Fail2Ban

http://www.taringa.net/posts/linux/6681999/Fail2Ban-y-Postfix.HTML

 

En /etc/fail2ban/filter.d/postfix.conf , agregamos las siguientes lineas (o adaptamos)

failregex = reject: RCPT from (.*)[<HOST>]: 550 5.1.1
reject: RCPT from (.*)[<HOST>]: 450 4.7.1
reject: RCPT from (.*)[<HOST>]: 550 5.7.1

Comprobamos que este todo bien con

fenix:~# fail2ban-regex /var/log/zimbra.log /etc/fail2ban/filter.d/postfix.conf|less
Running tests

Si todo marcha bien, la habilitamos en jail.conf , estableciendo enabled = true

[postfix]
enabled = true
port = smtp,ssmtp
filter = postfix
maxretry = 6
bantime = 86400
findtime = 600
action = %(action_)s
logpath = /var/log/zimbra.log

Bloqueo por 24 horas (86.400 segundos, bantime) a aquellos que me molestaron 6 veces (maxretry) en los ultimos 10 minutos (findtime).

Bantime a -1, lo cual lo haria permanente (o hasta que se reinice el server, las reglas de iptables o recarguemos el filtro de fail2ban)

Recargamos fail2ban

fenix:~# fail2ban-client reload

Si queremos ver como va la cosa, utilizamos el comando watch, que cada 2 segundos nos muestra el estado del comando pasado. (Salimos presionando Ctrl+C)

fenix:~# watch fail2ban-client status postfix
Every 2,0s: fail2ban-client status postfix Sun Aug 22 09:42:56 2010

Status for the jail: postfix
|- filter
| |- File list: /var/log/zimbra.log
| |- Currently failed: 598
| `- Total failed: 7657
`- action
|- Currently banned: 342
| `- IP list: 62.194.198.x … …. …. … … … … … … … … 166.227
`- Total banned: 341

Configura el Antispam de Zimbra con estos consejos

http://www.alcancelibre.org/article.php/20100226005645935

Cualquier mail que pase por Zimbra encontraremos en el cuerpo del mail algo como:

   ...
   X-Spam-Flag: YES
   X-Spam-Score: 10.565
   X-Spam-Level: **********
   X-Spam-Status: Yes, score=10.565 tagged_above=-10 required=4
      tests=[BAYES_99=3.5, FH_HOST_ALMOST_IP=1.751, RCVD_IN_PBL=0.905,
      RCVD_IN_SORBS_DUL=0.877, RCVD_IN_XBL=2.033, URIBL_SBL=1.499]
   ...

Este mail a sido detectado como Spam porque a recibido una puntuación de 10.565. Dado que esta puntuación es mayor que required=4 se marca como spam. Los test que ha hecho spamassessin para detectar que esto es una spam son: BAYES_99, FH_HOST_ALMOST_IP, RCVD_IN_PBL, RCVD_IN_SORBS_DUL, RCVD_IN_XBL, URIBL_SBL.

En esta pagina podemos encontrar todos los tests, que hace cada uno de ello y la puntuación que recibe:

http://spamassassin.apache.org/tests_3_2_x.html

Si un correo es detectado como spam tenemos 4 posibilidades:

1. Ir al Webmail Zimbra del usuario, entrar dentro de la carpeta Basura (Junk), seleccionar el correo detectado como basura y pulsar sobre el botón «No basura».
2. Modificar los parámetros generales para especificar la puntuación mínima para un spam.
3. Añadir al usuario a una lista blanca.
4. Modificar los scores para los diferentes test que hace el spamassessin.

La primera solución parece la más correcta porque le decimos a Zimbra que ese correo no lo detecte como spam, pero en mi caso no funciona porque el 99% de los usuarios acceden por Outlook y por tanto esta funcionalidad no la pueden usar.

Para la segunda opción si ejecutamos «./zmprov gacf» o entramos en la Web de administración de Zimbra, tendremos dos parámetros por los cuales se define cuando un correo es spam. Estos dos parámetros son:

   zimbraSpamKillPercent: 75
   zimbraSpamTagPercent: 20

El SpamTag define cuando un correo es considerado Spam y el otro cuando es considerado spam y por tanto debe eliminarse directamente (no aparece ni en la carpeta Basura del usuario).

En ejemplo anterior son necesarios 4 puntos para marcar el correo como spam. Este valor sale de:

   ZimbraSpamTagPercent * 20% = 20 * 0,2  = 4

Por el otro lado tenemos que 15 son los puntos necesarios para eliminar el correo:

   ZimbraSpamKillPercent * 20% = 75 * 0,2 = 15

Por tanto cambiando el valor de estos dos parámetros (con el comando zmprov o desde la Web de administración) podemos cambiar el comportamiento del spam.

Para el tercer método, añadiremos al remitente a una lista blanca. En mi caso tuve muchos problemas con todos los mails que venian de empresas banneadas como spamers . Era necesario evitar esto. Para ello hay que meter esos dominios dentro del archivo /opt/zimbra/conf/spamassessin/60_whitelist.cf

Hay que añadir al final del archivo algo como esto y reiniciar Zimbra:

   whitelist_from_rcvd *@*.empresaNoSpamer.net   empresaNoSpamer.net

Recomiendo echar un vistazo a todos los archivos de esta carpeta.

Para finalizar, la cuarta opción es modificar los scores directamente dependiendo de nuestras necesidades. Para ello necesitamos saber que scores cambiar y que es lo que hace ese test para recibir ese score. Si editamos /opt/zimbra/conf/spamassession/50_scores.cf podremos ver las diferentes puntuaciones asignadas a las tests.

