Manejo de colas de correo en Postfix

Postfix es un excelente servidor de correo del que ya hemos hablado en este blog en numerosas ocasiones. Además de poder trabajar por su cuenta, también es el motor en Zimbra, del que también se han comentado cosas en numerosas ocasiones.

Como servidor de correo, tiene determinados comandos que pueden resultar muy útiles a la hora de administrar las colas de correo y los mensajes.

• postqueue
  
  Es el comando que nos permite administrar directamente la cola de mensajes.
• -f
  
  Intenta enviar todos los mensajes que están en las colas.
• -p
  
  Muestra todos los mensajes que están en la cola.
• -s domain
  
  Intenta enviar todos los mensajes que salgan del 'domain' especificado.
• postfix
• flush
  
  Intenta enviar todos los mensajes del servidor.
• start | stop | abort
  
  Arranca, para o para forzosamente el servicio postfix.
• reload
  
  Recarga la configuración del servidor de correo.
• status
  
  Muestra el estado actual del servicio.
• postsuper
• -d ALL
  
  Elimina todos los mensajes de la cola de correo.
• -d ALL deferred
  
  Elimina todos los mensajes 'rebotados' que tenga el servidor.
• postcat -q ID
  
  Visualiza el correo con el ID especificado.
• qshape
  
  Muestra los correos con forma de árbol.

Por supuesto, estos comandos, como casi todos los comandos GNU/Linux se pueden concatenar y crear combinaciones que nos ayuden y faciliten la administración del servidor de correo.

• Número de mensajes en la cola de correo

  shell> postqueue -p | tail -n 1 | cut -d ' ' -f5
  

• Borra todos los mensajes recibidos de un destino

  shell> mailq | grep '^[A-Z0-9]' | grep @domain | \
         cut -f1 -d ' ' | tr -d \* | \
         postsuper -d
  

Leer más

Fail sudo en Zimbra

Hoy, después de hacer un par de cambios en el fichero de configuración de un servidor Zimbra, comenzaron a salir fallos en el estado de algunos servicios. El realidad, todo estaba funcionando correctamente, pero la salida del comando zmcontrol no daba tranquilidad.

shell> zmcontrol status
Host zimbra.local.net
 antispam                Running
 antivirus               Running
 ldap                    Running
 logger                  Running
[sudo] password for zimbra:
 mailbox                 Running
[sudo] password for zimbra:
 mta                     Running
 opendkim                Running
 snmp                    Running
 spell                   Running
 stats                   Running
 zmconfigd               Running

Como veis, algunos de los servicios se estaban ejecutando correctamente, mientras que para averiguar el estado de otros, se pedía la contraseña del usuario zimbra para sudo.

Tras el susto inicial, pensé qué era lo que había cambiado y efectivamente, algo tenía que ver con el fichero de configuración de sudo (/etc/sudoers).

Cómo solucionarlo

Por suerte, la solución no era demasiado complicada y únicamente requería volver a establecer los permisos necesarios de sudo en el fichero /etc/sudoers, dejándolo con las siguientes líneas.

%zimbra ALL=NOPASSWD:/opt/zimbra/libexec/zmstat-fd *
%zimbra ALL=NOPASSWD:/opt/zimbra/libexec/zmslapd
%zimbra ALL=NOPASSWD:/opt/zimbra/postfix/sbin/postfix, /opt/zimbra/postfix/sbin/postalias, /opt/zimbra/postfix/sbin/qshape.pl, /opt/zimbra/postfix/sbin/postconf,/opt/zimbra/postfix/sbin/postsuper
%zimbra ALL=NOPASSWD:/opt/zimbra/libexec/zmqstat,/opt/zimbra/libexec/zmmtastatus
%zimbra ALL=NOPASSWD:/opt/zimbra/amavisd/sbin/amavis-mc
%zimbra ALL=NOPASSWD:/opt/zimbra/libexec/zmmailboxdmgr
%zimbra ALL=NOPASSWD:/opt/zimbra/bin/zmcertmgr

Referencias

• Wiki Zimbra

Leer más

IP de salida en Postfix

Seguimos hablando de Postfix y de variables de configuración que, según qué instalación, pueden ser interesantes. Hoy vamos a ver cómo indicarle al servidor de correo la IP para el correo de salida que debe emplear (variable smtp_bind_address). Por defecto, dicha variable no se suele configurar y es el propio servicio el que se encarga de salir por el interfaz que mejor le convenga. En caso de que teniendo un servidor con más de una IP de salida, nos interese que el correo salga por una concreta, simplemente con indicarlo en el fichero de configuración (/etc/postfix/main.cf) nos llegaría.

smtp_bind_address = 192.168.0.2

Una vez reiniciado Postfix, la salida de correos se producirá por dicha IP y, por lo tanto, por el interfaz en el que esté configurada.

