4 231
modifications
(21 versions intermédiaires par le même utilisateur non affichées) | |||
Ligne 47 : | Ligne 47 : | ||
Une fois l'installation terminée, la console d'administration est accessible en HTTPs sur le port 7071 | Une fois l'installation terminée, la console d'administration est accessible en HTTPs sur le port 7071 | ||
=Certificat SSL via une CA= | |||
Les fichiers nécessaires au déploiement du certificat ssl dans zimbra sont les suivants : | |||
* <code>root_ca.pem</code> : le certificat root | |||
* <code>int_ca.pem</code> : le certificat de l'autorité intermédiaire ayant déployé le certificat zimbra | |||
* <code>zimbra.pem</code> : le certificat zimbra généré par la CA intermédiaire | |||
* <code>zimbra.key</code> : la clé privé zimbra généré par la CA intermédiaire | |||
Nous allons maintenant déployer le certificat ssl dans zimbra.<br /> | |||
Pour commencer, créez le fichier <code>ca_chain.pem</code> contenant la chaine de certification complète : | |||
<pre> | |||
cat root_ca.pem int_ca.pem > ca_chain.pem | |||
</pre> | |||
Déplacez la clé privée : | |||
<pre> | |||
mv zimbra.key /opt/zimbra/ssl/zimbra/commercial/commercial.key | |||
</pre> | |||
Vous pouvez vérifier que vos certificats sont valides avec <code>zmcertmgr</code> via l'utilisateur zimbra (<code>su - zimbra</code>) : | |||
<pre> | |||
/opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key zimbra.pem ca_chain.pem | |||
</pre> | |||
Puis déployez le certificat dans zimbra avec <code>zmcertmgr</code> : | |||
<pre> | |||
/opt/zimbra/bin/zmcertmgr deploycrt comm zimbra.pem ca_chain.pem | |||
</pre> | |||
Enfin, ajoutez manuellement les certificats dans la base de donnée de java (le password est <code>changeit</code> par défaut) : | |||
<pre>keytool -keystore /opt/zimbra/common/lib/jvm/java/lib/security/cacerts -import -alias rootca -file /path/to/root_ca.pem</pre> | |||
Cette dernière étape est nécessaire pour que les outils d'administration java de zimbra acceptent d'interagir avec votre serveur | |||
Enfin, redémarrez zimbra : | |||
<pre>/etc/init.d/zimbra restart</pre> | |||
=Certificat SSL avec LetsEncrypt= | =Certificat SSL avec LetsEncrypt= | ||
Ligne 161 : | Ligne 197 : | ||
* Les certificats SNI ne sont pas utilisés pour IMAPs, POPs et SMTPs : [https://bugzilla.zimbra.com/show_bug.cgi?id=103362 Bug 103362] et [https://bugzilla.zimbra.com/show_bug.cgi?id=107293 Bug 107293] | * Les certificats SNI ne sont pas utilisés pour IMAPs, POPs et SMTPs : [https://bugzilla.zimbra.com/show_bug.cgi?id=103362 Bug 103362] et [https://bugzilla.zimbra.com/show_bug.cgi?id=107293 Bug 107293] | ||
* Si vous avez configuré zimbra en mode ipv4 + ipv6, vous allez probablement rencontrer [https://bugzilla.zimbra.com/show_bug.cgi?id=108293 le bug 108293] et le proxy ne démarrera pas | * Si vous avez configuré zimbra SNI en mode ipv4 + ipv6, vous allez probablement rencontrer [https://bugzilla.zimbra.com/show_bug.cgi?id=108293 le bug 108293] et le proxy ne démarrera pas | ||
====Résolution : bug 108293==== | |||
=== | Dans les fichiers web.http.template.patch web.http.default.template.patch mail.imap.template.patch mail.imap.default.template.patch mail.pop3.template.patch mail.pop3.default.template.patch : | ||
* A la directive <code>${core.ipboth.enabled}listen</code> : enlever l'argument ipv6only=off | |||
<br> | |||
Dans les fichiers web.https.template.patch web.https.default.template.patch mail.imaps.template.patch mail.imaps.default.template.patch mail.pop3s.template.patch mail.pop3s.default.template.patch : | |||
* Supprimer les directives suivantes (selon le fichier) : | |||
** <code>${core.ipboth.enabled}listen ${vip}${web.https.port} ipv6only=off ssl http2;</code> | |||
** <code>[::]:${web.https.port} ipv6only=off ssl http2;</code> | |||
* Ajoutez en remplacement les deux directives suivantes (les deux a chaque fois) : | |||
