{"id":3923,"date":"2020-09-09T11:48:36","date_gmt":"2020-09-09T17:48:36","guid":{"rendered":"https:\/\/ugit.siua.ac.cr\/?p=3923"},"modified":"2020-10-08T08:50:33","modified_gmt":"2020-10-08T14:50:33","slug":"zimbra-8-8-seguridad-parte-i","status":"publish","type":"post","link":"https:\/\/sada.services\/?p=3923","title":{"rendered":"Zimbra 8.8: Seguridad Parte I"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Guia: <strong>https:\/\/www.jorgedelacruz.es\/2014\/04\/03\/zimbra-seguridad-i-parte\/<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Vamos securizar falsos emails usando el from de nuestros usuarios, por ejemplo me logeo (pero no autentico) por puerto 25 a una MTA de zimbra sin securizar, y le digo que soy <strong>hola@jorgedelacruz.es<\/strong> (que existe) y que quiero mandar un correo a <strong>contacto@jorgedelacruz.es<\/strong> (que tambi\u00e9n existe), Zimbra se lo traga y lo env\u00eda. Vamos a ver unos simples pasos para corregir esto, de tal manera que esta acci\u00f3n solo se pueda realizar desde nuestros mynetworks. Vamos a a\u00f1adir un primer filtro antes de la autenticaci\u00f3n SMTP:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Pero, por defecto, Zimbra permite que una vez est\u00e1 un Usuario autenticado, <strong>pueda enviar emails en nombre de otra direcci\u00f3n de correo<\/strong>. Lo cual es muy peligroso, y puede comprometer el buen funcionamiento de nuestro Sistema de Correo, y sobre todo la seguridad de la Empresa y sus Usuarios<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Activando la Seguridad para comprobar que el login de usuario y su direcci\u00f3n de correo, corresponde con lo que dice su username en el sasl<\/h3>\n\n\n\n<pre class=\"wp-block-code\"><code>su zimbra <br>zmprov mcf zimbraMtaSmtpdSenderLoginMaps proxy:ldap:\/opt\/zimbra\/conf\/ldap-slm.cf +zimbraMtaSmtpdSenderRestrictions reject_authenticated_sender_login_mismatch<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>El siguiente paso es abrir el fichero<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>nano \/opt\/zimbra\/conf\/zmconfigd\/smtpd_sender_restrictions.cf<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Ahora modificamos (o agregamos reject_sender_login_mismatch)<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>permit_mynetworks <br>X <br>permit_mynetworks, reject_sender_login_mismatch<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Despu\u00e9s de un minuto aproximadamente, zmconfigd actualizar\u00e1 la configuraci\u00f3n de postfix y aplicar\u00e1 correctamente los nuevos cambios que hemos introducido.<\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Whitelist para ciertas cuentas<\/h2>\n\n\n\n<ul class=\"wp-block-list\"><li>Seguramente necesitemos activar una peque\u00f1a Whitelist, para que ciertas cuentas o usuarios si puedan realizar este cambio de direcci\u00f3n de correo, y con un login puedan enviar en nombre de otras cuentas, tipo formularios de contacto, no-reply, etc.<\/li><\/ul>\n\n\n\n<ul class=\"wp-block-list\"><li>El primer paso es crear la base de datos de usuario:<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>su zimbra<br>nano \/opt\/zimbra\/conf\/slm-exceptions-db<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>El segundo paso es introducir las direcciones que queremos permitir y luego el usuario real:<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>gustavogustavo.matamoros@siua.ac.cr gmatamor<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>El tercer paso es hacer el postmap para que se cree la Base de Datos correctamente:<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>postmap \/opt\/zimbra\/conf\/slm-exceptions-db<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Configuramos el servidor para aceptar el archivo<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>zmprov mcf zimbraMtaSmtpdRejectUnlistedRecipient yes <br>zmprov mcf zimbraMtaSmtpdRejectUnlistedSender yes <br>zmmtactl restart <br>zmconfigdctl restart<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>El comando ahora a ejecutar con el zmprov a\u00f1ade la base de datos de Whitelist:<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>zmprov mcf zimbraMtaSmtpdSenderLoginMaps 'lmdb:\/opt\/zimbra\/conf\/slm-exceptions-db, proxy:ldap:\/opt\/zimbra\/conf\/ldap-slm.cf' +zimbraMtaSmtpdSenderRestrictions reject_authenticated_sender_login_mismatch<\/code><\/pre>\n\n\n\n<h2 class=\"wp-block-heading\">Segunda Parte<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">guia: <a href=\"https:\/\/www.jorgedelacruz.es\/2015\/07\/21\/zimbra-seguridad-iii-parte\/\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/www.jorgedelacruz.es\/2015\/07\/21\/zimbra-seguridad-iii-parte\/<\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Uno de los principales problemas de SPAM hac\u00eda nuestras cuentas es precisamente el permitir que <strong>falsos mail from<\/strong> nos envien correos a nuestros usuarios. Del modo que lanzando un telnet por el puerto 25 por ejemplo, podemos enviar un correo hac\u00eda un usuario leg\u00edtimo <strong>usuario@dominio.com<\/strong> desde una cuenta con el mismo dominio como por ejemplo <strong>holaquetal@dominio.com<\/strong>, y Zimbra se lo come por defecto y el usuario lo recibe.