Desde el cliente de correo se permite el envió desde diferentes cuentas

[mongeslack]

Buenas,
No tenia idea de como colocar el Subject de una forma clara con respecto al problema que tengo, mis disculpas del caso.
Release 8.5.1_GA_3056.RHEL6_64_20141103151539 RHEL6_64 FOSS edition.
Vamos al grano, tengo zimbra Open Source 8.5 instalado y funcionando, ahora desde el cliente de outlook un usuario me comenta lo siguiente:  en las opciones de correo cuando le da nuevo correo, puede agregar un remitente diferente al que el utiliza en su cuenta de zimbra, en este punto inicia el problema ya que cualquier usuario puede agregar esta opción y cambiar el remitente de correo por cualquier otro usuario y el zimbra me esta permitiendo el envío de correos sin realizar las validaciones necesarias.
Ya realice los pasos que indica Jorge en el post Zimbra: Seguridad (II Parte) Enforcing a match between FROM address and sasl username en Zimbra 8.5.
Pero estos pasos solo me validan si el cambio se esta realizando directamente en las propiedades de la cuenta del usuario, ya que realice los pasos indicados en el blog y si coloco un correo diferente al del usuario que realiza el login como indica el blog, si me esta realizando el bloqueo, pero si realizo la misma prueba con el Enforcing habilitado cambiando el remitente desde opciones de correo no realiza el bloqueo del correo.
Les agradezco de antemano cualquier ayuda, espero haberme explicado de una forma correcta y si no es así me lo hacen saber para ver como me explico mejor.
Saludos y gracias.
 

[jorgedlcruz]

Saludos mongeslack,

Adjuntanos alguna imagen o ejemplo, porque no entiendo bien por que no funciona. Este parrafo no le entiendo bien:



"Pero estos pasos solo me validan si el cambio se esta realizando directamente en las propiedades de la cuenta del usuario, ya que realice los pasos indicados en el blog y si coloco un correo diferente al del usuario que realiza el login como indica el blog, si me esta realizando el bloqueo, pero si realizo la misma prueba con el Enforcing habilitado cambiando el remitente desde opciones de correo no realiza el bloqueo del correo."



Un saludo

[mongeslack]

Gracias Jorge,
Realizo los pasos siguiendo tu post: https://www.jorgedelacruz.es/2014/09/08 ... imbra-8-5/
Recién acabo de instalar el Release 8.6.0_GA_1153.RHEL6_64.20141215151155 RHEL6_64 FOSS edition.
Después de realizar los primeros pasos, solo lo básico sin colocar usuarios en las whitelists, me sucede lo siguiente:
Si desde el cliente de outlook envió un correo desde una cuenta que no existe no sucede nada, envía el correo sin problema, ejemplo:

Me llega sin problema al zimbra, por ejemplo:

Y me dice eso, que el correo es De:admin de parte de hack@grupocesa.com.
Si realizo el procedimiento como lo indicas en post, cambiando el correo del usuario desde la configuración de la cuenta, si funciona el bloqueo, por ejemplo:

Y cuando envió un correo

Si me realiza el bloqueo del usuario:

Te agradezco de antemano la ayuda brindada.
Saludos.

[jorgedlcruz]

Voy a realizar algunas pruebas, segun veo esto sucede cuando creas un nuevo email en Outlook y en el desde metes a mano otra cuenta.



Realmente lo que estas haciendo es enviando desde tu direccion de correo de admin con otra cuenta, me refiero a que el usuario admin se ve reflejado, enviate uno a gmail y peganos la traza, para que veas que realmente queda reflejado que es admin quien envia el correo como hack.



Puedes ocultar IPS o dominios reales si quieres.



Un saludo

[mongeslack]

Si efectivamente, según la traza el correo siempre se ve enviado por el usuario admin, por eso es que logra pasar.
copio la salida cuando envió el correo.
2015-03-03 07:39:07,295 INFO [qtp509886383-274:https://192.168.224.198:7071/service/admin/soap/] [name=admin@dominio.com;ip=IPADDRESS;] soap - AuthRequest elapsed=4
2015-03-03 07:39:08,150 INFO [LmtpServer-1] [ip=IPADDRESS;] lmtp - Delivering message: size=3887 bytes, nrcpts=1, sender=admin@dominio.com, msgid=<000501d055be$4e199130$ea4cb390$@com>
2015-03-03 07:39:08,155 INFO [LmtpServer-1] [name=sancho@dominio.com;mid=4;ip=192.168.224.198;] mailop - Adding Message: id=266, Message-ID=<000501d055be$4e199130$ea4cb390$@com>, parentId=-1, folderId=2, folderName=Inbox.
2015-03-03 07:39:08,171 INFO [LmtpServer-1] [] lmtp - Handler exiting normally
Saludos.

[jorgedlcruz]

Saludos mongeslack,

Por lo tanto no es una suplantación de identidad completa, es enviar email en nombre de otro usuario, pero al final se puede identificar sencillamente a nivel de usuario que el email procede desde otro usuario.



Creo que esto se puede bloquear tambien. Voy a mirar y vuelvo.



Un saludo

[jorgedlcruz]

Dentro del COS que usas, ¿cómo tienes esta opción?

[mongeslack]

Esa opción esta des-habilitada te muestro,

Para mi no hay problema en darme cuenta que el correo viene de un usuario que esta enviando con otra cuenta, el problema esta del lado del cliente.
Te agradezco la ayuda.
Slds.

[jorgedlcruz]

Estoy probando y parece que funciona si lo habilitas por cuenta, prueba esto en la cuenta con la que quieras probar:
zmprov ma admin@dominio.com zimbraAllowAnyFromAddress FALSE
Deberias de ver esto cuando intentas mandar un correo:


Voy a ver porque no funciona por Web Admin

[mongeslack]

Jorge no aplicaste ningún otro cambio, ya que ejecute el comando y sigue enviando el correo, pobre creando otra clase de servicio, y agregarla al usuario pero de igual forma envía el correo.(todo desde la cli como los indicaste).

Slds.