Olá ! Nesse artigo irei falar sobre a solução para as falhas de login no Zimbra, onde os usuários recebem a mensagem “Ocorreu um erro no serviço de rede“.
Primeiramente, é preciso entender que o Zimbra possui – desde a versão 8.0.3 – um filtro DOS (Denial of Service – Negação de serviço) nativo, visando o proteger o Zimbra deste tipo de ataque.
Para ambientes onde todos o serviços estão instalados no mesmo servidor, não é necessário alterar a Whitelist, uma vez que o IP do próprio servidor do Zimbra, assim como o localhost, são incluídos automaticamente. (atualizando em 14/06/2017: Esse comportamento não está ocorrendo em instalações da versão 8.7 até o release 8.7.11. Portanto, confira o parâmetro após a instalação)
Esse tópico é abordado no treinamento oficial Zimbra System administration: http://www.bktech.com.br/treinazimbra
Em ambientes Multi-Server, especialmente quando o Proxy do Zimbra está em um servidor diferente do Mailbox, é comum se deparar com a mensagem de erro abordada neste post. Para configurar corretamente a utilização desse filtro, é necessário adicionar o endereço do Proxy ao parâmetro zimbraMailTrustedIP:
$ zmprov mcf +zimbraMailTrustedIP IP_DO_PROXY
Confira se o parâmetro zimbra_http_originating_ip_header está configurado para preservar o endereço IP, com o valor X-Forwarded-For:
$ zmlocalconfig zimbra_http_originating_ip_header
Efetue o restart do serviço mailbox:
$ zmmailboxdctl restart
No log do NGINX (/opt/zimbra/log/nginx.log) você deverá ver o endereço IP to cliente real.
Se você precisar adicionar algum host da rede na Whitelist do filtro Dos, isso pode ser feito da seguinte forma:
Exemplo com a versão 8.7 (que permite especificar CIDR):
$ zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.200.220/32
Exemplo para versões anteriores a 8.7 (não permitem especificar CIDR):
$ zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.200.220
Repare que está sendo acrescentado (+) o IP desejado (192.168.200.220) na Whitelist do filtro DOS.
Para que as alterações entrem em vigor, é necessário reiniciar o serviço mailbox:
$ zmmailboxdctl restart
Referências:
https://wiki.zimbra.com/wiki/DoSFilter
https://wiki.zimbra.com/wiki/Log_Files#Logging_the_Originating_IP
Excelente artigo!
Excelente !! – Obrigado pelo compartilhamento ,,, ABRS.
Olá Mauro!
Obrigado pelo acesso.