha il suo nome. A questo punto andate nella cartella sul server, rinominatela con il nome dell’utente che vorrete assegnare e se questo non esiste, tornate nella solita schermata Utenti e da qui create un nuovo utente (si fa con il pulsante Aggiungi o con il comando corrispondente nel menu contestuale apribile cliccando con il pulsante destro nella zona vuota dell’area che elenca gli utenti esistenti).
Automaticamente, Kerio Connect troverà e collegherà la cartella rinominata.
Le uniche cose che dovrete reimpostare saranno eventuali regole personalizzate per l’utente ecc. perché cancellando l’utente, quelle vengono eliminate.
Abbiamo visto come creare e gestire l’alias di dominio, però in Kerio Connect si può avere anche il classico alias di casella di posta, creando il quale si ridirigono le e-mail ricevute su di esso alla casella cui è correlato: per esempio quando la casella è quella di un utente non più presente in azienda.
Per creare un alias possiamo procedere direttamente dall’apposita schermata, accessibile cliccando sul pulsante Utenti (quello con i due omini) e poi sul comando Alias che appare nella lista accanto; appare così la finestra mostrata nell’immagine seguente, dove vengono elencati gli alias esistenti e con il pulsante Aggiungi potete aprire la finestra di dialogo che vedete al centro, chiama Aggiungi alias.
Qui definite il nome da dare all’alias, nel menu a tendina Spedisci a: scegliete un collegamento, che può essere l’Indirizzo e-mail da definire nella casella sottostante, ovvero un altro utente, mentre nella casella Indirizzo e-mail: potete definire una casella di posta da abbinare (quella cui verranno diretti i messaggi di posta inviati all’alias in oggetto). Con il pulsante Seleziona... potete scegliere un indirizzo di posta tra quelli esistenti nella finestra di dialogo che si apre (immagine seguente).
Cliccando sul nome desiderato e poi su OK, questo appare nella casella Indirizzo e-mail: e confermando con OK nella finestra Aggiungi alias creerete l’alias stesso e questo apparirà nella schermata riepilogativa; per esempio nell’immagine seguente vedete due alias: uno di dominio (info) e uno di utente (pippo).
Per la creazione degli alias di dominio rimandiamo a quanto già spiegato, ricordando semplicemente che per crearli, nel menu a tendina accanto a Spedisci a: scegliete un nome di dominio.
Ricordate che nella schermata Alias sono disponibili i soliti pulsanti Modifica... e Rimuovi...
che permettono, rispettivamente, la modifica (apre la finestra di dialogo Modifica alias, identica a Aggiungi alias) o l’eliminazione dell’alias selezionato con il mouse tra quelli esistenti; per modifica si intende anche l’assegnazione di un alias di dominio ad esempio a una casella di posta.
È possibile scaricare i messaggi dal server POP3 anche quando si ha a che fare con la versione su Cloud e si desidera eseguire il download POP3 dal provider a Kerio Connect Cloud; le relative impostazioni sono praticamente le stesse di un client di post elettronica, quindi clicchiamo sul pulsante a ingranaggio della barra azzurra a sinistra dello schermo e, nel menu che appare, clicchiamo su Recapito: apriamo così la finestra di dialogo Aggiungi account POP3 mostrata dall’immagine seguente, dove possiamo inserire un account POP3 o un recapito.
Nella sezione Account POP3 definiamo il server, lo username e la password correlata, mentre in Ordinamento e recapito possiamo indicare al prodotto a quale indirizzo recapitare la posta elettronica; con il pulsante Seleziona accediamo alla finestra di dialogo mostrata nell’immagine seguente, dove definire l’indirizzo di posta del dominio cui recapitare le e-mail.
È possibile selezionare solo un gruppo o una casella di posta e non l’alias che va nella cartella pubblica. Se volete che la posta sia recapitata a un alias dovete utilizzare le regole di ordinamento, cliccando, nella finestra di dialogo Ordinamento e recapito, la casella Utilizza regole di ordinamento; a questo punto dovete:
Così facendo, nella sezione Regole di ordinamento della schermata Recapito troverete il nome dell’alias sotto Recapita a ; in questo modo l’e-mail non verrà recapitata ma Kerio Connect cercherà al proprio interno l’alias destinatario e la recapiterà ad esso.
Per quanto riguarda la pianificazione, si effettua dalla tab Pianificazione della solita schermata Recapito, cliccando sulla quale si apre una finestra di dialogo dove impostare il download pianificato, ovvero la frequenza di download da POP3 ed altri parametri correlati.
