Zimbra: сообщение от вымогателя с моего адреса, подмена адреса отправителя

Пользователям стали приходить почтовые сообщения вымогателя отправленные якобы с их же адреса с заголовком "Ваше устройство взломано злоумышленниками. Немедленно смените пароль!". Тело сообщения начиналось словами: "Как вы могли заметить, я отправил вам это электронное письмо из вашего почтового аккаунта. Это означает, что у меня есть полный доступ к вашему устройству".

Итак, проверим свою почтовую систему отправив анонимное сообщение на свой адрес через сервис anonymailer.net указав отправителем свой адрес. Если сообщение приходит и в качестве отправителя - ваш email, нужно настроить Зимбру (в моем случае 8.8.15) следующим образом.
Запретим авторизованным пользователям подменять свой почтовый адрес, а также получать сообщения от своего адреса отправленные с чужого почтового сервиса. Редактируем smtpd_sender_restrictions.cf:
nano /opt/zimbra/conf/zmconfigd/smtpd_sender_restrictions.cf
После строчки permit_mynetworks добавляем reject_sender_login_mismatch (строчкой ниже или через запятую).
Логинимся под пользователем zimbra:
su zimbra
Включаем проверку соответствия логина пользователя с его адресом в БД зимбры по ldap и запрещаем если соответствия нет:
zmprov mcf zimbraMtaSmtpdSenderLoginMaps proxy:ldap:/opt/zimbra/conf/ldap-slm.cf +zimbraMtaSmtpdSenderRestrictions reject_authenticated_sender_login_mismatch
Перезапускаем сервисы для применения настроек:
zmcontrol restart
Далее проверяем повторно отправив анонимное сообщения через сервис anonymailer.net. В случае, если все настроено верно, вам придет сообщение от системного пользователя сервиса с текстом: "Delivery to the following recipients failed."

Бонусом опишу несколько полезных команд для настройки Zimbra.

 Утилита zmprov используется для работы с базой Zimbra LDAP, ею можно пользоваться в том числе для создания пользователей, добавления доменов и т.д. Для просмотра значения параметра используется zmprov gcf, например:
zmprov gcf zimbraDomainMandatoryMailSignatureEn
Для установки значения параметра можно использовать zmprov mcf, например:
zmprov mcf zimbraMtaSmtpdSaslAuthenticatedHeader yes
zmprov mcf zimbraMtaSmtpdSenderLoginMaps ""
Знак "-" отключает выбранный параметр, например:
zmprov mcf zimbraMtaSmtpdSenderLoginMaps proxy:ldap:/opt/zimbra/conf/ldap-slm.cf -zimbraMtaSmtpdSenderRestrictions reject_authenticated_sender_login_mismatch
Ярлыки: ,

2 комментария:

  1. Анонимный9 января 2020 г. в 14:36

    Добрый день!
    Большое спасибо за публикацию - очень актуально!
    Есть вопрос. После серьёзного краха системы восстанавливаю OpenSource. Ставлю систему начисто, ставлю Zimbra. На роутере, через который сервер выходит в и-нет, проброс портов (в т.ч. 25) идёт на другой адрес. Завожу пользователя, вхожу в ящик через web-интерфейс и вижу вирусное письмо с реквизитами, что оно получено только что - КАК?

    ОтветитьУдалить
    Ответы
    1. Settled9 января 2020 г. в 15:46

      Добрый день, сложно сказать не видя полной картины. Судя по всему, у вас внутри локальной сети происходит отправка писем, возможно через взломанный аккаунт.

      Удалить

Подписаться на: Комментарии к сообщению (Atom)