Seguridad en el Servidor de Correo Electrónico Zimbra – Parte 1

Amigos, en este post les mostraré como mejorar la seguridad de nuestro servidor Zimbra. Todas las configuraciones fueron probadas con las versiones Zimbra 8.8.X.

En otros posts también pueden encontrar:

• Zimbra 8.8.X: Instalar un Certificado gratuito SSL Let’s Encrypt
• Seguridad en el Servidor de Correo Electrónico Zimbra – Parte 2

Las siguientes acciones nos permitiran mejorar la seguridad en nuestro servidor Zimbra:

• Instalar un Certificado SSL
  
• Bloqueo de Usuarios a Nivel de Dominio (smtpd_sender_restrictions)
• Forzando una Coincidencia Entre la Dirección y el Nombre de Usuario SASL
• Prevenir el Suplantado de Usuarios que no Existen en el Dominio de Zimbra

 

Instalar un Certificado SSL

Una buena opción para proteger nuestro servidor Zimbra, con un certificado SSL sin costo, es usar Let’s Encrypt.

En un post anterior he mostrado como instalar este certificado:

Zimbra 8.8.9: Instalar un Certificado gratuito SSL Let’s Encrypt

 

Bloqueo de Usuarios a Nivel de Dominio (smtpd_sender_restrictions)

Esta práctica permite rechazar direcciones de correos electrónicos externas que envían correos a usuarios de zimbra.

Crear el archivo «/opt/zimbra/common/conf/access_table» que contenga todos los dominios o cuentas que serán bloqueadas por el servidor:

# nano/opt/zimbra/common/conf/access_table

# su –zimbra
$ zmprov ms 'mail.empresa.bo' +zimbraMtaSmtpdSenderRestrictions "check_sender_access lmdb:/opt/zimbra/common/conf/access_table"

 

Forzando una Coincidencia entre la Dirección y el Nombre de Usuario SASL

Esta práctica previene que un usuario autenticado envíe correos a nombre de otra dirección de correo.

# su zimbra
$ zmprov mcf zimbraMtaSmtpdSenderLoginMaps proxy:ldap:/opt/zimbra/conf/ldap-slm.cf +zimbraMtaSmtpdSenderRestrictions reject_authenticated_sender_login_mismatc

Reiniciar el servidor:

# su – zimbra
$ zmcontrol restart

Prueba de validación:

# nano /opt/zimbra/conf/zmconfigd/smtpd_sender_restrictions.cf

 

Prevenir el Suplantado de Usuarios que no Existen en el Dominio de Zimbra

Esta práctica previene el envío de SPAM a cuentas de los usuarios de Zimbra.

# su - zimbra
$ zmprov mcf zimbraMtaSmtpdRejectUnlistedRecipient yes
$ zmprov mcf zimbraMtaSmtpdRejectUnlistedSender yes
$ zmmtactl restart
$ zmconfigdctl restar

Prueba de validación:

Mediante una conexión telnet al servidor.

 

Referencias:

https://wiki.zimbra.com/wiki/Domain_level_blocking_of_users