Passiamo adesso alla gestione del filtro anti-spam, premettendo che funziona solo sulle e-mail passate dal server SMTP e non su quelle scaricate con il download POP3; idem per la funzione blacklist.
Alla gestione del filtro anti-spam si accede cliccando sulla voce Filtro spam che si trova nella sezione Filtro contenuti della schermata delle impostazioni accessibile dal pulsante a ingranaggio.
Da questa finestra, visibile nell’immagine che segue, impostate non solo l’attività del filtro anti-spam, ma anche le black list e le white list.
In essa, Classificazione spam permette di definire cosa considerare Spam, stabilendo i limiti in base a un certo punteggio tag e impostando il punteggio di blocco: quello di tag è il punteggio raggiunto il quale l’e-mail viene contrassegnata come Spam (il messaggio viene recapitato nella posta indesiderata) mentre quello di blocco determina la mancata notifica e la perdita della e-mail.
È anche possibile attivare il blocco mantenendo le e-mail sospettate di spam, ma in una cartella di quarantena impostabile dalla sezione Azione limite punteggio blocco raggiunto, spuntando Inoltra il messaggio all’indirizzo di quarantena e inserendo nella casella alla destra di quest’ultimo l’alias di quarantena selezionato.
Il consiglio è di alzare il punteggio di Spam, in modo da ottenere un blocco affidabile. Il consiglio è di impostare a 5.9 il punteggio di tag e a 8 quello di blocco.
Sconsigliamo di spuntare la casella Invia messaggio di bounce al mittente, che risulta utile con mittenti i cui messaggi vengono erroneamente contrassegnati come Spam, ma che con quelli che producono effettivamente Spam serve solo ad aiutarli ad aggirare il filtro: infatti il bounce spiega al mittente perché il server di posta ha rifiutato l’e-mail e potrebbe essere sfruttato per aggirarlo.
La tab Blacklist permette di definire gli account da filtrare e in essa troviamo essenzialmente due sezioni: quella della white list e quella della black-list (immagine seguente).
Nella sezione white list possiamo definire a piacimento una lista di indirizzi IP dai quali accettare incondizionatamente le e-mail (a prescindere dall’eventuale controllo operato in un secondo momento dall’antivirus). Per attivare la white list personalizzata spuntate la casella Utilizza gruppo indirizzi IP e nel menu a tendina scegliete un gruppo (per esempio quelli della blacklist, che sono i predefiniti). Potete modificare a piacimento la lista selezionata da menu mediante il pulsante Modifica che si trova alla sua destra.
L’impostazione della sezione Blacklist è simile, con la differenza che Kerio Connect propone anche una serie di liste nella sezione Blacklist Internet. La personalizzazione della black-list degli indirizzi spammer permette, rispetto a quella della white list, di decidere le azioni da intraprendere:
A proposito delle Blacklist Internet, evitate di utilizzare liste predefinite come SORBS, perché spesso creano problemi; inoltre possono risultare poco efficaci, ad esempio perché per ovvie ragioni, prima che un indirizzo IP venga riconosciuto come spammer passa il tempo richiesto a raccogliere un certo numero di segnalazioni dagli utenti e ad effettuare i dovuti controlli, che possono non essere facili perché le e-mail di spam possono contenere false chiavi di identificazione.
Pertanto se scoprite già subito che un IP vi genera Spam, potendo personalizzare il filtro anti-spam lo bloccate subito, senza aspettare che venga riconosciuto da una delle black-list Internet. Comunque alle Blacklist Internet installate per default potete aggiungerne altre.
Procediamo con l’analisi delle tab disponibili nella finestra Filtro spam e passiamo a quella che permette di definire delle regole di filtro personalizzate: la scheda è Personalizza regole ed è mostrata nell’immagine seguente, nella quale trovate visualizzate tutte le regole esistenti al momento, con le azioni correlate, la descrizione e data e ora di ultimo utilizzo (cioè quando sono state utilizzate l’ultima volta sulla posta ricevuta dal server).
Nella finestra Personalizza regole, cliccando sul pulsante Aggiungi e accedendo così alla finestra di dialogo mostrata nell’immagine seguente.