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Desde Zimbra Collaboration 8.5 se introdujeron una serie de mejoras para temas como por ejemplo este y hoy os quiero dejar aqu\u00ed los sencillos pasos para proteger nuestros entornos Zimbra Collaboration 8.5 en adelante rechazando estos falsos mail from, como usuario zimbra lanzaremos los siguientes comandos:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>zmprov mcf zimbraMtaSmtpdRejectUnlistedRecipient yes\nzmprov mcf zimbraMtaSmtpdRejectUnlistedSender yes\nzmmtactl restart\nzmconfigdctl restart<\/code><\/pre>\n\n\n\n<h2 class=\"wp-block-heading\">Firmado digital y encriptado \u2013 desencriptado de nuestros correos con OpenPGP<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">guia: <a href=\"https:\/\/www.jorgedelacruz.es\/2014\/06\/30\/zimbra-firmado-digital-y-encriptado-desencriptado-de-nuestros-correos-con-openpgp\/\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/www.jorgedelacruz.es\/2014\/06\/30\/zimbra-firmado-digital-y-encriptado-desencriptado-de-nuestros-correos-con-openpgp\/<\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Saludos amigos, con este post vamos a conseguir firmar y lo m\u00e1s importante, encriptar, nuestros mensajes desde nuestro Webmail en Zimbra. A\u00f1adiendo una seguridad extra, completamente necesaria en los d\u00edas que corren. De esta manera vamos a poder enviar Emails encriptados a cualquier destinatario y a la inversa, consiguiendo una comunicaci\u00f3n segura, y encriptada. Pero antes de todo vamos por pasos.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">\u00bfQu\u00e9 es PGP?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>PGP<\/strong> (Pretty Good Privacy) es el protocolo que nos permite firmar digitalmente y encriptar mensajes de correo electr\u00f3nico (emails). Funciona end-to-end, de esta forma los mensajes son encriptados en el ordenador que lo env\u00eda, y son desencriptados por el ordenador que lo recibe. No es posible un ataque de man-in-te-middle para descifrar el contenido del mensaje. Esto excluye las l\u00edneas de <strong>Asunto, De y Para<\/strong>, que viajan en texto plano, pero seguimos teniendo el contenido del mensaje cifrado, que es lo importante.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Se que la explicaci\u00f3n puede parecer confusa, as\u00ed que he preparado una ilustraci\u00f3n que puede ayudarnos a comprender mejor <strong>c\u00f3mo funciona PGP<\/strong>.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img fetchpriority=\"high\" decoding=\"async\" width=\"600\" height=\"312\" src=\"\/wp-content\/uploads\/2020\/09\/zimbra-openPGP-comofunciona2-600x312-1.png\" alt=\"\" class=\"wp-image-3940\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2020\/09\/zimbra-openPGP-comofunciona2-600x312-1.png 600w, https:\/\/sada.services\/wp-content\/uploads\/2020\/09\/zimbra-openPGP-comofunciona2-600x312-1-300x156.png 300w\" sizes=\"(max-width: 600px) 100vw, 600px\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Zimlet de OpenPGP<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Lo mejor de Zimbra Collaboration Suite, aparte de que es un producto s\u00fablime, es la comunidad. Ninguna otra plataforma de correo tiene una comunidad tan grande como Zimbra, y esto se nota en la cantidad y calidad de los Zimlets que desarrolla la Comunidad y empresas.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Instalaci\u00f3n<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">guia: <a href=\"https:\/\/www.zimbra.org\/extend\/items\/view\/zimbra-openpgp-zimlet\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/www.zimbra.org\/extend\/items\/view\/zimbra-openpgp-zimlet<\/a><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>rm -Rf \/opt\/zimbra\/zimlets-deployed\/_dev\/tk_barrydegraaff_zimbra_openpgp\/\nsu zimbra \nwget https:\/\/github.com\/Zimbra-Community\/pgp-zimlet\/releases\/download\/2.7.6\/tk_barrydegraaff_zimbra_openpgp.zip -O \/tmp\/tk_barrydegraaff_zimbra_openpgp.zip\nzmzimletctl deploy \/tmp\/tk_barrydegraaff_zimbra_openpgp.zip\nzmmailboxdctl restart<\/code><\/pre>\n\n\n\n<h2 class=\"wp-block-heading\">Ataque Erro sender \u00abfrom=&lt;&gt;\u00bb<\/h2>\n\n\n\n<ul class=\"wp-block-list\"><li>Si dentro de los logs del sistema aparece que un sender es from=&lt;&gt;, debemos crear una regla para evitar esto<\/li><li><\/li><\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Guia: https:\/\/www.jorgedelacruz.es\/2014\/04\/03\/zimbra-seguridad-i-parte\/ Vamos securizar falsos emails usando el from de nuestros usuarios, por ejemplo me logeo (pero no autentico) por puerto 25 a una MTA de zimbra sin securizar, y le digo que soy hola@jorgedelacruz.es (que existe) y que quiero mandar un correo a contacto@jorgedelacruz.es (que tambi\u00e9n existe), Zimbra se lo traga y lo env\u00eda. [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[236],"tags":[242,237],"class_list":["post-3923","post","type-post","status-publish","format-standard","hentry","category-zimbra","tag-seguridad","tag-zimbra-8"],"blocksy_meta":{"styles_descriptor":{"styles":{"desktop":"","tablet":"","mobile":""},"google_fonts":[],"version":6}},"_links":{"self":[{"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/posts\/3923","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/sada.services\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3923"}],"version-history":[{"count":9,"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/posts\/3923\/revisions"}],"predecessor-version":[{"id":4178,"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/posts\/3923\/revisions\/4178"}],"wp:attachment":[{"href":"https:\/\/sada.services\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3923"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sada.services\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3923"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sada.services\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3923"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}