HOME

ZIMBRA

VMWARE

Zimbra: Anti-Spam
12 mayo, 2014. 2014

zimbra

VEEAM

CATEGORAS

CONTRIBUIDORES

4 comentarios

Uso de cookies
Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si contina navegando est dando su consentimiento para la
aceptacin de las mencionadas cookies y la aceptacin de nuestra poltica de cookies, pinche el enlace para mayor informacin.
ACEPTAR

open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

Oscar Mas de Cadinor nos deja hoy esta interesante entrada. Despus de escribir el
post: http://www.jorgedelacruz.es/en/2014/04/10/zimbra-antivirus/, me senta
obligado a escribir un post sobre el sistema antispam que usa Zimbra y aqu lo
tenis. Las funcionalidades del sistema de AntiSpam de la plataforma de Zimbra,
son las mismas para la versin Network que para la versin OpenSource, por
consiguiente podemos aplicar las mismas tcnicas en ambas versiones de Zimbra.
Todas las tcnicas que explico no son la panacea, pero haciendo la suma de todas,
podemos conseguir que nuestro sistema detecte de una manera consistente los
mensajes de spam. Yo a nivel personal, aconsejo montar un sistema delante de
nuestro Zimbra para poder bloquear estos mensajes, ya que aplicando estas reglas
hacemos que aumenten los recursos (CPU, RAM, etc) de nuestro sistema de
Zimbra. En este post no explico todas las funcionalidades, explico simplemente las
ms relevantes, ya que podramos aplicar reglas custom o descargrnoslas de la web
oficial de spamassassin en nuestro sistema, cosa que no explico.
Una de las primeras cosas que tenemos que conocer, es que versiones tenemos en
open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

nuestro sistema de Zimbra para poder luchar con los Spammers. Para ello abriremos
una consola y realizaremos los siguientes comandos:
root@zimbra:~# su zimbra -c /opt/zimbra/amavisd/sbin/amavisd -V
root@zimbra:~# su zimbra -c /opt/zimbra/libexec/sa-learn -V
root@zimbra:~# su zimbra -c /opt/zimbra/dspam/bin/dspam version |
head -2

Estas versiones, se actualizan automticamente al realizar un upgrade de nuestra

versin de Zimbra, este es uno de los motivos por los cuales siempre aconsejamos
tener actualizado nuestro servidor de Zimbra.
Al igual que existe el cdigo EICAR para comprobar que nuestro sistema de Antivirus
open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

funciona correctamente, para poder testear nuestro sistema de spam, tenemos el

cdigo GTUBE (http://spamassassin.apache.org/gtube/), para poder realizar nuestras
pruebas de spam.

Marcacin del Spam

La marcacin del Spam a nivel de cuenta de correo, es una de las funcionalidades
ms interesantes del sistema antispam que nos brinda Zimbra. Cuando nos llega un
mensaje que nosotros vemos que es un mensaje de spam, lo podemos marcar para
que el sistema aprenda de dicho mensaje.

open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

Al instalar nuestro sistema de Zimbra, se han creado automticamente dos cuentas:

SPAM y HAM. Para evitar ataques contra estas cuentas, las cuentas no se llaman
SPAM y HAM. Estas cuentas tienen la quota deshabilitada y la indexacin de los
ficheros adjuntos deshabilitados.

Cuando marcamos un mensaje como Spam, el mensaje es reenviado a la cuenta

predefinida por el sistema (spam.zc3vkqmdj@ilba.cat) sin modificar las cabeceras,
open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

para que nuestro sistema aprenda de ese mensaje y lo ubica en la carpeta de correo
no deseado del usuario que lo ha marcado. En la siguiente captura podemos ver
como reenva el mensaje de spam a la cuenta designada por el sistema:

Los mensajes que marcamos como Spam irn a parar a la cuenta de Spam. La otra
cuenta (denominada ham.efijdv8tx@ilba.cat) es para cuando indicamos que un
mensaje NO es Spam. Supongamos que nos hemos equivocado o el propio sistema
se ha equivocado en la marcacin del mensaje y ha ubicado dicho mensaje en la
carpeta de correo no deseado, entonces simplemente le hemos de indicar que el
mensaje no es SPAM.

open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

Una vez marcado el mensaje como un error (el mensaje no es spam), veremos en los
logs que el mensaje se reenva a la cuenta de HAM y automticamente se ubicar el
mensaje en la bandeja de entrada:

open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

Los mensajes ubicados en la cuenta de Spam, son aprendidos por el sistema cada
noche via crontrab, gracias al comando: zmtrainsa. Este comando se puede lanzar
de forma manual para que aprenda de un buzn en concreto. La sintaxis del
comando es: zmtrainsa spam|ham [folder]