Por ejemplo, dado la naturaleza de mis correos, muchos correos se envían por el asunto en mayúsculas o sin asunto y el spamassession le asigna un puntuación un poco alta. Entonces lo que podemos hacer es (por ejemplo) bajar un punto a las pruebas MISSING_SUBJECT y SUBJ_ALL_CAPS.

Ahora solo tendremos que reiniciar el Zimbra y hacer una prueba para ver como cambian las puntuaciones en el mail sin nuestras modificaciones y con las nueva modificaciones

 

Actualización de spamassassin en Zimbra

http://www.elmundoenbits.com/2013/10/zimbra-spamassassin-update.html#.WUDizOawdlY

1. Entrar como usuario zimbra

   shell> su - zimbra
   

2. Actualizar las reglas

   shell> /opt/zimbra/zimbramon/bin/sa-update -v \
          --updatedir /opt/zimbra/conf/spamassassin \
          --allowplugins \
          --refreshmirrors
   

3. Reiniciar el demonio

   shell> zmamavisdctl restart
   shell> zmamavisdctl status
   

Fail2Ban para Zimbra

..::Last Bits::..

La diferencia que posee fail2ban contra las políticas de seguridad de Zimbra, es que fail2ban levanta una regla de iptables para la IP de origen, bloqueando todo acceso al servidor, en cambio las políticas de seguridad de Zimbra bloquean la cuenta en particular que se estaba intentando vulnerar. Así fail2ban viene a complementar las políticas de seguridad de Zimbra, bloqueando toda la IP de origen, así que, cuando se aplica una de estas reglas, no podrá seguir intentando vulnerar otra cuenta.

Ahora, para agregar algunas reglas para Zimbra, debe realizar lo siguiente:

1) Crear el archivo /etc/fail2ban/filter.d/zimbra.conf:

# Fail2Ban configuration file # # Author: # # $Revision: 1 $ # [Definition] # Option: failregex # Notes.: regex to match the password failures messages in the logfile. The # host must be matched by a group named "host". The tag "<HOST>" can # be used for standard IP/hostname matching and is…

Ver la entrada original 451 palabras más

Chequeo Mail Server

Open Relay Test

http://www.mailradar.com/openrelay/

 

Blacklist Checker

http://www.mailradar.com/rbl/

 

SSL Server Test

https://www.ssllabs.com/ssltest/index.html

 

SSL Mail

https://ssl-tools.net/mails

 

SMTP Test

https://mxtoolbox.com/diagnostic.aspx

 

NetworkTools (Email)

https://mxtoolbox.com/NetworkTools.aspx

 

Mail Tester

https://www.mail-tester.com/

 

Email Trace, Find the Sender’s Original IP Address

http://www.myiptest.com/staticpages/index.php/trace-email-sender

Why isn’t autolearning working for me? (aka: «autolearn=no»)

https://wiki.apache.org/spamassassin/AutolearningNotWorking

 

Lots of people seem to be confused by the «autolearn=no» statement in the default X-Spam-Status header. There are usually questions regarding whether or not «no» means SpamAssassin is not autolearning at all. What it actually means is that the specific message which includes the «autolearn=no» part was not autolearned, not that autolearning is disabled or somehow broken.

The three values that can be displayed are «no» (autolearning did not occur), «ham» (the message was learned as ham), and «spam» (the message was learned as spam).

If a message has already been learned by SpamAssassin, then that message will not be learned again. Therefore, if you run a message through SpamAssassin to see why it was classified as spam or ham, and it has already been learned, you will always get the result «autolearn=no». (To see this more clearly, use the «-D» flag, and you will see debug output explaining that the message has already been learned.)

Possible autolearn states

In SpamAssassin 2.5 and 2.6, there were only three states for the autolearn result:

• ham: the message was learned as ham (non-spam)

• spam: the message was learned as spam

• no: the message was not learned

In SpamAssassin 3.0, the result was enhanced to have six states:

• ham: the message was learned as ham (non-spam)

• spam: the message was learned as spam

• no: the specific message didn’t achieve the proper threshold values and requirements to be learned

• disabled: the configuration specifies bayes_auto_learn 0 or use_bayes 0 and so no autolearning is attempted

• failed: autolearning was attempted, but couldn’t complete. This happens if SpamAssassin can’t gain a lock on the Bayes database files, etc.

• unavailable: autolearning not completed for any reason not covered above. It could be the message was already learned.

Zimbra configuracion SPAM

http://damal.es/blog/base-de-conocimientos/39-configura-el-antispam-de-zimbra-con-estos-consejos.html

http://amperis.blogspot.com.es/2008/04/zimbra-y-spamassession-bajar-los.html

https://wiki.zimbra.com/wiki/Anti-spam_Strategies

Zimbra Open Source – Exportar / Importar buzones y mensajes

endebian

Como siempre en el mundo Open Source , todo funciona bien hasta que tiene que hacer una migración. Acabo de realizar una migración de un Zimbra 5 a una versión 8. El salto de versiones es muy importante por eso quería hacer v arias pruebas antes de lanzarme a hacerlo.

Ver la entrada original 1.006 palabras más

Comandos útiles zimbra

http://www.cfg.jovenclub.cu/gulcf/?p=2306

Migrar configuración y datos de un servidor de correo Zimbra a otro.

Los dos servidores deberán tener la misma versión de zimbra instalada.

 

Zimbra migration from 7 to 8 + 32 bit to 64 bit server

http://blog.spanger.org/?p=1168