Leer más

Reescribiendo direcciones de correo

Postfix, quizás el servidor de correo más extendido en la actualidad tiene miles de facilities interesantes. Una de ellas, y de la que vamos a hablar hoy es la reescritura de la dirección de correo (address rewriting). Esta funcionalidad sirve, por ejemplo, para que todos los correos internos del servidor, lleven como origen una dirección diferente a la real, pudiendo así facilitar una pregunta al administrador en caso de que el correo la generase.

Para poder poner a funcionar las reglas de reescritura, lo primero es crear el fichero /etc/postfix/generic. Este fichero, que será una tabla de mapeos admite expresiones regulares. Por ejemplo,

/^(.*)@(.*).localdomain$/  dudas@local.net

En este caso, todos los correos que salgan del servidor local (fqdn *.localdomain) se enviará con la dirección de origen dudas@local.net. Si alguno de los receptores quiere responder, el mail será entregado a una dirección pública conocida y no a un servidor de la red local.

Por supuesto, tras configurar el fichero generic hay que hacer uso del comando postmap, como para casi todos los ficheros externos de configuración de postfix.

shell> postmap /etc/postfix/generic

Una vez lo tengamos, simplemente lo añadimos a la configuración general (/etc/postfix/main.cf).

smtp_generic_maps = regexp:/etc/postfix/generic

Y reiniciamos el servicio.

Nota

Cada vez que modifiquemos el fichero generic tendremos que volver a crear la tabla de mapeos (postmap) y reiniciar el servicio.

Leer más

Seguridad en postfix: Deshabilitar VRFY

Hoy es uno de esos días en los que te dedicas a leer documentación y manual de servicios y descubres, como no podía ser de otra forma, parámetros cuando menos interesantes y que suelen ser olvidados. Este olvido puede traer, como veréis, problemas de revelación de datos que debemos de evitar. Hablamos, concretamente del parámetro verify de postfix. Este parámetro sirve para lo siguiente,

shell> telnet local.com 25
Trying 192.168.0.25...
Connected to mail.com.
Escape character is '^]'.
220 mail.local.com ESMTP Postfix
vrfy javier@local.com
252 2.0.0 javier@local.com
vrfy empty@local.com
550 5.1.1 empty@local.com: Recipient address rejected: local.com
exit

Creo que tras ver el ejemplo, ya os imagináis para qué sirve el comando vrfy de postfix. Sí, efectivamente, para poder averiguar si un usuario existe en el servidor o no. Como puedes comprender, crear un pequeño script que se conecte a un servidor de correo de un dominio y liste las cuentas de correo que éste tiene, muy complicado no resulta.

Por lo tanto, si queremos evitar que alguien se nos conecte al servidor y haga un descubrimiento de las cuentas de correo en él configuradas, debemos de ir al fichero de configuración de postfix (/etc/postfix/main.cf) y deshabilitar el uso del comando vrfy.

disable_vrfy_command = yes

Tras incluir la línea aquí arriba citada y reiniciar el servicio, si intentamos la conexión ya se nos advertirá de que no es posible.

shell> telnet local.com 25
Trying 192.168.0.25...
Connected to local.com.
Escape character is '^]'.
220 mail.local.com ESMTP Postfix
vrfy javier@local.com
252 2.5.2 Cannot VRFY user; try RCPT to attempt delivery (or try finger)
expn root
502 5.7.0 Sorry, we do not allow this operation

Leer más

Confirmación de lectura desde Zimbra

Hace ya años era muy habitual que los correos electrónicos llevasen la petición de confirmación de lectura. Cuando recibías uno, al abrirlo siempre saltaba el mensaje de que confirmases de que lo habías recibido.

