zimbra

شرکت‌ها و سازمان‌های کوچک عمدتاً از شرکت‌های سرویس‌دهنده Hosting برای پست الکترونیک خود استفاده می‌کنند اما شرکت‌های متوسط و بزرگ به دلیل مسائل امنیتی و حساسیت سرویس پست الکترونیک برای آنان، ناچار به استفاده از یک Mail Server اختصاصی در محل خود هستند.

برای تأمین محرمانگی و جامعیت داده‌های مبادله شده می‌توان از پروتکل‌های استانداردی که بدین منظور طراحی‌ شده استفاده کرد. در حال حاضر مهم‌ترین پروتکل رمزنگاری که در سطح اینترنت برای رمزنگاری داده‌های لایه کاربرد و تأمین امنیت ارتباطات استفاده می‌شود، پروتکل SSL/TLS است. در این گزارش مراحل نصب و ایمن‌سازی پروتکل SSL/TLS بر روی Zimbra  نسخه ۸٫۶٫۰_GA_1194.NETWORK بیان شده است ولی تفاوت‌های موجود در برخی نسخه‌ها هم ذکر شده است.

۱    تولید یک درخواست امضا گواهی

برای تولید درخواست امضا گواهی، می‌بایست بر اساس مستندات مرکز صدور گواهی مورد نظر، کلید عمومی و خصوصی مربوط به سرویس‌دهنده خود را ایجاد نمایید. کلید خصوصی می‌بایست نزد شما به‌صورت محرمانه باقی بماند و حتی نباید برای مرکز صدور گواهی نیز ارسال شود. کلید عمومی در قالب (۱)CSR برای مرکز صدور گواهی ارسال می‌شود تا مرکز صدور گواهی پس از انجام بررسی‌های لازم آن را امضا کند. در حقیقت در CSR شما تنها کلید عمومی و دامنه‌/دامنه‌های مدنظر و مشخصات سازمان خود را برای مرکز صدور گواهی ارسال می‌کنید. با توجه به نوع گواهی مد نظر، مرکز صدور گواهی ممکن است مدارک دیگری را نیز از شما درخواست نماید. توضیحات بیشتر در این زمینه در مستند ایجاد شده توسط مرکز پژوهشی آپا دانشگاه امیرکبیر در آدرس زیر قرار دارد:

http://apa.aut.ac.ir/?p=971

در این گزارش مراحل ایجاد فایل CSR را در Zimbra بیان می‌کنیم. برای انجام این کار، مرورگر خود را باز کرده و به کنسول مدیریتی Zimbra وارد شوید و به مسیر Home > Configure > Certificates بروید:

Zimbra

b

 

در پنجره کنسول مدیریتی وارد بخش تنظیمات شوید و سپس گزینه ” Install Certificate” را انتخاب کنید:

c

سرور هدف را به منظور تولید فایل‌های SSL مانند CSR و کلید خصوصی، انتخاب کنید.

d

در گام بعد، گزینه “Generate the CSR for the commercial certificate authorizer” را به منظور تولید CSR برای یک مرکز صدور گواهی تجاری، انتخاب کنید.

در این پنجره، شما باید تنظیمات بعدی را انتخاب کنید:

  • در ابتدا گزینه SHA256 را در قسمت digest انتخاب کنید. همچنین توجه کنید که گزینه SHA1 هم وجود دارد ولی از امنیت کافی برخوردار نیست.
  • طول کلید را ۲۰۴۸ بیت یا بیشتر در نظر بگیرید.
  • نام مشترک(۲) (CN) باید نام (۳)FQDN که شما می‌خواهید از آن استفاده کنید، باشد. اگر شما در حال استفاده از یک سرور تنها هستید، توصیه می‌شود که FQDN و نام میزبان(۴) یکسان باشند.
  • اگر می‌خواهید از یک گواهی Wildcard(که این نوع گواهی همه زیر دامنه‌های دامنه اصلی را پوشش می‌دهد) برای Zimbra استفاده کنید گزینه مربوطه را انتخاب کنید.
  • در قسمت مربوط به (۵)SAN می‌توانید نام‌های دیگری را هم (اگر می‌خواهید از یک گواهی Multi-SAN استفاده کنید) انتخاب کنید.

