Zimbra e la Gestione centralizzata delle PEC.
1.0 Introduzione
Con l’introduzione dell’obbligo, per le aziende, di dotarsi di Posta Elettronica Certificata, gli studi professionali e i centri elaborazione dati contabili e fiscali hanno dovuto affrontare il problema della gestione centralizzata ed efficiente delle PEC dei propri clienti. Un servizio, questo, a basso valore aggiunto e con tante rogne.
L’azienda dove lavoro mi ha chiesto di trovare una soluzione che rispondesse alle seguenti esigenze:
- Consentire a tutti gli operatori dello studio non solo la consultazione ma anche la spedizione di mail certificate per nome e conto del cliente
- garantire a tutti i collaboratori dello studio di accedere al sistema di lettura delle pec autonomamente e in qualsiasi momento
- in caso di formattazione di un client di rete, garantire il ri-accesso immediato al sistema di gestione pec senza dover riconfigurare i parametri imaps e smtps degli account
- non sprecare troppo tempo nella consultazione periodica delle pec ma, allo stesso tempo, garantire il giusto servizio di consultazione promesso ai clienti
- spendere zero
Il mercato offre le più svariate soluzioni, più o meno costose, tutte molto valide ma nessuna in grado di soddisfare totalmente queste esigenze.
Amando ZIMBRA, pensai subito di utilizzarlo come sistema predefinito ma, mi accorsi, che ogni utente poteva aggiungere uno o più account esterni solo per la consultazione di Posta Elettronica Certificata ma non per la spedizione. Infatti la configurazione delle impostazioni SMTP(S) non è contemplato dal pannello “aggiungi account esterno” presente nelle “Preferenze” di ogni account.
Girovagando in rete alla ricerca di soluzioni mi sono imbattuto in un articolo eccezionale….e…. in italiano. Si tratta del blog della ILGER s.r.l. (società poco lontana da casa mia !!!!) che mi ha riaperto le speranze di utilizzare Zimbra come sistema clouding per gestire totalmente le pec dei clienti dello studio (si parla di oltre cento account di posta certificata).
L’articolo, che risponde all’indirizzo http://www.ilger.com/blog/78-tips-tricks/337-tips-tricks-configura-zimbra-per-l-invio-pec.html, inizia subito con una doverosa precisazione:
…la procedura che Vi andremo ad illustrare per l’invio e la ricezione dei messaggi PEC salva username e password degli account PEC in chiaro sul filesystem del server zimbra e per questo sono potenzialmente visibili agli utenti che hanno accesso alla console (SSH) del server Zimbra come Amministratore di Sistema
io posso solo aggiungere che la precisazione è “sacrosanta”.
2.0 Installazione e configurazione di STUNNEL.
Per prima cosa dovremo creare un tunnel crittografato ed autenticato con STunnel verso il server smtp sicuro del fornitore del servizio PEC (aruba, legalmail, ecc). In altre parole dovremo fare in modo che quando zimbra spedisce mail da un account di PEC questa mail venga consegnata a STunnel che la indirizzerà verso il proprio server smtps per la spedizione “certificata”.
Colleghiamoci al terminale del server zimbra e installiamo il software:
sudo apt-get install stunnel
abilitiamo quindi il servizio modificando il file /etc/default/stunnel4 e modificare il parametro “ENABLED” in questo modo:
ENABLED = 1
prepariamo il file di configurazione copiando il file di esempio
cp /usr/share/doc/stunnel4/examples/stunnel.conf-sample /etc/stunnel/stunnel.conf
quindi decommentiamo le seguenti righe:
chroot = /var/lib/stunnel4/
debug = 7
output = /var/log/stunnel4/stunnel.log
commentiamo o cancelliamo le righe seguenti:
; Example SSL server mode services
;[pop3s]
;accept = 995
;connect = 110
;[imaps]
;accept = 993
;connect = 143
;[ssmtp]
;accept = 465
;connect = 25
a questo punto, ipotizzando che le pec che gestiremo appartengono al provider di ARUBA (pec.it) e di Infocert (legalmail.it), inseriamo in fondo al file:
[smtp-tls-pec.it]
accept = 127.0.0.1:11425
client = yes
connect = smtps.pec.aruba.it:465[smtp-tls-legalmail.it]
accept = 127.0.0.1:11426
client = yes
connect = sendm.cert.legalmail.it:465
da notare che ogni provider inserito va “smistato” su una diversa porta del servizio (porta 11425 per aruba e 11426 per legalmail).
