Zimbra 8.6: Entregando os SPAMs independentemente da pontuação

zimbra-no-lettermark - Copy

Olá ! Nesse artigo irei falar sobre o ajuste da ação a ser aplicada no Anti Spam do Zimbra para que a mensagem seja entregue independentemente da sua pontuação (spam score). Nesta nova versão do Zimbra o suporte à ações para mensagens com pontuação de SPAM alta foi aprimorado, permitindo que o administrador defina qual ação seja aplicada.

Essa configuração é armazenada no parâmetro zimbraAmavisFinalSpamDestiny e aceita os seguintes valores:

  • D_DISCARD: Descarta silenciosamente a mensagem (valor padrão)

  • D_PASS: Entrega a mensagem independentemente do Score.

  • D_BOUNCE: Gera um Bounce para a mensagem

  • D_REJECT: Rejeita a mensagem.

Desta forma, desejamos ajustar o parâmetro para o valor D_PASS:

zmprov mcf zimbraAmavisFinalSpamDestiny D_PASS

Zimbra 8.6/8.7/8.8: Configurando disclaimer (aviso legal) por domínio

Olá ! Nesse artigo irei falar sobre a utilização de aviso legal (Disclaimer) no Zimbra 8.6/8.7/8.8. A partir da versão 8.6 do Zimbra o suporte aos avisos legais foi aprimorado, permitindo a configuração de disclaimers por domínio. Para termos uma ideia da dimensão dessa atualização, na união europeia o uso de avisos legais é obrigatório, desta forma na versão anterior ambientes com múltiplos domínios que necessitassem de aviso legais diferentes teriam dificuldades em implementar o Zimbra.

Primeiramente, é necessário habilitar o suporte aos avisos legais:

zmprov mcf zimbraDomainMandatoryMailSignatureEnabled TRUE

Após habilitar o suporte, é necessário incluir os Disclaimer dos domínios:

zmprov md example.com zimbraAmavisDomainDisclaimerText “Disclaimer modo texto”

zmprov md example.com zimbraAmavisDomainDisclaimerHTML “Disclaimer modo HTML

Após adicionar os avisos legais, o mesmo precisa ser habilitado, também por domínio:

./libexec/zmaltermimeconfig -e example.com

Spamassassin: Portas para o mecanismo Razor

zimbra-no-lettermark - Copy download (2)

Olá ! Na última turma que ministrei do curso EAD de Zimbra nos deparamos com um problema ao habilitar o mecanismo Razor através de um Firewall, o mesmo não consegui se conectar no pool de servidores deste mecanismo.

Após pesquisas (gostaria de agradecer ao aluno Rickifer pelo empenho na pesquisa) foi constatado que as seguintes portas (Output) devem ser liberadas para o funcionamento deste mecanismo:

2703/tcp e 7/tcp

O mecanismo não necessita de nenhuma porta para conectar no seu servidor.

Referências:

http://wiki.apache.org/spamassassin/NetTestFirewallIssues

Postfix: Aplicando configurações para inibir a vulnerabilidade LogJam

Security2

Olá ! Neste artigo irei abordar as configurações que devem ser feitas no Postfix para inibir a vulnerabilidade LogJam.

Segue um resumo sobre esta vulnerabilidade:

Captura de tela de 2015-05-27 13:59:48

 Fonte: http://cryptoid.com.br/arquivo-cryptoid/logjam-entenda-o-que-e/

Primeiramente, é necessário gerar um grupo Diffie-Hellman com 2048 bits, embora 1024 bits sejam suficientes conforme o relatório de vulnerabilidade (https://weakdh.org/logjam.html). Esse procedimento pode ser efetuado com o Openssl:

openssl dhparam -out dhparams.pem 2048

Agora, é necessário aplicar as seguintes configurações no arquivo de configuração do Postfix (main.cf):

smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA

smtpd_tls_dh1024_param_file = /caminho/dhparams.pem

Uma vez que o grupo DH foi criado e as configurações aplicadas, basta efetuar um reload no serviço do Postfix.