Qui è possibile definire qual è la condizione da rilevare scegliendo tra intestazione e corpo della e-mail (in questo caso scegliete, dal menu a tendina, il campo interessato), ovvero parole contenute, quindi di impostare l’eventuale azione da intraprendere; riguardo al campo intestazione, potete filtrare le e-mail che non hanno intestazione (vuoto) o in cui manca il campo intestazione, che contengono un dominio, un indirizzo, una sottostringa ecc.
Nella sezione Corpo dell’email potete definire eventuali parole da ricercare e determinanti nel blocco delle e-mail che le contengono; le parole possono anche essere dei link web o il classico link “clicca qui” in modo da bloccare le e-mail di spam anche quando gli spammer, per aggirare i filtri, ne cambiano ciclicamente il mittente.
In Azione definite le azioni da intraprendere, ossia non considerare l’e-mail come spam, considerarla spam e bloccarne il recapito, ovvero elevare il punteggio di spam nel filtro per le e-mail che soddisfano i requisiti impostati nella finestra.
Fatte tutte le impostazioni, abilitate la regola ponendo il segno di spunta su Abilita regola e confermate con OK.
La tab Caller ID si riferisce a un record di identificazione dell’autore dell’e-mail implementato da Microsoft ma ormai deprecata, quindi lasciatela come è impostata dall’installazione.
Veniamo all’impostazione dell’SPF (immagine seguente) già accennato a proposito del DMARC.
Nella sezione Azione risultato SPF negativo definiamo cosa il filtro Spam di Kerio Connect deve fare nel caso sia ricevuto un messaggio di posta elettronica in cui l’SPF sia assente o errato: l’impostazione più comune è Aggiungi punteggio di spam al messaggio scrivendo un valore 5 nella relativa casella, ma potete anche scegliere:
Considerate che il valore 5, con un punteggio di tag di 5.9 sortisce l’effetto di contrassegnare l’e-mail come spam se già Kerio Connect assegna un punteggio di almeno 1 alla stessa e-mail; se la somma dei punteggi (assegnato e aggiunto) raggiunge quello di blocco, il messaggio non viene recapitato.
Considerate che la gestione dell’SPF è qualcosa che i provider stanno organizzando di recente, ma in generale i grandi provider non gestiscono il record SPF di Kerio Connect, quindi può capitare che comperiate il dominio da loro e poi scopriate che nei DNS non sono mai configurati gli SPF; fa eccezione Google, che lo ha già impostato.
Greylisting è una modalità che si appoggia a un database della Kerio e con questo si popola, aggiornandosi periodicamente con dati utili a identificare lo Spam; il database è una lista di server abilitati a inviare e-mail e si aggiorna prendendo i dati del server la prima volta che si riceve una e-mail da esso.
Quando un server di posta con attiva la greylist riceve un messaggio di posta elettronica, verifica se dal relativo server o account ne ha già ricevute in un certo periodo di tempo (di solito 30 giorni); in caso affermativo vuol dire che verosimilmente il mittente è attendibile e quindi l’e-mail viene recapitata, altrimenti il messaggio non viene recapitato ma messo nella greylist (una sorta di quarantena) con conseguente notifica al server mittente, il quale per far accettare la e-mail inviata dovrà reinviarla 10÷15 minuti. Se fa questo, il messaggio di posta verrà accettato e recapitato e il mittente verrà esonerato dal passaggio in greylist per lo stesso periodo di tempo considerato per l’attendibilità.
L’impostazione del server di posta in uscita tipicamente prevede che il re-invio non avvenga prima dei 5 minuti, quindi i 10÷15 minuti sono un tempo accettabile per evitare che le e-mail provenienti da esso vengano scartate.
Nella tab, spuntate Controlla i messaggi di posta elettronica tramite Kerio Greylisting service se volete attivare questa funzionalità e Non applicare Greylisting sulle connessioni da: se intendete escludere dalla funzionalità una serie di liste di indirizzi, come la white-list, scegliendo dal menu a tendina. Con il pulsante Modifica che si trova alla sua destra potete definire una lista personalizzata di mittenti.
Con il pulsante Test di connessione potete eseguire una prova per vedere la compatibilità dei tempi di reinvio tra server di posta in uscita e Kerio Connect.
Il riquadro sottostante riporta le statistiche sull’attività della funzionalità di Greylisting.
Passiamo ora all’impostazione del filtro anti-spam che si effettua dall’apposita tab della schermata di impostazione del filtro spam. L’anti-spam predefinito in Kerio Connect è lo Spam Assassin alternativo al Kerio Anti spam, che è l’anti-spam opzionale, a pagamento, di Bitdefender, abilitabile dalla sezione Opzioni della relativa finestra di impostazione visibile nell’immagine seguente.
