Zimbra. Настраиваем протоколы доступа к веб-интерфейсу.

  • Автор:

zimbra-web-interface-000.jpgПо умолчанию веб-интерфейс почтового сервера Zimbra настроен для доступа только по защищенному протоколу HTTPS. Это безопасно, но не совсем удобно для пользователя, так как ему нужно каждый раз набирать адрес полностью, c https://, а с учетом того, что все пользуются закладками, то это быстро забывается и при попытке получить доступ с нового клиентского устройства пользователь столкнется с недоступностью сервиса. В тоже время Zimbra предлагает большое количество вариантов протоколов доступа к веб-интерфейсу, о чем мы сегодня и расскажем.

Изменение протоколов доступа к веб-интерфейсу производится через командную строку и затрагивает только пользовательскую часть. Прежде всего войдем в консоль сервера и повышаем права до суперпользователя:

sudo -s

затем переключаемся на пользователя Zimbra:

su zimbra

Для изменения режима доступа к веб-интерфейсу служит команда:

zmtlsctl [mode]

где mode - тип необходимого режима доступа, рассмотрим их подробнее.

  • http - доступ только по протоколу HTTP, данный режим категорически не рекомендуется ввиду низкой безопасности.
  • https - доступ только по протоколу HTTPS, наиболее защищенный режим, используется по умолчанию.
  • both - возможен доступ по обоим протоколам, допустимо использовать в случаях, когда HTTP используется только клиентами локальной сети.
  • mixed - при доступе по протоколу HTTP пользователь переводится на защищенное соединение для авторизации, затем снова переводится на HTTP, HTTPS-сессия полностью проходит по защищенному протоколу.
  • redirect - принудительный редирект всех HTTP соединений на HTTPS.

Какой режим использовать? Понятно, что HTTP не удовлетворяет элементарным требованиям безопасности и за пределами локальной сети недопустим. Но даже при нахождении внутри периметра не стоит передавать открытым текстом авторизационные данные, поэтому наилучшим вариантом тут может быть режим mixed.

В тоже время, с точки зрения обеспечения высокого уровня безопасности, следует выбрать режим redirect, когда и пользователи будут довольны и админы спокойны. В этом случае можно смело открывать доступ по обоим протоколам за пределы периметра, все незащищенные соединения будут принудительно переводиться на защищенный режим.

Однако без ложки дегтя в бочке меда здесь не обошлось, данный режим позволяет выполнить атаку "человек посередине", перехватив HTTP запрос и направив пользователя на сервер злоумышленника. Поэтому постарайтесь не использовать для работы за пределами локальной сети самоподписанные сертификаты, а если используете, то обязательно сделайте импорт и установку корневого сертификата на все клиентские устройства. Не приучайте пользователей игнорировать предупреждения безопасности.

Итак, переключим наш веб интерфейс в режим redirect:

zmtlsctl redirect

Перезапустим необходимые сервисы Zimbra:

zmmailboxdctl stop
zmmailboxdctl start

также можно полностью перезапустить все сервисы одной командой:

zmcontrol restart

Проверяем, теперь если просто набрать в командной строке адрес почтового сервера должен произойти редирект на защищенное соединение.

zimbra-web-interface-001.jpgТаким образом получилось значительно повысить удобство работы пользователей практически без ущерба для безопасности.

Дополнительные материалы:


  1. Zimbra - почтовый сервер и не только...
  2. Экспорт и установка сертификата Zimbra
  3. Установка сертификата при помощи групповых политик
  4. Zimbra. Сбор почты с внешних аккаунтов
  5. Zimbra. Включаем SMTP-аутентификацию для внутренней сети
  6. Сравнение возможностей бесплатной и коммерческой версий Zimbra
  7. Zimbra. Настраиваем протоколы доступа к веб-интерфейсу
  8. Zimbra. Обновляем установленную версию до 8.6
  9. Перевыпуск самоподписанного сертификата Zimbra
  10. Zimbra. Обновляем операционную систему (Ubuntu Server)
  11. Zimbra. Обновляем установленную версию до 8.7