Eines der Hauptwerkzeuge eines modernen Cyberkriminellen ist ein Port-Scanner, mit dem er Server findet, die für verschiedene Sicherheitslücken anfällig sind, und diese dann angreift. Aus diesem Grund ist eine der Hauptregeln zur Gewährleistung der Informationssicherheit des Servers die ordnungsgemäße Konfiguration der Firewall. Ein optimal konfiguriertes Netzwerkverkehrsfiltersystem kann den Löwenanteil der Cyber-Bedrohungen ohne den Einsatz anderer Informationssicherheitslösungen neutralisieren
Zimbra verwendet aktiv verschiedene Netzwerkports für externe und systeminterne Verbindungen. Deshalb wird für sie die Erstellung der sogenannten „Weißen Liste“ in den Regeln der Firewall am optimalsten sein. Das heißt, der Administrator verbietet zunächst alle Verbindungen zu Ports auf dem Server und öffnet dann nur diejenigen, die für den normalen Betrieb des Servers erforderlich sind. An diesem Punkt steht der Zimbra-Serveradministrator immer vor der Frage, welche Ports geöffnet werden sollen und welche am besten unberührt bleiben. Lassen Sie uns sehen, welche Ports verwendet werden und was Zimbra verwendet, um Ihnen die Entscheidung zu erleichtern, eine eigene Whitelist in der Firewall zu erstellen.
Für externe Verbindungen kann Zimbra bis zu 12 Ports verwenden, darunter:
- 25 Port für eingehende Mail in Postfix
- 80 Port für unsichere Verbindung zum Zimbra-Webclient
- 110 Port zum Empfangen von E-Mails von einem Remote-Server mithilfe des POP3-Protokolls
- 143 IMAP-Zugangsport
- 443 Port für die sichere Verbindung zum Zimbra Web Client
- 587 Verbindungseingang
- 993 Port für sicheren E-Mail-Zugriff über IMAP
- 995 Port zum sicheren Empfangen von E-Mails von einem Remote-Server mithilfe des POP3-Protokolls
- 5222 Port für die Verbindung zum Server über XMPP
- 5223 Port für die sichere Verbindung zum Server über XMPP
- 9071 Port für die sichere Verbindung zur Administratorkonsole
Wie bereits erwähnt, gibt es in der Zimbra Collaboration Suite neben externen Verbindungen viele interne Verbindungen, die auch an verschiedenen Ports auftreten. Wenn Sie solche Ports in die „weiße Liste“ aufnehmen, sollten Sie daher sicherstellen, dass nur lokale Benutzer eine Verbindung zu ihnen herstellen können.
- 389 Port für unsichere LDAP-Verbindung
- 636 Port für sichere LDAP-Verbindung
- 3310 Port für die Verbindung mit ClamAV Antivirus
- 5269 Port für die Kommunikation zwischen Servern im selben Cluster mithilfe des XMPP-Protokolls
- 7025 Port für den lokalen Mailaustausch über LMTP
- 7047 Vom Server zum Konvertieren von Anhängen verwendeter Port
- 7071 Port für den sicheren Zugriff auf die Administratorkonsole
- 7072 Port für die Erkennung und Authentifizierung in Nginx
- 7073 Port für die Erkennung und Authentifizierung in SASL
- 7110 Port für den Zugriff auf interne POP3-Dienste
- 7143 Port für den Zugriff auf interne IMAP-Dienste
- 7171 Port für den Zugriff auf den Konfigurationsdämon Zimbra zmconfigd
- 7306 Port für den Zugriff auf MySQL
- 7780 Port für den Zugriff auf den Rechtschreibdienst
- 7993 Port für den sicheren Zugriff auf interne IMAP-Dienste
- 7995 Port für den sicheren Zugriff auf interne POP3-Dienste
- 8080 Port für den Zugriff auf interne HTTP-Dienste
