BLOG

1 Marzo 2024

Sviluppo di un sistema Mail aziendale multiutenza e multidominio. Il caso specifico managedserver.it

Come in Managedserver.it abbiamo migrato il nostro sistema di posta senza che nessuno se ne accorgesse, utilizzando solo software Open Source.

Indice dei contenuti dell'articolo:

Nel corso degli ultimi dieci anni, il nostro precedente server di posta elettronica ha svolto un ruolo cruciale nella gestione delle comunicazioni aziendali, dimostrandosi uno strumento affidabile e performante. Tuttavia, con l’evoluzione tecnologica e l’aumento delle esigenze di sicurezza e flessibilità, abbiamo ritenuto necessario intraprendere un percorso di aggiornamento e innovazione. È con grande entusiasmo che annunciamo, a partire da oggi, 1° Marzo, il passaggio alla nostra nuova soluzione di sistema di posta elettronica multiutenza, interamente basata su una piattaforma Cloud proprietaria.

Questa decisione è il risultato di un’attenta valutazione delle necessità aziendali, unita alla volontà di offrire ai nostri clienti un servizio sempre più affidabile, sicuro e all’avanguardia. L’implementazione del nuovo sistema di posta rappresenta un importante passo in avanti nella nostra strategia di digitalizzazione e ottimizzazione delle risorse aziendali.

In questo articolo, desideriamo condividere con voi, lettori e clienti, il viaggio che ci ha portati allo sviluppo e al lancio della nuova soluzione di posta elettronica. Esploreremo insieme il processo di implementazione, evidenziando le principali caratteristiche e i benefici del nuovo sistema, i software scelti per il suo funzionamento, nonché le ragioni sottostanti le nostre scelte tecnologiche e tecnico-strategiche. L’obiettivo è offrire uno sguardo approfondito sulle innovazioni introdotte e su come queste si traducano in un valore aggiunto per i nostri clienti e per l’efficienza delle loro attività quotidiane.

La transizione verso la nostra soluzione proprietaria in Cloud segna un momento significativo nella nostra storia aziendale, riflettendo il nostro impegno costante nel ricerca dell’eccellenza e della soddisfazione del cliente. Con questa mossa, ci poniamo all’avanguardia nel panorama tecnologico, adottando le più moderne infrastrutture e soluzioni software per garantire prestazioni superiori, maggiore scalabilità e una sicurezza senza compromessi.

Vi invitiamo a seguirci in questa esplorazione dettagliata del nostro nuovo sistema di posta elettronica, convinti che rappresenti non solo un salto qualitativo per la nostra azienda, ma anche un modello di innovazione e di best practice per l’intero settore.

La necessità di un nuovo Mail Server

La decisione di migrare verso una nuova soluzione per il nostro sistema di posta elettronica non è stata presa alla leggera, ma è il frutto di un’accurata valutazione delle esigenze e delle sfide tecniche incontrate con il precedente mail server. Il sistema in uso, basato su una soluzione proprietaria sviluppata su CentOS 6, ha raggiunto il termine del suo ciclo di vita utile, entrando nella fase di End Of Life (EOL) a novembre 2020. Questo significa che CentOS 6 ha cessato di ricevere aggiornamenti ufficiali di sicurezza e di sistema, esponendo potenzialmente la nostra infrastruttura a vulnerabilità non mitigabili attraverso nuovi rilasci di patch. Sebbene usassimo repository non ufficiali e specifiche versioni di Kernel non vulnerabili, è altrettanto vero che era ormai giunta l’ora di dire addio ad un sistema che aveva fatto egregiamente il suo lavoro e che iniziava comunque a manifestare i primi segni di cedimento operativo.

CentOS-Linux-8-End-of-Lifetime-EOL-Dates_jpg

La gestione e la manutenzione del vecchio sistema erano diventate sempre più complesse e delicate, in parte a causa della necessità di utilizzare kernel Linux non ufficiali dai repository ELRepo per mantenere aggiornate le difese contro le minacce alla sicurezza. Sebbene questi kernel potessero offrire un certo livello di sicurezza aggiornata, molti componenti software fondamentali per il funzionamento del mail server non erano più al passo con i tempi. Questo deficit tecnologico si traduceva in limitazioni significative in termini di performance, stabilità e disponibilità di nuove feature, essenziali per rispondere efficacemente alle esigenze di business in continua evoluzione.

Nonostante il servizio di posta elettronica non rappresenti il core business della nostra azienda, la gestione di oltre 25.000 caselle email attive impone un rigoroso controllo su stabilità, efficienza e funzionalità del servizio. Tale esigenza è stata ulteriormente evidenziata all’inizio di febbraio, quando ci siamo imbattuti per la prima volta in un bug molto particolare che ha interessato un singolo cliente ma che ha compromesso la stabilità dell’intero server IMAP. Il bug era attribuibile a una versione obsoleta di Dovecot, evidenziando così le problematiche intrinseche e non aspettate di un software non aggiornato.

L’impellenza urgenza di aggiornare un singolo componente come Dovecot ha pertanto accelerato la nostra decisione di anticipare la transizione verso il nuovo mail server, originariamente prevista a Giugno 2024. La nuova soluzione, basata su tecnologie all’avanguardia e infrastrutture Cloud, non solo risolve le problematiche legate alla sicurezza e all’obsolescenza tecnologica ma offre anche miglioramenti significativi in termini di prestazioni, scalabilità e innovazione delle feature. Questo cambio di direzione è stato guidato dalla consapevolezza che un sistema di posta elettronica moderno, efficiente e sicuro è fondamentale per supportare le attività aziendali e garantire la migliore esperienza possibile ai nostri clienti.

Mail Server commerciali o Open Source realizzati ad hoc ?

Nel processo di valutazione per il rinnovamento del nostro sistema di posta, ci siamo trovati di fronte a una decisione cruciale: optare per una soluzione commerciale o sviluppare una soluzione Open Source personalizzata. Inizialmente, l’idea di adottare una soluzione commerciale sembrava allettante. Questa opzione prometteva di liberarci dai compiti gravosi legati all’implementazione, alla gestione e agli aggiornamenti del sistema, offrendoci la possibilità di concentrarci su altri aspetti del nostro business. Pagare una licenza e affidarsi a un prodotto “chiavi in mano” poteva sembrare la strada più semplice e diretta.

Tuttavia, la nostra analisi delle varie soluzioni commerciali disponibili sul mercato ha sollevato diverse preoccupazioni. Abbiamo scoperto che, in molti casi, i modelli di pricing proposti non erano compatibili con la struttura dei costi dei nostri servizi. In termini pratici, ciò significava che avremmo finito per spendere più in licenze di quanto potessimo ricavare dalla vendita del servizio stesso. Alcuni modelli di pricing si basavano sul numero di caselle mail piuttosto che sul numero di server di posta, rendendo i costi inaccettabilmente elevati per il nostro modello di business. Inoltre, abbiamo riscontrato che alcune aziende offrivano soluzioni basate su software Open Source e di pubblico dominio già noti a noi, applicando un sovrapprezzo per le loro interfacce personalizzate.