f

حالا فایل CSR شما آماده است و شما می‌توانید آن را دانلود کنید(یا از مسیر /opt/zimbra/ssl/zimbra/commercial/commercial.csr دریافت کنید) و به مرکز صدور گواهی SSL ارسال کنید. مرکز صدور گواهی، کلید عمومی شما را امضا کرده و یک فایل crt به شما تحویل می دهد.

e

به منظور چک کردن اعتبار CSR، می‌توانید به عنوان مثال از اینجا استفاده کنید.

h

۲    نصب گواهی SSL

به منظور گرفتن گواهی SSL برای zimbra یک پنجره جدید از Certificate Installation Wizard باز کنید(این ابزار در واقع به شما کمک خواهد کرد تا یک گواهی را به سرعت بسازید و اعمال کنید). در اینجا مشاهده می‌کنید که دو روش(خود-امضا و تجاری) برای این کار وجود دارد که در ادامه آنها را شرح می‌دهیم.

۱-۲    تولید و نصب گواهی‌نامه SSL خود-امضا

گواهی خود-امضا(۶) به گواهی‌ای گفته می‌شود که خود zimbra آن را امضا می‌کند. این گواهی رایگان است و ممکن است مرورگرها آن را یک گواهی صادره از CA نامعتبر تشخیص دهند. برای تولید گواهی خود-امضا، به مسیر Configure>Select Install Certificate بروید و گا‌م‌های زیر را دنبال کنید.

در گام اول گزینه “Install the self-signed certificate را انتخاب کنید:

i

با بررسی گزینه‌های مورد نظر به مرحله بعد بروید.

j

ابتدا باید مطمئن شوید که طول کلید ۲۰۴۸ بیتی انتخاب کرده‌اید و همین‌طور باقی فیلد‌ها هم باید به درستی بررسی شوند.

k

در این قسمت شما می‌توانید مدت زمان مدنظر خود را به منظور اعتبار گواهی SSL وارد کنید. به خاطر آورید که این یک گواهی خود-امضا است و اگر شما نقشه‌ای برای تعویض آن در آینده ندارید، می‌توانید زمانی بیشتر از یک سال را انتخاب کنید و سپس دکمه Install را بزنید.

l

مشاهده می‌‌کنیدگواهی SSL خود-امضا هم اکنون در سرور Zimbra  در حال نصب است:

m

هنگامی که فرآیند نصب به پایان رسید، باید سرور ZCS را به منظور اعمال تغییرات، راه‌اندازی مجدد(۷) نمود.

n

به منظور انجام این عمل، دستور زیر را در کنسول توسط کاربر Zimbra وارد کنید:

su zimbra
zmcontrol restart

ooاگر شما به https://mail.domain.com بروید، مشکل گواهی SSL را در مرورگر خود به شکل زیر خواهید داشت.

۲-۲    نصب گواهی‌ SSL تجاری

گواهی‌های تجاری، وابسته به انتخاب شما دارای هزینه‌های مختلفی هستند که باید جزئیات دقیق مراحل ادارای را از مرکز صدور گواهی مورد نظر پیگیری کنید و همین طور می‌توانید برای اطلاعات بیشتر در این زمینه، به مستند ارائه شده توسط مرکز پژوهشی آپا دانشگاه امیرکبیر در آدرس زیر مراجعه نمایید:

http://apa.aut.ac.ir/?p=971

برای نصب یک گواهی تجاری در zimbra، در این قسمت گزینه ” Install the commercial signed certificate” را انتخاب کرده و برای ادامه Next را بزنید:

p

فایل‌های ضروری‌ای که قبلا گرفته‌اید را بارگذاری کنید:

  • گواهی‌نامه: فایل گواهی SSL (.crt)
  • CA ریشه: گواهی‌های SSL مربوط به CA ریشه (.crt)
  • CA میانی: CAهای میانی (.crt)

ممکن است در این قسمت گزینه‌های دیگری برای وارد کردن CA میانی باشد که اگر شما تنها یک گواهی میانی را از CA خود گرفته‌اید، می‌توانید موارد دیگر را نادیده بگیرید.

