Zimbra: Erro no serviço de rede ao tentar efetuar login (ATUALIZADO)

Olá ! Nesse artigo irei falar sobre a solução para as falhas de login no Zimbra, onde os usuários recebem a mensagem “Ocorreu um erro no serviço de rede“.

Primeiramente, é preciso entender que o Zimbra possui – desde a versão 8.0.3 – um filtro DOS (Denial of Service – Negação de serviço) nativo, visando o proteger o Zimbra deste tipo de ataque.

Para ambientes onde todos o serviços estão instalados no mesmo servidor, não é necessário alterar a Whitelist, uma vez que o IP do próprio servidor do Zimbra, assim como o localhost, são incluídos automaticamente. (atualizando em 14/06/2017: Esse comportamento não está ocorrendo em instações da versão 8.7 até o release 8.7.11. Portanto, confira o parâmetro após a instalação)

Esse tópico é abordado no treinamento oficial Zimbra System administration: http://www.bktech.com.br/treinazimbra

Em ambientes Multi-Server, especialmente quando o Proxy do Zimbra está em um servidor diferente do Mailbox, é comum se deparar com a mensagem de erro abordada neste post. Isso ocorre porque o proxy não está preservando o IP do cliente ao conectar no servidor Mailbox, portanto, todas as conexões chegam no Mailbox com o IP do Proxy somente, que acaba sendo bloqueado. 

Não se deve adicionar o endereço IP do Proxy na Whitelist, pois isso faz com que o filtro DOS na verdade não esteja sendo aplicado. Resumindo, como todas as conexões chegam no Mailbox com o endereço IP do Proxy, se este IP for adicionado, todas as conexões estarão sem o limite do filtro.

Para configurar corretamente a utilização desse filtro, é necessário adicionar o endereço do Proxy ao parâmetro zimbraMailTrustedIP:

$ zmprov mcf +zimbraMailTrustedIP IP_DO_PROXY

Confira se o parâmetro zimbra_http_originating_ip_header está configurado para preservar o endereço IP, com o valor  X-Forwarded-For:

$ zmlocalconfig zimbra_http_originating_ip_header

Efetue o restart do serviço mailbox:

$ zmmailboxdctl restart

No log do mailbox (/opt/zimbra/log/mailbox.log) você deverá ver o endereço IP to cliente real (“oip=”):

2013-08-30 11:19:41,043 INFO  [qtp2050551931-94:http://127.0.0.1:8080/service/soap/AuthRequest] [name=user1@example.com;oip=5.6.7.8;ua=zclient/8.0.4_GA_5737;] mbxmgr - Mailbox 3 account abcdef8f-1234-5678-9012-8abcdefe2658 LOADED

Se você precisar adicionar algum outro host da rede na Whitelist do filtro Dos, isso pode ser feito da seguinte forma:

Exemplo com a versão 8.7 (que permite especificar CIDR):

$ zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.200.220/32

Exemplo para versões anteriores a 8.7 (não permitem especificar CIDR):

$ zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.200.220

Repare que está sendo acrescentado (+) o IP desejado (192.168.200.220) na Whitelist do filtro DOS.

Para que as alterações entrem em vigor, é necessário reiniciar o serviço mailbox:

$ zmmailboxdctl restart

Referências:

https://wiki.zimbra.com/wiki/DoSFilter

https://wiki.zimbra.com/wiki/Log_Files#Logging_the_Originating_IP

Anúncios

2 comentários sobre “Zimbra: Erro no serviço de rede ao tentar efetuar login (ATUALIZADO)

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s