Un’altra grande preoccupazione era la dipendenza da fornitori terzi per la manutenzione e l’assistenza tecnica. Considerando che nei nostri oltre 10 anni di attività abbiamo registrato al massimo mezz’ora di downtime, l’idea di dover attendere l’intervento di un servizio di assistenza esterno per risolvere eventuali problemi era inconcepibile. La prospettiva di affidarsi completamente a una soluzione tecnologica gestita da terzi presentava rischi significativi, inclusi cambiamenti nei modelli di licenza, aumenti dei prezzi, o peggio, la cessazione delle attività del fornitore.

Inoltre, l’idea di impegnarsi in una sorta di “matrimonio” con tutte queste incognite, dubbi e perplessità, unitamente al costo di licenza annuale che variava tra i 5000 e i 10.000 euro (traducendosi in un investimento di almeno 50.000 euro in un arco di 10 anni), ci ha portati a riconsiderare seriamente la nostra strategia.

Avendo già l’esperienza e le competenze necessarie per sviluppare una soluzione interna, come fatto con il nostro precedente mail server, abbiamo deciso di seguire questa strada. Questo approccio ci ha permesso di aggiungere nuove feature e funzionalità, migliorando allo stesso tempo alcuni aspetti che nel sistema precedente erano limitati dalle restrizioni del software obsoleto. La scelta di sviluppare una soluzione Open Source ad hoc ci ha offerto la libertà di personalizzare il sistema secondo le nostre specifiche esigenze, garantendo al contempo un controllo totale sulla sicurezza, la stabilità e l’efficienza del servizio. Questa decisione riflette il nostro impegno a fornire soluzioni all’avanguardia, mantenendo al contempo una gestione indipendente e flessibile delle nostre infrastrutture tecnologiche.

Server dedicato o Cloud ?

La scelta tra mantenere i Server Dedicati o migrare verso una soluzione Cloud per il nostro sistema di posta elettronica aziendale multidominio è stata un punto cruciale nella fase di pianificazione del nuovo mail server. La configurazione precedente si basava su due macchine fisiche dedicate e ridondate, con un filesystem condiviso, una soluzione che garantiva un’elevata affidabilità in termini di uptime anche durante le fasi di manutenzione o in presenza di guasti, oltre a una gestione ottimale del carico per la posta in uscita. Nonostante questi vantaggi, l’essere vincolati a sistemi fisici e, di conseguenza, all’hardware sottostante, non soddisfaceva appieno le nostre aspettative per il futuro.

L’obiettivo era quello di superare le limitazioni imposte dall’hardware fisico, mirando a una soluzione più flessibile e scalabile. Avremmo preferito adottare un’architettura in cluster, basata su istanze dedicate, con un filesystem elastico ed espandibile capace di adattarsi facilmente alle nostre esigenze di crescita, passando dagli attuali 8 terabyte a decine di terabyte con semplicità e rapidità, attraverso l’allocazione di volumi di rete CEPH.

RED_HAT_CEPH

Inoltre, la precedente configurazione utilizzava dischi meccanici SAS, che, nonostante fossero affidabili, presentavano limitazioni in termini di performance, latenza e capacità di gestione di accessi simultanei significativi – immaginiamo, ad esempio, 5000 utenti che accedono alla posta contemporaneamente – con velocità di lettura non superiori ai 200 MB/s. La prospettiva di passare a CEPH su dischi NVMe di ultima generazione prometteva un miglioramento esponenziale delle prestazioni, come confermato dai nostri test preliminari, che hanno evidenziato velocità di trasferimento superiori a 1,5 GB/s, segnando un incremento di performance del 700%.

Questa notevole accelerazione non solo sarebbe stata vantaggiosa nei periodi di picco di carico, ma anche durante le operazioni notturne di backup su doppia SAN geografica, migliorando significativamente l’efficienza e la resilienza del sistema.

Considerate queste premesse e dopo un’attenta valutazione dei pro e dei contro, abbiamo preso la decisione di virtualizzare l’intera infrastruttura su Cloud. La scelta di utilizzare OpenStack e volumi di rete CEPH su dispositivi NVMe di ultima generazione si è rivelata la strategia ottimale per garantire la scalabilità, la flessibilità e le prestazioni elevate che cercavamo. Questa transizione segna un passo avanti significativo nella nostra capacità di gestire in modo efficace e efficiente il crescente volume di dati e la domanda di servizi, ponendo le basi per un’infrastruttura di posta elettronica moderna, affidabile e pronta a soddisfare le esigenze future.

La necessità di una migrazione Chiavi in mano e trasparente

Per noi, l’obiettivo primario nel passaggio dalla vecchia alla nuova infrastruttura mail era garantire una transizione completamente trasparente e indolore per gli utenti. La sfida era duplice: da un lato, era impensabile gestire le richieste di assistenza di oltre 10.000 persone nel giorno successivo allo switch; dall’altro, era fondamentale non modificare in alcun modo il modus operandi degli utenti. Anche il minimo cambiamento – che si trattasse di una variazione nel colore di un bottone, di un logo o di una scritta – avrebbe potuto generare ansia e confusione tra gli utenti meno esperti, trasformandosi in un’ondata di telefonate all’helpdesk e mail di richiesta assistenza. Questo è particolarmente vero in un contesto come il nostro, dove l’utente finale può variare dal professionista tecnicamente competente alla segretaria prossima al pensionamento.

Il nostro scopo era quindi quello di realizzare una sorta di “magia”, orchestrando un gioco di abilità dove gli utenti non si accorgessero di nulla se non di un netto miglioramento nella qualità del servizio. Questo significava leggere dell’avvenuta migrazione solo attraverso questo articolo, senza aver notato alcuna discontinuità nel loro utilizzo quotidiano della posta elettronica.

Per raggiungere tale risultato, abbiamo pianificato meticolosamente ogni fase della migrazione. Abbiamo replicato la configurazione software esistente sulla nuova piattaforma, aggiornandola con le ultime versioni e sostituendo quei componenti che presentavano margini di miglioramento. Questo approccio ha garantito che, dal punto di vista dell’utente finale, nulla cambiasse: gli host e gli URL sono rimasti gli stessi, così come i pannelli di controllo, le password e ogni altro elemento di interfaccia a loro familiare.

Il risultato è stato esattamente quello sperato: una migrazione invisibile agli occhi degli utenti, che ha permesso loro di continuare a utilizzare i servizi di posta elettronica senza interruzioni o disagi, ignari del complesso lavoro tecnologico svolto dietro le quinte. Questa trasparenza è stata la chiave per mantenere la fiducia e la serenità dei nostri utenti, dimostrando che è possibile realizzare cambiamenti tecnologici significativi senza impattare negativamente sull’esperienza utente.

Prepararsi con un sufficiente anticipo: la strategia di migrazione

La pianificazione accurata è stata la chiave per la riuscita della transizione verso il nuovo sistema di posta elettronica aziendale. Conscii dell’importanza di questo passaggio, abbiamo iniziato a prepararci con ampio anticipo, stabilendo un lasso di tempo preventivo di 20 giorni. Questo periodo è stato dedicato all’allocazione di 8 nuovi indirizzi IP destinati a sostituire quelli in uso sul vecchio mail server. La scelta di rinnovare gli indirizzi IP non è stata casuale, ma motivata dalla consapevolezza che, nel loro passato, alcuni di questi potrebbero essere stati coinvolti in attività indesiderate come l’invio di SPAM, ritrovandosi così inclusi in liste antispam o bloccati dai principali fornitori di servizi email come Google, Microsoft, Yahoo, e altri.

