zimbra邮件服务器配置,Zimbra邮件服务器无需登录任意邮箱伪造漏洞修复
Zimbra郵件服務器無登陸郵箱就可發送郵件的漏洞的處理:
配置目的:用戶發送郵件必須通過smtp認證,認證通過后,用戶發送郵件時的發件人必須和通過認證的用戶相一致,
才能發送郵件,防止偽造發件人發送郵件。
一、SMTP認證與mail?from綁定
以zimbra用戶修改smtpd_sender_restrictions.cf文件
#su - zimbra
$vim conf/zmconfigd/smtpd_sender_restrictions.cf
增加以下行:
%%contains VAR:zimbraServiceEnabled antivirus^ reject_sender_login_mismatch%%
%%contains VAR:zimbraServiceEnabled antivirus^ reject_authenticated_sender_login_mismatch%%
%%contains VAR:zimbraServiceEnabled antivirus^ reject_unauthenticated_sender_login_mismatch%%
$postconf -e "smtpd_sender_login_maps=hash:/data/zimbra/sender"
1
2
3
4
5
6
7
8
9
10
11
12
#su - zimbra
$vimconf/zmconfigd/smtpd_sender_restrictions.cf
增加以下行:
%%containsVAR:zimbraServiceEnabledantivirus^reject_sender_login_mismatch%%
%%containsVAR:zimbraServiceEnabledantivirus^reject_authenticated_sender_login_mismatch%%
%%containsVAR:zimbraServiceEnabledantivirus^reject_unauthenticated_sender_login_mismatch%%
$postconf-e"smtpd_sender_login_maps=hash:/data/zimbra/sender"
執行完,可以從"/opt/zimbra/postfix/conf/main.cf"文件最后一行看到"smtpd_sender_login_maps?=?hash:/opt/zimbra/sender"
二、導出用戶
#/opt/zimbra/bin/ldapsearch -LLL -x -D "uid=zimbra,cn=admins,cn=zimbra" -w "passwd" -H ldap://IP:389 | sed -n 's/^mail: \(\(.*\)@.*\)$/\1 \2/p' > /opt/zimbra/sender
example:
...
user1@example.com user1
user2@example.com user2
...
1
2
3
4
5
6
7
#/opt/zimbra/bin/ldapsearch -LLL -x -D "uid=zimbra,cn=admins,cn=zimbra" -w "passwd" -H??ldap://IP:389 | sed -n 's/^mail: \(\(.*\)@.*\)$/\1 \2/p' > /opt/zimbra/sender
example:
...
user1@example.comuser1
user2@example.comuser2
...
三、生成hash文件sender.db
#/opt/zimbra/postfix/sbin/postmap /opt/zimbra/sender
1
#/opt/zimbra/postfix/sbin/postmap /opt/zimbra/sender
四、重新加載Postfix
$postfix reload
1
$postfixreload
五、計劃任務生成sender.db
Crontab?每天生成一個新的sender.db,以解決后續添加郵箱用戶發送郵件失敗。
#cat /opt/zimbra/smtp_auth.sh
#!/bin/bash
/opt/zimbra/bin/ldapsearch -LLL -x -D "uid=zimbra,cn=admins,cn=zimbra" -w "passwd" -H ldap://IP:389 | sed -n 's/^mail: \(\(.*\)@.*\)$/\1 \2/p' > /opt/zimbra/sender
/opt/zimbra/postfix/sbin/postmap /opt/zimbra/sender
#crontab -l
0 0 * * * bash /opt/zimbra/smtp_auth.sh
1
2
3
4
5
6
7
#cat /opt/zimbra/smtp_auth.sh
#!/bin/bash
/opt/zimbra/bin/ldapsearch-LLL-x-D"uid=zimbra,cn=admins,cn=zimbra"-w"passwd"-Hldap://IP:389 | sed -n 's/^mail: \(\(.*\)@.*\)$/\1 \2/p' > /opt/zimbra/sender
/opt/zimbra/postfix/sbin/postmap/opt/zimbra/sender
#crontab -l
00***bash/opt/zimbra/smtp_auth.sh
感謝運維生存時間的群友上海-Clark分享。
總結
以上是生活随笔為你收集整理的zimbra邮件服务器配置,Zimbra邮件服务器无需登录任意邮箱伪造漏洞修复的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 延长计算机屏幕显示时间,非充电状态下延长
- 下一篇: 大众EA211djs和css的区别,宣传