Transport Layer Security (TLS) cifra los datos enviados a través de Internet para garantizar que los intrusos y los piratas informáticos no puedan ver lo que transmite. Esto es particularmente útil para información privada y sensible como contraseñas, números de tarjetas de crédito y correspondencia personal. Para obtener más información sobre TLS, https://www.internetsociety.org/deploy360/tls/basics

Este blog le muestra cómo configurar Zimbra para usar solo cifrados de cifrado fuertes para TLS .

Genere ssl_ciphers para usar con zimbraReverseProxySSLCiphers

Dado que el cifrado siempre está evolucionando, le recomendamos que utilice el generador de configuración SSL de Mozilla disponible aquí: https://ssl-config.mozilla.org/

Seleccione  Intermediate y  Nginx(el proxy de Zimbra se basa en Nginx). A partir de esta publicación de blog, esto seleccionará nginx 1.17.7 y OpenSSL 1.1.1d. La herramienta también informa sobre los clientes compatibles más antiguos que funcionan con esta configuración: Firefox 27, Android 4.4.2, Chrome 31, Edge, IE 11 en Windows 7, Java 8u31, OpenSSL 1.0.1, Opera 20 y Safari 9.

Desde el archivo de configuración generado, copie el valor de  ssl_ciphers:

ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA385: ECDHE30: ECDHE30 -RSA-CHACHA20-POLY1305: DHE-RSA-AES128-GCM-SHA256: DHE-RSA-AES256-GCM-SHA384;

Configurando Zimbra

Configure Zimbra para usar los cifrados anteriores y habilite TLSv1.2 y TLSv1.3 de esta manera:

zmprov mcf zimbraReverseProxySSLProtocols TLSv1.2nzmprov mcf + zimbraReverseProxySSLProtocols TLSv1.3nnzmprov -l mcf zimbraReverseProxySSLCiphers 'ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-SH256-ECES-A CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305: DHE-RSA-AES128-GCM-SHA256: DHE-RSA-AES256-GCM-SHA384 'nnreinicio de zmproxyctl

También configure el buzón de correo de Zimbra para permitir el uso de TLSv1.3. En un editor de texto, abra /opt/zimbra/conf/localconfig.xml encontrar la línea  mailboxd_java_options y el conjunto  TLSv1.2,TLSv1.3 de  https.protocols y  jdk.tls.client.protocols.

Resultado de ejemplo:

n   -servidor -Dhttps.protocols = TLSv1.2, TLSv1.3 -Djdk.tls.client.protocols = TLSv1.2, TLSv1.3 -Djava.awt.headless = true -Dsun.net.inetaddr.ttl = $ {networkaddress_cache_ttl} -Dorg.apache.jasper.compiler.disablejsr199 = true -XX: + UseG1GC -XX: SoftRefLRUPolicyMSPerMB = 1 -XX: + UnlockExperimentalVMOptions -XX: G1NewSizePercent = 15 -XX: G1TamañoMaxNuevo detallado: gc -Xlog: gc * = info, safepoint = info: file = / opt / zimbra / log / gc.log: time: filecount = 20, = 10m -Djava.net.preferIPv4Stack = true n

Luego reinicie el buzón de correo o reinicie su servidor:

reiniciar zmmailboxdctl

Generar parámetros DH

La generación de parámetros DH mejora el intercambio de claves y mitiga el ataque Logjam. Ejecutar como usuario de Zimbra. Más información:  https://weakdh.org/

su - zimbran/ opt / zimbra / common / bin / openssl dhparam -out /opt/zimbra/conf/dhparam.pem.zcs 3072nzmprov mcf zimbraSSLDHParam /opt/zimbra/conf/dhparam.pem.zcs

Reinicie el servidor.

Configurar encabezados HTTP adicionales

Los siguientes encabezados:

zmprov mcf + zimbraResponseHeader "Seguridad-de-transporte-estricta: max-age = 31536000; includeSubDomains"nzmprov mcf + zimbraResponseHeader "Protección X-XSS: 1; modo = bloquear"nzmprov mcf + zimbraResponseHeader "X-Content-Type-Options: nosniff"nzmprov mcf + zimbraResponseHeader "X-Robots-Etiqueta: noindex"nzmprov mcf zimbraMailKeepOutWebCrawlers TRUEnreiniciar zmmailboxdctl