Per mitigare questo rischio e garantire una transizione fluida, abbiamo intrapreso un’accurata verifica degli 8 nuovi indirizzi IP. Utilizzando un dominio test allocato sul nuovo mail server, abbiamo effettuato diverse prove di invio email verso destinatari appartenenti ai più noti servizi di posta elettronica, sia internazionali che italiani, quali tim.it, alice.it, libero.it, e altri. Questo test preliminare ha rivelato che, in due specifiche occasioni, un IP veniva rifiutato da Microsoft e un altro da Google, mentre tutti gli altri erano accettati senza problemi.

Una parte fondamentale di questo processo di verifica ha coinvolto le DNSBL (DNS-based Blackhole List), che sono database pubblici utilizzati per identificare gli indirizzi IP conosciuti per essere sorgenti di SPAM o altri tipi di abusi via email. Strumenti come DNSBL.info e MultiRBL (Multi Valli) sono stati impiegati per assicurare che i nostri nuovi indirizzi IP non fossero presenti in queste liste nere. DNSBL.info e MultiRBL sono servizi online che permettono di verificare la presenza di un determinato indirizzo IP su molteplici DNSBL contemporaneamente, offrendo così un quadro complessivo della reputazione e dell’affidabilità di un IP in relazione all’invio di email.

Grazie a queste misure preventive e a un controllo scrupoloso, abbiamo ottenuto un livello di soddisfazione e di reputazione degli indirizzi IP tale da garantire un’esecuzione senza intoppi della messa in produzione del nuovo mail server. Questa fase preliminare di preparazione, caratterizzata da un’attenta pianificazione e da verifiche tecniche approfondite, ha posto le basi per una migrazione efficace, minimizzando i rischi di interruzioni o di problemi legati alla reputazione IP nel contesto della nostra nuova infrastruttura di posta elettronica.

La scelta del software per il nuovo mail server

Nel progetto di rinnovamento del nostro mail server, abbiamo puntato a mantenere una continuità con l’infrastruttura preesistente, introducendo al contempo miglioramenti significativi in termini di performance e sicurezza. La scelta del software ha rivestito un ruolo cruciale in questa fase, orientandoci verso soluzioni che potessero garantire una transizione fluida e al tempo stesso rappresentare un salto qualitativo rispetto al passato.

1. Il sistema operativo: AlmaLinux 9

Per il cuore del nostro nuovo sistema di posta elettronica, abbiamo scelto di continuare a fare affidamento su un sistema operativo derivato da RHEL (Red Hat Enterprise Linux), optando per AlmaLinux 9 come successore naturale del precedente CentOS.

La scelta era in dubbio tra Rocky Linux e AlmaLinux, in quanto entrambi i sistemi operativi sono fork di RHEL creati come risposta alla decisione di Red Hat di spostare CentOS da una distribuzione downstream (basata sul codice sorgente di Red Hat Enterprise Linux (RHEL)) a una distribuzione upstream (CentOS Stream) e vietare la distribuzione del codice sorgente ai non abbonati.

AlmaLinux 9.3

Pur riconoscendo il valore di RockyLinux, una distribuzione sviluppata e supportata interamente dalla comunità, il passato di CentOS ha sollevato perplessità riguardo alla sostenibilità e affidabilità a lungo termine delle distribuzioni esclusivamente gestite dalla comunità. Questo contesto ci ha spinto a considerare più attentamente AlmaLinux. Benché AlmaLinux goda di un forte sostegno dalla comunità GNU/Linux, è importante sottolineare che non si posiziona esclusivamente come una distribuzione “Enterprise Community Driven”. Questa distinzione ci ha permesso di esplorare una soluzione che, pur essendo radicata nei valori della comunità open source, offre un modello di supporto e sviluppo che non dipende unicamente dal volontariato della comunità, ma si avvale anche di strutture organizzative più solide legalmente e finanziariamente.

AlmaLinux è sviluppato e supportato da CloudLinux, attraverso la sua divisione TuxCare. CloudLinux ha una lunga storia nella fornitura di soluzioni di sicurezza e stabilità per server Linux, soprattutto in ambito hosting. La loro esperienza si riflette nello sviluppo di AlmaLinux, con un forte focus sulla compatibilità binaria con RHEL e l’impegno a lungo termine per la sicurezza e il supporto.

La certificazione FIPS di AlmaLinux è un aspetto cruciale per le organizzazioni che operano in ambienti regolamentati o che gestiscono dati sensibili. La certificazione FIPS valida che i moduli crittografici utilizzati nel sistema operativo soddisfino gli standard stabiliti dal National Institute of Standards and Technology (NIST) degli Stati Uniti. Questo è particolarmente rilevante per settori come il governo federale, la sanità e la finanza, dove la conformità agli standard di sicurezza è obbligatoria.

AlmaLinux FIPS Certification

Abbiamo pertanto adottato AlmaLinux trovando importante ottenere i seguenti vantaggi :

  • Supporto di TuxCare: Beneficiando del supporto di una società con un’ampia esperienza nel campo della sicurezza e stabilità dei sistemi Linux, AlmaLinux gode di aggiornamenti tempestivi e di un robusto supporto tecnico.
  • Certificazione FIPS: La certificazione FIPS indica che AlmaLinux è adatto per ambienti che richiedono alti livelli di sicurezza e conformità, rendendolo una scelta solida per le organizzazioni che necessitano di questa certificazione per i loro sistemi operativi.
  • Stabilità e Affidabilità: La stretta compatibilità con RHEL assicura che gli utenti di AlmaLinux possano beneficiare di un sistema operativo stabile e affidabile, con una vasta gamma di software supportato e testato.

AlmaLinux si presenta come una distribuzione Linux open source e community-driven, nata come alternativa diretta a CentOS in seguito alla decisione di Red Hat di spostare CentOS Stream. Con un supporto esteso fino al 2032, AlmaLinux 9 promette stabilità, sicurezza e una roadmap chiara per gli aggiornamenti futuri, elementi fondamentali per la continuità operativa e la resilienza del nostro mail server.

AlmaLinux-9-EOL

La scelta di AlmaLinux è stata guidata dalla necessità di assicurare una base solida e affidabile per il nostro sistema, con la garanzia di un supporto a lungo termine che ci permette di pianificare il futuro con maggiore serenità. L’aderenza agli standard RHEL garantisce inoltre una compatibilità ampia con software e applicazioni, facilitando l’integrazione di nuove tecnologie e la gestione di eventuali problematiche.

L’aggiunta di un repository all’avanguardia come ElRepo, ci ha permesso di installare gli ultimi Kernel Aggiornati al ramo 6.7 e ottenere sin da subito benefici in termini di stack di rete, gestione della memoria e dei processi, nonchè l’ormai consueto TCP BBR in grado di migliorare le connessioni TCP/IP anche in zone di scarsa copertura.

 

2. Server MTA: Postfix

Per quanto riguarda il server MTA (Mail Transfer Agent), abbiamo rinnovato la nostra fiducia in Postfix, confermandolo come scelta preferenziale rispetto ad alternative quali Sendmail, Qmail ed EXIM. La decisione di proseguire con Postfix è stata dettata dalla sua affidabilità, scalabilità e dalla relativa facilità di configurazione e gestione, aspetti che lo rendono particolarmente adatto alle nostre esigenze.

