Zimbra: Inserir endereços em Whitelist e Blacklist do Amavis

zimbra-no-lettermark - Copy

Olá ! Nesse post gostaria de compartilhar os procedimentos para inserir endereços de e-mail em Whitelist ou Blacklist no Amavis do Zimbra. Muitas vezes as mensagens que recebemos de endereços legítimos estão sendo marcadas como Spam, bem como mensagens indesejadas estarem sendo marcadas como legítimas.  É possível incluir endereços diretamente na Whitelist ou Blacklist do Amavis para modificar a pontuação aplicada pelo Anti Spam.

Os atributos que precisamos modificar são:

  • amavisblacklistsender : Para incluir endereços de e-mail em Blacklist
  • amaviswhitelistsender: Para incluir endereços de e-mail em Whitelist

Vamos entender a aplicação dos endereços:

  1. Para inserir um endereço de e-mail utilize o e-mail desejado: email@domínio.com.br
  2. Para inserir todos os endereços de e-mail de um domínio, insira o mesmo sem o @:  domínio.com.br

No Zimbra, é possível inserir os endereços na Whitelist ou Blacklist de um domínio ou de uma única conta, vejamos os exemplos:

$ zmprov md seudominio.com.br +amavisblacklistsender email@outrodominio.com.br

$ zmprov md seudominio.com.br +amaviswhitelistsender email@aindaoutrodominio.com.br

$ zmprov ma conta@seudominio.com.br +amavisblacklistsender email@aindaoutrodominio.com.br

$ zmprov ma conta2@seudominio.com.br +amaviswhitelistsender email@aindaoutrodominio.com.br

Obs.: Para remover uma entrada, basta substituir o caractere “+” pelo caractere “-“.

Anúncios

Certificado assinado: Utilizando certificado EV SSL Site Seguro Pro

Olá ! Nesse post gostaria de compartilhar os procedimentos necessários para utilização de um certificado EV SSL Site Seguro Pro adquirido pela Certsign, especialmente em servidores WEB (Apache/Nginx) e soluções de groupware como Zimbra.

Assim que for efetuado o download do certificado, as orientações da Certsign são para efetuar o download das cadeias de certificados do produto EV SSL Site Seguro Pro, mas é justamente aí que está o problema. Ao analisar o arquivo, pode-se observar que o “caminho de certificação” é esse:

cert2

Portanto, para utilização deste certificado, será necessário efetuar o Bundle das cadeias de certificado Verisign e Symantec Class 3 EV SSL CA – G3. Ao clicar em qualquer item do caminho de certificação, no botão “detalhes“, é possível obter mais informações sobre a cadeia que necessita ser utilizada:

cert3

Seguem os links para Download da cadeia de certificados necessária para utilização deste certificado:

http://www.symantec.com/content/en/us/enterprise/verisign/roots/VeriSign-Class%203-Public-Primary-Certification-Authority-G5.pem

https://knowledge.symantec.com/library/VERISIGN/ALL_OTHER/KB_IMAGES/SO26896/Cert_Files/SHA2/Symantec%20Class%203%20EV%20SSL%20CA%20-%20G3.cer

Uma vez que for efetuado o download dos dois arquivos, o bundle é feito unindo ambos, como o comando ‘cat’, por exemplo, no Linux. No caso do procedimento ser efetuado no Windows, o comando ‘copy’ pode ser utilizado.

Debian: NFS não inicia – “portmapper is not running”

nfs2

Olá ! Compartilho uma dica para quem está tentando utilizar NFS no Debian e ao iniciar o serviço “nfs-common” está recebendo a mensagem “portmapper is not running”.

Para o funcionamento do NFS, o serviço rpcbind também deve ser inicializado, portanto, basta iniciar o “rpcbind” e reiniciar o “nfs-common” para conseguir utilizar o NFS.

Lembrando que é necessário incluir o serviço na inicialização: update-rc.d rpcbind enable.

Linux e Logs: A necessidade de auditar – Parte 2

O que, quando e onde logar.

A quantidade de logs nas redes e sistemas computacionais cresce exponencialmente, o que cria uma desafio sobre quais tipos de eventos registrar, além de onde armazena-los. O gerenciamento dos logs se faz necessário para assegurar que as informações registradas estejam armazenadas de forma segura e pelo período apropriado.

Além da complexidade do alto volume de logs que serão gerados pelos sistemas computacionais, existe a preocupação quanto ao armazenamento e segurança destes registros, para assegurar a eficácia do gerenciamento de logs a organização deve estabelecer políticas e procedimento para armazenamento, controle de acesso e rotatividade desses registros (tópicos que serão abordados nos capítulos seguintes). Ao definir as políticas para gerenciamento de logs a organização precisa ter o entendimento que cada sistema computacional gera esses registros de forma diferente, apesar de existirem padrões, convenções e RFCs estabelecidos.