De una época hacia aquí, por lo menos a mi, dichas confirmaciones de lectura no suelen venir con los correos (y menos mal!), pero desde luego siempre puedes hacer que estén incluidas. Y Zimbra, como gestor de correo, permite que lo hagas para uno o para todos tus correos salientes. La forma de hacerlo, pues como sigue.

Solicitud de confirmación para un correo

La explicación más sencilla es la que se muestra en la imagen lateral, dónde se observa que en las opciones que hay cuando compones un nuevo correo saliente puedes habilitar dicha confirmación de lectura.

Solicitud de confirmación para todos tus e-mails

También es posible, si te interesa que todos tus correos hagan la petición de dicha confirmación, habilitarlo para la cuenta en general. Para ello, tendrás que ir a Preferencias → Correo y ahí buscar la parte relacionada con "Redactar mensajes". En la imagen adjunta se muestra la pestaña que tendrás que habilitar, que como puedes observar es la de "Solicitar siempre notificación de lectura".
Si decides optar por esta forma, ten presente que a todas las personas que les mandes un correo, también les estarás pidiendo confirmación de lectura, con lo que ello supone.

Internamente, por si alguien se lo está preguntando, esta opción lo que hace es incluir en la cabecera la solicitud, que el cliente lógicamente, tendrá que saber manejar. En código, agrega una línea similar a esta:

Disposition-Notification-To: Javier J.L. <test@domain.com>

Leer más

OpenSSL break: Actualización de Zimbra

Hace unos meses ya publicamos una advertencia de fallo de seguridad grave en OpenSSL y Zimbra estaba afectado, por lo que dijimos cómo actualizarlo.

Esta última semana el mundo de la seguridad se volvió a ver un poco azotado ya que OpenSSL cayó nuevamente. Por supuesto esto implica, si tienes un sistema afectado, actualizar rápidamente, y Zimbra no se hizo esperar y sacó un parche de seguridad a dicha vulnerabilidad. Aplicarlo, como suele ser bastante habitual en Zimbra, es sencillo.

Lo primero, es descargarse el código de parche.

shell> cd /tmp
shell> wget http://files.zimbra.com/downloads/security/zmopenssl-updater.sh
shell> chmod a+rx zmopenssl-updater.sh

Tras ello, debemos de, como usuario zimbra, parar todos los servicios.

shell> su - zimbra
zimbra@shell> zmcontrol stop

Ahora, nuevamente como usuario root, debemos de ejecutar el script, que aplicará el parche y solucionará el problema.

shell> /tmp/zmopenssl-updater.sh
   Downloading patched openssl
   Validating patched openssl: success
   Backing up old openssl: complete
   Installing patched openssl: complete
   OpenSSL patch process complete.
   Please restart Zimbra Collaboration Suite

Una vez terminado, podemos volver a arrancar todos los servicios de Zimbra.

zimbra@shell> zmcontrol start

Y para quedarnos más tranquilos, podemos comprobar que la versión de OpenSSL que Zimbra emplea sí se actualizó, pasando de la 0.9.8k 25 Mar 2009 (en mi caso) a la 1.0.1h 5 Jun 2014.

zimbra@shell> openssl version
   OpenSSL 1.0.1h 5 Jun 2014

Referencias:

• cve.mitre.org/CVE-2014-0224
• zimbra.com/forums

Leer más

Zimbra, Heartbleed - OpenSSL patch

Como bien sabéis, recientemente se descubrió un grave fallo de seguridad en el paquete OpenSSL que dejó más que en entredicho la seguridad de la mayoría de los lugares que se suponían seguros en Internet. El protocolo https, que hasta ahora se garantizaba seguro, ya no lo era. Por suerte, el software libre se mueve de prisa y no se tardó mucho en sacar un parche que corregía dicha vulnerabilidad.

Estos días, lo que nos tocó a la gente de sistemas fue realizar un update masivo del paquete OpenSSL. Por suerte, herramientas como Salt Stack y Puppet ayudan a llevarlo mejor ;-)

Hoy vamos a ver cómo parchear una instalación de Zimbra que esté afectada. Zimbra, trae en su instalación las librerías OpenSSL propias, no la del sistema base, y es por ello que es necesario aplicar el parche del fabricante y no actualizar el paquete del sistema. Por suerte, el Zimbra deja a nuestra disposición (aquí el link) un parche para descargar y aplicar al equipo. Así que la forma de hacerlo es sencilla.