Postfix MTA

Un fattore determinante nella scelta di Postfix è stata la sua compatibilità con il backend MySQL, che utilizziamo per gestire in modo efficiente utenti, domini, alias, regole di inoltro e autoresponder tramite l’interfaccia di PostFixAdmin. Questa integrazione ci ha permesso di importare e migrare senza intoppi la base dati degli utenti di posta esistenti dal vecchio server, garantendo una continuità operativa essenziale durante la fase di transizione.

La combinazione di Postfix con MySQL rappresenta una soluzione robusta e flessibile per il nostro ambiente di posta elettronica, consentendoci di ottimizzare la gestione delle risorse e di implementare politiche di sicurezza avanzate. La possibilità di personalizzare in maniera dettagliata le regole di routing della posta e di gestire dinamicamente gli utenti attraverso PostFixAdmin ha significato per noi un notevole passo in avanti nella direzione di un servizio mail più sicuro, performante e scalabile.

Hostalo-Mail-Provider

 

3. Server POP3 ed IMAP con Dovecot

Nella ristrutturazione del nostro mail server, la scelta del software per gestire i protocolli POP3 ed IMAP è stata altrettanto cruciale quanto quella del server MTA. In questo ambito, abbiamo confermato la nostra fiducia in Dovecot, che si è imposto da tempo come una delle scelte leader del mercato per la gestione efficiente e sicura dell’accesso alle caselle di posta elettronica. Dovecot è stato preferito a soluzioni alternative come Courier principalmente per la sua affidabilità, flessibilità, sicurezza e per la vasta gamma di funzionalità avanzate che offre, in particolare per quanto riguarda la sicurezza e l’ottimizzazione delle performance.

Dovecot-BLUE

Uno degli aspetti chiave che ha rafforzato la nostra decisione di mantenere Dovecot è stata la sua compatibilità e integrazione con il backend MySQL tramite il plugin dovocot-mysql. Questa caratteristica ci ha permesso di sfruttare la stessa base dati già in uso da Postfix, facilitando una gestione unificata e coerente degli utenti, delle quote, e di molte altre configurazioni legate sia alla ricezione che all’invio di posta. La possibilità di interrogare il database in fase di login o nella gestione delle quote utente attraverso Dovecot rappresenta un vantaggio significativo in termini di efficienza operativa e sicurezza.

Avere già predisposte le query nel vecchio sistema e la possibilità di riutilizzarle senza significative modifiche ha reso Dovecot la soluzione ideale per il nostro ambiente. Ciò ha garantito un’integrazione fluida e ha minimizzato gli sforzi di configurazione, consentendoci di concentrarci sull’ottimizzazione e sulla sicurezza del servizio.

Dovecot supporta nativamente i protocolli POP3 e IMAP, inclusi nelle loro versioni sicure crittografate (POP3S e IMAPS), con supporto di crittografia TLS. Questo assicura che tutte le comunicazioni tra i client di posta e il server avvengano in maniera protetta, preservando la confidenzialità e l’integrità dei dati scambiati. L’implementazione di Dovecot, in sinergia con le politiche di sicurezza avanzate e le best practices di crittografia, ci permette di offrire ai nostri utenti un accesso sicuro alle loro caselle email, riducendo al minimo i rischi associati alle intercettazioni e agli attacchi informatici.

Migliorare l’aspetto dello SPAM e della sicurezza.

Nonostante la configurazione del nostro sistema di posta, con MySQL come backend, Postfix come Mail Transfer Agent (MTA) e Dovecot per la gestione dei protocolli POP3 ed IMAP, potesse sembrare completa sotto il profilo teorico, la realtà quotidiana ci pone di fronte a sfide sempre nuove in termini di sicurezza e gestione dello SPAM. Questi problemi rappresentano un continuo gioco di strategia tra “guardie e ladri”, nel quale gli attacchi spam e le minacce alla sicurezza evolvono costantemente, richiedendo un adeguamento e un’attenzione continua.

Nell’affrontare queste sfide, abbiamo scelto di mantenere alcune best practices dal vecchio sistema di posta, sostituendo o aggiungendo componenti dove necessario, per rafforzare ulteriormente la nostra infrastruttura contro le minacce esterne. Una delle strategie più efficaci che abbiamo implementato riguarda il controllo del traffico in ingresso attraverso le principali liste DNSBL (DNS-based Blackhole List).

1. Controllo sulle liste DNSBL principali

Le liste DNSBL sono utilizzate per identificare e bloccare gli indirizzi IP noti per essere fonti di SPAM o di altre attività malevole. Integrando il controllo di queste liste nel nostro MTA Postfix, siamo in grado di rifiutare a monte le connessioni provenienti da indirizzi IP compromessi. In particolare, abbiamo configurato Postfix per interrogare le seguenti liste DNSBL:

bl.spamcop.net

b.barracudacentral.org

zen.spamhaus.org

Quando un messaggio viene inviato al nostro server, Postfix verifica automaticamente se l’indirizzo IP del mittente è presente in una di queste liste. Nel caso in cui l’IP sia elencato, il messaggio viene rifiutato prima che possa entrare nel nostro sistema. Questo approccio preventivo ha il duplice vantaggio di migliorare la sicurezza, filtrando gli attori malevoli prima che possano raggiungere le caselle di posta degli utenti, e di ottimizzare l’uso delle risorse, evitando che il sistema debba impegnare CPU e memoria per analizzare e gestire messaggi potenzialmente dannosi.

come-funziona-il-blacklist-check

Filtrare i messaggi a monte, rifiutando le connessioni da indirizzi IP in blacklist, ci permette di ridurre significativamente il volume di SPAM e di minacce che riescono a penetrare nel nostro sistema. Questo non solo migliora l’esperienza degli utenti, che si trovano a dover gestire meno messaggi indesiderati, ma contribuisce anche a mantenere l’integrità e la performance del nostro server di posta, garantendo un servizio email più sicuro, affidabile e efficiente.

2. Check SPF e DKIM del mittente

Una particolare attenzione è stata dedicata alla verifica dell’integrità e dell’autenticità dei messaggi in arrivo attraverso il controllo dei record SPF (Sender Policy Framework) e delle firme DKIM (DomainKeys Identified Mail) dei mittenti. Questi due meccanismi giocano un ruolo cruciale nel garantire che le email ricevute siano legittime e non siano state alterate o inviate da entità fraudolente.

Verifica SPF

Il controllo SPF consente di verificare se l’indirizzo IP del server che ha inviato l’email è autorizzato dal dominio del mittente a farlo. Questo si realizza confrontando l’IP con l’elenco di indirizzi autorizzati pubblicato nel DNS del dominio mittente sotto forma di record SPF. Se il controllo fallisce, ciò indica che l’email potrebbe non essere stata inviata da un’entità autorizzata, aumentando così la probabilità che si tratti di un tentativo di phishing o spam. Implementando un rigido controllo SPF, rafforziamo la nostra difesa contro gli abusi email, limitando la possibilità che messaggi malevoli o non autorizzati raggiungano gli utenti finali.