Um ótimo de exemplo de armazenamento de logs é caixa preta presente nas aeronaves, onde podemos estabelecer uma analogia para definir o que deve ser registrado nos sistemas computacionais. A implementação desse sistema aprimorou de forma significante a identificação de falhas (sejam elas em processos, técnicas ou humanas) tornando o negócio (aviação) mais seguro. A caixa preta também armazena os logs em local apropriado, permitindo que em caso de falhas ou desastres se consiga recuperar as informações necessárias para auditorias ou investigações.

Feita essa analogia com a caixa preta, podemos assumir regras básicas para o armazenamento de logs em sistemas computacionais:

  • É preciso estabelecer quais registros devem ser gerenciados e definir o período e locais apropriados para armazenamento.
    O armazenamento de logs deve estar ligado aos interesses da organização e de acordo com o “Plano de continuidade de negócios”.

Algumas das principais atribuições dos profissionais responsáveis pelo gerenciamento de logs:

  • Monitorar os logs e “saúde” dos mesmos.
    Monitorar a rotatividade e armazenamento e e encriptação dos registros (se aplicável).
    Checar, testar e aplicar atualizações e correções para os software de log.
    Certificar que os relógios de todos os sistemas computacionais estejam alinhados.
    Reconfigurar os logs de acordo com mudanças nas políticas, tecnologias ou outros fatores.
    Documentar e reportar anomalias nas configurações de logs e processos.

Níveis de logging.

Tendo conhecimento que os logs nas redes e sistemas computacionais crescem de forma exponencial, é necessário entender a “classificação” destes registros para estabelecer políticas do que deve ser registrado e posteriormente armazenado.

Os níveis de log do Linux e outros sistemas operacionais estão padronizados e são classificados através da gravidade dos registros, que são identificados com uma numeração e abreviação comum do inglês, conforme tabela abaixo:

NUMERAÇÃO

NÍVEL

ABREVIAÇÃO

0

EMERGÊNCIA

EMERG

1

ALERTA

ALERT

2

CRÍTICO

CRIT

3

ERRO

ERR

4

AVISO

WARN

5

NOTIFICAÇÃO

NOTICE

6

INFORMAÇÃO

INFO

7

DEBUG

DEBUG

O nível debug, com identificador 7, registra todas as informações geradas pelo sistema, sendo útil para análise de problemas ou testes de serviços e aplicações.
Log em texto e log em memória

A memoria interna do sistema operacional gerencia e manipula processos sendo executados, arquivo abertos, portas e conexões abertas, e tudo isso e perdido ao desligarmos o computador.

Sabendo disso, precisamos entender o que são dados voláteis e não voláteis, para entendermos o que pode ser perdido ou recuperado durante o processo de desligamento do computador.

Dados voláteis

Os dados voláteis são informações que ficam armazenados na memoria principal do computador. Isso quer dizer que elas possuem um ciclo de vida curto, se comparadas com informações armazenadas na memoria auxiliar de um sistema.

Dados não voláteis

Os dados não voláteis são dados que podem permanecer na maquina durante longos períodos de tempo e podem ser recuperados mesmo apos a mesma ser desligada. Nada mais são do que conteúdo de arquivos, logs em texto e MACtimes.
O pecado pelo excesso

Segundo Claude Shannon, autor do livro “A teoria matemática da comunicação”, informação é tudo aquilo que reduz a incerteza. Esse conceito se aplica perfeitamente na decisão do que devemos registrar a armazenar, para que através da coleta destes dados os mesmos sejam transformados em informação útil e aplicável, aulixiando na tomada de decisões.

Na prática, é necessário estabelecer o nível de log necessário para cada sistema para o que os registros não conduzam a uma “enxurrada de informação”, para que a atividade de análise e auditoria de logs não se torne uma árdua tarefa de interpretação, aumente a incerteza, não facilite a tomada de decisões ou gere conclusões erroneamente fundamentadas que levam a decisões equivocadas.

H.A. para SMTP: Haproxy + Postfix

imagesmysza

 

Olá ! Nesse artigo eu gostaria de falar sobre uma arquitetura de alta disponibilidade para o serviço SMTP, com o software HAPROXY. Embora seja viável o balanceamento de carga com a inclusão de múltiplos servidores MX, muitas vezes é necessário ter alta disponibilidade de fato, sem depender de alterações de DNS, bem como a necessidade de se utilizar um único IP para apresentação.

Desta forma, iremos utilizar o HAPROXY como camada de apresentação para o serviço SMTP. Se a distribuição utilizada para implementação do HAPROXY for o Debian 7, a instalação do software é efetuada através do repositório Backports. Para o Debian 8, a instalação é efetuada através do repositório padrão.