روی گزینه “Install” کلیک کنید:

q

و در آخر سرویس‌های Zimbra را به منظور اعمال تغییرات، راه‌اندازی مجدد کنید.

۳    پیکربندی و ایمن‌سازی گواهی SSL

قبل از اینکه تنظیمات ایمن‌سازی SSL را انجام دهید، ابتدا با توجه به مراحل زیر، آخرین وصل(۸) مربوط به Zimbra را نصب کنید. در شکل زیر نسخه zimbra را قبل از نصب وصله، مشاهده می‌کنید:

a1

و برای نصب وصله مورد نظر مراحل زیر را انجام می‌دهیم:

a2
و در انتها مشاهده می‌کنید که وصله P6 روی Zimbra نصب شده است.

a3

در ادامه‌ی این گزارش، هدف پیکربندی امن پروتکل SSL/TLS  است. برای کشف آسیب‌پذیری‌ها در سرور مورد نظر، ابتدا آن را توسط ابزار زیر که توسط پژوهشکده آپای دانشگاه صنعتی امیرکبیر  طراحی شده است، بررسی کرده و سپس برای رفع مشکلات آن اقدام می‌کنیم:

                          https://sslcheck.certcc.ir

در دو شکل زیر، مشکلات امنیتی SSL و نمره دریافتی Zimbra را از سایت (https://sslcheck.certcc.ir)  را مشاهده می‌کنید که در ادامه قصد داریم این مشکلات را برطرف کرده تا نمره کامل دریافت گردد.

a4

a5

۱-۳       حل مشکل استفاده از RC4

الگوریتم RC4 دارای نقاط ضعف قابل بهره‌برداری است و بهتر است از آن استفاده نشود. برای غیرفعال سازی آن در Zimbra، از دستورات زیر استفاده می‌کنیم. صحت اجرای این دستورات در ZCS 8.6، ZCS 8.5 و ZCS 8.0 بررسی شده است.

zmprov mcf zimbraReverseProxySSLCiphers ‘ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4’

zmproxyctl restart

حال بعد از غیرفعال سازی RC4، نمره کمی ارتقا پیدا کرده است که در شکل زیر قابل مشاهده است.a6

a7

a8

۲-۳    حل مشکل OpenSSL Padding Oracle

هنگامی که ارتباط از AES CBC استفاده می‌کند و سرور AES-IN را پشتیبانی می‌کند، حمله‌کننده man-in-the-middle با استفاده از این آسیب‌پذیری می‌تواند ترافیک را رمزگشایی کند. برای برطرف کردن این آسیب‌پذیری باید OpenSSL مورد استفاده در Zimbra به روز رسانی شود که به صورت زیر می‌توان این کار را انجام داد:

(as root)
۱) cd /opt/zimbra
۲) mv openssl-OLDVERSION openssl-OLDVERSION.OLD
۳) tar xfz /tmp/openssl-NEWVERSION.tgz
(as user zimbra)
۴) su – zimbra
۵) zmcontrol restart;”

همان‌طور که در شکل زیر مشاهده می‌کنید، این آسیب‌پذیری برطرف شده است.

a9

a10

۳-۳        حل مشکل پارامترهای ضعیف دیفی هلمن

به منظور حل این مشکل، شما می‌توانید سرور خود را به صورت زیر پیکربندی کنید. صحت اجرا این دستورات در ZCS 8.6 و ZCS 8.5 بررسی شده است.

cd /opt/zimbra/conf
openssl dhparam -out dhparams.pem 2048
chown zimbra:zimbra dhparams.pem

و بعد از آن به ویرایش فایل‌های زیر بپردازید:

