¿Estás visitando desde Perú?
Ingresá a Linware Perú ⯈
Continuar en Linware Perú ⯈
×
¿Qué estás buscando?
BUSCAR!
INICIO
NOSOTROS
imMail 3CX MagicSpam VMware Zimbra Xinuos SUSE Bitrix24 Nakivo Proxmox Veeam Kaspersky OnlyOffice
PRODUCTOS ▾
SOLUCIONES
BLOG
CONTACTO
BLOG
Zimbra SkillZ: habilite la verificación DANE para el correo electrónico saliente en Zimbra
Publicada el 30/03/2022

En la publicación de hoy, aprenderá cómo habilitar la verificación DANE para el correo electrónico saliente en Zimbra. Explicaremos cómo configurar el DANE para el correo electrónico entrante en otra publicación.

DANE es un protocolo de seguridad que agrega verificación adicional de un certificado TLS. Si desea saber más sobre el DANE, consulte la sección Lecturas adicionales a continuación.

Primero busque la configuración predeterminada:

 

/opt/zimbra/common/sbin/postconf smtp_dns_support_leveln/opt/zimbra/common/sbin/postconf smtp_tls_security_level

 

Se devolverá lo siguiente:

 

smtp_dns_support_level = habilitadonsmtp_tls_security_level = mayo

 

Para habilitar la verificación del DANE del correo electrónico saliente, estas configuraciones deben cambiarse como:

 

zmprov ms `zmhostname` zimbraMtaSmtpDnsSupportLevel "dnssec"nzmprov ms `zmhostname` zimbraMtaSmtpTlsSecurityLevel "danés"nreiniciar zmmtactl

 

Asegúrese de que su solucionador de DNS sea compatible con DNSSEC

DANE requiere DNSSEC. Esto significa que Postfix DEBE poder usar un sistema de resolución de DNS que valide DNSSEC. No funcionará sin él. Para probar si su resolución lo admite, ejecute los siguientes comandos:

 

cavar sigok.verteiltesysteme.netncavar sigfail.verteiltesysteme.net

 

El primer comando debe devolver un registro A y el segundo comando debe devolver un SERVFAIL. Si tiene un resultado diferente, su sistema de resolución de DNS no verifica DNSSEC y debe corregir esto primero. Una forma de solucionar esto es instalar DNSMASQ como se describe aquí: https://wiki.archlinux.org/title/dnsmasq . En Ubuntu, se incluye DNSMASQ. Tenga en cuenta que CentOS 7 se envía con un DNSMASQ compilado sin compatibilidad con DNSSEC. Deberá compilarlo desde la fuente para usarlo en CentOS 7.

Haz una Prueba Verificación DANE

Ahora dirígete a https://havedane.net/ . Aquí ves un montón de direcciones de correo electrónico de aspecto extraño. Para hacer una prueba de DANE, cópielos en un nuevo correo electrónico y observe cómo el resultado de la página se vuelve verde. También ejecútelo tail -f /var/log/mail.logen su Zimbra para ver los registros de Postfix. Si ve una pancarta roja en havedane.net, la prueba falló. Busque pistas en los registros.

Copie y pegue las direcciones de correo electrónico de havedane.net en su correo web de Zimbra y envíe un correo electrónico.

 

Ejemplo de Verificación DANE Exitosa

Aquí hay un registro de una verificación exitosa del DANE:

 