Lo primero es descargarnos el script que se encarga de aplicar el parche y darle permisos de ejecución.

shell> wget http://files.zimbra.com/downloads/security/zmopenssl-updater.sh
shell> chmod +x zmopenssl-updater.sh

A continuación, lo ejecutamos como root. Con ello se descargará el parche real de OpenSSL y lo aplicará a nuestra instalación de Zimbra.

shell> ./zmopenssl-updater.sh
  Downloading patched openssl
  Validating patched openssl: success
  Backing up old openssl: complete
  Installing patched openssl: complete
  OpenSSL patch process complete.
  Please restart Zimbra Collaboration Suite as the Zimbra user

Al finalizar nos informa de que hay que reiniciar el servicio para que los cambios tenga efecto. Lo hacemos.

shell> su - zimbra
zimbra@shell> zmcontrol restart

Y comprobamos que todo quede correctamente funcionando y no haya problema ninguno.

zimbra@shell> zmcontrol status
Host zimbra.localhost
 antispam                Running
 antivirus               Running
 ldap                    Running
 logger                  Running
 mailbox                 Running
 mta                     Running
 opendkim                Running
 snmp                    Running
 spell                   Running
 stats                   Running
 zmconfigd               Running

Referencias:

• heartbleed.com
• openssl.org
• cve.mitre.org/CVE-2014-0160
• zimbra.com/forums/

Leer más

Error: Queue report unavailable - mail system is down

Zimbra suele ser muy poderoso y prácticamente todo se puede hacer desde su interfaz web o de forma bastante sencilla desde la línea de comandos. Pero como todos los softwares grandes, siempre puede tener algún fallo.

Hoy quiero hablar del error que da título a esta entrada. No es algo habitual ni mucho menos, por suerte, pero puede que os haya pasado y la primera vez, cuesta un poco ver el fallo. Tenemos el error de que nuestro servicio postfix no se está ejecutando y por lo tanto no hay correo entrante ni saliente. Eso ya de por sí es un problema. El otro, es que ante la siguiente ejecución, todos los servicios están correctos,

shell> zmcontrol status
Host localhost
   antispam          Running
   antivirus         Running
   convertd          Running
   ldap              Running
   logger            Running
   mailbox           Running
   mta               Running
   opendkim          Running
   proxy             Running
   snmp              Running
   spell             Running
   stats             Running
   zmconfigd         Running

El sistema nos dice que todo está correcto, pero algo no funciona. Vamos a echarle un vistazo a los puertos abiertos de nuestro equipo. postfix emplea el 25, así qué...

shell> netstat -punta | grep 25
tcp   0   0 0.0.0.0:7025   0.0.0.0:*   LISTEN   -

Efectivamente, el sistema nos dice que el servicio MTA está levantado, pero en realidad está caído. Toda ahora ensuciarse un poco más, así que vamos a los logs

shell> tail -f /var/log/mail.log
...
Feb 08 19:31:15 zcs postfix/postqueue[9529]: fatal: Queue report unavailable - mail system is down

Bien, tenemos el maravilloso fallo. Ya sabemos que el sistema no arranca por que algo está fallando.

¿postfix está arrancado, pero a la vez no está disponible?

El problema es que en la última parada del sistema, ya bien fuese ordenada o bien por un apagón, se os quedó por ahí colgado el fichero de PID que indica que el servicio está arrancado. Al realizar un start o un status del mismo, para el sistema sí está arrancado, pero en realidad esto no es así. Zimbra cree que está funcionando, pero no lo está. La solución, por suerte es sencilla,

shell> locate master.pid
/opt/zimbra/data/postfix/spool/pid/master.pid
shell rm /opt/zimbra/data/postfix/spool/pid/master.pid

Y ahora ya podemos arrancar el MTA que estaba fallando,

shell> zmmtactl start
Rewriting configuration files...done.
Starting saslauthd...already running.

La entrada Error: Queue report unavailable - mail system is down la puedes leer en El mundo en bits.

Leer más

Quota de disco por dominio en Zimbra

Zimbra es un fantástico servidor de correo que implementa todo lo necesario para hacerlo bueno para cualquier empresa. Tanto es así, que muchos de los registradores de Internet ya lo emplean con miles de dominios para ofrecer el correo. Esta es una de las grandes ventajas de Zimbra: multitud de dominios bajo un mismo servidor. Es cierto que postfix lo hace también, pero Zimbra lo hace sencillo.