Qui trovate due sezioni: la prima riguarda l’attivazione dell’anti-spam opzionale di Bitdefender e la seconda quella dello Spam Assassin (predefinito) nativo di Kerio Connect. A riguardo notate che nelle vecchie versioni di Kerio Connect, la scheda ha il nome Spam Assassin e non Kerio Anti-spam e contiene una sola sezione: la vedete nell’immagine seguente.
Suggeriamo di utilizzare l’anti-spam predefinito, perché su quello di Bit Defender si può avere pochissimo controllo; Spam Assassin si attiva spuntando la casella Verifica ogni messaggio in entrata…. e da quel momento il controllo è operativo.
Va notato che se in un messaggio di posta che passa l’anti-spam andate a contrassegnare Segnala come spam la e-mail viene messa in spam e l’anti-spam identifica quel modello come spam, tuttavia se qualcosa viene cambiato nelle successive e-mail, queste passano finché lo strumento non si affina.
Infine vediamo la scheda Anti spam, che permette di definire il ritardo di risposta del server SMTP; la funzione si abilita spuntando la casella Ritarda risposta SMTP per e definendo i secondi desiderati (immagine seguente).
Il ritardo serve perché molti sistemi che generano Spam, per ottimizzare la produzione non attendono a lungo la risposta dei server di posta cui dirigono le proprie e-mail di Spam, quindi se impostiamo un ritardo nella risposta il server che genera lo Spam annulla l’invio perché non attende. Mediamente con un ritardo di 5 secondi si respingono parecchi dei tentativi di Spam.
Vediamo come impostare l’antivirus integrato in Kerio Connect, che garantisce l’analisi del traffico in tempo reale, riuscendo a individuare potenziali minacce ed intrusioni. Per la parte antivirus, Kerio integra il motore di scansione di Sophos, che esegue la scansione dell’intero traffico web che passa per l’appliance, e sono ovviamente inclusi tutti gli oggetti allegati alle e-mail.
L’impostazione dell’antivirus si esegue cliccando sul solito pulsante a ingranaggio e, nel menu che appare, andando nella sezione Filtro contenuti e cliccando sulla voce Antivirus: si accede così alla schermata proposta nell’immagine seguente.
L’antivirus si attiva spuntando la prima casella in alto (Utilizzare il motore integrato Kerio Antivirus) e spuntando Verifica aggiornamento ogni [ore] per poi definire nella casella accanto ogni quante ore volete che il prodotto ricerchi e installi le nuove definizioni dei virus. Cliccando su Aggiorna ora potete eseguire l’aggiornamento in qualsiasi momento.
Se non volete l’aggiornamento automatico, non spuntate la casella Verifica aggiornamento ogni [ore].
Nella sezione Se si rileva un virus in un messaggio spuntate l’opzione corrispondente alle azioni che volete vengano intraprese:
Potete anche impostare l’inoltro dei messaggi riconosciuti dall’antivirus all’amministratore di sistema, definendo nella casella accanto un indirizzo di posta che dev’essere adeguatamente protetto dai virus, in special modo se l’opzione scelta è di inoltrare il messaggio originale (Inoltra il messaggio originale al’indirizzo dell’amministratore). Nel caso si inoltri il messaggio filtrato, questo è già inattivato dall’antivirus.
L’indirizzo dell’amministratore può essere su un host in cloud o presso un dominio di un provider o di un server di posta aziendale.
Infine, nella sezione Se non è possibile scansire un messaggio... definite quale azione intraprendere.
Passiamo alla schermata di filtro dei contenuti, cui si accede dal menu che si apre con il solito pulsante a ingranaggio, ma stavolta cliccando sulla voce Filtro Allegati (immagine seguente).
Da qui, Kerio Connect ci permette di creare regole per il controllo del traffico di posta aggiungendone di nuove con il pulsante Aggiungi o modificando quelle esistenti (Modifica) ovvero cancellando quelle che non volete siano più attive (con il pulsante Rimuovi). Ricordate che per impostazione predefinita, il filtro è disabilitato, quindi per attivarlo bisogna spuntare la casella Abilita filtro allegati.
Nel caso vogliate aggiungere una regola, cliccate su Aggiungi e, nella casella Descrizione della finestra di dialogo che si apre (immagine seguente) scrivete il nome o la descrizione della regola, quindi nella sezione Condizione definite al verificarsi di cosa dev’essere filtrato l’allegato.