- 8443 Port für den Zugriff auf interne HTTPS-Dienste
- 8735 Port für die Kommunikation zwischen Postfächern
- 8736 Port für den Zugriff auf den verteilten Konfigurationsdienst von Zextras
- 10024 Port für Amavis-Kommunikation mit Postfix
- 10025 Port für Amavis-Kommunikation mit OpenDKIM
- 10026 Port zum Konfigurieren von Amavis-Richtlinien
- 10028 Amavis Kommunikationsport mit Inhaltsfilter
- 10029 Port für den Zugriff auf Postfix-Archive
- 10032 Port für die Kommunikation von Amavis mit dem SpamAssassin-Spamfilter
- 23232 Port für den Zugriff auf interne Amavis-Dienste
- 23233 Port für den Zugriff auf den snmp-Responder
- 11211 Port für den Zugriff auf memcached
Beachten Sie, dass Sie in dem Fall, in dem Zimbra nur auf einem Server arbeitet, mit einem Mindestsatz offener Ports arbeiten können. Wenn Zimbra jedoch auf mehreren Servern in Ihrem Unternehmen installiert ist, müssen Sie 14 Ports mit den Nummern
25, 80, 110, 143, 443, 465, 587, 993, 995, 3443, 5222, 5223, 7071, 9071 öffnen . Ein solcher Satz von Ports, die für die Verbindung geöffnet sind, gewährleistet eine normale Interaktion zwischen Servern. Gleichzeitig muss der Zimbra-Administrator immer daran denken, dass beispielsweise ein offener Port für den Zugriff auf LDAP eine ernsthafte Bedrohung für die Informationssicherheit eines Unternehmens darstellt.
In Ubuntu kann dies mit dem Standarddienstprogramm Uncomplicated Firewall erfolgen. Dazu müssen wir zuerst Verbindungen von den Subnetzen zulassen, zu denen die Verbindung hergestellt wird. Lassen Sie uns beispielsweise vom lokalen Netzwerk aus mit dem folgenden Befehl eine Verbindung zum Server herstellen:
ufw erlauben von 192.168.1.0/24
Bearbeiten Sie anschließend die Datei /etc/ufw/applications.d/zimbra mit den Regeln für die Verbindung zu Zimbra, um sie in das folgende Formular zu bringen:
[Zimbra]
title = Zimbra Collaboration Server
description = Open Source Server für E-Mail, Kontakte, Kalender und mehr.
Ports = 25,80,110,143,443,465,587,993,995,3443,5222,5223,7071,9071 / tcp
Dann müssen drei Befehle ausgeführt werden, damit die von uns vorgenommenen Änderungen wirksam werden:
ufw erlauben zimbra
ufw aktivieren
UFW-Status
Eine einfache Konfiguration der „weißen Liste“ in der Firewall kann somit die auf Ihrem Mailserver gespeicherte Korrespondenz zuverlässig vor den meisten Cyberkriminellen schützen. Sie sollten sich jedoch nicht nur auf die Firewall verlassen, sondern auch die Informationssicherheit des Mailservers gewährleisten. Für den Fall, dass die Angreifer Zugriff auf das interne Netzwerk Ihres Unternehmens erhalten oder sich herausstellt, dass einer der Mitarbeiter des Unternehmens ein Cyberkrimineller ist, hilft es wahrscheinlich nicht, eingehende Verbindungen einzuschränken.
Upd. Besondere Aufmerksamkeit sollte Port 11211 gewidmet werden, auf dem memcached ausgeführt wird. Er ist an der beliebten Vielfalt der Cyber-Angriffe beteiligt.
Detaillierte Anweisungen zur Verteidigung gegen diesen Angriff finden Sie
auf der offiziellen Website der Zimbra Collaboration Suite .
Bei allen Fragen zur Zextras Suite können Sie sich per E-Mail an katerina@zextras.com an den Vertreter von Zextras Katerina Triandafilidi wenden