Pues bien, antes de la versión 8 del servidor, si teníamos varios dominios diferentes configurados y la intención era controlar la quota de disco que cada usuario empleaba, esto tenía que ser configurado usuario por usuario. Con la introducción de la versión 8, Zimbra ahora ofrece una característica muy interesante, quota por dominio. Esto quiere decir, una cantidad máxima de espacio para todos los usuarios del dominio, y luego ellos internamente se lo gestionan.

Si ya estáis empleando la nueva versión y esta opción os parece interesante, la podéis activar editando el dominio. Una vez este esté editado, nos vamos a las opciones avanzadas y ahí modificamos el "Ajuste de espacio de almacenamiento de dominio". Lo podemos dejar tal que así,

zimbra quota por dominio

Lo que significa cada una de estas opciones es:

• Espacio de almacenamiento de dominio
  
  Es la cantidad máxima de capacidad que tendrá el dominio, en bytes (B). Este espacio será a repartir para todos los usuarios del dominio.
• Espacio de almacenamiento agregado de dominio
  
  Es el espacio extra que tiene el dominio. En caso de que se llene, se le dará un poco de espacio adicional para poder trabajar en "modo emergencia".
• Porcentaje de advertencia de espacio
  
  Porcentaje de disco lleno para que salte la alerta de que se está alcanzando el límite de quota.
• Destinatario de correo
  
  Correo del administrador del dominio al que se le advertirá que está llegando al límite de la quota.
• Política de espacio de almacenamiento agregado de dominio
  
  Qué hacer en caso de que se haya llenado el espacio del dominio y se esté trabajando con el agregado.

Una vez tengamos todo configurado, guardamos la nueva configuración del dominio y todos los usuarios verán que su buzón ha sido incrementado. Si un usuario ahora consume mucho, todos verán que su buzón se ha decrementado.

Si no sabías esta nueva opción de la versión de Zimbra 8, ahora ya la sabes.

La entrada Quota de disco por dominio en Zimbra la puedes leer en El mundo en bits.

Leer más

Loguear subject de los mails desde Zimbra

Revisando temas relacionados con Zimbra, hoy os traigo un pequeño tip, cuando menos curioso de todo lo que puede hacer y permitir un sistema como Zimbra y en realidad cualquier sistema de correo basado en postfix.

El truco consiste únicamente en habilitar el registro del "subject" de los mails en el log. Como espero estáis suponiendo, esto es faltar a la privacidad, así que hacerlo bajo vuestra propia responsabilidad. El caso que si si por lo que sea, lo llegáis a necesitar hacer, pues saber cómo. Para hacerlo, vamos a emplear el comando zmlocalconfig y sólo vamos a configurar el sistema para que haga lo que queramos.

1. Buscamos la variable de cabeceras de postfix

   shell> zmlocalconfig postfix_header_checks
   postfix_header_checks = pcre:${zimbra_home}/conf/postfix_header_checks
   

2. Creamos un nuevo fichero
   

   shell> cat /opt/zimbra/conf/subject_checks
   /^subject:/ WARN
   

3. Agregamos el nuevo fichero a la variable
   

   shell> zmlocalconfig -e postfix_header_checks="pcre:${zimbra_home}/conf/postfix_header_checks, pcre:${zimbra_home}/conf/subject_checks"
   

4. Modificamos la configuración de zimbra
   

   shell> zmprov mcf zimbraMtaBlockedExtensionWarnRecipient FALSE
   

5. Reiniciamos el servicio
   

   shell> zmmtactl restart
   

Desde este momento, todos los correo dejarán el subject en los logs, por lo que, repito, mucho ojo con lo que hacéis!

La entrada Loguear subject de los mails desde Zimbra la puedes leer en El mundo en bits.

Leer más

Zimbra: Limitar número de destinatarios

Si el otro día hablamos de cómo limitar el número máximo de correos que pueden salir del servidor en un período de tiempo, hoy vamos a ver cómo limitar el número máximo de destinatarios de correos. Esto no es más que el número máximo de direcciones que se podrán poner el el "To:".