Referências:

http://cryptoid.com.br/arquivo-cryptoid/logjam-entenda-o-que-e/
https://weakdh.org/logjam.html

Zimbra 8: Catálogo global (Galsync) não funciona

zimbra-no-lettermark - Copy

Olá ! Essa dica é para quem instalou ou atualizou o Zimbra 8 e o catálogo global não está funcionando. Isto é, ao redigir uma mensagem ou convidar participantes em um agendamento, a pesquisa retorna somente os contatos locais.

O Zimbra utiliza o serviço GalSync para a consulta ao catálogo global. Se a conta para este serviço não estiver criada no ambiente as consultas não irão retornar as contas no diretório.

Para criar a conta os comandos abaixo podem ser utilizados:

$ zmgsautil createAccount -a galsync@dominio.com.br -n InternalGAL –domain dominio.com.br -s `zmhostname` -t zimbra -f _InternalGAL
$ zmgsautil forceSync -a galsync@dominio.com.br -n InternalGAL

Zimbra 8.6.0: Aplicando o Patch 2

Olá ! Nesse artigo irei abordar a aplicação do Patch 2 para a versão 8.6.0 do Zimbra. Essa atualização é altamente recomendada pois contempla diversas correções importantes além de fixes de segurança:

Captura de tela de 2015-05-18 15:37:20

 

É de conhecimento da Zimbra que ao aplicar o Patch em uma sistema com a versão Open Source, o mesmo passará a exibir a versão Network na sua revisão, porém as funcionalidades estarão mantidas de acordo com a versão Open Source. Cabe ressaltar que como o Patch exige a reinicialização do servidor e o mesmo não pode ser revertido, é indispensável que você tome toda medida de precaução antes de aplicar o mesmo.

As informações sobre este Patch podem ser obtidas no seguinte link:

https://files.zimbra.com/website/docs/8.6/ZCS_860_Patch2_ReleaseNotesR2.pdf

Primeiramente, é necessário baixar o Patch no link abaixo, destacando que o é um único pacote para a versões Open Source e Network, para todas as distribuições suportadas:

https://files.zimbra.com/downloads/8.6.0_GA/zcs-patch-8.6.0_GA_1169.tgz

Captura de tela de 2015-05-18 15:31:33

 

Após efetuar o download do Patch descompacte o mesmo:

# tar zxvf zcs-patch-8.6.0_GA_1169.tgz

Captura de tela de 2015-05-18 15:30:30

 

Agora, como usuário Zimbra, interrompa o serviço Mailbox :

$ zmmailboxdctl stop

Novamente como root, execute o script installPatch.sh para iniciar a instalação do Patch:

# ./installPatch.sh

Captura de tela de 2015-05-18 15:32:56

 

O procedimento de instalação do Patch é rápido, cerca de 5 minutos, dependendo da capacidade do servidor obviamente.

Após a instalação do Patch, reinicie todos os serviços do Zimbra com o usuário zimbra:

$ zmcontrol restart

Após reiniciar a solução, o seu Zimbra deve apresentar o PATCH 2 na sua revisão.

Antes da aplicação:

Captura de tela de 2015-05-18 15:28:20

Após a aplicação:

Captura de tela de 2015-05-18 15:35:57

Mailcleaner community: Como atualizar

mailcleaner community logo

Olá ! Neste artigo gostaria de compartilhar com vocês o procedimento para atualizar o MailCleaner Community (http://www.mailcleaner.org/), que é uma solução bastante interessante de gateway SMTP, com recursos de anti spam e anti vírus. Um dos diferenciais desta solução é o console Web de gerenciamento.

