Por defecto en las instalaciones de Zimbra, cualquier usuario que se autentifica (SASL) con el servidor puede enviar correos utilizando cualquier dirección de correo como origen.
Usualmente esto sucede cuando una cuenta es vulnerada con su password, y se utiliza el servidor Zimbra autentificándose con dicha cuenta vulnerada para enviar correo spam utilizando otros dominios.
Esta configuración permite restringuir el MTA (Postfix) de Zimbra con el fin de validar que el usuario que se autentifica con el servidor sea el mismo que el remitente (From) de los mensajes o cualquiera de sus alias que posea la cuenta.
Nota: esta configuración ha sido probada con Zimbra 7.2.0 corriendo en CentOS 6.2.
Nota2: recuerde que estas configuraciones se pierden en cada upgrade, por lo cual deberá realizarlo nuevamente cuando actualice Zimbra.
1. La primera parte corresponde a agregar "reject_authenticated_sender_login_mismatch" al parámetro de Postfix: smtpd_sender_restrictions:
zmlocalconfig -e postfix_smtpd_sender_restrictions=permit_mynetworks,reject_authenticated_sender_login_mismatch
zmmtactl restart
2. Si no se poseen aliases en el servidor, y si se espera que sólo los usuarios válidos creados puedan enviar correo autentificado utilizando su correo primario definido en Zimbra, entonces sólo falta realizar lo siguiente:
a) Editar /opt/zimbra/conf/zmmta.cf
En la SECTION mta: (agregar al final de la sección)
POSTCONF smtpd_sender_login_maps '$virtual_mailbox_maps'
RESTART mta
b) Ejecutar:
zmmtactl restart
Con esto, ya no se permite que se envíe un correo autentificado desde una cuenta que no exista.
Log de ejemplo:
Jul 24 13:37:29 zimbratest saslauthd[12154]: auth_zimbra: user1@dominio.cl auth OK
Jul 24 13:37:29 zimbratest postfix/smtpd[12876]: NOQUEUE: reject: RCPT from [192.168.XX.XX]: 553 5.7.1 <blablabla@yahoo.com>: Sender address rejected: not owned by user user1@dominio.cl; from=<blablabla@yahoo.com> to=<user1@dominio.cl> proto=ESMTP helo=<192.168.XX.XX>
ADICIONAL
3. (OPCIONAL) Ahora, si toca el caso de que también se quiera utilizar los aliases de las cuentas para el envío de correos, entonces se debe realizar las siguientes configuraciones:
a) Copiar un archivo como referencia:
cp /opt/zimbra/conf/ldap-vmm.cf /opt/zimbra/conf/ldap-slm.cf
b) Editar el nuevo archivo /opt/zimbra/conf/ldap-slm.cf y cambiar lo siguiente:
query_filter = (&(|(zimbraMailDeliveryAddress=%s)(mail=%s)(zimbraAllowFromAddress=%s))(zimbraMailStatus=enabled))
result_attribute = zimbraMailDeliveryAddress,mail,zimbraAllowFromAddress
En SECTION mta: (agregar o modificar el existente al final de la sección)
POSTCONF smtpd_sender_login_maps proxy:ldap:/opt/zimbra/conf/ldap-slm.cf
RESTART mta
d) Ejecutar:
zmmtactl restart
postconf proxy_read_maps
proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $sender_bcc_maps $recipient_bcc_maps $smtp_generic_maps $lmtp_generic_maps
proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $sender_bcc_maps $recipient_bcc_maps $smtp_generic_maps $lmtp_generic_maps $smtpd_sender_login_maps
g) Reiniciar:
zmmtactl restart
Referencias:
Información adicional, el link de la documentación de postfix: http://www.postfix.org/postconf.5.html#smtpd_sender_restrictions
http://wiki.zimbra.com/wiki/Glenno-Notes
0 Comentarios