Para aplicar los cambios en caliente,

shell> postconf -e smtpd_client_recipient_rate_limit=50

Y si deseamos que estos cambios sean permamentes (/opt/zimbra/postfix/conf/main.cf),

smtpd_client_recipient_rate_limit = 50

Y a continuación reiniciamos el servicio,

shell> zmmtactl restart

Leer más

Zimbra: Limitar número de correos salientes

Casi todos los servidores de correo están en la actualidad un poco restringidos con la cantidad de correo que puede enviar. Bien por no saturar las líneas, bien por seguridad, bien por que al administrador de gustó la idea.

El detalle que es en una instalación limpia de postfix/Zimbra, esta restricción no está habilitada y aunque no debería de pasar nada, quizás no esté demás aplicársela. No es por molestar a los usuarios, es para evitar, por ejemplo, un envío masivo de spam en caso de que una cuenta sea comprometida.

Para habilitarla, bastaría con editar el fichero de configuración de postfix, /opt/zimbra/postfix/conf/main.cf y agregar,

smtpd_client_message_rate_limit = 5
anvil_rate_time_unit = 60

Tras ello, hacer un restart del servicio MTA

shell> zmmtactl restart

Con ello conseguimos limitar a 5 la cantidad de correo que sale de Zimbra por usuario cada minuto. 5 mensajes por minuto ya da para escribir considerablemente.

En caso de que deseemos aplicar los cambios en caliente, también es posible,

shell> postconf -e anvil_rate_time_unit=60s
shell> postconf -e smtpd_client_message_rate_limit=5

Leer más

Zimbra: INFECTED: Heuristics.Encrypted.PDF

Si a vuestra cuenta de administración de Zaimbra llegan correos similares a este:

VIRUS (Heuristics.Encrypted.PDF) in mail FROM ...

o como este otro,

A virus was found: Heuristics.Encrypted.PDF
Scanner detecting a virus: ClamAV-clamd

Eso significa que algunos de los correos entrantes llevan adjuntos que el sistema no puede abrir para escanear. Por ejemplo, un PDF con clave de acceso o un fichero tipo RAR. Puesto que el antivirus no puede analizar el contenido, directamente se opta por no dejarlo pasar.

Si esto os pasa, pero es algo conocido, hay forma de solucionarlo. Lo primero es editar el fichero /opt/zimbra/conf/clamd.conf y cambiar la configuración de la variable ArchiveBlockEncrypted, estableciéndola a no

ArchiveBlockEncrypted no

y en el archivo /opt/zimbra/conf/clamd.conf.in cambiar la línea zimbraVirusBlockEncryptedArchive dejándola como sigue,

%%uncomment VAR:zimbraVirusBlockEncryptedArchive%%ArchiveBlockEncrypted no

Tras hacer esto, simplemente reiniciamos el servicio antivirus del sistema.

shell> zmclamdctl stop
shell> zmclamdctl start

Y ya no debería de volver a pasarnos lo aquí comentando.

Leer más

Importante vulnerabilidad en Zimbra

Llevo unos 15 días bastante ocupado, por lo que las lecturas educativas de noticias se ha reducido y mucho.
Ayer me entero, gracias a @susibarreras, de una importante vulnerabilidad en Zimbra que según lo que apuntan, se descubrió a principios de este mes. Luego realmente, y según los responsables de Zimbra, dicha vulnerabilidad ya fue reportada hace tiempo (Febrero 2013) y todo parece ser así, ya que desde la versión 8.0.3 en adelante está corregida.

El problema radica en todas aquellas versiones no actualizadas. Se estima que cerca del 80% son vulnerables en la actualidad. El fallo es un LFI (Local File Inclusion) sobre una URL a la que cualquier persona puede acceder y descubrir así las credenciales del servidor sobre el que lance la consulta, ya que de forma muy simple se puede leer el archivo localconfig.xml de Zimbra (credenciales de acceso).

La vulnerabilidad saltó al público de manos de rubina119, que publicó un pequeño código Ruby que se aprovecha de dicha vulnerabilidad.

El LFI se produce sobre el fichero

/res/I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20TemplateMsg.js.zgz

y cualquier persona puede acceder, a la siguiente URL

/res/I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20TemplateMsg.js.zgz?v=091214175450&skin=../../../../../../../../../opt/zimbra/conf/localconfig.xml

y observar todas las credenciales del servidor. Gracias al exploit, crear una cuenta de usuario válida es muy sencillo.

Se recomienda una actualización urgente de todos los servidores Zimbra afectados.