In particolare, nel menu a tendina di sinistra scrivete cosa deve contenere il messaggio affinché venga filtrato (quindi ad esempio diciamo di andare a cercare il nome del file) e in quello a destra la condizione supplementare: nel caso vogliate filtrare gli allegati per nome di file, nel menu a sinistra scegliete Nome file e in quella a destra l’estensione (tipicamente i file più insidiosi sono gli allegati .zip).
Nella sezione Azione cliccate sull’azione desiderata (Blocca l’allegato o accetta l’allegato) e infine abilitate la regola con una spunta su Abilita regola del filtro, allorché cliccando su OK confermate sia la creazione che l’abilitazione: ora la regola apparirà nella schermata Filtro allegato.
Notate che se volete disabilitare una regola esistente invece di cancellarla, cliccate sul suo nome nella predetta schermata, quindi fate clic su Modifica e andate a togliere la spunta da Abilita regola del filtro.
Concludiamo con la configurazione del server SMTP per l’invio della posta elettronica, durante la quale potete decidere innanzitutto chi invia le e-mail tramite il vostro server; alla schermata corrispondente si accede cliccando sul solito pulsante a ingranaggio e poi, nel menu di sinistra, su Server SMTP (immagine seguente).
La schermata conta quattro tab: in Controllo relay, cliccando su Consenti relay solo per: si imposta l’invio condizionale; qui consigliamo di abilitare le due voci visibili nell’immagine precedente e non abilitare l'autorizzazione via IP (Utenti del gruppo indirizzi IP). Se la abilitate, non usate il gruppo local client ma create voi un gruppo, sia che si tratti di un’installazione on-premise, sia che stiate lavorando con Kerio Connect in Cloud, e andate a specificare l’indirizzo IP. Questo perché, soprattutto nell’on-premise (ma potrebbe capitare anche nel Cloud) se aveste un firewall dedicato potrebbe capitare che qualcuno sfrutti l’indirizzo IP privato del vostro firewall (per esempio tramite NAT) per spedire e-mail e in qualche modo riesca a far vedere al vostro server di posta che l’IP che sta spedendo le mail è l’IP del firewall e quindi quello viene automaticamente autorizzato da chi poi vi invia un sacco di e-mail e vi fa Spam giocando su questo.
Quindi la casella Utenti del gruppo indirizzi IP non abilitatela o se la dovete abilitare perché ad esempio avete dei sistemi multifunzione piuttosto che VMware, in cui non è possibile specificare utente e password, create un gruppo di specifico.
La casella Utenti precedentemente autenticati tramite POP3 dallo stesso indirizzo IP (POP3) prima di SMTP si spunta se abbiamo specificato degli account POP3 SMTP, quindi se usiamo Active Sync o Outlook connector, il protocollo SMTP non è usato. Invece viene utilizzato se avete delle stampanti multifunzione o dei sistemi che devono mandare degli allegati e non gestiscono l’autenticazione (nome utente e password).
Passiamo alla tab Opzioni di protezione dalla quale, tramite le apposite caselle presenti nelle due sezioni, facciamo le impostazioni del caso (immagine seguente).
Da Limiti basati sull’indirizzo IP impostiamo quanti messaggi in un’ora si possono inviare da un IP address prima che venga bloccato, quante connessione SMTP simultanee può fare un determinato IP, il numero di destinatari sconosciuti ammesso e quanto riportato nella sezione, la quale permette di attivare delle limitazioni basate sull’indirizzo IP di provenienza.
Spuntando la casella Non applicare tali limiti al gruppo indirizzi IP specificate un gruppo di utenti escluso da tali limitazioni.
Il numero di destinatari sconosciuti è importante per mettersi al riparo dall’harvest attack, ossia il tentativo di penetrazione da parte degli spammer basato su indirizzi di posta dei destinatari generati a tentativi, fino a trovare quello giusto; mettendo un numero come 5, ad esempio, vengono trattate secondo le policy di Spam impostate in Kerio Connect le e-mail che riportano, oltre al nostro, più di 5 destinatari sconosciuti.
Numero max. di messaggi per ora da un indirizzo IP va impostata in base all’applicazione: ad esempio chi ha un sistema di ticketing, il quale ogni volta che arriva una e-mail genera una sua e-mail diretta al mittente per dirgli che è stato aperto il ticket, un’altra e-mail verso i tecnici per comunicare loro che è arrivato il ticket, deve avere un limite orario elevato, altrimenti dopo un po’ il sistema smette di funzionare.
