Пользователям стали приходить почтовые сообщения вымогателя отправленные якобы с их же адреса с заголовком "Ваше устройство взломано злоумышленниками. Немедленно смените пароль!". Тело сообщения начиналось словами: "Как вы могли заметить, я отправил вам это электронное письмо из вашего почтового аккаунта. Это означает, что у меня есть полный доступ к вашему устройству".
Итак, проверим свою почтовую систему отправив анонимное сообщение на свой адрес через сервис anonymailer.net указав отправителем свой адрес. Если сообщение приходит и в качестве отправителя - ваш email, нужно настроить Зимбру (в моем случае 8.8.15) следующим образом.
Запретим авторизованным пользователям подменять свой почтовый адрес, а также получать сообщения от своего адреса отправленные с чужого почтового сервиса. Редактируем smtpd_sender_restrictions.cf:
Логинимся под пользователем zimbra:
Бонусом опишу несколько полезных команд для настройки Zimbra.
Утилита zmprov используется для работы с базой Zimbra LDAP, ею можно пользоваться в том числе для создания пользователей, добавления доменов и т.д. Для просмотра значения параметра используется zmprov gcf, например:
Итак, проверим свою почтовую систему отправив анонимное сообщение на свой адрес через сервис anonymailer.net указав отправителем свой адрес. Если сообщение приходит и в качестве отправителя - ваш email, нужно настроить Зимбру (в моем случае 8.8.15) следующим образом.
Запретим авторизованным пользователям подменять свой почтовый адрес, а также получать сообщения от своего адреса отправленные с чужого почтового сервиса. Редактируем smtpd_sender_restrictions.cf:
nano /opt/zimbra/conf/zmconfigd/smtpd_sender_restrictions.cf
После строчки permit_mynetworks добавляем reject_sender_login_mismatch (строчкой ниже или через запятую).Логинимся под пользователем zimbra:
su zimbra
Включаем проверку соответствия логина пользователя с его адресом в БД зимбры по ldap и запрещаем если соответствия нет:zmprov mcf zimbraMtaSmtpdSenderLoginMaps proxy:ldap:/opt/zimbra/conf/ldap-slm.cf +zimbraMtaSmtpdSenderRestrictions reject_authenticated_sender_login_mismatch
Перезапускаем сервисы для применения настроек:zmcontrol restart
Далее проверяем повторно отправив анонимное сообщения через сервис anonymailer.net. В случае, если все настроено верно, вам придет сообщение от системного пользователя сервиса с текстом: "Delivery to the following recipients failed."Бонусом опишу несколько полезных команд для настройки Zimbra.
Утилита zmprov используется для работы с базой Zimbra LDAP, ею можно пользоваться в том числе для создания пользователей, добавления доменов и т.д. Для просмотра значения параметра используется zmprov gcf, например:
zmprov gcf zimbraDomainMandatoryMailSignatureEn
Для установки значения параметра можно использовать zmprov mcf, например:zmprov mcf zimbraMtaSmtpdSaslAuthenticatedHeader yes
zmprov mcf zimbraMtaSmtpdSenderLoginMaps ""
Знак "-" отключает выбранный параметр, например:zmprov mcf zimbraMtaSmtpdSenderLoginMaps proxy:ldap:/opt/zimbra/conf/ldap-slm.cf -zimbraMtaSmtpdSenderRestrictions reject_authenticated_sender_login_mismatch
Добрый день!
ОтветитьУдалитьБольшое спасибо за публикацию - очень актуально!
Есть вопрос. После серьёзного краха системы восстанавливаю OpenSource. Ставлю систему начисто, ставлю Zimbra. На роутере, через который сервер выходит в и-нет, проброс портов (в т.ч. 25) идёт на другой адрес. Завожу пользователя, вхожу в ящик через web-интерфейс и вижу вирусное письмо с реквизитами, что оно получено только что - КАК?
Добрый день, сложно сказать не видя полной картины. Судя по всему, у вас внутри локальной сети происходит отправка писем, возможно через взломанный аккаунт.
Удалить