Zimbra – Sécuriser les MTA | Babash

ParFrançois

Dans cet article, je ne vais pas détailler toutes les sécurités que l’on peut appliquer sur les MTA de zimbra : il y en a trop et d’autres sites internet en parlent. Je ne vais donc que les lister ici et mettre quelques lignes de commandes relatives à Zimbra.

Documentations utilisées

https://blog.esn-ypci.com/infrastructure-reseau/zimbra-policyd.html

https://imanudin.net/2014/09/09/zimbra-tips-how-to-configure-rate-limit-sending-message-on-policyd/

https://imanudin.net/2014/09/08/how-to-install-policyd-on-zimbra-8-5/

https://wiki.zimbra.com/wiki/How-to_for_cbpolicyd

http://wiki.zimbra.com/wiki/Postfix_Policyd

https://wiki.zimbra.com/wiki/Cluebringer_Policy_Daemon

GreyListing

By default, CBPolicyD greylisting is disabled. Please try this command for enabled it:

zmprov mcf zimbraCBPolicydGreylistingEnabled TRUE
zmprov mcf zimbraCBPolicydGreylistingTrainingEnabled TRUE

SPF

https://imanudin.net/2016/03/11/zimbra-tips-how-to-enable-spf-checking-for-incoming-connection/

User must log in

Pour éviter de se faire passer pour quelqu’un d’autre :

https://www.vavai.net/2014/02/zimbra-improvement-restricted-sendersender-must-login-on-zimbra-8/

Reject non existing email

Ajouter dans le fichier : « /opt/zimbra/conf/zmconfigd/smtpd_sender_restrictions.cf »

permit_mynetworks, reject_unknown_sender_domain, reject_sender_login_mismatch
zmprov mcf zimbraMtaSmtpdRejectUnlistedRecipient yes
zmprov mcf zimbraMtaSmtpdRejectUnlistedSender yes
zmmtactl restart
zmconfigdctl restart

Attention à l’ordre utilisé ! Cela est très important pour la configuration de Postfix

Best Practices on Email Protection: SPF, DKIM and DMARC

https://wiki.zimbra.com/wiki/Best_Practices_on_Email_Protection:_SPF,_DKIM_and_DMARC

Lire plus :   Synchronisation des mots de passe Unix/Samba. - Babash

Publications similaires

  • T411 | Babash

    ParFrançois

    Comme ne gère plus T411, il faut trouver un autre moyen, alors voici T411-Torznab de KiLMaN. Informatique 13 novembre 2015  par francois · Published 13 novembre 2015 · Last modified 17 janvier 2016 et ne proposent pas tous les moteurs de recherche (trackers) que vous espériez ( T411 pour n’en citer qu’un ). Ce n’est…

  • fail2ban | Babash

    ParFrançois

    Informatique 24 janvier 2017  par francois · Published 24 janvier 2017 · Last modified 19 janvier 2017 Malgré une sécurisation de nos MTA, du proxy et l’utilisation de fail2ban avec une configuration de base, nous sommes attaqués par brute force de temps à autre. En soi, rien de méchant puisque les… Lire plus :  …

  • Seedr | Babash

    ParFrançois

    Informatique 21 janvier 2016  par francois · Published 21 janvier 2016 Pour certains, cela fait longtemps que nous connaissons les torrents et que nous les utilisons via les clients torrent tels que : emule, transmission et utorrent. Certains plus expérimentés sont passés aux seedbox sur… Lire plus :   Remplacer sa box : Rester à…

  • Openldap | Babash

    ParFrançois

    Informatique 30 janvier 2013  par francois · Published 30 janvier 2013 · Last modified 1 février 2013 Comment faire pour synchroniser les clients Windows ?Plusieurs solutions existent : Le plus simple est de paramétrer vos clients via NTP lors de leur installation. Sauf que, dans mon cas, les postes sont déjà… Après avoir installé ,…