Procediamo con la creazione del certificato SSL e il riavvio di stunnel
openssl req -new -out pecmail.pem -keyout mail.pem -nodes -x509 -days 3650
mv mail.pem /etc/stunnel/mail.pem
service stunnel4 restart
creiamo il file per sender_relay
nano /opt/zimbra/postfix/conf/sender_relay
e inseriamo tutti i nostri account di pec con i relativi relay:
xxxx@pec.it 127.0.0.1:11425
yyyy@legalmail.it 127.0.0.1:11426
kkkkkk@mypec.eu 127.0.0.1:11425
zzzzzz@pec.it 127.0.0.1:11425
jjjjjjjjjj@legalmail.it 127.0.0.1:11426
creaiamo ora il file relay_password
nano /opt/zimbra/conf/relay_password
e inseriamo una riga per ogni account
xxxx@pec.it xxxx@pec.it:*****
yyyy@legalmail.it yyyy@legalmail.it:*****
kkkkkk@mypec.eu kkkkkk@mypec.eu:*****
zzzzzz@pec.it zzzzzz@pec.it:*****
jjjjjjjjjj@legalmail.it jjjjjjjjjj@legalmail.it:*****
ovviamente al posto degli asterischi metteremo le relative password.
Lanciamo, ora, i comandi necessari a creare i DB :
su - zimbra -c "postmap /opt/zimbra/conf/relay_password"
su - zimbra -c "postmap /opt/zimbra/postfix/conf/sender_relay"
e abilitiamo l’utente zimbra che gestirà l’invio e la ricezione delle pec
su zimbra -c “/opt/zimbra/bin/zmprov ma utente@tuodominio zimbraSmtpRestrictEnvelopeFrom FALSE”
3.0 Prepariamo ZIMBRA
Giunti a questo punto non ci resta che preparare zimbra ad utilizzare le PEC. Da shell dell’utente zimbra digitiamo i seguenti comandi:
zmprov
ms [nome-server-zimbra] zimbraMtaSmtpSaslPasswordMaps lmdb:/opt/zimbra/conf/relay_password
ms [nome-server-zimbra] zimbraMtaSmtpSaslAuthEnable yes
ms [nome-server-zimbra] zimbraMtaSmtpSaslSecurityOptions noanonymous
gs [nome-server-zimbra] zimbraMtaSmtpSaslPasswordMaps
gs [nome-server-zimbra] zimbraMtaSmtpSaslAuthEnable
gs [nome-server-zimbra] zimbraMtaSmtpSaslSecurityOptions
sempre da shell dell’utente zimbra:
postconf -e smtp_sender_dependent_authentication=yes
postconf -e sender_dependent_relayhost_maps=lmdb:/opt/zimbra/postfix/conf/sender_relay
zmmtactl restart
4.0 Configurare e utiliziamo la webmail
Procediamo alla configurazione della webmail per l’utente che potrà utilizzare le PEC dalla propria webmail.
Dopo il login, quindi, clicchiamo su Preferenze – Email – Account e procediamo aggiungendo il nuovo account utilizzando le credenziali PEC:
- indirizzo e-mail / ID
- password
- protocollo IMAP
selezioniamo “usa una connessione criptata (SSL) quando accedi a questo server” e verifichiamo che l’account esterno scarichi correttamente le email della PEC.
Ora possiamo provare a spedire una pec selezionando dalla finestra “nuovo messaggio” l’account di pec dal menu “Da“.