Comunicazioni (Alessandro)

<br>
<h1>
    Comunicazioni (Alessandro)</h1>
<br>
<ul>
    <li>
        Il gruppo di supporto al mailing (inteso come parte dei SSNN della CCR) ha ricevuto la disponibilita&#39; di Tullio Macorini di Trieste e di Marco De Rossi di Roma1</li>
    <li>
        Dietro richiesta del Tifpa sono stati configurati sulla infrastruttura dei SSNN due server (incoming/outgoing) per servire il dominio tifpa.infn.it. Sono stati configurati con Sophos PM e saranno tra i servizi che dovranno migrare a nuova soluzione</li>
</ul>
<br>
<h1>
    Attivita&#39; di test dell&#39;appliance TrendMicro</h1>
<p>
    <strong>Daniela e Antonella:</strong><br>
    Mancando esperienza con un prodotto analogo c&#39;e&#39; bisogno di tempo per fare esperienza. Sono una installazione preliminare: il primo scoglio e&#39; la mancanza di disponibilita&#39; di un server LDAP di riferimento.</p>
<br>
<strong>Mirko</strong>:<br>
Fatta una installazione di server e singolo child, e messa in produzione in parallelo con l&#39;attuale MX con Sophos PM. Il setup ha apparentemente le stesse performance di Sophos (ma pochissima statistica).<br>
Necessaria configurazione ad hoc di LDAP locale per gestire indirizzi di mailing list e utenze locali.<br>
Fatta anche qualche prova sulla gestione della quarantena, da approfondire.<br>
Evidenziati i limiti di configurabilita&#39; del routing (riscritture, redirezioni) che costringono ad usare l&#39;appliance in aggiunta agli MX e non in sostituzione.<br>
Limiti ancher nella flessibilita&#39; della configurazione delle policy (passo indietro rispetto a Pure Message).<br>
Problema di accesso alla quarantena end-user: l&#39;autenticazione LDAP vuole tutto il dn (serve un wrapper).<br>
Da approfondire il comportamento dell&#39;LDAP cache in mancaza di risposta da LDAP (con un child le mail vengono rigettate dall&#39;appliance, forse con piu&#39; children i comportamento cambia).<br>
Da verificare che la comunicazione IMSVA-LDAP sia effettivamente criptata.<br>
<br>
<strong>Francesco</strong>:<br>
Fatta una installazione e modificato il postfix per fare routing interno come l&#39;attuale MX. Non e&#39; una soluzione affidabile.<br>
Non supporta grey listing, quindi per Napoli e&#39; necessario mettere l&#39;IMSVA dietro un MX di frontiera (soluzione interessante anche per Domenico). Segnala il problema della mancanza di procedura di upgrade della VM CentOS 6: i pacchetti dell&#39;apppliance sono outof-date e vulnerabili, e comunque CentOS 6 andra&#39; in end of support in due anni.<br>
Molti dubbi sul fatto che sia la soluzione gusta per Napoli. Si vuole indagare su un prodotto alternativo: Proxmox Mail Gateway, che e&#39; da poco distribuita gratuitamente. Integra diversi prodotti opensource (interesse manifestato da Michele, ma a Legnaro non c&#39;e&#39; molto man power disponibile per lavorarci sopra).<br>
<br>
<strong>Fulvio</strong>:<br>
Impressioni: manca la flessibilita&#39; di Sieve per le policy. Lamenta il delivery di mail con forte ritardo. La causa sembra essere legata alla comunicazione con LDAP (ma ci sono perplessita&#39;): da indagare.<br>
Segnala anche problema nell&#39;utilizzo come SMTP server con autenticazone via startTLS sulla porta 587. Non sembra supportato. Anche qui da verificare.<br>
<br>
<strong>Stefano</strong>:<br>
Per il CNAF utilizzano MailScanner, a cui vorrebbero agganciare l&#39;antivirus di Trend Micro (oggi usano Pure Message). IMSVA non e&#39; adatto, provata VirusWall ma non e&#39; soddisfacente.<br>
Andranno su clamav mentre cercano una soluzione definitiva.<br>
Alessandro segnala una soluzione basata su Sophos Pure Message per il motore antivirus, che e&#39; pubblico.<br>
<br>
Segue discussione sulle diverse tematiche.<br>
<br>
<h1>
    Risultato del survey (Alessandro)</h1>
<br>