Verifica DKIM

Parallelamente, il check DKIM aggiunge un ulteriore strato di sicurezza verificando che il contenuto dell’email non sia stato modificato durante il trasporto. Questo si ottiene attraverso la verifica di una firma digitale allegata al messaggio, che è stata generata utilizzando una chiave privata nota solo al dominio mittente. La corrispondente chiave pubblica, pubblicata nel DNS del dominio, viene utilizzata per decifrare la firma e confermare l’integrità del messaggio. Una firma DKIM valida è un forte indicatore che l’email è autentica e che il contenuto non è stato alterato, fornendo agli utenti una maggiore sicurezza nella gestione delle loro comunicazioni email.

 

3. ClamAV ed Amavis come soluzione Antivirus ed Antispam

Nell’ambito del nostro impegno costante per garantire la sicurezza e l’integrità del sistema di posta elettronica aziendale, abbiamo deciso di proseguire con l’utilizzo di ClamAV e Amavisd-New, soluzioni già implementate nel nostro precedente mail server. Queste applicazioni, configurate per operare congiuntamente come filtro Milter (Mail Filter) per Postfix, rappresentano la prima linea di difesa contro una vasta gamma di minacce informatiche, inclusi virus, malware e spam, che giornalmente tentano di infiltrarsi attraverso le comunicazioni via email.

Amavisd---Clamav

Cos’è ClamAV?

ClamAV è un antivirus open source progettato specificatamente per rilevare trojan, virus, malware e altre minacce malevole nei sistemi di posta elettronica. Grazie al suo database di firme virus costantemente aggiornato dalla community, ClamAV è in grado di fornire una protezione tempestiva e efficace contro le ultime minacce conosciute. La sua integrazione nel server di posta permette di scansionare in tempo reale gli allegati e i contenuti delle email in arrivo e in partenza, bloccando la diffusione di contenuti dannosi prima che questi possano raggiungere i destinatari o essere inviati dai nostri utenti.

Cos’è Amavis (Amavisd-New)?

Amavisd-New, comunemente noto come Amavis, è un filtro di contenuti che funge da interfaccia tra il server di posta elettronica e vari strumenti di controllo degli spam e dei virus, tra cui ClamAV. Amavis si occupa di analizzare i messaggi in transito, sfruttando le capacità di rilevamento di ClamAV e di altri strumenti antispam per valutare la legittimità e la sicurezza dei contenuti. Oltre alla scansione antivirus, Amavis implementa controlli basati su liste nere, analisi euristiche e filtri bayesiani per identificare e gestire efficacemente i messaggi spam.

La combinazione ClamAV e Amavis sul server di posta

La collaborazione tra ClamAV e Amavis sul nostro server di posta elettronica costituisce un sistema antispam e antivirus integrato e altamente efficace. Mentre ClamAV si concentra sulla rilevazione e la neutralizzazione delle minacce virali, Amavis agisce come un potente filtro di contenuti, esaminando ogni messaggio per spam e malware utilizzando una serie di tecniche avanzate. Questo approccio multi-livello alla sicurezza permette di intercettare una gamma più ampia di minacce, garantendo una protezione complessiva del nostro sistema di comunicazione email.

Configurare ClamAV e Amavis come filtro Milter per Postfix consente di integrare strettamente le funzionalità di scansione antispam e antivirus direttamente nel flusso di elaborazione dei messaggi di Postfix, ottimizzando così le prestazioni e minimizzando l’impatto sul tempo di consegna delle email. Questa soluzione non solo migliora significativamente la sicurezza del nostro server di posta, ma contribuisce anche a preservare la fiducia degli utenti, assicurando che le loro comunicazioni siano protette da una vasta gamma di minacce informatiche.

4. Rspamd come alternativa performante all’obsoleto SpamAssassin

Sempre col fine di ottenere il massimo in termini di antispam, abbiamo deciso di adottare Rspamd in sostituzione di SpamAssassin, che avevamo impiegato nel nostro precedente mail server. Questa scelta è stata guidata dalla necessità di rispondere in modo più efficace e veloce alle sofisticate strategie utilizzate dagli spammer moderni, garantendo al contempo un impatto minimo sulle risorse del sistema.

rspamd_logo_black

Perché Rspamd?

Rspamd si distingue per essere una soluzione moderna e altamente performante nel campo del filtraggio dello spam. A differenza di SpamAssassin, noto per il suo approccio basato su regole e la sua flessibilità, Rspamd introduce numerosi miglioramenti in termini di velocità di elaborazione, precisione nella rilevazione dello spam e minor consumo di risorse.

Grazie alla sua architettura modulare e al supporto nativo per il multiprocessing, Rspamd è in grado di analizzare un volume significativamente maggiore di messaggi in parallelo, riducendo i tempi di attesa e migliorando l’esperienza dell’utente finale.

Funzionalità avanzate e integrazione con REDIS

Una delle caratteristiche più apprezzate di Rspamd è la sua capacità di integrarsi con sistemi esterni come REDIS, un datastore in memoria che può essere utilizzato per conservare varie tipologie di dati utili al filtraggio dello spam, come le fingerprint dei messaggi, le blacklist/whitelist e i punteggi bayesiani. Questa integrazione consente a Rspamd di offrire funzionalità avanzate quali la rate limitazione, la greylisting basata su metriche in tempo reale e il controllo dei pattern di invio, migliorando significativamente la resilienza del sistema agli attacchi di spam e phishing.

webui

Inoltre, Rspamd dispone di un set ricco e in continua evoluzione di moduli per l’analisi dei contenuti, il controllo DKIM (DomainKeys Identified Mail), SPF (Sender Policy Framework), DMARC (Domain-based Message Authentication, Reporting & Conformance), e la rilevazione di phishing. Questi strumenti, combinati con algoritmi di apprendimento automatico, consentono a Rspamd di adattarsi dinamicamente alle nuove tecniche di spamming, offrendo una protezione proattiva contro le minacce emergenti.

Migliori performance e scalabilità

La migrazione a Rspamd ha comportato un notevole miglioramento delle performance complessive del nostro sistema di filtraggio dello spam. La sua efficienza nell’elaborazione dei messaggi ha permesso di ridurre i carichi di lavoro sui server, garantendo tempi di risposta più rapidi e una maggiore scalabilità del sistema. Questo aspetto è particolarmente rilevante nel contesto di una crescente domanda di servizi di posta elettronica sicuri e affidabili, dove la capacità di gestire grandi volumi di traffico senza compromettere la qualità del servizio è fondamentale.

Performance-RSpamd

5. Implementazione di policyd-spf per il controllo delle politiche SPF

spf_bg_new

Nel nostro costante impegno per rafforzare la sicurezza e l’integrità del sistema di posta elettronica aziendale, abbiamo integrato policyd-spf, uno strumento specifico per l’implementazione e il controllo delle politiche SPF (Sender Policy Framework). Questa decisione si inquadra nella strategia più ampia di adottare pratiche di sicurezza all’avanguardia per prevenire abusi e frodi via email, garantendo che solo i mittenti autorizzati possano inviare messaggi a nome del dominio.

Cos’è SPF e perché è importante?