Nella sezione Opzioni supplementari potete attivare alcune opzioni come il blocco nel caso il dominio di posta non sia stato trovato nei server DNS (attenzione che in questo caso possono essere bloccate e-mail provenienti da un dominio di un cliente cui è scaduto e questo impedirebbe l’arrivo, ad esempio, di richieste di nuova attivazione, con la conseguente perdita del contratto...) o quello in caso l’indirizzo IP del client non disponga di voce DNS inversa (PTR); esistono sempre più provider di posta elettronica che utilizzano questo metodo per bloccare le e-mail in ingresso. Questo metodo si aggiunge a quello delle black-list e consente ad un server di posta di scartare a priori le e-mail che arrivano da indirizzi IP senza un Reverse DNS.
Quindi la casella va spuntata solo se il provider invia il Reverse DNS o se a richiesta può modificare il Reverse DNS dell’indirizzo IP che si vuole usare per l’invio della posta elettronica.
Sempre in questa sezione, potete definire il numero massimo di comandi non riusciti in una sessione SMTP, così da fare in modo che un hacker non riesca ad arrivare a tentativi al server SMTP e limitare le dimensioni massime dei messaggi SMTP in arrivo, il numero massimo di destinatari in un messaggio (che permette di limitare lo Spam, ovvero di capire quando un messaggio è reale o mandato a tappeto).
La casella Numero max di intestazioni ricevute accettate (passaggi) è utile quando da un’e-mail ne vengono generate altre.
Andiamo alla scheda Recapito SMTP, dove possiamo definire le Opzioni del client SMTP e, ad esempio, modificare il recapito predefinito (immagine seguente) che è quello corrispondente al record MX già spiegato in precedenza. Spuntate la casella Usa SSL/TLS se supportato dal server remoto SMTP nel caso vogliate utilizzare il protocollo di sicurezza SSL
In caso di provider esterni non dovete inserire l’indirizzo SMTP che vi forniscono ma il record MX, ossia qual è l’indirizzo IP il server che riceve la posta.
In pratica dalla scheda Recapito SMTP stabilite se il server deve inviare le e-mail direttamente o se le deve inviare tramite un servizio di terze parti, anche se avete messo il server nel Cloud, avete la RNDS eccetera, ad esempio perché non volete avere anche l’onere di gestire la situazione in cui le vostre e-mail finiscano in delle black-list.
CoreTech mette a disposizione un servizio di hosting della posta elettronica, purché non venga utilizzato per fare newsletter (per quello esistono altri servizi) e grazie al fatto che sono limitati ai messaggi l’ora si riesce ad accorgersi in tempo se c’è qualcosa che non sta andando: per esempio se avete preso un virus o vi hanno “bucato” il server e spedite 10.000 e-mail all’ora pur avendo una limitazione a 100 è evidente che qualcuno o qualcosa sta generando traffico non autorizzato.
In fondo alla sezione Recapito SMTP abbiamo i soliti pulsanti con cui possiamo aggiungere, modificare, rimuovere o clonare dei recapiti esistenti per accelerare la configurazione.
Concludiamo l’impostazione con la tab Opzioni coda mostrata nell’immagine seguente, che riguarda la coda di recapito (cioè i messaggi in attesa di essere recapitati) e le notifiche dello stato di recapito.
Nella sezione Impostazioni coda di recapito possiamo impostare il numero massimo di thread di recapito e l’intervallo tra tentativi di recapito consecutivi oltre il quale il server SMTP smette di tentare l’invio; il tempo (in minuti) non deve essere troppo basso per evitare che i messaggi di posta non vi vengano scartati a causa del meccanismo della Greylisting: di solito 5 minuti è un tempo accettabile, ma potete salire a 10, a patto che il volume di traffico non sia tale da saturare il server in tale intervallo. Analogo è il discorso per la casella Respingi il messaggio al mittente se non recapitato in: dove definiamo i giorni per cui attendere il recapito.
Nella sezione Notifiche dello stato di recapito definite il tempo trascorso il quale parte la notifica al cliente in caso di mancato recapito delle e-mail e in Lingua del rapporto potete scegliere in quale lingua mandare le notifiche, così da poter gestire clienti in tutto il mondo e personalizzare le notifiche.