WhiteList y BlackList
Existen varios lugares donde podemos ubicar dominios y cuentas en WhiteList y
BlackList.
El primero sera a nivel de usuario, el cual se aplicara solamente a la cuenta de
open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

correo. Para poder usar esta funcionalidad, hemos de hacer login en nuestra cuenta,
irnos a nuestras preferencias y en las opciones de Mail, podremos observar el men
Spam Mail Options, que es donde ubicaremos los dominios o cuentas tanto en la
WhiteList como en la BlackList.

open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

La otra opcin, es hacerlo a nivel de servidor. De esta manera se aplicar a todos los
usuarios ubicados en dicho servidor. Para realizar el procedimiento, lo que haremos
es aadir las cuentas que queremos en la whitelist o la blacklist en nuestro fichero
de configuracin del SpamAssassin:
root@zimbra:~# su zimbra
zimbra@zimbra:~$ vim /opt/zimbra/conf/sa/salocal.cf
blacklist_from cuenta_spam@dominio.es
whitelist_from *@gmail.com
Una vez realizadas las modificaciones tendremos que reiniciar los demonios
correspondientes para que se apliquen los cambios:
zimbra@zimbra:~$ zmmtactl restart && zmamavisdctl stop && zmamavisdctl
start
open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

Sistema de Realtime Blackhole List (RBL)

Las RBLs son listados de IPs que son detectados como posibles amenazas de spam,
o que han sido detectados enviando spam. Estos listados pueden ser consultados
(los gratuitos) por servidores de correo, en tiempo real, y si se detecta un mail que
viene de un IP que aparece en las listas, el correo es bloqueado. Aqu tenis un
ejemplo, en el cual podemos ver como la RBL de barracuda ha bloqueado el mensaje
May 4 10:35:48 RBL postfix/smtpd[13315]: NOQUEUE: reject: RCPT from
synthesisness-scorecard.volia.net[93.72.190.253]: 554 5.7.1 Service
unavailable; Client host [93.72.190.253] blocked using b.barracudacentral.org;
from=<cuenta@origen.es> to=<cuenta@destino.es> proto=ESMTP helo=
Para simplificar la administracin de estos parmetros, los podremos administrar
va administracin GUI. Las RBLs gratuitas ms conocidas y usadas, son SpamHaus
y Barracuda. Para poder gestionarlas via consola, hemos de realizar los siguientes
open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

comandos:
root@zimbra:~# su zimbra
zimbra@zimbra:~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client
b.barracuracentral.org

Una vez realizados los comandos, podremos ver el resultado en la administracin

GUI:

open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

Existe un Script muy bueno, para ver la cantidad de mensajes que nuestro sistema
de RBLs est bloqueando. De esta manera poder optimizar nuestro sistema,
cambiando la prioridad de nuestras RBLs, en funcin de la cantidad de mensaje que
nos est bloqueando nuestro sistema de RBLs:

open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

Helo
El Helo es la funcionalidad, en la cual los servidores remotos se identifican cuando
entregan un mensaje en nuestro servidor SMTP. Mediante el Helo, el servidor remoto
nos indica su nombre:
May 4 06:26:25 HELO postfix/smtpd[5865]: NOQUEUE: reject: RCPT from
unknown[36.88.11.255]: 504 5.5.2 : Helo command rejected: need fully-qualified
hostname; from=<f4ee22434@blairconsultants.com>
to=<f4ee22434@ramon.com> proto=ESMTP helo=
El sistema de Zimbra nos ofrece tres posibilidades para bloquear los servidores que
no cumplen este RFC:
reject_invalid_helo_hostname: rechazarn los intentos de conexin cuando la
sintaxis hostname HELO es invlida.
reject_non_fqdn_helo_hostname: rechaza los correos que su helo no cumple el
open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

FQDN, por ejemplo como el caso anterior que el helo es Pc-PC, para aceptarlo
tendra que ser: Pc-Pc.algunacoa.dom
reject_non_fqdn_sender: rechaza los correos que dicen provenir de
direcciones sin un nombre de dominio completamente calificado (FQDN). En la
prctica significa rechazar correos que provienen de usuario@equipo: la
direccin debe anunciarse como usuario@equipo.example.com o
usuario@example.com
Para simplificar la administracin de estos parmetros, los podremos administrar
va administracin GUI:

Razor y Pyzor
open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

Razor y Pyzor, son filtros antispam que usan redes corporativas con bases de datos
de mensajes spam. Comprueban las sumas de verificacin (checksum) de un
mensaje y las comparan con la base de datos (donde tienen sumas que saben que
son spam).
Para aplicar estos filtros en nuestro sistema, deberemos instalar los
correspondientes paquetes:
root@zimbra:~# aptitude update && aptitude install razor pyzor
Configuraremos Pyzor de la siguiente manera como usuario zimbra:
root@zimbra:~# su zimbra
zimbra@zimbra:~$ pyzor homedir /opt/zimbra/data/amavisd/.pyzor
discover
zimbra@zimbra:~$ vim /opt/zimbra/conf/sa/sauser.cf
# pyzor
open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

