Zimbra collaboration open source

Надежность шифрования является одним из наиболее важных показателей при использовании информационных систем для бизнеса, ведь ежедневно они участвуют в передаче огромного количества конфиденциальной информации. Общепринятым средством оценки качества SSL-соединения является независимый тест от Qualys SSL Labs. Поскольку данный тест может запустить кто угодно, для SaaS-провайдеров особенно важно, чтобы оценка в этом тесте была максимальной. О качестве SSL-соединения заботятся не только SaaS-провайдеры, но и обычные предприятия. Для них данный тест является отличной возможностью выявить потенциально уязвимые места и заблаговременно закрыть все лазейки для киберпреступников.



В Zimbra OSE допустимо использовать два вида SSL-сертификатов. Первый это самоподписанный сертификат, который автоматически добавляется при установке. Этот сертификат бесплатен и не ограничен по времени использования, а значит идеально подойдет для тестирования Zimbra OSE или ее использования исключительно в рамках внутренней сети. Однако при входе в веб-клиент пользователи будут видеть предупреждение от браузера, что данный сертификат ненадежен, и тест от Qualys SSL Labs ваш сервер однозначно провалит.

Второй это коммерческий SSL-сертификат, подписанный удостоверяющим центром. Такие сертификаты без проблем воспринимается браузерами и обычно используются при коммерческой эксплуатации Zimbra OSE. Сразу после корректной установки коммерческого сертификата Zimbra OSE 8.8.15 показывает оценку A в тесте от Qualys SSL Labs. Это отличный результат, но наша цель достигнуть результата A+.





Для того, чтобы достичь максимальной оценки в тесте от Qualys SSL Labs при использовании Zimbra Collaboration Suite Open-Source Edition необходимо выполнить ряд шагов:

1. Увеличение параметров протокола Диффи-Хеллмана

По умолчанию во всех компонентах Zimbra OSE 8.8.15, которые используют OpenSSL, значение параметров протокола Диффи-Хеллмана составляет 2048 бит. В принципе, этого более чем достаточно для получения оценки А+ в тесте от Qualys SSL Labs. Однако, в том случае, если вы обновляетесь с более старых версий, значение параметров может оказаться ниже. Поэтому рекомендуется после завершения обновления выполнить команду zmdhparam set -new 2048, которая повысит параметры протокола Диффи-Хеллмана до приемлемых 2048 бит, а при желании при помощи этой же команды можно повысить значение параметров до 3072 или 4096 бит, что с одной стороны приведет к увеличению времени генерации, однако с другой стороны положительно скажется на уровне безопасности почтового сервера.

2. Включение рекомендованного списка используемых шифров

По умолчанию Zimbra Collaborataion Suite Open-Source Edition поддерживает широкий спектр сильных и слабых шифров, при помощи которых шифруются данные проходящие по защищенному соединению. Однако использвоание слабых шифров является серьезным минусом при проверке безопасности SSL-соединения. Для того, чтобы этого избежать, необходимо настроить список используемых шифров.

Для этого следует воспользоваться командой zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'.

В эту команду сразу включен набор рекомендованных шифров и благодаря ей команде можно сразу включить в список надежные шифры и исключить ненадежные. Теперь остается только перезагрузить узлы с обратными прокси с помощью команды zmproxyctl restart. После перезагрузки внесенные изменения вступят в силу.

В том случае, если этот список вас по тем или иным причинам не устраивает, можно удалить из него ряд слабых шифров с помощью команды zmprov mcf +zimbraSSLExcludeCipherSuites. Так, например, команда zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, которая полностью исключит использование шифров RC4. Так же можно поступить и с шифрами AES и 3DES.

3. Включение HSTS

Включенные механизмы принудительного включения шифрования соединения и восстановления сеанса TLS также являются обязательными условиями для получения высшего балла в тесте от Qualys SSL Labs. Для их включения необходимо ввести команду zmprov mcf +zimbraResponseHeader Strict-Transport-Security: max-age=31536000. Данная команда добавит необходимый заголовок в конфигурацию, а для вступления новых настроек в силу придется перезагрузить Zimbra OSE с помощью команды zmcontrol restart.

