Zimbra – Sécuriser les MTA | Babash
Dans cet article, je ne vais pas détailler toutes les sécurités que l’on peut appliquer sur les MTA de zimbra : il y en a trop et d’autres sites internet en parlent. Je ne vais donc que les lister ici et mettre quelques lignes de commandes relatives à Zimbra.
Documentations utilisées
https://blog.esn-ypci.com/infrastructure-reseau/zimbra-policyd.html
https://imanudin.net/2014/09/09/zimbra-tips-how-to-configure-rate-limit-sending-message-on-policyd/
https://imanudin.net/2014/09/08/how-to-install-policyd-on-zimbra-8-5/
https://wiki.zimbra.com/wiki/How-to_for_cbpolicyd
http://wiki.zimbra.com/wiki/Postfix_Policyd
https://wiki.zimbra.com/wiki/Cluebringer_Policy_Daemon
GreyListing
By default, CBPolicyD greylisting is disabled. Please try this command for enabled it:
zmprov mcf zimbraCBPolicydGreylistingEnabled TRUE zmprov mcf zimbraCBPolicydGreylistingTrainingEnabled TRUE
SPF
https://imanudin.net/2016/03/11/zimbra-tips-how-to-enable-spf-checking-for-incoming-connection/
User must log in
Pour éviter de se faire passer pour quelqu’un d’autre :
https://www.vavai.net/2014/02/zimbra-improvement-restricted-sendersender-must-login-on-zimbra-8/
Reject non existing email
Ajouter dans le fichier : « /opt/zimbra/conf/zmconfigd/smtpd_sender_restrictions.cf »
permit_mynetworks, reject_unknown_sender_domain, reject_sender_login_mismatch
zmprov mcf zimbraMtaSmtpdRejectUnlistedRecipient yes zmprov mcf zimbraMtaSmtpdRejectUnlistedSender yes zmmtactl restart zmconfigdctl restart
Attention à l’ordre utilisé ! Cela est très important pour la configuration de Postfix
Best Practices on Email Protection: SPF, DKIM and DMARC
https://wiki.zimbra.com/wiki/Best_Practices_on_Email_Protection:_SPF,_DKIM_and_DMARC