Zimbra郵件服務(wù)器無登陸郵箱就可發(fā)送郵件的漏洞的處理：

配置目的：用戶發(fā)送郵件必須通過smtp認證，認證通過后，用戶發(fā)送郵件時的發(fā)件人必須和通過認證的用戶相一致，

才能發(fā)送郵件，防止偽造發(fā)件人發(fā)送郵件。

一、SMTP認證與mail?from綁定

以zimbra用戶修改smtpd_sender_restrictions.cf文件

#su - zimbra

$vim conf/zmconfigd/smtpd_sender_restrictions.cf

增加以下行：

%%contains VAR:zimbraServiceEnabled antivirus^ reject_sender_login_mismatch%%

%%contains VAR:zimbraServiceEnabled antivirus^ reject_authenticated_sender_login_mismatch%%

%%contains VAR:zimbraServiceEnabled antivirus^ reject_unauthenticated_sender_login_mismatch%%

$postconf -e "smtpd_sender_login_maps=hash:/data/zimbra/sender"

1

2

3

4

5

6

7

8

9

10

11

12

#su - zimbra

$vimconf/zmconfigd/smtpd_sender_restrictions.cf

增加以下行：

%%containsVAR:zimbraServiceEnabledantivirus^reject_sender_login_mismatch%%

%%containsVAR:zimbraServiceEnabledantivirus^reject_authenticated_sender_login_mismatch%%

%%containsVAR:zimbraServiceEnabledantivirus^reject_unauthenticated_sender_login_mismatch%%

$postconf-e"smtpd_sender_login_maps=hash:/data/zimbra/sender"

執(zhí)行完，可以從"/opt/zimbra/postfix/conf/main.cf"文件最后一行看到"smtpd_sender_login_maps?=?hash:/opt/zimbra/sender"

二、導(dǎo)出用戶

#/opt/zimbra/bin/ldapsearch -LLL -x -D "uid=zimbra,cn=admins,cn=zimbra" -w "passwd" -H ldap://IP:389 | sed -n 's/^mail: \(\(.*\)@.*\)$/\1 \2/p' > /opt/zimbra/sender

example:

...

user1@example.com user1

user2@example.com user2

...

1

2

3

4

5

6

7

#/opt/zimbra/bin/ldapsearch -LLL -x -D "uid=zimbra,cn=admins,cn=zimbra" -w "passwd" -H??ldap://IP:389 | sed -n 's/^mail: \(\(.*\)@.*\)$/\1 \2/p' > /opt/zimbra/sender

example:

...

user1@example.comuser1

user2@example.comuser2

...

三、生成hash文件sender.db

#/opt/zimbra/postfix/sbin/postmap /opt/zimbra/sender

1

#/opt/zimbra/postfix/sbin/postmap /opt/zimbra/sender

四、重新加載Postfix

$postfix reload

1

$postfixreload

五、計劃任務(wù)生成sender.db

Crontab?每天生成一個新的sender.db，以解決后續(xù)添加郵箱用戶發(fā)送郵件失敗。

#cat /opt/zimbra/smtp_auth.sh

#!/bin/bash

/opt/zimbra/bin/ldapsearch -LLL -x -D "uid=zimbra,cn=admins,cn=zimbra" -w "passwd" -H ldap://IP:389 | sed -n 's/^mail: \(\(.*\)@.*\)$/\1 \2/p' > /opt/zimbra/sender

/opt/zimbra/postfix/sbin/postmap /opt/zimbra/sender

#crontab -l

0 0 * * * bash /opt/zimbra/smtp_auth.sh

1

2

3

4

5

6

7

#cat /opt/zimbra/smtp_auth.sh

#!/bin/bash

/opt/zimbra/bin/ldapsearch-LLL-x-D"uid=zimbra,cn=admins,cn=zimbra"-w"passwd"-Hldap://IP:389 | sed -n 's/^mail: \(\(.*\)@.*\)$/\1 \2/p' > /opt/zimbra/sender

/opt/zimbra/postfix/sbin/postmap/opt/zimbra/sender

#crontab -l

00***bash/opt/zimbra/smtp_auth.sh

感謝運維生存時間的群友上海-Clark分享。

總結(jié)

以上是生活随笔為你收集整理的zimbra邮件服务器配置,Zimbra邮件服务器无需登录任意邮箱伪造漏洞修复的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。