(screenshots aqui: http://www.mailcleaner.org/doku.php/mailcleaner:screenshots)

Certamente ainda irei escrever mais sobre essa solução, mas neste momento compartilho a experiência que tive para atualizar a solução, que estava desatualizada há dois anos. Durante atualização o MailCleaner e seus componentes não são interrompidos, mas não posso deixa de citar que esse procedimento deve ser feito com os cuidados indispensáveis, como backup e em uma janela de menor tráfego. Dependendo da versão que está sendo utilizada, também haverá atualização do Kernel, portanto para utilizar as funcionalidades do novo kernel, é recomendado um reboot no servidor.

Seguem os procedimento para atualização do Mailcleaner:

  1. aptitude update
  2. aptitude safe-upgrade
  3. cd /usr/mailcleaner
  4. cvs -q update -dP
  5. source lib/updates/update_binaries.sh
  6. stabilizeBinaries
  7. install/install_perl_libs.sh
  8. install/install_sa.sh
  9. /usr/mailcleaner/bin/check_db.pl –update
  10. /etc/init.d/mailcleaner restart

Referências:

http://forum.mailcleaner.org/viewtopic.php?f=16&t=1485

http://www.mailcleaner.org/doku.php/mailcleaner:description

http://www.mailcleaner.org/doku.php/mailcleaner:screenshots

Cyrus IMAP 2.5.0: Um horizonte promissor para o projeto !

Olá ! É com muito prazer que escrevo sobre a restruturação do projeto Cyrus IMAP. O Cyrus é um dos servidores POP/IMAP livres mais bem conceituados e seu ambiente Aggregator, que permite a distribuição de caixas em múltiplos servidores, é um dos grandes diferenciais desta solução.

Mas de fato o projeto encontrava-se parado, a última versão (2.4.17) havia sido lançada em Dezembro de 2012 e desde então apenas versões beta da integração do Caldav com esta versão foram lançadas.

Porém, no dia 19 de Fevereiro, Bron Gondwana (um dos principais desenvolvedores do projeto) anunciou a reformulação do projeto, com a formação da Cyrus Foundation, que captou recursos (financeiros e desenvolvedores) para levar o projeto a uma nova era ! As metas principais são: lançar o Cyrus 2.5.0 em Março de 2015 e a versão 3.0 em Julho do mesmo ano. Foi notória a empolgação da comunidade com este anuncio.

E cumprindo o cronograma, Jeroen van Meeuwen anunciou a liberação da versão 2.5 no dia 03 de Março :

https://docs.cyrus.foundation/imap/release-notes/2.5-current.html

Escreverei muito sobre o Cyrus este ano ! Por enquanto, seguem algumas das melhorias da versão 2.5.0:

  • AUTOCREATE
  • Suporte Caldav e Carddav
  • Suporte estendido de quotas: Número de pastas, mensagens e annotations
  • RFC 5464: METADADOS IMAP
  • Notificações de eventos
  • Melhorias da distribuição de partições: Mais opções para distribuição entre Backends e partições
  • Novo formato para o arquivo mailboxes.db
  • Suporte a bases twoskip: Mais segura, rápida do que o formato skiplist
  • Conta “Catchall” para o protocolo LMTP

Dovecot: Habilitando o protocolo LMTP para entrega de mensagens

Olá ! O Dovecot ( http://http://dovecot.org ) é um servido POP/IMAP livre muito utilizado e muitas pessoas entram em contato querendo orientações sobre como efetuar entregas para o Dovecot ao implementa-lo em um servidor dedicado, ou seja, um cenário onde os serviços de SMTP e POP/IMAP estão em servidores diferentes.

Para que a entrega seja possível, é necessário habilitar o protocolo LMTP:

LMTP é concebido como uma alternativa para SMTP normal para situações onde o lado de recebimento não tem uma fila de correio, como um servidor de armazenamento de correio agindo como um Mail Delivery Agent. Filas de correio são um requisito inerente de SMTP. Em situações em que isso não é possível, isso é desejável uma vez que um servidor de armazenamento de e-mail deve gerir apenas o seu arquivo de correio sem a necessidade de alocar mais o armazenamento de uma fila de mensagens. Isso não é possível com o SMTP quando há vários destinatários de uma mensagem de email. SMTP só pode indicar a entrega de sucesso ou fracasso para todos ou nenhum dos destinatários, criando a necessidade de uma fila separada para lidar com os destinatários falhou. LMTP, por outro lado, pode indicar o sucesso ou fracasso para o cliente para cada destinatário, permitindo ao cliente para lidar com as filas em vez disso. O cliente, neste caso normalmente seria um voltado para a Internet gateway de correio. LMTP não se destina a uso em redes de área ampla.

