Zimbra – Sécuriser les MTA | Babash

Dans cet article, je ne vais pas détailler toutes les sécurités que l’on peut appliquer sur les MTA de zimbra : il y en a trop et d’autres sites internet en parlent. Je ne vais donc que les lister ici et mettre quelques lignes de commandes relatives à Zimbra.

Documentations utilisées

https://blog.esn-ypci.com/infrastructure-reseau/zimbra-policyd.html

https://imanudin.net/2014/09/09/zimbra-tips-how-to-configure-rate-limit-sending-message-on-policyd/

https://imanudin.net/2014/09/08/how-to-install-policyd-on-zimbra-8-5/

https://wiki.zimbra.com/wiki/How-to_for_cbpolicyd

http://wiki.zimbra.com/wiki/Postfix_Policyd

https://wiki.zimbra.com/wiki/Cluebringer_Policy_Daemon

GreyListing

By default, CBPolicyD greylisting is disabled. Please try this command for enabled it:

zmprov mcf zimbraCBPolicydGreylistingEnabled TRUE
zmprov mcf zimbraCBPolicydGreylistingTrainingEnabled TRUE

SPF

https://imanudin.net/2016/03/11/zimbra-tips-how-to-enable-spf-checking-for-incoming-connection/

User must log in

Pour éviter de se faire passer pour quelqu’un d’autre :

https://www.vavai.net/2014/02/zimbra-improvement-restricted-sendersender-must-login-on-zimbra-8/

Reject non existing email

Ajouter dans le fichier : « /opt/zimbra/conf/zmconfigd/smtpd_sender_restrictions.cf »

permit_mynetworks, reject_unknown_sender_domain, reject_sender_login_mismatch
zmprov mcf zimbraMtaSmtpdRejectUnlistedRecipient yes
zmprov mcf zimbraMtaSmtpdRejectUnlistedSender yes
zmmtactl restart
zmconfigdctl restart

Attention à l’ordre utilisé ! Cela est très important pour la configuration de Postfix

Best Practices on Email Protection: SPF, DKIM and DMARC

https://wiki.zimbra.com/wiki/Best_Practices_on_Email_Protection:_SPF,_DKIM_and_DMARC

Lire plus :   Affecter des groupes locaux aux utilisateurs LDAP - Babash

A lire également