Уже на этом этапе тест от Qualys SSL Labs будет демонстрировать оценку A+, однако если вы захотите дополнительно улучшить безопасность вашего сервера, можно предпринять еще ряд мер.



Например, можно включить принудительное шифрование межпроцессных соединений, а также включить принудительное шифрование при подключении к службам Zimbra OSE. Для проверки межпроцессных соединений следует ввести следующие команды:

zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=true

Для включения принудительного шифрования нужно ввести:

zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https

zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https

zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUE

Благодаря этим командам будут шифроваться все соединения с прокси-серверами и почтовыми серверами, а также будет осуществляться проксирование всех этих соединений.



Таким образом, следуя нашим рекомендациям можно не только добиться высочайшей оценки в тесте на безопасность SSL-соединения, но и значительно повысить безопасность работы всей инфраструктуры Zimbra OSE.

По всем вопросам, связанными c Zextras Suite вы можете обратиться к Представителю компании Zextras Екатерине Триандафилиди по электронной почте katerina@zextras.com

После того как компания Zextras опубликовала собственные сборки Zimbra Collaboration Open-Source Edition 9, многие администраторы решили обновить свои почтовые серверы до новой версии и обратились в техническую поддержку Zextras с вопросом о том, как это можно сделать, не ставя под угрозу работоспособность одной из ключевых систем предприятия.

Перейти на Zimbra OSE 9 от Zextras можно двумя способами. Первый, он же самый простой и быстрый обновление Zimbra 8.8.15 OSE на сервере до новой версии. Минусов у такого подхода ровно два. Первый вам потребуется достаточно длительный технический перерыв для осуществления обновления, второй в случае, если что-то пойдет не по плану, вы рискуете остаться без работоспособной системы и можете потратить массу времени на то, чтобы она вновь начала функционировать.Вторым способом перехода на Zimbra OSE 9 является миграция с сервера на базе Zimbra OSE 8.8.15 на сервер с Zimbra OSE 9. Этот подход немного более сложен в исполнении, однако при этом не требует длительного технического перерыва, а в случае возникновения проблем на одном сервере, у вас под рукой всегда будет другой сервер с полностью работоспособной Zimbra OSE.



Для того, чтобы выполнить обновление, необходимо скачать дистрибутив Zimbra 9 OSE с сайта Zextras и запустить установщик, который самостоятельно обнаружит установленную Zimbra OSE 8.8.15 и предложит обновить почтовый сервер до новой версии. Процесс обновления схож с процессом установки Zimbra OSE 9, который детально описан в нашей предыдущей статье.

Процесс миграции мы рассмотрим на примере домена company.ru. Zimbra OSE 8.8.15 работает на узле mail.company.ru, а Zimbra OSE 9 будет установлена на узле zimbra9.company.ru. При этом MX-запись в DNS указывает именно на узел mail.company.ru. Нашей задачей будет перенести учетные записи сотрудников предприятия с почтовой системы на узлеmail.company.ru в систему, развернутую на узле zimbra9.company.ru.



Первым шагом на пути к её выполнению будет создание резервной копии на одном сервере и ее развертывание на другом. Выполняется эта задача с помощью расширения Zextras Backup, входящий в состав Zextras Suite Pro. Обращаем ваше внимание на то, что для успешного переноса резервной копии, на обоих серверах должна быть установлена одинаковая версия Zextras Suite Pro. Также обращаем ваше внимание на то, что минимальной версией, совместимой с Zimbra OSE 9 является Zextras Suite Pro 3.1, поэтому не стоит пытаться выполнить перенос данных с версией ниже, чем обозначенная.



Для выполнения миграции рекомендуется использовать внешний жесткий диск или сетевое запоминающее устройство, смонтированное в папку /opt/zimbra/backup/zextras/, в которую по умолчанию сохраняется резервная копия почтового сервера. Это делается для того, чтобы создание резервной копии не создавало дополнительную нагрузку на работающую систему.