22 de febrero 10:02:35 zimbra9-dev postfix/qmgr[1169927]: 5589513B332: from=<admin@zimbra9-dev.zimbra.tech>, size=1916, nrcpt=3 (cola activa)n22 de febrero 10:02:35 zimbra9-dev postfix/smtp[1177223]: 3A03D13B331: to=<21e483cb0892f86f@do.havedane.net>, relé=127.0.0.1[127.0.0.1]:10026, retraso=0.13, retrasos= 0.02/0.01/0.01/0.1, dsn=2.0.0, estado=enviado (250 2.0.0 de MTA(smtp:[127.0.0.1]:10030): 250 2.0.0 Ok: en cola como 5589513B332)n22 de febrero 10:02:35 zimbra9-dev postfix/smtp[1177223]: 3A03D13B331: to=<21e483cb0892f86f@dont.havedane.net>, relé=127.0.0.1[127.0.0.1]:10026, retraso=0,13, retrasos= 0.02/0.01/0.01/0.1, dsn=2.0.0, estado=enviado (250 2.0.0 de MTA(smtp:[127.0.0.1]:10030): 250 2.0.0 Ok: en cola como 5589513B332)n22 de febrero 10:02:35 zimbra9-dev postfix/smtp[1177223]: 3A03D13B331: to=<21e483cb0892f86f@wrong.havedane.net>, retransmisión=127.0.0.1[127.0.0.1]:10026, retraso=0,13, retrasos= 0.02/0.01/0.01/0.1, dsn=2.0.0, estado=enviado (250 2.0.0 de MTA(smtp:[127.0.0.1]:10030): 250 2.0.0 Ok: en cola como 5589513B332)n22 de febrero 10:02:35 zimbra9-dev postfix/qmgr[1169927]: 3A03D13B331: eliminadon22 de febrero 10:02:36 zimbra9-dev postfix/amavisd/smtpd[1177230]: conectar desde localhost[127.0.0.1]n22 de febrero 10:02:36 zimbra9-dev postfix/amavisd/smtpd[1177230]: 8A40913B331: cliente=localhost[127.0.0.1]n22 de febrero 10:02:36 zimbra9-dev postfix/cleanup[1177220]: 8A40913B331: message-id=<1820848796.80.1645524155164.JavaMail.zimbra@zimbra9-dev.zimbra.tech>n22 de febrero 10:02:36 zimbra9-dev postfix/qmgr[1169927]: 8A40913B331: from=<admin@zimbra9-dev.zimbra.tech>, size=2239, nrcpt=3 (cola activa)n22 de febrero 10:02:36 zimbra9-dev postfix/smtp[1177227]: 5589513B332: to=<21e483cb0892f86f@do.havedane.net>, relé=127.0.0.1[127.0.0.1]:10032, retraso=1.2, retrasos= 0.01/0.01/0/1.2, dsn=2.0.0, estado=enviado (250 2.0.0 de MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: en cola como 8A40913B331)n22 de febrero 10:02:36 zimbra9-dev postfix/smtp[1177227]: 5589513B332: to=<21e483cb0892f86f@dont.havedane.net>, relé=127.0.0.1[127.0.0.1]:10032, retraso=1.2, retrasos= 0.01/0.01/0/1.2, dsn=2.0.0, estado=enviado (250 2.0.0 de MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: en cola como 8A40913B331)n22 de febrero 10:02:36 zimbra9-dev postfix/smtp[1177227]: 5589513B332: to=<21e483cb0892f86f@wrong.havedane.net>, relé=127.0.0.1[127.0.0.1]:10032, retraso=1.2, retrasos= 0.01/0.01/0/1.2, dsn=2.0.0, estado=enviado (250 2.0.0 de MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: en cola como 8A40913B331)n22 de febrero 10:02:36 zimbra9-dev postfix/qmgr[1169927]: 5589513B332: eliminadon22 de febrero 10:02:38 zimbra9-dev postfix/smtp[1177233]: la verificación del certificado del servidor falló por wrong.havedane.net[5.79.70.105]:25: num=62:No coincide el nombre de hostn22 de febrero 10:02:38 zimbra9-dev postfix/smtp[1177233]: 8A40913B331: to=<21e483cb0892f86f@wrong.havedane.net>, relay=wrong.havedane.net[5.79.70.105]:25, delay=1.5, delays=0.01/0.02/1.5/0, dsn=4.7.5, status=deferred (Certificado del servidor no verificado)n22 de febrero 10:02:38 zimbra9-dev postfix/smtp[1177231]: 8A40913B331: to=<21e483cb0892f86f@do.havedane.net>, relay=do.havedane.net[5.79.70.105]:25, delay=1.8, retrasos=0.01/0.01/1.6/0.19, dsn=2.0.0, estado=enviado (250 2.0.0 Ok: en cola como 33C59BF529)n22 de febrero 10:02:38 zimbra9-dev postfix/smtp[1177232]: 8A40913B331: to=<21e483cb0892f86f@dont.havedane.net>, relay=dont.havedane.net[5.79.70.105]:25, delay=1.8, retrasos=0.01/0.01/1.6/0.19, dsn=2.0.0, estado=enviado (250 2.0.0 Ok: en cola como 36A36BF537)

 

Ejemplo de Verificación DANE Fallida

Este registro es una indicación de una resolución de DNS que no verifica DNSSEC.

