Si sos de los que gustan ser estrictos con los permisos de internet para tus servidores -algo recomendado por obvios motivos de seguridad- en el caso de zimbra hay que ser cuidadoso con algunos servicios que son requeridos por los tantos componentes que se incluyen en esta suite «colaborativa». Read More
Recientemente estuve implementando algunos métodos de validación y verificación de autenticidad de correos como SPF, DKIM y DMARC en servicios que administro. Durante la implementación me encontré con validaciones de dkim fallidas con el siguiente mensaje de opendkim:
Feb 15 03:12:52 smtp amavis[24502]: (24502-18) dkim: FAILED Author+Sender+MailFrom signature by d=domain.com, From: <account@domain.com>, a=rsa-sha256, c=relaxed/relaxed, s=3537AC8A-2420-11E9-91C1-9E0AD15FCAC0, i=@domain.com, ORIG [127.0.0.1]:56217, invalid (public key: missing p= tag)
El error indica lo siguiente entre otras cosas:
Heme aquí otra vez tomando medidas correctivas, digo preventivas para evitar envío de SPAM desde uno de los servidores de correos que administro.
En distintos enfoques de seguridad se utiliza el método de minimizar los posibles vectores de ataque que se ponen a disposición en conjunto con un servicio.
En casos anteriores he hablado de seguridad de contraseña con políticas, de notificaciones ante eventos de inicio de sesión fallidos (zmauditswatch), coincidencia de patrones en archivos de bitácora en tiempo real, etc.
Ahora (y nuevamente por otro caso que se me pasó por alto) vengo a buscar otro diagnóstico en tiempo real y es revisando el tamaño del Queue (cola de correos) de Postfix. Read More
Me toca administrar un servidor de correos Zimbra y eventualmente se presentan tareas administrativas y de mantenimiento que son repetitivas y por tanto automatizables. Read More
A partir del año pasado volví a administrar servidores zimbra después de 4 años de inactividad con esta suite colaborativa. Pese a ello la última versión que había usado en 2012 era la 7.1.3 y la última versión estable liberada en 2016 que hice la instalación era la 8.6.
La suite colaborativa zimbra en su versión community ofrece las opciones de tener direcciones de reenvío de correo visibles y configurables por usuario -conocidas como User specified- así como también direcciones para reenvío ocultas al mismo.
Al configurar la clase de servicio por defecto está la opción de permitir -o no- a los usuarios el definir estas direcciones de reenvío, pero se debe evaluar el riesgo que supone para la fuga de información el hecho de que un usuario pueda enviar todo el correo entrante a su bandeja de entrada hacia una cuenta externa en caso de no tener políticas en otros módulos que lo impidan. Read More
Al instalar zimbra (o por lo menos en las versiones 5 hasta la 7) la antigüedad/validez máxima de contraseña por defecto para todos los usuarios del servidor de correos es de 365 días. Luego de pasado este tiempo la contraseña expira a menos que se haya modificado este valor desde el zimbraadmin o zmprov.
Si no hay respaldo de las contraseñas no hay más que cambiarlas todas. Lo ideal sería que esto nunca se requiera, pero cuando te encontrás en esa situación es útil tener una solución temporal a mano. Read More
[ALT]+[5] 