Zimbraを使用してサーバーでファイアウォールを構成する方法は？

現代のサイバー犯罪者の主なツールの1つはポートスキャナーです。これにより、さまざまな脆弱性の影響を受けやすいサーバーを見つけて攻撃します。 そのため、サーバーの情報セキュリティを確保するための主なルールの1つは、ファイアウォールの適切な構成です。 最適に構成されたネットワークトラフィックフィルタリングシステムは、他の情報セキュリティソリューションを使用せずに、サイバー脅威の大部分を中和できます。







Zimbraは、外部接続とシステム内接続の両方にさまざまなネットワークポートを積極的に使用しています。 彼女にとって最も最適なのは、ファイアウォールのルールにいわゆる「ホワイトリスト」を作成することです。 つまり、管理者は最初にサーバー上のすべてのポートへの接続を禁止してから、サーバーの通常の操作に必要なポートのみを開きます。 そして、この時点で、Zimbraサーバーの管理者は常に、どのポートを開くべきか、どのポートを手付かずのままにしておくべきかという問題に直面します。 ファイアウォールで独自のホワイトリストを作成しやすくするために使用されるポートとZimbraが使用するポートを見てみましょう。



外部接続の場合、Zimbraは最大12個のポートを使用できます。

• postfixの受信メール用の25ポート
• Zimbra Webクライアントへの安全でない接続のための80ポート
• 110 POP3プロトコルを使用してリモートサーバーからメールを受信するためのポート
• 143 IMAPアクセスポート
• Zimbra Webクライアントへの安全な接続のための443ポート
• 587接続着信ポート
• IMAPを介した安全な電子メールアクセス用の993ポート
• POP3プロトコルを使用してリモートサーバーからメールを安全に受信するための995ポート
• 5222 XMPP経由でサーバーに接続するためのポート
• 5223 XMPP経由でサーバーに安全に接続するためのポート
• 9071管理者コンソールへの安全な接続のためのポート

既に述べたように、外部接続に加えて、Zimbra Collaboration Suiteにはさまざまなポートでも発生する内部接続がたくさんあります。 したがって、そのようなポートを「ホワイトリスト」に含める場合、ローカルユーザーのみがそれらに接続できるようにすることは価値があります。

• 389 LDAPへの安全でない接続のためのポート
• 636セキュアLDAP接続用のポート
• 3310 ClamAVアンチウイルスに接続するためのポート
• 5269 XMPPプロトコルを使用して、同じクラスター内にあるサーバー間の通信用ポート
• LMTPを介したローカルメール交換用の7025ポート
• 7047添付ファイルを変換するためにサーバーが使用するポート
• 7071管理者コンソールへの安全なアクセスのためのポート
• 7072 nginxの検出と認証用のポート
• SASLでの検出および認証用のポート7073
• 7110内部POP3サービスにアクセスするためのポート
• 7143内部IMAPサービスにアクセスするためのポート
• 7171 Zimbra zmconfigd構成デーモンにアクセスするためのポート
• 7306 MySQLへのアクセス用ポート
• 7780スペルサービスにアクセスするためのポート
• 7993内部IMAPサービスへの安全なアクセスのためのポート
• POP3内部サービスへの安全なアクセスのための7995ポート
• 8080内部HTTPサービスへのアクセス用ポート
• 8443内部HTTPSサービスへのアクセス用ポート
• 8735メールボックス間の通信用ポート
• 8736 Zextras分散構成サービスへのアクセス用ポート
• 10024 PostfixとのAmavis通信用ポート
• OpenDKIMとのAmavis通信用の10025ポート
• 10026 Amavisポリシーを構成するためのポート
• 10028コンテンツフィルター付きのAmavis通信ポート
• 10029 Postfixアーカイブにアクセスするためのポート
• 10032 SpamAssassinスパムフィルターとAmavisの通信用ポート
• 23232 Amavis内部サービスへのアクセス用ポート
• 23233 snmp-responderへのアクセス用ポート
• memcachedへのアクセス用の11211ポート

Zimbraが1台のサーバーでのみ動作する場合、開いているポートの最小セットで実行できることに注意してください。 しかし、Zimbraが企業内の複数のサーバーにインストールされている場合、25、80、110、143、443、465、587、993、995、3443、5222、5223、7071、9071の14個のポートを開く必要があります。 接続用にこのようなポートのセットを開くと、サーバー間の正常な相互作用が保証されます。 同時に、Zimbraの管理者は、たとえば、LDAPへのアクセス用に開いているポートが企業の情報セキュリティにとって重大な脅威であることを常に覚えておく必要があります。



Ubuntuでは、これは標準のUncomplicated Firewallユーティリティを使用して実行できます。 これを行うには、最初に接続が発生するサブネットからの接続を許可する必要があります。 たとえば、次のコマンドを使用して、ローカルネットワークからサーバーに接続します。

ufwは192.168.1.0/24から許可します

そして、/ etc / ufw / applications.d / zimbraファイルを編集して、Zimbraに接続するためのルールを次の形式に変更します。

[ジンブラ]

title = Zimbra Collaboration Server

description =電子メール、連絡先、カレンダーなどのオープンソースサーバー。

ポート= 25,80,110,143,443,465,587,993,995,3443,5222,5223,7071,9071 / tcp

次に、私たちが行った変更を有効にするために、3つのコマンドを実行する必要があります。

ufwはzimbraを許可します

ufw有効

ufwステータス

したがって、ファイアウォールの「ホワイトリスト」を簡単に構成することで、ほとんどのサイバー犯罪者からメールサーバーに保存されている通信を確実に保護できます。 ただし、メールサーバーの情報セキュリティを確保しながら、ファイアウォールだけに頼るべきではありません。 攻撃者が企業の内部ネットワークにアクセスした場合、または会社の従業員の1人がサイバー犯罪者であることが判明した場合、着信接続の制限が役に立たない可能性があります。



更新しました。 memcachedが実行されているポート11211に特に注意する必要があります。 memcrashdのさまざまなサイバー攻撃に関与しているのは彼です。



この攻撃に対する防御方法の詳細な手順は、Zimbra Collaboration Suiteの公式Webサイトで入手できます。



Zextras Suiteに関連するすべての質問については、katerina @ zextras.comにメールで会社の代表者「Zextras」Katerina Triandafilidiに連絡することができます。