Open Relay

Il protocollo SMTP, utilizzato per l’invio dei messaggi di posta non prevede una autenticazione, per poter inviare dei messaggi.
Come accade per la posta cartacea, nella busta o all’interno della lettera possiamo anche scrivere un mittente differente rispetto alla nostra identità.

Tuttavia mentre la società che si occupa di consegnare la posta cartacea guadagna per ogni messaggio inviato, e comunque il destinatario può riconoscere facilmente la grafia del mittente con la posta elettronica non avviene altrettanto.

Inoltre mentre l’ufficio postale non ha responsabilità sui messaggi inviati nel caso della posta elettronica, il server che invia dei messaggi indesiderati rischia di entrare in una blacklist pubblica (RBL) con la conseguenza che nessun messaggio spedito in seguito venga recapitato.

Per impedire l’invio tramite il proprio sistema è necessario far autenticare gli utenti prima di permettere l’invio. I server, ad esempio quelli dei provider telefonici, che permettono l’invio non autenticato vengono chiamati “open relay“.

In realtà gli operatori telefonici non operano completamente come open relay, perché ammettono messaggi di posta solamente dalle loro reti, quindi avrebbero modo di tracciare il loro cliente avendo l’associazione tra indirizzo ip e cliente.

Introdotto il concetto di “open relay” vediamo come configurare Zimbra per accettare posta dalla propria rete richiedendo l’autenticazione per messaggi che non provengono da queste reti.

Il comando corretto per configurare le reti trust ovvero quelle reti da cui vogliamo accettare posta senza autenticazione é:

su zimbra
postconf mynetworks
mynetworks = 127.0.0.0/8 <rete...1> <rete...n>

La rete 127.0.0.0/8 è obbligatoria e serve al funzionamento interno di Zimbra

Per verificare la configurazione attualmente in uso eseguire il comando

zmprov gs <nome server> zimbraMtaMyNetworks

Avremo in output l’elenco di reti considerate trust

Condividere rapidamente con più mailbox una risorsa in Zimbra

Zimbra non ha disposizione una rubrica del dominio disponibile in automatico per tutte le mailbox del dominio.

Una soluzione possibile è data dal creare in una mailbox una agenda da condividere poi con tutti gli altri utenti. Quando il numero di mailbox è elevato può risultare lungo condividere con gli strumenti messi a disposizione da Zimbra.

Questo script può dare un aiuto, infatti questo script crea la condivisione e la accetta automaticamente, riducendo il tempo necessario.

#!/bin/bash
# ------------------------------------------------------------------
# author: Angelo Penduzzu <apenduzzu@argonavis.it>
# ------------------------------------------------------------------
#
# Utente che possiede la risorsa da condividere
proprietario=""
# Utenti che riceveranno la condivisione della risorsa, se sono più indirizzi, separarli con uno spazio (es. test@domain.it test1@domain.it)
destinatario=""
# Cartella da condividere
cartella=""
# [Opzionale] Prefisso da visualizzare nel nome della risorsa condivisa 
prefisso=""
# [Opzionale] Suffisso da visualizzare nel nome della risorsa condivisa 
suffisso=""
#    (r)ead - search, view overviews and items
#    (w)rite - edit drafts/contacts/notes, set flags
#    (i)nsert - copy/add to directory, create subfolders action
#    (x) - workflow actions, like accepting appointments
#    (d)elete - delete items and subfolders, set \Deleted flag
#    (a)dminister - delegate admin and change permissions 
permesso=""
# Tipologie ammesse: appointment,contact,conversation,document,message,task
tipo=""
arr=( $destinatario )
for dest in "${arr[@]}"
do
    zmmailbox -z -m ${proprietario} mfg /"${cartella}" account ${dest} rwixd
    zmmailbox -z -m ${dest} cm --view ${tipo} -F# /"${prefisso}${cartella}${suffisso} ${proprietario}" /"${cartella}"
done

E’ possibile introdurre una variante, scegliendo di applicare in automatico a tutto il dominio. Per ottenere tutti gli utenti del dominio, usare:

destinatario=$( /opt/zimbra/bin/zmprov -l gaa <dominio> )

Configurare LibraESVA LDAP per utenti Zimbra

LibraESVA ha diverse funzionalità che utilizzano gli utenti e le loro relative credenziali.

La più visibile è l’autenticazione sull’interfaccia web, per permettere all’utente di consultare le proprie code di quarantena, rilasciare un messaggio bloccato o agire sulle blacklist/whitelist private.

Le interfacce di configurazione in LibraESVA, sono come al solito, molto facili ed intuitive, ma la configurazione di LDAP comporta sempre qualche difficoltà nella scelta dei parametri corretti.

