zimbra邮件服务器配置,Zimbra邮件服务器无需登录任意邮箱伪造漏洞修复
Zimbra郵件服務(wù)器無(wú)登陸郵箱就可發(fā)送郵件的漏洞的處理:
配置目的:用戶(hù)發(fā)送郵件必須通過(guò)smtp認(rèn)證,認(rèn)證通過(guò)后,用戶(hù)發(fā)送郵件時(shí)的發(fā)件人必須和通過(guò)認(rèn)證的用戶(hù)相一致,
才能發(fā)送郵件,防止偽造發(fā)件人發(fā)送郵件。
一、SMTP認(rèn)證與mail?from綁定
以zimbra用戶(hù)修改smtpd_sender_restrictions.cf文件
#su - zimbra
$vim conf/zmconfigd/smtpd_sender_restrictions.cf
增加以下行:
%%contains VAR:zimbraServiceEnabled antivirus^ reject_sender_login_mismatch%%
%%contains VAR:zimbraServiceEnabled antivirus^ reject_authenticated_sender_login_mismatch%%
%%contains VAR:zimbraServiceEnabled antivirus^ reject_unauthenticated_sender_login_mismatch%%
$postconf -e "smtpd_sender_login_maps=hash:/data/zimbra/sender"
1
2
3
4
5
6
7
8
9
10
11
12
#su - zimbra
$vimconf/zmconfigd/smtpd_sender_restrictions.cf
增加以下行:
%%containsVAR:zimbraServiceEnabledantivirus^reject_sender_login_mismatch%%
%%containsVAR:zimbraServiceEnabledantivirus^reject_authenticated_sender_login_mismatch%%
%%containsVAR:zimbraServiceEnabledantivirus^reject_unauthenticated_sender_login_mismatch%%
$postconf-e"smtpd_sender_login_maps=hash:/data/zimbra/sender"
執(zhí)行完,可以從"/opt/zimbra/postfix/conf/main.cf"文件最后一行看到"smtpd_sender_login_maps?=?hash:/opt/zimbra/sender"
二、導(dǎo)出用戶(hù)
#/opt/zimbra/bin/ldapsearch -LLL -x -D "uid=zimbra,cn=admins,cn=zimbra" -w "passwd" -H ldap://IP:389 | sed -n 's/^mail: \(\(.*\)@.*\)$/\1 \2/p' > /opt/zimbra/sender
example:
...
user1@example.com user1
user2@example.com user2
...
1
2
3
4
5
6
7
#/opt/zimbra/bin/ldapsearch -LLL -x -D "uid=zimbra,cn=admins,cn=zimbra" -w "passwd" -H??ldap://IP:389 | sed -n 's/^mail: \(\(.*\)@.*\)$/\1 \2/p' > /opt/zimbra/sender
example:
...
user1@example.comuser1
user2@example.comuser2
...
三、生成hash文件sender.db
#/opt/zimbra/postfix/sbin/postmap /opt/zimbra/sender
1
#/opt/zimbra/postfix/sbin/postmap /opt/zimbra/sender
四、重新加載Postfix
$postfix reload
1
$postfixreload
五、計(jì)劃任務(wù)生成sender.db
Crontab?每天生成一個(gè)新的sender.db,以解決后續(xù)添加郵箱用戶(hù)發(fā)送郵件失敗。
#cat /opt/zimbra/smtp_auth.sh
#!/bin/bash
/opt/zimbra/bin/ldapsearch -LLL -x -D "uid=zimbra,cn=admins,cn=zimbra" -w "passwd" -H ldap://IP:389 | sed -n 's/^mail: \(\(.*\)@.*\)$/\1 \2/p' > /opt/zimbra/sender
/opt/zimbra/postfix/sbin/postmap /opt/zimbra/sender
#crontab -l
0 0 * * * bash /opt/zimbra/smtp_auth.sh
1
2
3
4
5
6
7
#cat /opt/zimbra/smtp_auth.sh
#!/bin/bash
/opt/zimbra/bin/ldapsearch-LLL-x-D"uid=zimbra,cn=admins,cn=zimbra"-w"passwd"-Hldap://IP:389 | sed -n 's/^mail: \(\(.*\)@.*\)$/\1 \2/p' > /opt/zimbra/sender
/opt/zimbra/postfix/sbin/postmap/opt/zimbra/sender
#crontab -l
00***bash/opt/zimbra/smtp_auth.sh
感謝運(yùn)維生存時(shí)間的群友上海-Clark分享。
總結(jié)
以上是生活随笔為你收集整理的zimbra邮件服务器配置,Zimbra邮件服务器无需登录任意邮箱伪造漏洞修复的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 延长计算机屏幕显示时间,非充电状态下延长
- 下一篇: 小森生活一直服务器维护,《小森生活》怎么