SPF è un metodo di validazione email progettato per prevenire lo spoofing del mittente, un’attività fraudolenta in cui un attaccante invia email facendo apparire il messaggio come se provenisse da un dominio diverso da quello effettivamente utilizzato. Attraverso la pubblicazione di un record SPF nel DNS del dominio, gli amministratori possono specificare quali server di posta sono autorizzati a inviare email per conto del loro dominio. Quando un server ricevente ottiene un’email, può controllare il record SPF del dominio mittente per verificare se il server che ha inviato l’email è effettivamente autorizzato a farlo.

L’implementazione di policyd-spf

Policyd-spf è stato scelto per la sua capacità di integrarsi perfettamente con Postfix come un policy service, permettendo di effettuare controlli SPF in tempo reale durante il processo di ricezione delle email. Quando un’email arriva, policyd-spf consulta il record SPF del dominio mittente per determinare se l’indirizzo IP del server mittente è autorizzato. Se il controllo fallisce, il messaggio può essere rifiutato o segnalato in base alle politiche configurate, contribuendo significativamente a ridurre il rischio di ricevere email fraudolente o spam.

Vantaggi dell’uso di policyd-spf

L’adozione di policyd-spf offre numerosi vantaggi in termini di sicurezza della posta elettronica:

Riduzione dello spam e del phishing: Implementando efficacemente i controlli SPF, diminuiamo la probabilità che email non autorizzate raggiungano gli utenti finali, riducendo il rischio di attacchi di phishing e di spam.

Miglioramento della reputazione del dominio: Assicurando che solo i messaggi autorizzati siano inviati a nome del nostro dominio, manteniamo e miglioriamo la reputazione del dominio agli occhi dei filtri antispam e dei server di posta riceventi.

Conformità e affidabilità: L’uso di policyd-spf aiuta a garantire la conformità con gli standard moderni di sicurezza email, contribuendo a costruire un ecosistema di posta elettronica più sicuro e affidabile.

6. Implementazione del controllo DKIM con dkim-milter

Per affrontare le sfide poste dalle sofisticate strategie di spam e frode via email, abbiamo implementato dkim-filter come componente essenziale del nostro sistema di sicurezza della posta elettronica. Questo strumento, configurato come un milter (mail filter) per Postfix, gioca un ruolo vitale nel rafforzare le nostre difese antispam attraverso il controllo dei record DKIM (DomainKeys Identified Mail) delle email in arrivo e in partenza.

Cos’è DKIM e perché è importante?

DKIM è uno standard di autenticazione email che permette al destinatario di verificare che un’email inviata a suo nome provenga effettivamente dal dominio che sostiene di essere il mittente. Questo è realizzato firmando digitalmente i messaggi con una chiave privata del dominio mittente; la corrispondente chiave pubblica è pubblicata nel DNS del dominio. I server di posta che ricevono l’email possono quindi verificare la firma utilizzando la chiave pubblica, assicurandosi che il contenuto del messaggio non sia stato alterato durante il trasporto e confermando l’autenticità del mittente.

L’utilità di dkim-filter

Dkim-filter agisce come un’interfaccia tra il server di posta elettronica e il processo di firma/verifica DKIM, offrendo un meccanismo efficiente per applicare e validare le firme DKIM. Quando configurato come milter per Postfix, dkim-filter firma automaticamente le email in uscita con la chiave privata del dominio mittente e verifica le firme delle email in arrivo confrontandole con le chiavi pubbliche pubblicate dai domini mittenti.

Questa doppia funzionalità non solo migliora significativamente il controllo antispam verificando l’autenticità dei messaggi ricevuti, ma contribuisce anche a costruire e mantenere la reputazione del dominio come mittente affidabile. In un ambiente in cui gli attacchi di phishing e altre forme di abuso email sono all’ordine del giorno, l’implementazione di DKIM attraverso dkim-filter fornisce una misura di sicurezza aggiuntiva che aiuta a proteggere sia il mittente che il destinatario da potenziali danni.

Vantaggi dell’adozione di dkim-filter

  • Miglioramento della filtrazione antispam: Validando le firme DKIM, dkim-filter aiuta a filtrare in modo efficace gli email non autenticati che potrebbero essere tentativi di spam o phishing.
  • Incremento della deliverability: Le email inviate dal nostro dominio con una firma DKIM valida hanno maggiori probabilità di superare i filtri antispam dei destinatari, migliorando così la deliverability delle nostre comunicazioni.
  • Protezione dell’identità del dominio: Fornendo un metodo affidabile per autenticare i messaggi, dkim-filter contribuisce a proteggere l’identità del nostro dominio, prevenendo lo spoofing e rafforzando la fiducia degli utenti nelle email che ricevono.

7. Implementazione di Fail2Ban per limitare i tentativi di login ed attacchi bruteforce.

fail2ban

Per contrastare efficacemente gli attacchi bruteforce e limitare i tentativi di login non autorizzati, il nostro mailserver è stato equipaggiato con Fail2Ban, uno strumento di sicurezza essenziale nel panorama dell’hosting e della sistemistica Linux. Fail2Ban è un’applicazione che monitora i log dei servizi per individuare comportamenti sospetti, come ripetuti tentativi di accesso falliti, segno potenziale di un attacco bruteforce. Una volta rilevato un pattern di accessi falliti, Fail2Ban interviene bloccando l’indirizzo IP sorgente tramite regole di firewall, impedendo così ulteriori tentativi per un periodo di tempo definito.

L’adozione di Fail2Ban rappresenta una misura preventiva contro i rischi di sicurezza e le minacce che possono compromettere l’integrità e la disponibilità del server. Gli attacchi bruteforce, oltre a mirare all’accesso non autorizzato, possono infatti degenerare in attacchi di tipo Denial of Service (DDoS), sovraccaricando il server con richieste incessanti che occupano risorse critiche come RAM e CPU, con conseguenti rallentamenti o interruzioni del servizio.

Nella configurazione del nostro mailserver, abbiamo implementato una politica di sicurezza equilibrata per i servizi di posta elettronica POP3, IMAP e SMTP. Dopo 6 tentativi di accesso errati, l’IP sorgente viene automaticamente inserito in blacklist per un minuto. Questo approccio permette di limitare i tentativi di accesso a 360 all’ora, bilanciando efficacemente la necessità di proteggere il server dagli attacchi bruteforce con la possibilità di concedere agli utenti legittimi, che potrebbero aver semplicemente dimenticato le proprie credenziali, la possibilità di riprovare l’accesso senza incorrere in blocchi prolungati.

 

Politiche aggiuntive per l’invio tramite rate limit, firma DKIM e gestione specifiche delle code.

Oltre a tutto ciò finora elencato, abbiamo implementato una serie di politiche aggiuntive che riguardano il rate limit degli invii, l’applicazione della firma DKIM e una gestione personalizzata delle code di messaggi in uscita. Queste misure sono state adottate per garantire un servizio di posta elettronica affidabile, sicuro e in linea con le migliori pratiche del settore.

 

Implementazione del Rate Limit per i Mittenti Autenticati

Per prevenire l’abuso del sistema di posta elettronica, come nel caso di account compromessi utilizzati per inviare spam o attacchi di phishing, abbiamo introdotto un rate limit per i mittenti autenticati. Questo limite è stato impostato a 1000 email giornaliere per singolo mittente, un numero ritenuto adeguato per l’uso legittimo da parte degli utenti aziendali e individuali. Questa politica mira a limitare il danno potenziale in caso di compromissione, evitando che il nostro mail server venga messo in blacklist a causa dell’invio di volumi eccessivi di email non autorizzate.