use_pyzor 1
pyzor_path /usr/bin/pyzor
pyzor_timeout 20
Y configuraremos Razor de la siguiente manera:
zimbra@zimbra:~$ razor-admin -home=/opt/zimbra/data/amavisd/.razor
create
zimbra@zimbra:~$ razor-admin -home=/opt/zimbra/data/amavisd/.razor
discover
zimbra@zimbra:~$ razor-admin -home=/opt/zimbra/data/amavisd/.razor register -user oscar@ilba.cat
En alguna ocasin, me he encontrado que al registrar nuestro sistema de Zimbra en
Razor, me ha dado algn error al registralo. Simplemente volviendo a lanza el
comando de registro y esperar a que de un resultado como el siguiente:
open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

zimbra@zimbra:~$ vim /opt/zimbra/conf/sa/sauser.cf

# razor
use_razor2 1
Esperamos que el Post sea interesante os ayude en vuestro da a da. Un saludo
zimbra anti-spam

zimbra antispam

Zimbra: Urgente! Bloqueo de ficheros

RTF
25 marzo, 2014. 2014

zimbra

No hay comentarios

En un comunicado de Microsoft se nos alerta de la vulnerabilidad

de toda la suite ofimtica de Microsoft con documentos RTF, en la
open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

que un usuario malicioso puede llegar a tomar el control del equipo,

suponiendo perdida de informacin y de Negocio.
Microsoft recomienda aplicar un FIX que se trata de desactivar la extensin y todos
los ficheros RTF en Word, pero como es tedioso, preferimos proteger el flujo de
entrada de correo.

Deshabilitar esta extensin en nuestra MTA Zimbra

Voy a ensearos como deshabilitar, hasta que Microsoft corrija el problema, ficheros
RTF en Zimbra:
Haremos login en nuestro servidor que contenga la MTA, con el usuario Zimbra, y
una vez en l ejecutaremos el siguiente comando:
zmprov mcf +zimbraMtaBlockedExtension rtf
Una vez hemos aplicado este comando, no tenemos que realizar ningn paso
adicional, vamos a probar a crear un fichero RTF, legtimo, pero es una prueba:

open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

Continue reading
zimbra antispam

open in browser PRO version

zimbra microsoft

zimbra rtf

zimbra virus

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

Search..

CONTACTO OFICIAL ZIMBRA

BLOG SPONSORIZADO POR

open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

ACERCA DE

open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

Jorge de la Cruz
Ms informacin en Acerca de Jorge
Blogger, amante de la vida y el mundo IT, virtualization and Zimbra lover. #vExpert2014

ACERCA DE

Oscar Mas
Ms informacin en Acerca de Oscar
IT Systems and VDI Architect

open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

MAILBOX SIZING ZIMBRA CS

ZIMBRA CONNECTOR 8.0.7.1146

Zimbra Connector 8.0.7.1146 64bits
Zimbra Connector 8.0.7.1146 x86

CERTIFICACIONES

open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

COMENTARIOS RECIENTES
Jean Paul en

Zimbra: DSPAM, funcionamiento y configuracin

Zika en

Zimbra: Corrigiendo Error: Queue report unavailable mail system is down

open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

Angelo Rocha en

Zimbra: Zmstat-chart
Jorge de la Cruz en

Instalar un Certificado SSL comercial en nuestro servidor Zimbra

Byron en

Instalar un Certificado SSL comercial en nuestro servidor Zimbra

ENTRADAS RECIENTES
Zimbra: Whitelist y Blacklist especficas en Zimbra 8.5
Starwind: Webinar gratuito Virtual SAN: The New Storage Meme for Virtual Server Environments
Zimbra: S/MIME en Zimbra Web Client
Zimbra: S/MIME en Outlook
Zimbra: Zmstat-chart

ARCHIVO
open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

noviembre 2014

octubre 2014

18

septiembre 2014

16

agosto 2014

32

julio 2014

26

junio 2014

34

mayo 2014

41

abril 2014

48

marzo 2014

28

febrero 2014

13

enero 2014

12

diciembre 2013

16

noviembre 2013

octubre 2013

open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

septiembre 2013

agosto 2013

julio 2013

junio 2013

mayo 2013

abril 2013

marzo 2013

febrero 2013

diciembre 2012

noviembre 2012

octubre 2012

agosto 2012

mayo 2012

marzo 2012

open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

febrero 2012

enero 2012

diciembre 2011

noviembre 2011

octubre 2011

septiembre 2011

CALENDARIO DE ENTRADAS
noviembre 2014
L

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

oct
open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com

Todas las entradas pueden ser usadas libremente, siempre que se nos mencione en los usos Este tema tan elegante ha sido diseado por
Bluthemes www.bluthemes.com 2014

open in browser PRO version

Are you a developer? Try out the HTML to PDF API

pdfcrowd.com