Come creare un bypass IP – RBL su Zimbra

Ho aggiornato il contenuto della pagina il 15 Febbraio 2023

Ecco come impostare un bypass bassato su specifici indirizzi IP per consentire al server mail su Zimbra, di saltare i controlli di sicurezza, spam, e antivirus provenienti da reti aziendali conosciute.

Per comprendere un uso tipico dei sistemi di bypass da applicare sui server mail, vi è quello di particolari dispositivi configurati per inviare allarmi via email o sensori di prossimità finalizzati ad inviare messaggi di viario tipo utilizzando server mail o ancora quando si finisce in una delle liste RBL a seguito di un invio massivo di newsletter o perché si è colpiti da malware che “inviano” migliaia di email fuori controllo.

Anche se esistono particolari accorgimenti per rendere più difficile questi evento, un indirizzo IP “finisce” troppo facilmente in una lista RBL, inibendo per 24 o 48 ore l’uso di server mail.

Pertanto in attesa che i gestori della lista RBL liberino il nostro indirizzo IP, operazione che avviene solitamente dopo 24/48 ore, è possibile attivare un bypass su Zimbra per consentire la ricezione delle email, tenendo ovviamente in considerazione che questo può provocare la ricezione di spam anche voluminoso proprio da quell’IP a cui stiamo consentendo l’accesso.

Ad ogni modo se vogliamo essere sicuri di ricevere la posta sempre proprio da quel server mail o dal nostro server web dove semmai sono installati applicativi che devono inviare posta, è possibile bypassare i controlli sul modulo Amavis

Configuriamo il bypass IP su Amavis di Zimbra

Per impostazione di default il Bypass non è attivo, è impostato su FALSE, va quindi attivato con il comando:

$ sudo su - zimbra 
$ zmprov mcf zimbraAmavisOriginatingBypassSA TRUE

Ora possiamo riavviare tutti i servizi Amavis, attenzione tra un riavvio e l’altro possono trascorrere diversi secondi, in particolare il riavvio di zmantivirusctl è molto lungo, in alcuni casi supera i 30/40 secondi. Attendiamo senza eseguire alcun comando.

zmantispamctl restart
zmantivirusctl restart 
zmamavisdctl restart

In questo momento il nostro Zimbra sta eseguendo il bypass dei seguenti indirizzi IP: 127.0.0.0/8 xxx.xxx.xxx.xxx

Dove:
127.0.0.0/8 è l’indirizzo IP interno del nostro server mail. E’ necessario per il corretto funzionamento di Zimbra, questo fa si che Zimbra abbia accesso a se stesso.
xxx.xxx.xxx.xxx è l’indirizzo IP esterno del nostro server mail. Anche questo è necessario.

Questi due indirizzi IP vengono impostati automaticamente da Zimbra nel bypass, possiamo verificare la loro presenza con il seguente comando:

$ sudo su - zimbra 
$ postconf mynetworks
$ zmprov gs MIO_MAIL_SERVER zimbraMtaMyNetworks

Dove MIO_MAIL_SERVER è il nome del vostro server Zimbra, ad esempio mail.miodominio.it

Come aggiungere indirizzi IP al Bypass di Amavis di Zimbra.

$ sudo su - zimbra 
$ zmprov ms MIO_MAIL_SERVER zimbraMtaMyNetworks '127.0.0.0/8 xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy'

Ricordate, quando va aggiunto un indirizzo IP, vanno indicati tutti i precedenti separati da uno spazio. Quindi vi consiglio sempre di lanciare prima il comando: zmprov gs MIO_MAIL_SERVER zimbraMtaMyNetworks, in questo modo potete copiare e incollare tutti gli IP già inseriti e aggiungere alla fine separati da spazio i nuovi IP.

Ad ogni aggiunta di nuovi IP non “sarebbe” necessario riavviare i servizi, Zimbra provvede ad aggiornare e riavviare l’MTA, ma per esperienza vi consiglio di eseguite un riavvio completo con:

$ zmcontrol restart

Il riavvio non dura molto, il tempo di fermo può variare dal minuto ai 5 minuti, se il vostro server mail è in produzione eseguite questa operazione di notte. E’ importante riavviare tutti i servizi perché in alcuni casi Zimbra non fa ripartire il servizio smtp, pertanto la posta in arrivo sul vostro server mail viene messa in attesa.

In ultimo, dopo questa configurazione Zimbra riavvierà da solo i servizi Amavis e Antispam alcune volte, attività del tutto normale.

Note sulla modalità di scrittura del post
Questo articolo è stato scritto da me, senza alcun aiuto dai sistemi di intelligenza artificiale, quali OpenAI, ChatGPT e simili.

Felice Balsamo

Classe '75, si dedica alla sua passione di sempre, l’informatica. Inizia la sua attività nel 1998 gestendo un internet provider configurando router CISCO e Modem 33,6 Kbit/s. Dal 2001 si dedica alla realizzazione di servizi web,SOAP,WSDL, DTT (Digitale Terrestre), protocollo MHP per servizi interattivi del digitale terrestre. Dal 2006 cura e gestisce CMS ottimizzati per le attività SEO, si occupa di comunicazione web per aziende e campagne politiche. Dal 2008 al 2012 è Consigliere Nazionale di Assoprovider (www.assoprovider.net), carica ricoperta per 2 mandati consecutivi fino al Maggio 2012. Per 11 anni (fino ad Ottobre 2022) ho collaborato con il Comune di Napoli per le attività di comunicazione, informatizzazione, razionalizzazione delle risorse economiche e contrasto all'evasione per il Comune di Napoli curando la delega all'informatizzazione. Attualmente mi occupo di ottimizzare i processi aziendali e aumentare il numero di visitatori dei siti web, dei social dei miei clienti, continuando da oltre 20 anni la mia attività finalizzata ad ottimizzare il posizionamento dei siti web su Google e sui social, incrementando il numero di visitatori, dei follower e curando campagne di sponsorizzazione sul web. Mi occupo quindi dell'ottimizzazione tecnica, della messa in sicurezza e ovviamente scrivo contenuti dedicati affinché i siti web dei miei clienti siano sempre aggiornati e tecnicamente più meritevoli della concorrenza. Seguimi sul mio profilo Facebook: https://www.facebook.com/balsamofelice

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.