Fonte: http://pt.wikipedia.org/wiki/Local_Mail_Transfer_Protocol

Para habilitar este protocolo no Dovecot, abra o seu arquivo de configuração e procure pela entrada “protocols” e adicione o protocolo “lmtp”:

protocols = imap pop3 lmtp

Agora, adicione as diretivas para este protocolo:

service lmtp {
inet_listener lmtp {
address =  127.0.0.1 ::1 IP_REDE
port = 24
}

Feito isso, reinicie o Dovecot e o serviço LMTP irá estar habilitar para receber entrega de mensagens, escutando na porta 24.

Postfix: Habilitando autenticação via SMTP (Centos 7)

Olá ! Quem acompanha meus artigos pôde observar que atendo algumas demandas de envio de e-mails por aplicações com o Postfix. É um cenário interessante e com algumas peculiaridades, e o Postfix como sempre surpreende pela flexibilidade e desempenho, em um ambiente que configurei é gerado um volume médio de 500 mil mensagens por dia.

Na última demanda que recebi havia a necessidade de configurar um SMTP para aplicações com autenticação, isto é, os sistemas irão se autenticar e não serem liberados pela diretiva mynetworks. Para esta demanda as configurações foram feitas em um CentOS 7. A principal dúvida é como habilitar a autenticação no Postfix, e especialmente nestes cenários para aplicações, qual base utilizar para cadastro dos usuários.

Para atendar a demanda, irei utilizar como base para os usuários uma base local do SASL. Além do Postfix instalado, segue a relação de pacotes que devem estar instalados:

Captura de tela de 2014-12-08 14:50:50

Assumindo que você já tenha o Postfix com as configurações básicas instaladas, as seguintes configurações devem ser feitas para habilitar a autenticação no arquivo main.cf:

smtpd_sasl_path = sasl2/smtpd.conf
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes

O arquivo /etc/sasl2/smtpd.conf deve ser criado com o seguinte conteúdo:

pwcheck_method: auxprop
auxprop_plugin: sasldb
mech_list: PLAIN LOGIN CRAM-MD5 DIGEST-MD5

Efetuadas estas configurações, os serviço do SASL precisa ser iniciado e do Postfix recarregado. Para confirmar se o Postfix está com o suporte a autenticação, após conectar no mesmo e executar o comando EHLO o seguinte resultado deve ser apresentado:

Captura de tela de 2014-12-08 14:51:49

Observe as linhas que iniciam com “250=AUTH”, são as que indicam o suporte à autenticação.

Para criar os usuários, o comando saslpasswd pode ser utilizado. Veja o nosso exemplo com o usuário “autentica”:

saslpasswd -c autentica

Para testar a autenticação via TELNET, precisamos converter o usuário (autentica) e senha (123456) para Base64:

perl -MMIME::Base64 -e ‘print encode_base64(“00autentica00123456“);’

Captura de tela de 2014-12-08 14:51:07

Para testar de fato, conecte-se via TELNET e após executar o comando EHLO autentique-se com o seguinte comando:

AUTH PLAIN “Usuário e Senha em Base64”

A resposta para o comando deve ser “AUTHENTICATION SUCCESSFUL”

Caso queira controlar quais endereços cada usuário pode utilizar como remetente, é necessário configurar o controle de identidade no Postfix, que fica para um próximo artigo.

Referências:

http://wiki.centos.org/HowTos/postfix_sasl

Authenticated SMTP with Postfix on CentOS, the easy way