 

22 de febrero 09:52:08 zimbra9-dev postfix/qmgr[1169927]: 0B56E13B329: from=<admin@zimbra9-dev.zimbra.tech>, size=2233, nrcpt=3 (cola activa)n22 de febrero 09:52:08 zimbra9-dev postfix/smtp[1170813]: E181613B330: to=<874c05b09e9471be@do.havedane.net>, relay=127.0.0.1[127.0.0.1]:10032, delay=1.1, delays= 0.01/0/0.01/1.1, dsn=2.0.0, estado=enviado (250 2.0.0 de MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: en cola como 0B56E13B329)n22 de febrero 09:52:08 zimbra9-dev postfix/smtp[1170813]: E181613B330: to=<874c05b09e9471be@dont.havedane.net>, relay=127.0.0.1[127.0.0.1]:10032, delay=1.1, delays= 0.01/0/0.01/1.1, dsn=2.0.0, estado=enviado (250 2.0.0 de MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: en cola como 0B56E13B329)n22 de febrero 09:52:08 zimbra9-dev postfix/smtp[1170813]: E181613B330: to=<874c05b09e9471be@wrong.havedane.net>, relay=127.0.0.1[127.0.0.1]:10032, delay=1.1, delays= 0.01/0/0.01/1.1, dsn=2.0.0, estado=enviado (250 2.0.0 de MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: en cola como 0B56E13B329)n22 de febrero 09:52:08 zimbra9-dev postfix/qmgr[1169927]: E181613B330: eliminadon22 de febrero 09:52:08 zimbra9-dev postfix/smtp[1170821]: advertencia: la validación de DNSSEC puede no estar disponiblen22 de febrero 09:52:08 zimbra9-dev postfix/smtp[1170821]: advertencia: razón: dnssec_probe 'ns:' recibió una respuesta que no está validada por DNSSECn22 de febrero 09:52:08 zimbra9-dev postfix/smtp[1170820]: advertencia: la validación de DNSSEC puede no estar disponiblen22 de febrero 09:52:08 zimbra9-dev postfix/smtp[1170820]: advertencia: razón: dnssec_probe 'ns:' recibió una respuesta que no está validada por DNSSECn22 de febrero 09:52:08 zimbra9-dev postfix/smtp[1170819]: advertencia: la validación de DNSSEC puede no estar disponiblen22 de febrero 09:52:08 zimbra9-dev postfix/smtp[1170819]: advertencia: razón: dnssec_probe 'ns:' recibió una respuesta que no está validada por DNSSECn22 de febrero 09:52:09 zimbra9-dev postfix/smtp[1170821]: 0B56E13B329: to=<874c05b09e9471be@wrong.havedane.net>, relay=wrong.havedane.net[5.79.70.105]:25, delay=1.7, retrasos=0.01/0.02/1.4/0.2, dsn=2.0.0, estado=enviado (250 2.0.0 Ok: en cola como 8B9B0BF529)n22 de febrero 09:52:09 zimbra9-dev postfix/smtp[1170820]: 0B56E13B329: to=<874c05b09e9471be@dont.havedane.net>, relay=dont.havedane.net[5.79.70.105]:25, delay=1.7, retrasos=0.01/0.02/1.4/0.19, dsn=2.0.0, estado=enviado (250 2.0.0 Ok: en cola como 8DC07BF537)n22 de febrero 09:52:09 zimbra9-dev postfix/smtp[1170819]: 0B56E13B329: to=<874c05b09e9471be@do.havedane.net>, relay=do.havedane.net[5.79.70.105]:25, delay=1.7, retrasos=0.01/0.01/1.4/0.21, dsn=2.0.0, estado=enviado (250 2.0.0 Ok: en cola como 9159DBF5A3)n22 de febrero 09:52:09 zimbra9-dev postfix/qmgr[1169927]: 0B56E13B329: eliminado
Ir al Blog
Contacto en Perú
Lima
Tel-Fax +51 (1) 6419490
Email: info@linware.com.ar
Síganos en
Copyright © 2020 LINWARE