Dal menù “System”, si accede ad LDAP Set Definition

Configurazione LDAP

Aggiungiamo una nuova configurazione

Configurazione LDAP

Selezioniamo il dominio, fra quelli configurati su LibraESVA.

Se abbiamo più server LDAP nel cluster Zimbra ne possiamo indicare due, nel caso avessimo una installazione su singola macchina, mettiamo il nome del server Zimbra.

Nel campo Email Address DN: mettiamo la stringa cn=users,dc=domain,dc=ad sostituendo dc=domain,dc=ad con i dati relativi al nostro dominio (ad esempio se il dominio fosse: examples.it la stringa corretta sarebbe: cn=users,dc=examples,dc=it)

Nel campo User DN: mettiamo la stringa ou=people,dc=domain,dc=ad sostituendo dc=domain,dc=ad con i dati relativi al nostro dominio (nell’esempio di prima, con il dominio examples.it la stringa corretta sarebbe: ou=people,dc=examples,dc=it)

Nel campo Bind User: mettiamo la stringa uid=user,ou=people,dc=domain,dc=ad mettendo in uid un account valido, e sostituendo dc=domain,dc=ad con i dati relativi al nostro dominio (nell’esempio di prima, con il dominio examples.it ed utente ldap, la stringa corretta sarebbe: uid=ldap,ou=people,dc=examples,dc=it)

Nel campo Bind Password: mettiamo la password dell’utente inserito in Bind User

Nel campo Type: mettiamo il valore OTHER
Nel campo Username Field: mettiamo il valore uid
Nel campo Email Alias Field: mettiamo il valore mail
Nel campo Authentication Filter: mettiamo il valore mail=%%LOGIN%%

Salvata la configurazione possiamo effettuare il test di connessione

Configurazione LDAP

Se il test dovesse fallire, avremmo un risultato simile a questo. Verificate che il firewall sia configurato in modo tale che LibraESVA possa raggiungere Zimbra sulla porta 389.

Configurazione LDAP fallita

Se il test ha esito positivo invece uscirà una schermata simile a questa, e verranno elencati tutti gli indirizzi che vengono trovati (incluse le liste di distribuzione).

Configurazione LDAP con successo

I tecnici certificati su LibraESVA di Argonavis sono a tua disposizione per supportarti sull’utilizzo di LibraESVA

Richiedi Informazioni

Attivare JSP in Zimbra

Dalla versione 8.5.0 di Zimbra per politica di base, il parametro del server zimbraZimletJspEnabled è tenuto disabilitato, di conseguenza non verranno più compilate le pagine JSP della zimlet e piuttosto che l’esecuzione della pagina stessa, viene mostrato il codice sorgente della pagina.

Per verificare il valore del parametro occorre collegarsi in ssh con utenza zimbra e digitare il comando:

zmprov gs <nome server> | grep zimbraZimletJspEnabled

se l’output fosse FALSE, per abilitare la compilazione, digitare il comando:

zmprov ms <nome server> zimbraZimletJspEnabled TRUE
zmcontrol restart

Patch 2 per Zimbra 8.6

E’ stata rilasciata la seconda Patch per Zimbra 8.6, in cui vengono corretti piccoli difetti di funzionamento in particolare nelle interfaccie web di amministrazione ed utente.

Risolto anche il problema che duplicava i messaggi inviati tramite EWS, un problema sull’addestramento di spamAssassin.

Sul piano della sicurezza sono state individuate ed eliminate delle vulnerabilità che esponevano ad attacchi XSS.

Prima di aggiornare

Verificare che la versione di Zimbra installata sia Zimbra Collaboration 8.6.0 GA
Effettuare uno snapshot
Effettuare un backup di Zimbra (la procedura di patch non prevede il backup)
Consultare le note di rilascio https://files.zimbra.com/website/docs/8.6/ZCS_860_Patch2_ReleaseNotesR2.pdf

Installazione

collegarsi in ssh sulla macchina con utenza root

wget https://files.zimbra.com/downloads/8.6.0_GA/zcs-patch-8.6.0_GA_1169.tgz
tar xzvf zcs-patch-8.6.0_P2.tgz
cd zcs-patch-8.6.0_P2
su zimbra
zmmailboxdctl stop
exit
./installPatch.sh
su zimbra
zmcontrol restart

Attenzione: Una volta installata la patch non è possibile tornare alla versione precedente

I tecnici Argonavis potranno fornirti le informazioni su Zimbra di cui potresti avere bisogno

INFORMAZIONI

Prima di aggiornare

Installazione

Categorie