Applicazione della Firma DKIM su Tutte le Email in Uscita

Un altro pilastro della nostra strategia di sicurezza email è l’implementazione universale della firma DKIM (DomainKeys Identified Mail) per tutte le email in uscita gestite dal nostro mail server. La firma DKIM fornisce un metodo di autenticazione che aiuta i server riceventi a verificare che l’email sia stata effettivamente inviata dal dominio che appare nel campo del mittente, contribuendo a migliorare la deliverability e a proteggere la reputazione dei nostri domini. Per facilitare questo processo, è necessario che ogni dominio inserisca la corrispondente chiave pubblica DKIM nel proprio DNS sotto forma di record TXT.

Gestione Personalizzata delle Code in Uscita

Riconoscendo le diverse politiche e limitazioni imposte dai principali fornitori di servizi di posta elettronica, come Microsoft, Google, Yahoo, e provider italiani come Telecom, Tiscali o Libero, abbiamo sviluppato una politica flessibile e personalizzata per la gestione delle code di messaggi in uscita. Questo approccio include l’utilizzo di IP differenti per l’invio e l’applicazione di velocità di invio “throttling” specifiche per ciascun operatore, basate sulle loro richieste e politiche. Tale strategia ci permette di massimizzare l’uso del nostro range IP, evitando al contempo di escludere IP dall’utilizzo solo perché potrebbero essere in blacklist presso un singolo fornitore.

Questa politica malleabile di gestione delle code e degli IP di invio ci offre la flessibilità necessaria per adattarci rapidamente alle mutevoli condizioni di rete e alle politiche dei fornitori di servizi di posta elettronica, garantendo al contempo che le nostre comunicazioni siano consegnate in modo efficiente e senza interruzioni. Implementando queste misure, non solo miglioriamo la sicurezza e l’affidabilità del nostro servizio di posta elettronica, ma ci assicuriamo anche che le email dei nostri utenti raggiungano i loro destinatari come previsto, mantenendo una comunicazione aziendale efficace e professionale.

Webmail AJAX tramite Roundcube, uno standard de facto.

Inerentemente alle soluzioni per l’accesso web-based alla posta elettronica, abbiamo scelto di continuare a proporre e utilizzare Roundcube, un’interfaccia webmail basata su AJAX che si è affermata come uno standard de facto tra gli hosting provider. Questa decisione riflette il nostro impegno nel fornire agli utenti un’esperienza di posta elettronica intuitiva, ricca di funzionalità e facilmente accessibile da qualsiasi browser web.

RoundCube WebMail

Roundcube è un’applicazione webmail open source che permette agli utenti di leggere, inviare e organizzare le email direttamente da un browser web, senza la necessità di configurare un client di posta elettronica separato. Grazie alla sua interfaccia utente basata su AJAX, Roundcube offre un’esperienza simile a quella di un’applicazione desktop, con operazioni fluide e reattive, quali il trascinamento dei messaggi tra cartelle, la ricerca istantanea e la gestione avanzata dei contatti.

Roundcube si integra egregiamente con il nostro server IMAPS Dovecot e il sistema di posta Postfix, offrendo una soluzione completa e armonica per la gestione della posta elettronica. Grazie a Dovecot, gli utenti Roundcube beneficiano di un accesso sicuro e performante alle loro caselle email, sfruttando protocolli crittografati come IMAPS per la massima sicurezza dei dati trasmessi. Inoltre, la compatibilità con Postfix assicura che l’invio e la ricezione delle email attraverso Roundcube avvengano in modo affidabile e efficiente, con il supporto per funzionalità avanzate quali la firma DKIM e il controllo SPF per una maggiore sicurezza e affidabilità dei messaggi inviati.

L’adozione di Roundcube come interfaccia webmail offre numerosi vantaggi sia per gli utenti finali che per gli amministratori di sistema. Gli utenti apprezzano la sua interfaccia pulita e intuitiva, la vasta gamma di funzionalità di gestione della posta e la possibilità di personalizzare l’esperienza secondo le proprie esigenze. Dal canto loro, gli amministratori beneficiano della semplicità di installazione e configurazione di Roundcube, della sua ampia documentazione e del supporto da parte di una comunità attiva e dedicata.

Abbiamo ovviamente rivisto completamente il frontend, dotando l’interfaccia di una schermata di Login esteticamente più accattivante e funzionale, integrando informazioni e link per gli utenti che necessitano oltre che di utilizzare la Webmail, anche di effettuare operazioni come la gestione degli alias, reset password, autoresponder e simili.

Roundcube-Webmail-Login

Tra le funzionalità non solo estetiche, uno slider che permette di illustrare i vari servizi che effettuiamo in Managed Server Srl, ed il relativo bottone che rimanda a link esterni come pagine del nostro sito, ed una funzione di memorizzazione delle credenziali utilizzando un Cookie. Tra le altre cose abbiamo aggiunto anche un Cookie Consent e la Privacy Policy e la Cookie Policy utilizzando il servizio di Iubemda.

Backup e Disaster recovery

Nel contesto dell’infrastruttura del nostro sistema di posta elettronica, la resilienza e la capacità di recupero da eventuali disastri rappresentano priorità assolute. Pur avendo implementato un sistema basato su CEPH, noto per la sua alta affidabilità e capacità di replica tripla, ci siamo spinti oltre nella costruzione di un approccio comprensivo al backup e al disaster recovery, che abbraccia sia il sistema che i dati.

Backup-Datacenter

Backup Bare Metal Giornaliero

Per quanto riguarda il sistema del mail server, abbiamo implementato una strategia di backup giornaliero bare metal, utilizzando snapshot. Questo approccio ci consente di catturare integralmente lo stato del sistema a intervalli regolari, garantendo che, in caso di malfunzionamenti gravi o corruzioni del sistema, possiamo ripristinare rapidamente l’intero ambiente alle condizioni operative precedentemente catturate. Gli snapshot bare metal forniscono una soluzione di backup completa che include il sistema operativo, le applicazioni, la configurazione e i dati, offrendo una sicurezza robusta contro perdite di dati critiche.

Backup Ridondante dei Dati dello Storage CEPH su doppia SAN Geografica

Per lo storage dei dati, che sfrutta l’infrastruttura CEPH, adottiamo un approccio ancor più rigoroso e stratificato al backup. Effettuiamo giornalmente due backup distinti, utilizzando due tecnologie software differenti: Borg e Restic, operanti tramite RClone. Questi backup vengono eseguiti su due Storage Area Network (SAN) geograficamente separate, una situata in Germania e l’altra in Finlandia, per massimizzare la ridondanza e minimizzare il rischio di perdita di dati a seguito di eventi catastrofici o malfunzionamenti hardware.

Location-Backup

L’uso di due tecnologie di backup differenti ci permette di sfruttare i punti di forza unici di ciascuna, incrementando la resilienza complessiva del nostro sistema di backup. Borg è noto per la sua efficienza nella deduplicazione dei dati, riducendo lo spazio necessario per i backup, mentre Restic offre una grande flessibilità e velocità nel ripristino dei dati. Operando tramite RClone, entrambi i sistemi di backup assicurano trasferimenti sicuri e affidabili verso le SAN remote.