/opt/zimbra/conf/nginx/templates/nginx.conf.web.https.default.template
/opt/zimbra/conf/nginx/templates/nginx.conf.web.https.template

و خط زیر را در آنها (به صورتی که در شکل‌های زیر نشان داده شده است) اضافه کنید:

ssl_dhparam /opt/zimbra/conf/dhparams.pem;

a11

a12

a13

a14

a15

همان‌طور که در شکل زیر قابل مشاهده است، این مشکل برطرف شده و نمره کامل دریافت شده است.

a16

a17

۴-۳      پشتیبانی از  Strict Transport Security

Strict Transport Security یک بهبود امنیتی برای برنامه‌های تحت وب است که از HTTPS استفاده می‌کنند. این بهبود امنیتی سبب می‌شود که مرورگر به صورت خودکار تمامی ارتباطات را به صورت https یا امن برقرار نماید و از برقراری ارتباط به صورت http (حتی در صورت درخواست کاربر) جلوگیری ‌کند.

برای انجام این کار نیاز است تا دستورات زیر را اجرا کنید که صحت اجرای این دستورات در ZCS 8.7، ZCS 8.6 و ZCS 8.0 بررسی شده است:

zmprov mcf +zimbraResponseHeader “Strict-Transport-Security: max-age=31536000”
zmcontrol restart

در صورتی که دستور وارد شده در کادر بالا این مشکل را برطرف نکرد، می‌توانید از دستورات زیر استفاده کنید.

نیاز است تا بعد از گزینه ssl_verify_depth در دو فایل زیر:

/opt/zimbra/conf/nginx/templates/nginx.conf.web.https.default.template
/opt/zimbra/conf/nginx/templates/nginx.conf.web.https.template

خط، add_header Strict-Transport-Security max-age=15768000; اضافه گردد.

a18

a19

شکل زیر نشان می‌دهد که این مشکل حل شده است.

a20

۵-۳     حل مشکلات امنیتی پروتکل SMTP

    • غیر فعال کردن الگوریتم‌های رمزنگاری ضعیف:
For ZCS 8.5 , 8.6

zmprov mcf zimbraMtaSmtpdTlsCiphers high
zmprov mcf zimbraMtaSmtpdTlsProtocols ‘!SSLv2,!SSLv3’
zmprov mcf zimbraMtaSmtpdTlsMandatoryCiphers high
zmprov mcf zimbraMtaSmtpdTlsExcludeCiphers ‘aNULL,MD5,DES’

Zmcontrol restart

For ZCS 8.0 and previous

zmlocalconfig -e smtpd_tls_ciphers=high
postconf -e smtpd_tls_protocols=\!SSLv3,\!SSLv2
zmlocalconfig -e smtpd_tls_mandatory_ciphers=high
postconf -e smtpd_tls_exclude_ciphers=aNULL,MD5,DES

بعد از ۲ دقیقه، postfix به‌روز رسانی می‌شود.

      • حل مشکل استفاده از پارامتر‌های ضعیف دیفی هلمن:

برای حل این مشکل، مسیر کلیدهای دیفی هلمن که قبلا تولید کردیم را به فایل مورد نظر اضافه می‌کنیم.

a21

Zmcontrol restart

۴    منابع

[۱] https://wiki.zimbra.com/wiki/Administration_Console_and_CLI_Certificate_Tools

[۲] https://www.sslsupportdesk.com/ssl-installation-instructions-for-zimbra-8-x-x

[۳] https://wiki.zimbra.com/wiki/Cipher_suites

[۴] https://wiki.zimbra.com/wiki/Security/Collab/logjam

[۵] https://wiki.zimbra.com/wiki/Postfix_PCI_Compliance_in_ZCS


(۱) Certificate Signing Request
(۲) Common Name
(۳) Fully Qualified Domain Name
(۴) Hostname
(۵) Subject Alternative Name
(۶) Self-Signed
(۷) restart
(۸) Patch


دریافت نسخه PDF