Más información:

exploit-db.com

Leer más

Actualización de spamassassin en Zimbra

Uno de los procesos que trae Zimbra en el core es spamassassin. Como su nombre indica, es un software que se encarga de analizar y filtrar todos los correos que entran en el servidor y según origen, destino, contenido, etc. clarificarlos como aptos o como correo no deseado. La verdad es que da muy buenos resultados y es un buen software, pero como siempre lo importante es tener las reglas actualizadas. Unas reglas actualizadas pueden evitar muchos problemas de spam masivo.

Vamos a ver por lo tanto cómo actualizar las reglas de spamassassin.

1. Entrar como usuario zimbra
   
   Es el primer paso que debemos de llevar a cabo. Accedemos al sistema y cambiamos nuestro usuario al de administrador de Zimbra.

   shell> su - zimbra
   

2. Actualizar las reglas
   
   Zimbra incluye spamassassin y también un pequeño script que se encarga de descargar y actualizar los ficheros que sean necesaraios. Para ello, simplemente,

   shell> /opt/zimbra/zimbramon/bin/sa-update -v \
          --updatedir /opt/zimbra/conf/spamassassin \
          --allowplugins \
          --refreshmirrors
   

3. Reiniciar el demonio
   
   Una vez terminada la actualización simplemente hacemos un restart del daemon zmamavisdctl de Zimbra y nos aseguramos de que quede arrancado y no tenga ningún problema.

   shell> zmamavisdctl restart
   shell> zmamavisdctl status
   

La entrada Actualización de spamassassin en Zimbra la puedes leer en Puppet Linux.

Leer más

Zimbra: Purgando automático de mensajes

Aunque hace tiempo que no digo nada de Zimbra, hoy voy a contar un pequeño truco que no está excesivamente documentado. Se trata de modificar el tiempo de retención de los correos en una carpeta, de forma que se purguen los antiguos de forma automática. Aunque para el correo normal no es útil, ya que con los espacios de buzón que hay a día de hoy purgar correos no tiene mucho sentido, sí puede ser útil para carpeta de logs, o la típica carpeta donde se almacenan todos esos correos de "FW:" y "RE:" que la gente te envía.

Propiedades de carpeta

Pues bien, para automatizar este proceso, el usuario debe de dirigirse a la carpeta que le interese en cuestión y sobre ella, ir a las propiedades, como se muestra en la imagen lateral. Pinchando en "Editar propiedades", nos aparecerá la ventana que se muestra abajo, y tendremos que ir a la segunda pestaña, "Retención" y ahí simplemente activar la eliminación de mensajes. A continuación debemos especificar el tiempo máximo de los mensajes que deseemos tener en dicha carpeta. En mi caso, por ejemplo, puse 3 semanas. Puedes elegir entre semanas, meses y años.

Activar tiempo de retención

Lo que hará internamente Zimbra es borrar diariamente aquellos mensajes que estén 'caducados', sin pedir la autorización del usuario, por lo que es muy importante estar seguro de la acción que vamos a llevar a cabo. El correo que se borra no se podrá recuperar (backups aparte...).

Puede que una vez que lo activéis tarde sobre un día en hacer la primera purga de correo. El proceso que se encarga de ello no se ejecuta bajo demanda, sino que se lanza en un determinado horario, así que dependerá del sistema. Tras la primera ejecución podréis ver cómo se han borrado aquellos mensajes que ya no nos eran de interés y desde ahí tendremos siempre la carpeta con el auto-purgado funcionando.

Espero que os haya sido de ayuda.

La entrada Zimbra: Purgando automático de mensajes la puedes leer en El Mundo en bits.

Leer más

Zimbra, limpiando la cuarentena

Hoy revisando el estado de un servidor de correo me di cuenta de un pequeño detalle, cada vez estaba ocupando más la carpeta de cuarentena (/opt/zimbra/data/amavisd/quarantine) de Zimbra.

