Olá! Como publiquei nos artigos sobre a instalação do Zimbra (links logo abaixo), também irei dedicar um espaço neste blog para iniciantes em Zimbra.

Instalação em CentOS/Red Hat/Oracle

Instalação em Ubuntu

Seguindo os tutoriais sobre a instalação do Zimbra, iniciei uma série de artigos sobre melhores práticas de E-mail, como SPF, DKIM, DMARC, DNS reverso, RBLs, Whitelist, Blacklists, etc.

Nesta QUINTA parte, irei falar sobre a utilização da blacklist (DNSBL) da SPFBL.NET.

Desta forma, as partes 1,2 e 3 trataram de melhores práticas de envio de E-mail para que você não seja uma fonte de SPAM e as partes 4 e 5 tratam de aprimorar a detecção de SPAM.

Link para a parte 1 dessa série: PARTE 1

Na QUARTA parte do artigo (link aqui) apresentei o Postcreen e utilizamos a blacklist gratuita da Barracuda. Recomendo fortemente que as outras partes dessa série de artigos sejam lidas antes dessas implementações.

Vamos falar sobre a DNSBL da SPBL.NET, conforme o site oficial da mesma:

A base de dados da reputação é coletada dos nossos clientes e colaboradores, onde as denuncias são feitas pelos seus próprios destinatários e processada pelo nosso servidor DNSBL, que retorna:

rcode FORMERR: formato de consulta inválida;
rcode NXDOMAIN: nenhum abuso deste endereço foi reportado;
rcode REFUSED: ultrapassou o limite de consultas;
127.0.0.2: listado por má reputação e confirmado por denúncias anônimas;
127.0.0.3: marcado pela dificuldade na identificação do responsável pelos abusos ou MTA em desconformidade com a RFC 5321 e
127.0.0.4: não foi possível identificar um serviço de e-mail rodando neste endereço, é um roteador NAT ou de conexão residencial.


Zona do serviço: dnsbl.spfbl.net

IMPORTANTE: Limite atual é 10 consultas por segundo e a resposta terá rcode 5 (REFUSED) quando atingido. Frequências maiores necessitam de contribuição. Favor entrar em contato informando seu IP ou range de IPs, para obter detalhes. Mesmo dentro do limite de consultas, considere fazer uma doação para que possamos manter e expandir nossos serviços gratuitos.

Conforme pode ser observado no site da SPFBL.NET há um limite de 10 consultas por segundo para utilizar gratuitamente, acima disso é necessário efetuar alguma contribuição. Portanto, se você testar a SPFBL e gostar, é interesse contribuir como puder.

Na documentação oficial, há a configuração dessa DNSBL utilizando o recurso básico do Zimbra para blacklists, porém iremos utilizar o Postcreen para isso. As vantagens do Postscreen estão descritas na parte QUATRO desta série.

Iremos configurar a utilização da SPFBL utilizando o recurso do Postscreen, combinando com a utilização da Barracuda:

(Com esta configuração, qualquer uma das blacklists que estiver com o cliente bloqueado irá fazer a mensagem ser bloqueada)

# su - zimbra
zmprov mcf zimbraMtaPostscreenDnsblSites 'b.barracudacentral.org=127.0.0.2*1'
zmprov mcf +zimbraMtaPostscreenDnsblSites 'dnsbl.spfbl.net=127.0.0.[2;3]*1'
zmprov mcf zimbraMtaPostscreenDnsblAction enforce
zmprov mcf zimbraMtaPostscreenGreetAction enforce
zmprov mcf zimbraMtaPostscreenNonSmtpCommandAction drop
zmprov mcf zimbraMtaPostscreenPipeliningAction enforce

A outra questão que quero abordar é a possibilidade de criar uma WHITELIST para os clientes desejados. Quem nunca teve que liberar o recebimento de algum cliente ou fornecedor importante que está bloqueado por alguma blacklist? 

Criando o arquivo para a WHITELIST do Postscreen:

touch /opt/zimbra/conf/postscreen_whitelist

zmprov mcf zimbraMtaPostscreenAccessList "permit_mynetworks, cidr:/opt/zimbra/conf/postscreen_whitelist"

O arquivo utiliza o formato CIDR, portanto, deve-se criar as entradas desejadas no seguinte formato:

HOST ou REDE  ação

Exemplos:

Liberando um host:
192.168.10.254/32 permit

Liberando uma rede:
192.168.0.0/24 permit

Utilizei IPs inválidos somente para exemplo

 

Efetuadas essas configurações, efetue o restart dos serviços de envio e recebimento de E-mails do Zimbra:

$ zmmtactl restart

No artigo base, outras configurações são efetuadas, portanto, avalie para para o seu caso mais alguma implementação irá atender.