Начнем миграцию с того, что отключим на обоих серверах функцию сканирования в реальном времени при помощи команды zxsuite backup setProperty ZxBackup_RealTimeScanner false. Затем на исходном сервере запустим SmartScan при помощи команды zxsuite backup doSmartScan. Благодаря этому все наши данные экспортируются в папку /opt/zimbra/backup/zextras/, то есть окажутся на внешнем носителе. После окончания операции смонтируйте носитель на целевом сервере. Также, если скорость внутренней сети позволяет, можно использовать для переноса резервной копии утилиту rsync.

После этого можно приступать к развертыванию резервной копии на целевой инфраструктуре. Делается это при помощи команды zxsuite backup doExternalRestore /opt/zimbra/backup/zextras/. По окончании развертываниявы получите работоспособную копию старого сервера, который можно вводить в работу. для этого нужно сразу внести изменения в MX-запись DNS-сервера и переключить поток писем на целевую инфраструктуру. Кроме того, необходимо внести изменения в имя хоста и DNS-запись узла zimbra9.company.ru, чтобы пользователи, входя в веб-клиент, попадали именно в Zimbra OSE 9.



Однако работа ещё не завершена. Дело в том, что письма, которые пришли после окончания резервного копирования и до переключения потока писем на новый сервер, пока что хранятся в Zimbra OSE 8.8.15, поэтому сразу после того как письма перестанут приходить на сервер с Zimbra OSE 8.8.15, необходимо будет снова сделать его резервную копию. Благодаря Смарт-сканированию, в нее попадут только те данные, которые отсутствовали в предыдущей резервной копии. Поэтому процесс переноса свежих данных не будет длиться долго.



Те же самые операции можно выполнить и в графическойконсоли администратора. На скриншотах, приведенных в статье последовательно показан процесс создания и импорта резервной копии.

Очевидным следствием такого подхода к обновлению сервера является то, что пользователи Zimbra некоторое время не будут иметь доступа к части полученных и отправленных писем, однако при этом смогут нормально получать и отправлять электронную почту. Кроме того, во время непосредственного восстановления содержимого почтового ящика возможны падения производительности и отзывчивости сервера, однако все эти нюансы гораздо лучше, чем длительный технический перерыв и сопряженная с ним временная недоступность сервиса.

По всем вопросам, связанными c Zextras Suite вы можете обратиться к Представителю компании Zextras Екатерине Триандафилиди по электронной почте katerina@zextras.com

По мнению технических специалистов, Zimbra является надежным и простым в обслуживании почтовым сервером. Усилия разработчиков Zextras все последние годы были сосредоточены на удобстве управления для администраторов, защите данных, новых функциях совместной работы. Но пользователи почтового сервера обращали внимание не только на широкую функциональность, но и на устаревший дизайн веб-клиента. Компания Zextras внимательна к запросам клиентов и всегда руководствовалась их пожеланиями в своих разработках. Разработчики Zextras создали новую тему оформления веб-клиента Zimbra с современным дизайном. Это хороший подарок компании Zextras всему сообществу Zimbra и поэтому будет доступна на версиях почтового сервера, начиная с 8.6 до 9 независимо от того, используете ли вы Zextras Suite или нет. В этой статье мы расскажем о том, как установить новую тему оформления и как включить её для обычных пользователей.



Основным приоритетом при создании новой темы было сохранение пользовательского опыта. Именно поэтому новая тема оформления содержит те же элементы классической темы, но при этом выглядит более лаконично и современно за счет использования иконок вместо надписей и уменьшения границ между элементами интерфейса.





Для того, чтобы скачать новую тему, нужно перейти по ссылке https://www.zextras.com/ru/tema-zextras-interface-zimbra/ и заполнить форму. После этого на указанную вами электронную почту придет письмо с ссылками на скачивание новой темы. Если же вы являетесь клиентом Zextras, то тема будет добавлена автоматически после обновления Zextras Suite до версии 3.1.5





После установки тема станет доступной в настройках пользователей. Системный администратор может установить новую тему от Zextras в консоли администратора Zimbra для пользователей и классов обслуживания. Вы всегда можете вернуться к классическому интерфейсу Zimbra.

Надеемся, что вам и вашим пользователям понравится новая тема оформления от Zextras!

По всем вопросам, связанными c Zextras Suite вы можете обратиться к Представителю компании Zextras Екатерине Триандафилиди по электронной почте ekaterina.triandafilidi@zextras.com