Zimbra gestiona realmente bien el spam y no suelen colarse muchos correos (por no decir ninguno) que no sean legítimos. Esta potencia sale de amavis, que cuando detecta algo que no debe inmediatamente lo envía a cuarentena. El problema es que Zimbra no tiene ningún proceso automático que gestione el tamaño de la carpeta de cuarentena, por lo que ahí dentro los ficheros crecen día a día. El purgado de esos correos malos, es cosa del administrador. Así que vamos a ver cómo find nos puede ayudar a realizarlo.

shell> du -sh /opt/zimbra/data/amavisd/quarantine
1.6G /opt/zimbra/data/amavisd/quarantine
shell> find /opt/zimbra/data/amavisd/quarantine \
       -type f \
       -mtime +30 \
       -exec rm -f {} \;
shell> du -sh /opt/zimbra/data/amavisd/quarantine
34M /opt/zimbra/data/amavisd/quarantine

En mi caso, la reducción de espacio usado tras el purgado fue considerable. Así que lo ideal sería que automáticamente se ejecutase una vez cada semana, por ejemplo. Vamos a ver cómo poner ésto en crontab.

30 1 1 * * find /opt/zimbra/data/amavisd/quarantine -type f -mtime +30 -exec rm -f {} \;

También te puede interesar saber cómo recuperar un correo que fue enviado a cuarentena.

La entrada Zimbra, limpiando la cuarentena la puedes leer en Puppet Linux.

Leer más

zmprov, Zimbra en línea de comandos (II)

Siguiendo con el post anterior, hoy vamos a ver más detalles sobre el empleo de zmprov, la utilidad de manejo de cuentas Zimbra desde línea de comandos. Si ya vimos cómo manejar cuentas de usuario y opciones sobre ellas. Hoy vamos a ver detalles del empleo sobre listas de distribución.

• Crea una lista de distribución.
  

  shell> zmprov cdl listname@domain.com
  

• Agrega un miembro a una lista de distribución.
  

  shell> zmprov adlm listname@domain.com member1@domain.com
  

  También se pueden agregar varios miembres a la lista de distribición de una sóla vez.

  shell> zmprov adlm listname@domain.com member1@domain.com \
                                         member2@domain.com \
                                         member3@domain.com
  

• Lista los miembros de una lista de distribución.
  

  shell> zmprov gdl listname@domain.com
  

Leer más

zmprov, Zimbra en línea de comandos (I)

Zimbra nos ofrece un manejo del servidor muy sencillo desde el interfaz gráfico de administración que trae, pero también la posibilidad de hacer exactamente lo mismo desde línea de comandos. Según qué tareas, el empleo de zmprov puede hacer que éstas sean más rápidas y eficientes.

Mira cómo hacer algunas cosas directamente desde línea de comandos.

• Crea una cuenta con una contraseña por defecto.

  shell> zmprov ca name@domain.com password
  

• Crea una cuenta con una contraseña concreta.
  Para poder emplearlo, hay que conocer el COS ID number. Para encontrarlo, gc COSname.

  shell> zmprov ca name@domain.com password zimbraCOS cosIDnumberstring
  

• Crea una cuenta cuando la contraseña no es autentificada internamente.
  Las comillas simples son necesarias e indican que no existe una contraseña local.
  

  shell> zmprov ca name@domain.com ''

• Modifica el estado de una cuenta.
  

  shell> zmprov ma accountname@domain.com zimbraAccountStatus active
  

• Modifica la información de una cuenta.
  

  shell> zmprov ma user@domain.com givenName="Juan" sn="Perez"
  

• Aumentar el tamaño del buzón de una cuenta.
  

  shell> zmprov ma user@domain.com zimbraMailQuota 1073741824

• Consultar el tamaño del buzón de una cuenta.
  

  shell> zmprov ga user@domain.com | grep zimbraMailQuota

• Renombra una cuenta de usuario.
  

  shell> zmprov ra accountname@domain.com accountname2@domain.com
  

• Agrega un alias a un cuenta.
  

  shell> zmprov aaa accountname@domain.com aliasname@domain.com
  

• Lista los parámetros de una cuenta.
  

  shell> zmprov ga accountname@domain.com 
  

• Cambia la contraseña de una cuenta.
  

  shell> zmprov sp admin@domain.com password

• Lista todas las cuentas y configuraciones para un dominio concreto.
  

  shell> zmprov gaa -v domain.com
  

• Lista todas las cuentas del servidor.
  

  shell> zmprov gaa
  

• Lista todas las cuentas de un dominio especifico.
  

  shell> zmprov gaa domain.com

La entrada zmprov, Zimbra en línea de comandos (I) la puedes leer en Puppet Linux.

Leer más