Administrator

Spis treści

Ważne uwagi

  • Jest to całkowicie nowa, odmienna od dotychczasowej instalacja/konfiguracja wykorzystująca inne programy. W wakacje była gruntownie testowana na szczurach oraz chomiku syryjskim :-), niemniej w początkowym okresie może ona – i należy się tego spodziewać – nie zawsze działać zgodnie z oczekiwaniami. Bardzo prosimy o wyrozumiałość i zgłaszanie wszelkich dostrzeżonych nieprawidłowości w pokoju 323. SOA#1: „A u nas działa” – trudniej nam usunąć usterkę, jeśli nie będziemy jej świadomi.
  • System pocztowy otrzymuje nazwy użytkowników, adresy pocztowe i potwierdzenia tożsamości z wydziałowego serwera kont. Problemy z adresami pocztowymi lub autoryzacją proszę zgłaszać do Kierownika Laboratorium mgra inż. Marcina Borkowskiego, pok. 323.

Wyłudzenia

Maile podszywają się pod:

  • USOS
  • Adres nadawcy wyglądający na wydziałowy/uczelniany
  • Nowy wzór banknotu z przyciskiem Sprawdź
  • Wezwanie do spłaty długu – prawdziwe idą też zwykłą pocztą (szczególnie, gdy załącznik jest szyfrowany, a mail zawiera hasło)
  • Rachunek z UPC
  • Google
  • Faktury, płatności, przesyłka kurierska lub pocztowa i tym podobne

Bardzo proszę pamiętać, że ani administracja laboratorium informatyki wydziału MiNI ani żadna administracja PW NIGDY nie potrzebuje znać Państwa loginów haseł. Każdy list proszący o podanie loginu i hasła jest próbą wyłudzenia, nie wolno na niego odpowiadać ani nawet odwiedzać stron do których linki są podawane.

Czasem prośba o loginy i hasła może pojawić się dopiero na stronie, lub w ogóle nie wystąpić. W tym drugim przypadku chodzi przede wszystkim o próbę zainfekowania Państwa przeglądarki poprzez stronę www. Zatem wszystkie dziwne propozycje takie jak prośba o zainstalowanie sobie programu anty spamowego pisane łamanym polskim i kierujące na serwery poza PW powinny wzbudzać Państwa podejrzenia. Proszę takie listy kasować.

Zazwyczaj listy takie posiadają załącznik typu plik wykonywalny „EXE” lub dokument Word z makrami ukryte w archiwum ZIP. Oczywiście załącznik ten ma na celu zainfekować Państwa komputer złośliwym oprogramowaniem.

Absolutnie proszę nie otwierać takich załączników. Jeśli spodziewają się Państwo faktur lub informacji o kurierze to te właściwe nie będą miały tego typu załącznika (co najwyżej PDF, który jest trochę bezpieczniejszy).

Proszę być czujnym i nigdy nie otwierać podejrzanych załączników.  Jeśli ktoś to zrobił na komputerze MiNI to proszę koniecznie dać nam znać, może on wymagać sprawdzenia pod kątem wirusów (antywirusy często nie nadążają za nowościami jakie przychodzą w tych mailach).

Przykład wyjątkowo wrednej próby wyłudzenia TUTAJ.

Dostęp WWW do poczty

Dostęp do kont z poziomu przeglądarki WWW jest możliwy poprzez interfejs RoundCube pod adresem: https://webmail.mini.pw.edu.pl

Uwagi:

  • Podczas pierwszego logowania wyświetlają się informacje o tożsamości nadawcy, proszę je zweryfikować i ewentualnie poprawić, jeśli ktoś sobie życzy może dodać polskie znaki diakrytyczne do swojego nazwiska, można też dodać podpis. Później te dane można korygować w zakładce „Ustawienia” na karcie „Tożsamości”.
  • Interfejs ten korzysta z wydziałowych (nowych) serwerów WWW i baz danych. Czasowa przerwa w pracy serwerów może uniemożliwić dostęp WWW do poczty, nie wpływa jednak na działanie serwera pocztowego i wysyłanie/odbieranie poczty via SMTP/IMAP (zob. następny podrozdział).
  • Funkcjonalność interfejsu RoundCube obejmuje, m.in.:
    • zmianę hasła (ustawienia->hasło)
    • obsługę przekierowania poczty (ustawienia->więcej, zawsze zostawia kopię maila lokalnie)
    • autoresponder (ustawienia->więcej)
    • zewnętrzne wsparcie dla PGP/GnuPG. poprzez mailvelope
    • mobilny interfejs dla telefonów i tabletów (wykrywany automatycznie)
    • obsługę wielu tożsamości (tylko dla uprawnionych użytkowników)

Konfiguracja zdalnego klienta poczty (Thunderbird, Seamonkey, Bat, …)

Dla poczty wysyłanej:

  • SMTP server: poczta.mini.pw.edu.pl ,
  • security: do wyboru TLS (port 587) lub SSL (port 465),
  • username: nazwa użytkownika np. `nowakj’ (nie alias!),
  • password:

Dla poczty przychodzącej:

  • type: do wyboru POP3 lub IMAP (preferowany),
  • server: poczta.mini.pw.edu.pl ,
  • security: SSL (port 995 lub 993 zależnie od wybranego typu),
  • username: nazwa użytkownika np. `nowakj’ (nie alias!),
  • password:

Uwaga: nie należy włączać dodatkowej opcji:

  • (Thunderbird/EN) `Use secure authentication’,
  • (Outlook/PL) `Zaloguj używając bezpiecznego uwierzytelniania hasła’.