** <code>${core.ipboth.enabled}listen [::]:${web.https.port} ssl http2;</code> | |||
** <code>${core.ipboth.enabled}listen 0.0.0.0:${web.https.port} ssl http2;</code> | |||
<br> | |||
Il faut ensuite relancer zmmtactl qui met à jour les fichiers de configuration via ces templates. | |||
=Wildcard / plus addressing= | =Wildcard / plus addressing= | ||
Ligne 225 : | Ligne 276 : | ||
</pre> | </pre> | ||
On va activer la mise à jour automatique, et spécifier a zimbra de relancer l'antispam après une mise à jour : | |||
<pre> | <pre> | ||
$ zmlocalconfig -e antispam_enable_rule_updates=true | $ zmlocalconfig -e antispam_enable_rule_updates=true | ||
$ zmlocalconfig -e antispam_enable_restarts=true | $ zmlocalconfig -e antispam_enable_restarts=true | ||
</pre> | |||
Si vous constatez que le traitement de certains mails est très long, essayez de passer <code>zmlocalconfig -e antispam_enable_rule_compilation=true</code> | |||
<pre> | |||
$ zmamavisdctl restart | |||
$ zmmtactl restart | |||
</pre> | </pre> | ||
==Ajout de règles personnalisées== | ==Ajout de règles personnalisées== | ||
Vous pouvez créer le fichier <code>/opt/zimbra/data/spamassassin/localrules/ | Vous pouvez créer le fichier <code>/opt/zimbra/data/spamassassin/localrules/zzsauser.cf</code> et le faire appartenir à l'utilisateur zimbra et au groupe zimbra. | ||
Pour tester vos règles, avec l'utilisateur zimbra : <code>spamassassin -D < /tmp/test.spammail > /dev/null 2> /tmp/test.output</code> | |||
==Razor et Pyzor== | |||
https://wiki.zimbra.com/wiki/Anti-spam_Strategies <br> | |||
https://www.missioncriticalemail.com/2019/03/21/zimbra-anti-spam-best-practices-2019/ | |||
==zmtrainsa== | |||
=Durée de conservation des statistiques= | |||
<pre>su - zimbra | |||
zmlocalconfig -e zmstat_max_retention=365 | |||
/opt/zimbra/libexec/zmstat-cleanup | |||
</pre> | |||
=Configuration de la destination des mails tagués comme SPAM= | =Configuration de la destination des mails tagués comme SPAM= | ||
Ligne 255 : | Ligne 328 : | ||
<br> | <br> | ||
<br>Une autre manière de forcer les spams à aller dans la boite des utilisateurs est de modifier la valeur <code>zimbraAmavisFinalSpamDestiny</code> de <code>D_DISCARD</code> à <code>D_PASS</code> | Note : ces valeurs peuvent se modifier en ligne de commande avec <code>zmprov mcf zimbraSpamKillPercent x</code> et <code>zmprov mcf zimbraSpamTagPercent y</code> | ||
<br>Une autre manière, '''non recommandée''', de forcer les spams à aller dans la boite des utilisateurs est de modifier la valeur <code>zimbraAmavisFinalSpamDestiny</code> de <code>D_DISCARD</code> à <code>D_PASS</code> | |||
<pre> | <pre> | ||
zmprov ms `zmhostname` zimbraAmavisFinalSpamDestiny D_PASS | zmprov ms `zmhostname` zimbraAmavisFinalSpamDestiny D_PASS | ||
</pre> | </pre> | ||
Cela va modifier le <code>final_spam_destiny</code> de <code>/opt/zimbra/conf/amavisd.conf</code> lui même basé sur le fichier <code>.in</code> correspondant. | Cela va modifier le <code>final_spam_destiny</code> de <code>/opt/zimbra/conf/amavisd.conf</code> lui même basé sur le fichier <code>.in</code> correspondant. | ||
Ligne 371 : | Ligne 443 : | ||
=Changement de version d'ubuntu ou changement de serveur / VM= | =Changement de version d'ubuntu ou changement de serveur / VM= | ||
https://wiki.zimbra.com/wiki/How_to_move_ZCS_to_another_server | https://wiki.zimbra.com/wiki/How_to_move_ZCS_to_another_server | ||
for 8.8.15 / 16.04 to 18.04 : | |||
* https://forums.zimbra.org/viewtopic.php?t=67390#p294645 (best prefered, use this one) | |||
* https://wiki.zimbra.com/wiki/Ubuntu_Upgrades#Upgrade_Ubuntu_16.x_to_Ubuntu_18.x_and_update_ZCS_8.8.15_.26_above (for record) |