Para instalar o HAPROXY, instale o pacote do mesmo:

aptitude install haproxy

O arquivo /etc/haproxy/haproxy.cfg pode ser configurado da seguinte maneira:

haproxy-cfg

 

Destacando as diretivas Frontend e Backend, que, respectivamente, correspondem ao serviço e porta que será iniciada no servidor Haproxy e os servidores SMTP que farão parte do pool. Como a porta utilizada no proxy também será a padrão SMTP [25], é necessário desinstalar outros servidores SMTP que por ventura tenham sido instalados por padrão pela distribuição.

No backend SMTP, estamos definindo qual o nome que será utilizado pelo servidor proxy para os backends ao efetuar testes de conectividade. A disponibilidade dos servidor é verificada a cada 30 segundos, podendo ser alterada conforme o cenário.

Após a configuração do HAPROXY para efetuar o balanceamento de carga do serviço SMTP, o Postfix deve ser instalado com versão superior a 2.10, uma vez que o protocolo é suportado somente a partir desta versão.

Nos servidores Postfix que irão integrar o balanceamento, a seguinte configuração deve ser aplicada no arquivo main.cf, e somente será possível conectar nestes servidores através do HAPROXY:

smtpd_upstream_proxy_protocol = haproxy
smtpd_upstream_proxy_timeout = 50s

Zimbra e Windows 10 : Três coisas que você precisa saber !

zimbra-no-lettermark - Copy

Olá! O Windows 10 foi lançado e como muitos usuários utilizam o SO da Microsoft para acessar o Zimbra, é preciso analisar e conhecer o impacto e novas possibilidades dessa atualização. Portanto, abaixo está a tradução de um artigo do Jorge de La Cruz, com três informações indispensáveis sobre Windows 10 e Zimbra que você deve conhecer !

  • Porta Arquivos como unidade de rede no Windows 10

Como o porta arquivos utiliza o protocolo WebDav, é possível conectar sem nenhum problema com o Windows 10, transformando-o em uma unidade de rede. Com esse método, os usuários poderão acessar seus arquivos tanto pela interface Web como pelo SO.

Zimbra-webdav-win10-002

 

No Tech Center da Zimbra a documentação completa está disponível: https://wiki.zimbra.com/wiki/WebDAV#Windows_10.2C_8.1.2C_8_and_7

  • Windows Mail APP utiizando EAS (Exchange ActiveSync)

Nas versões 8, 8.1 e 10 do Windows, quem possuem uma ferramenta nativa de E-mail, contatos e calendários, é possível utilizar esta aplicação para se conectar no Zimbra, destacando que este recurso é somente para a versão Network, licenciada, do Zimbra.

Windows10-mail-zimbra-eas-012

No Tech Center da Zimbra a documentação completa está disponível: https://wiki.zimbra.com/wiki/Windows_Mail_app_using_EAS_%28Exchange_ActiveSync%29

  • Zimbra Web Client e o novo navegador Microsoft Edge

Uma das maiores novidades do Windows 10 é o novo navegador, Microsoft Edge, conhecimento anteriormente como Projeto Spartan.

Zimbra-webclient-windows10-8.7-002

Infelizmente, o cliente WEB do Zimbra ainda não é 100% compatível com este novo navegador, porém a Zimbra está trabalhando intensamente para garantir esta compatibilidade no próximo PATCH para a versão 8.6.0 e informar todas as orientações para compatibilização também com a versão 8.0.


 

Fonte: https://www.jorgedelacruz.es/2015/07/30/windows-10-esta-aqui-tres-cosas-que-necesitas-saber-sobre-zimbra-y-windows-10/

Zimbra: Habilitando debug para uma conta específica

zimbra-no-lettermark - Copy

 

Olá ! Nesse artigo quero falar sobre uma operação que costuma ser comum porém muito penosa: Depurar alguma conta para identificar um problema.  É muito comum se deparar com problemas que ocorrem especificamente em alguma conta ou até mesmo em um grupo de contas.

O Zimbra permite aprimorar a verbosidade do log para contas específicas, com o a operação ‘addAccoutLogger‘.

Primeiramente, é preciso identificar se a conta onde se deseja depurar é acessada via IMAP ou SOAP (cliente web), pois o debug é habilitado por serviço, conforme abaixo:

IMAP: zimbra.imap

SOAP: zimbra.soap

Portanto, vamos ver exemplos habilitando a depuração para os dois acessos:

zmprov aal user@domain.com zimbra.imap debug

zmprov aal user@domain.com zimbra.soap debug

Para remover a depuração:

zmprov ral user@domain.com zimbra.imap

zmprov ral user@domain.com zimbra.soap