Ridondanza e Data Retention

Le SAN su cui vengono eseguiti i backup sono configurate in RAID 10, combinando la ridondanza dei dati con elevate prestazioni di lettura e scrittura. Questa configurazione, unita alla nostra scelta di utilizzare due tecnologie di backup distinte e la localizzazione geografica diversificata delle SAN, ci permette di affrontare con fiducia scenari di disaster recovery, assicurando la continuità operativa anche nelle situazioni più critiche.

Implementiamo una politica di data retention di 60 giorni, che ci consente di mantenere una cronologia estesa dei backup, aumentando le nostre capacità di ripristino in caso di necessità e fornendo un ampio lasso di tempo per identificare e reagire a eventuali perdite di dati.

Conclusione

La nostra esperienza nella costruzione e nel miglioramento del sistema di posta elettronica aziendale evidenzia una verità fondamentale: il mondo Open Source offre oggi tutti i componenti necessari per la realizzazione di un mail server evoluto, performante e sicuro, senza la necessità di vincolarsi a soluzioni commerciali proprietarie. Attraverso l’adozione di tecnologie Open Source di punta come Postfix, Dovecot, Roundcube, ClamAV, Amavis, Rspamd, oltre all’impiego di sistemi di backup avanzati e politiche di sicurezza come DKIM e SPF, siamo riusciti a costruire un’infrastruttura di posta elettronica che non solo risponde alle esigenze di sicurezza e affidabilità dei nostri utenti ma lo fa con un’efficienza di costo notevolmente superiore rispetto alle alternative commerciali.

Questa scelta ci ha permesso di beneficiare di una flessibilità senza pari nella personalizzazione e nell’ottimizzazione del sistema, garantendo al contempo che ogni componente sia aggiornato e mantenuto in linea con le migliori pratiche di sicurezza e performance. L’ecosistema Open Source, con la sua vasta comunità di sviluppatori e professionisti IT, offre un livello di supporto e innovazione continua che difficilmente si trova in soluzioni chiuse e proprietarie.

Inoltre, il risparmio di costi derivante dall’uso di software Open Source non si traduce solo in un vantaggio economico immediato ma consente anche di reinvestire risorse in altre aree critiche dell’infrastruttura IT, come la sicurezza dei dati, disaster recovery e l’innovazione tecnologica, contribuendo così a migliorare ulteriormente la qualità del servizio offerto agli utenti finali.

In conclusione, la nostra esperienza conferma che il software Open Source rappresenta una risorsa preziosa e strategica per lo sviluppo di sistemi di posta elettronica avanzati e performanti. La capacità di fornire una soluzione completa, sicura e cost-efficiente sottolinea il valore dell’Open Source come fondamento su cui costruire e espandere le infrastrutture IT moderne, sfatando il mito che solo le soluzioni commerciali proprietarie possano garantire livelli elevati di efficienza e sicurezza.

A distanza di 5 giorni, non un solo utente ha avuto problemi di accesso post migrazione.

Se anche  tu, la tua azienda o la tua organizzazione state cercando una soluzione custom altamente tecnologica per la gestione completa della posta, contattateci pure.

Hai dei dubbi? Non sai da dove iniziare? Contattaci !

Abbiamo tutte le risposte alle tue domande per aiutarti nella giusta scelta.

Chatta con noi

Chatta direttamente con il nostro supporto prevendita.

0256569681

Contattaci telefonicamente negli orari d’ufficio 9:30 – 19:30

Contattaci online

Apri una richiesta direttamente nell’area dei contatti.

INFORMAZIONI

Managed Server S.r.l. è un player italiano di riferimento nel fornire soluzioni avanzate di sistemistica GNU/Linux orientate all’alta performance. Con un modello di sottoscrizione dai costi contenuti e prevedibili, ci assicuriamo che i nostri clienti abbiano accesso a tecnologie avanzate nel campo dell’hosting, server dedicati e servizi cloud. Oltre a questo, offriamo consulenza sistemistica su sistemi Linux e manutenzione specializzata in DBMS, IT Security, Cloud e molto altro. Ci distinguiamo per l’expertise in hosting di primari CMS Open Source come WordPress, WooCommerce, Drupal, Prestashop, Joomla, OpenCart e Magento, affiancato da un servizio di supporto e consulenza di alto livello adatto per la Pubblica Amministrazione, PMI, ed aziende di qualsiasi dimensione.

Red Hat, Inc. detiene i diritti su Red Hat®, RHEL®, RedHat Linux®, e CentOS®; AlmaLinux™ è un marchio di AlmaLinux OS Foundation; Rocky Linux® è un marchio registrato di Rocky Linux Foundation; SUSE® è un marchio registrato di SUSE LLC; Canonical Ltd. detiene i diritti su Ubuntu®; Software in the Public Interest, Inc. detiene i diritti su Debian®; Linus Torvalds detiene i diritti su Linux®; FreeBSD® è un marchio registrato di The FreeBSD Foundation; NetBSD® è un marchio registrato di The NetBSD Foundation; OpenBSD® è un marchio registrato di Theo de Raadt. Oracle Corporation detiene i diritti su Oracle®, MySQL®, e MyRocks®; Percona® è un marchio registrato di Percona LLC; MariaDB® è un marchio registrato di MariaDB Corporation Ab; REDIS® è un marchio registrato di Redis Labs Ltd. F5 Networks, Inc. detiene i diritti su NGINX® e NGINX Plus®; Varnish® è un marchio registrato di Varnish Software AB. Adobe Inc. detiene i diritti su Magento®; PrestaShop® è un marchio registrato di PrestaShop SA; OpenCart® è un marchio registrato di OpenCart Limited. Automattic Inc. detiene i diritti su WordPress®, WooCommerce®, e JetPack®; Open Source Matters, Inc. detiene i diritti su Joomla®; Dries Buytaert detiene i diritti su Drupal®. Amazon Web Services, Inc. detiene i diritti su AWS®; Google LLC detiene i diritti su Google Cloud™ e Chrome™; Microsoft Corporation detiene i diritti su Microsoft®, Azure®, e Internet Explorer®; Mozilla Foundation detiene i diritti su Firefox®. Apache® è un marchio registrato di The Apache Software Foundation; PHP® è un marchio registrato del PHP Group. CloudFlare® è un marchio registrato di Cloudflare, Inc.; NETSCOUT® è un marchio registrato di NETSCOUT Systems Inc.; ElasticSearch®, LogStash®, e Kibana® sono marchi registrati di Elastic N.V. Hetzner Online GmbH detiene i diritti su Hetzner®; OVHcloud è un marchio registrato di OVH Groupe SAS; cPanel®, L.L.C. detiene i diritti su cPanel®; Plesk® è un marchio registrato di Plesk International GmbH; Facebook, Inc. detiene i diritti su Facebook®. Questo sito non è affiliato, sponsorizzato o altrimenti associato a nessuna delle entità sopra menzionate e non rappresenta nessuna di queste entità in alcun modo. Tutti i diritti sui marchi e sui nomi di prodotto menzionati sono di proprietà dei rispettivi detentori di copyright. Ogni altro marchio citato appartiene ai propri registranti. MANAGED SERVER® è un marchio registrato a livello europeo da MANAGED SERVER SRL, Via Enzo Ferrari, 9, 62012 Civitanova Marche (MC), Italia.

Torna in alto