A completamento delle informazioni sul tavolo il risltato del survey:<br>
<ul>
    <li>
        risposte da 25 sedi (solo due mancanti)</li>
    <li>
        18 sedi utilizzano Sophos Pure Message (quindi tanti col problema di trovre una soluzione), altre due interessate comunque a IMSVA.</li>
    <li>
        solo 4 sedi utilizzano LDAP per l&#39;accettazione degli indirizzi validi</li>
    <li>
        potenziali problemi di configurazione per 3 il greylisting (3 sedi), delivery locale effettuato dall&#39;MX direttamente o via LMTP (3 sedi) e necessita&#39; di gestire multi domain (4 sedi, piu&#39; i relay dei SSNN)</li>
</ul>
<br>
<h1>
    Sintesi delle problematiche tecniche da affrontare</h1>
<br>
Le esperienze e la discussione ha evidenziato le seguenti problematiche che devono essere affrontate, con ulteriori test se possibile, con il supporto tecnico altrimenti.<br>
<ol>
    <li>
        Possibilita&#39; di fare update di kernel e pacchetti software dell&#39;appliance (e versione per Centos 7</li>
    <li>
        Definire quale sia la configurazione piu&#39; opportuna (IMSVA di frontiera + relay per il routing o relay attuali per i routing e IMSVA a valle per il filtro).</li>
    <li>
        Definire i limiti sulle possibilita&#39; di agire direttamente sulla configurazione del postifix usato dall&#39;appliance (garanzia del mantenimento delle configurazioni in caso di upgrade del software); come garantire la sincronizzazione della configurazione con i children?</li>
    <li>
        Esigenza di un LDAP di riferimento per la definizione degli indirizzi validi (molte sedi non lo hanno, serve un meccanismo di riempimento sulla base di altri db, tra cui AAI)</li>
    <li>
        Va chiarito come si comporti il caching dell&#39;LDAP</li>
    <li>
        Va chiarito come effettuare il bind con LDAP per la end-user quarantine.</li>
    <li>
        Utilizzo come outgoing mail server: approfondire problematiche per l&#39;autenticazione.</li>
    <li>
        Policy differenziate per domini diversi. In generale va approfondita la conoscenza di come gestire il multidomain in tutti gli aspetti (LDAP, routing, policy, accesso alla quarantena)</li>
</ol>
<br>
<h1>
    Azioni</h1>
<br>
<ul>
    <li>
        Alessandro raccoglie le problematiche tecniche e contatta il supporto per capire se possiamo avere risposta. Nel caso, chiamare una fono gia&#39; per la prossima settimana, se possibile.</li>
    <li>
        Mirko, Fulvio, Salvatore (che non era presente), Daniela e Antonella, e chiunque altro o desideri, ovviamente, proseguono con l&#39;attivita&#39; su IMSVA per dipanare le problematiche</li>
    <li>
        Francesco (e forse qualcuno da LNL) lavora sulla soluzione Proxmox mail gateway e riporta aggiornamenti sulla lista. Se ci sono altri interessati, si facciano avanti.</li>
    <li>
        Daniela e Antonella, gia&#39; che devono, lavorano sul setup di un LDAP server di appoggio per IMSVA. Enrico potrebbe fornire supporto per script di popolamento ed aggiornamento di tale LDAP, almeno per la parte da prendere da AAI. Segnalo che io ho gia&#39; scritto un certo numero di funzioni in python per operare con AAI, che potrebbero essere utili.</li>
</ul>
<br>
Queste attivita&#39; devono portare ad una conclusione di massima sul prodotto entro un paio di settimane.<br>
Assieme alle conclusioni di massima, dovrebbere essere preprate schede di how-to per poter supportare una sede alla realizzazione di una configurazione funzionante (includendo il setup di un LDAP se necessario).<br>
<br>
Le persone attive utilizzeranno la lista mailmgr@lists.infn.it anche per gli scambi di informazioni tecniche, in modo da facilitare la propagazione del know how.<br>
<br>
Ci si aggiorna alla prossima settimana per fare il punto, via mail, e programmare una fono conclusiva per la settimana successiva.<br>
<br>
<br>