Adresy pocztowe

Użytkownik Jan Nowak powinien otrzymywać pocztę wysłaną na każdy z poniższych adresów:

  • nowakj@student.mini.pw.edu.pl ,
  • j.nowak@student.mini.pw.edu.pl (w przypadku pracowników: j.nowak@mini.pw.edu.pl),
  • 123456@student.mini.pw.edu.pl (numer indeksu).

Jeśli na Wydziale jest kilku użytkowników mających to samo nazwisko i pierwszą literę imienia, wówczas dwa pierwsze adresy są w postaci:

  • nowakj2@student.mini.pw.edu.pl ,
  • j.nowak2@student.mini.pw.edu.pl (w przypadku pracowników: j.nowak2@mini.pw.edu.pl).

Uwaga: małe i wielkie litery powinny być nierozróżnialne.

Ograniczenia i limity

  • Maksymalna wielkość przesyłki wynosi 50MB (po przekodowaniu!). Należy pamiętać, że rozmiar binarnych załączników zwiększa się o kilkadziesiąt procent w trakcie konwersji na ASCII (do transportu). Warto wspomnieć, że wysyłanie maili z wielomegabajtowymi załącznikami nie dowodzi, mówiąc oględnie, szczególnego zaawansowania informatycznego nadawcy.
  • Aktualnie nie ma ograniczenia na wielkość skrzynki pocztowej użytkownika. W przyszłości, dla bezpieczeństwa mogą zostać wprowadzone limity; miejsca jest jednak na tyle dużo, że nie będą one dostrzegalne w normalnej pracy.
  • Jeśli mail przekazywany jest przez uwierzytelnionego użytkownika, wówczas kopertowy adres nadawcy musi być poprawnym adresem pocztowym przypisanym do tego użytkownika.
  • Do nadania maila z kopertowym adresem nadawcy przypisanym do pewnego użytkownika serwera konieczne jest uwierzytelnienie jako ten właśnie użytkownik.
  • Połączenia od serwerów figurujących na czarnych listach DNSBL: abuseat, spamcop i spamhaus oraz od serwerów jaskrawo naruszających standard ESMTP (np. błędne EHLO, nieautoryzowany pipelining i in.) są automatycznie zrywane.
  • Na wybrane, specjalne adresy odbiorców (głównie list rozsyłowych, np. grup studenckich) nałożone są dodatkowe restrykcje – tylko wybrani użytkownicy mogą wysyłać maile na te adresy.

Kilka słów o spamie

  • Połączenia od serwerów uznanych za niebezpieczne lub źle skonfigurowane są automatycznie zrywane (zob. poprzedni podrozdział).
  • Maile przychodzące są sprawdzane pod kontem spamu. Załączniki nie są jednak skanowane programami antywirusowymi.
  • W początkowym okresie działania systemu filtry antyspamowe mogą być ustawione zbyt restrykcyjnie lub zbyt łagodnie. Państwa uwagi pomogą nam lepiej dostroić lub zmienić wykorzystywane rozwiązania.
  • Najlepszym sposobem ograniczenia przychodzącego spamu jest unikanie publikowania swojego adresu e-mail explicite w miejscach ogólnodostępnych, które mogą być skanowane przez roboty tzw. żniwiarki (ang. harvestery).

Bezpieczeństwo

  • Nazwa użytkownika i hasło przekazywane są w sposób bezpieczny. Nie ma możliwości uwierzytelnienia w sposób nieszyfrowany.
  • Skrzynki pocztowe użytkowników przechowywane są w sposób bezpieczny; dostęp możliwy jest tylko poprzez IMAP/POP oraz wtyczki interfejsu RoundCube.
  • Wszystkie transakcje serwera pocztowego są logowane.
  • Pięć nieudanych prób uwierzytelnienia (wysłanie błędnego hasła lub nazwy użytkownika) traktowane jest jako próba ataku siłowego (ang. brute force) i skutkuje blokadą adresu IP klienta na okres 10 minut. Restrykcja ta nie dotyczy logowania poprzez interfejs RoundCube.
  • Administrator serwera, podobnie jak administratorzy innych serwerów Wydziału (a także niemal wszyscy administratorzy serwerów i usług sieciowych), nigdy nie wysyła maili z prośbą o przesłanie nazwy konta i hasła ani maili zawierających link, w który należy kliknąć w celu weryfikacji danych. Maile takie to prawie zawsze próba wyłudzenia poufnych danych lub wykorzystania luk w zabezpieczeniach przeglądarki WWW użytkownika.
  • Należy pamiętać, że pole `from:’ wyświetlane przez większość klientów poczty to wewnętrzne pole będące częścią treści(!) maila. Jego wartość nie jest wiarygodna.
  • Protokół poczty nie zapewnia usług kryptograficznych, takich jak poufność, integralność czy uwierzytelnienie (z dokładnością do uwag w podrozdziale o ograniczeniach i limitach). Jeśli większe bezpieczeństwo jest priorytetem, wówczas wskazane jest skorzystanie z GnuPG. Wtyczką do obsługi GnuPG w klientach Thunderbird i Seamonkey jest Enigmail

Dodatkowe informacje

  • Użytkownicy nie mają i nie będą mieć dostępu do serwera poczty via ssh, sftp, etc.
  • Serwer pocztowy umożliwia korzystanie z przekierowań (.forward) i automatycznych odpowiedzi (.vacation). Ich obsługa jest realizowana poprzez interfejs www .