Roberto Tagliaferri - Tosnet srl ha scritto:
rino lo turco ha scritto:
Federico.bernardi ha scritto:
L'affermazione "NON devi avere log passati" è assolutamente fuori luogo
(perchè drastica e addirittura scritta in maiuscolo,come fosse un
dogma),
falsa ma soprattutto senza senso.
vedo che quanto a gestione siamo molto poveri.
A cosa serve un log? praticamente a niente nell'ordinario e
sopratutto non serve a niente la sua conservazione.
Il log ha un senso solo quando è necessario dimostrare alcune cose !.
Capisco che le cattive abitudini siano dure a morire ma basterebbe
ragionare a mente fredda per comprendere quante inutili informazioni
e quanti inutili comportamenti si svolgono quotidianamente .
Cosa vuol dire nell'ordinario?
Se il mio cliente (che quindi mi paga per il servizio) vuole sapere
come mai non è arrivata l'email che ha spedito ieri che gli dico?
Attaccati al tram?
si anche. cerchiamo di essere seri e realistici . il logo al massimo si
riferisce solo ed unicamente alle strutture che sono sotto il tuo
diretto controllo.
Nel trattamento via rete le strutture sono diverse e non tutte sono
sotto il tuo controllo, anzi la maggior parte di loro neanche le conosci.
Quindi alla domanda non puoi rispondere , al massimo puoi solo dire se è
partito o meno il messaggio , ma per vedere cio ti serve solo sapere se
il servizio era attivo , atraverso un log che indichi solo ed
esclusivamente gli errori del tuo server, non certo un log che cataloghi
tutto quelo che accade .
Avere i log SMTP, prima di tutto, non significa tenere traccia dei
"contenuti".
d'accordo ma cio non toglie nulla sul fatto che la sua conservazione
sia un fatto del tutto inutile, nell'ordinario.
ripeto: definire "ordinario"
tutto cio che non ha a che fare con una condizione di errore, tutto cio
che capita sino a che non viene dichiarata la presenza di un errore .
vedo che di gestione siamo a dieta.
A seconda del mail server vi sono ovviamente molte possibilità di
granulazione e dettaglio del log.
Conservare i log SMTP passati-presenti-futuri, con tutte le
precauzioni del
caso, è cosa normalissima per ogni admin e necessaria ai fini di:
a. assicurarsi del buon funzionamento delle proprie comunicazioni
SMTP con
server/client esterni, in caso di problemi tecnici, interruzioni,
uso di
RBL, contestazioni del cliente,etc.
Falso , totalmente e puramente falso.
Un discorso è analizzare il log immediatamente , un'altra è la sua
conservazione , per giunta indefinitivamente.
Non leggo da nessuna parte indefinitivamente; Comunque visto come
funziona il protocollo smtp almeno per il tempo in cui un messaggio
può stare in coda lo dovrai tenere.. o no?
se non usi indefinitivamente significa che hai un tempo definito di
analisi e se lo superi perdi l'uso del log. cosa fai leggi tutti i
giorni i log o analizzi solo le eccezzioni?.
la risposta alla domanda è :perhé?
b. essere sicuri di poter fornire, su richiesta, i suddetti log
all'autorità
giudiziaria per ogni evenienza
assolutamente falso e illegale . nessuna legge permette un simile
comportamento in "prevenzione".
I casi sono molto limitati e perfettamente circoscritti.
anche qui molti mah...
Al limite non c'è obbligo, che ci sia il divieto mi sembra eccessivo
e allora leggiti bene la 196, comprendine il significato, concentrati
sui primi tre articoli e dopo datti una risposta , ma dattela come se tu
dovessi realmente giustificare il trattamento e che se non riesci a
convicnere il tuo interlocutore rischi grosso, senza dimenticare che il
tuo interlocutore non è sprovveduto ed è fortemente prevenuto contro di te.
In altri termini fai una reale analisi organizzativa dei bisogni reali e
concreti.
Se non lo sai fare , rivolgiti ad un analista che ti possa aiutare .
rino
.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
