Zimbra: различия между версиями

Материал из wiki.nntc.nnov.ru
Перейти к навигации Перейти к поиску
(Интеграция)
 
(не показаны 23 промежуточные версии этого же участника)
Строка 22: Строка 22:
 
* Ввести имя пользователя почты и пароль.
 
* Ввести имя пользователя почты и пароль.
  
 +
 +
=bind=
 +
 +
<pre>
 +
cat << 'EOF' > /etc/bind/named.conf.options
 +
options {
 +
directory "/var/cache/bind";
 +
 +
// forward only;
 +
 +
// If there is a firewall between you and nameservers you want
 +
// to talk to, you may need to fix the firewall to allow multiple
 +
// ports to talk.  See http://www.kb.cert.org/vuls/id/800113
 +
 +
// If your ISP provided one or more IP addresses for stable
 +
// nameservers, you probably want to use them as forwarders. 
 +
// Uncomment the following block, and insert the addresses replacing
 +
// the all-0's placeholder.
 +
 +
forwarders {
 +
  8.8.8.8;
 +
};
 +
 +
//========================================================================
 +
// If BIND logs error messages about the root key being expired,
 +
// you will need to update your keys.  See https://www.isc.org/bind-keys
 +
//========================================================================
 +
dnssec-validation no;
 +
 +
listen-on-v6 { any; };
 +
};
 +
EOF
 +
</pre>
 +
 +
echo 'include "/etc/bind/qwe.rty.ru_zones.conf";' >> /etc/bind/named.conf
 +
 +
 +
<pre>
 +
cat << 'EOF' > /etc/bind/qwe.rty.ru_zones.conf
 +
zone "qwe.rty.ru" {
 +
    type master;
 +
    file "/etc/bind/zone_qwe.rty.ru";
 +
};
 +
EOF
 +
</pre>
 +
 +
 +
<pre>
 +
cat << 'EOF' > /etc/bind/zone_qwe.rty.ru
 +
$ORIGIN qwe.rty.ru.
 +
$TTL 86400
 +
@ IN SOA ns1.qwe.rty.ru. root.qwe.rty.ru. (
 +
2023013110; Serial
 +
3600 ; Refresh
 +
900 ; Retry
 +
604800 ; Expire
 +
86400 ; Minimum
 +
)
 +
;
 +
IN NS ns1.qwe.rty.ru.
 +
@ IN A 192.168.10.51
 +
ns1 IN A 192.168.10.51
 +
ns2 IN A 192.168.10.51
 +
www IN CNAME @
 +
;mail IN CNAME @
 +
mail IN A 192.168.10.51
 +
@ IN MX 10 mail
 +
mail IN MX 10 mail
 +
@ IN TXT "v=spf1 a mx ip4:89.109.54.20 ~all"
 +
_dmarc IN TXT "v=DMARC1; p=quarantine"
 +
2B2943B4-A15F-11ED-BFE7-22BC155843E7._domainkey 300 IN TXT (
 +
"v=DKIM1; k=rsa;"
 +
"p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoGbExU/BhOyVqPnwz80o1NKVTkH9zPvo4x6Qs5+MuZsWH+fk5lpKxtrhiD+3+sjzpMZBSXmJ5JEefqW+0dByQrATJY91ynYzY3hOFdhLvkptNisNiycdFT5u3lT4PxfXG/GB8CVvX88OXXjXuD3zAL2cbs+u+AsY2a+85D/5L1/SPxqvUOi1B1o0Lsk9e4shZTLlIH/0NKF9yE"
 +
"3ECAsAJiHhV3GJZbytTBR8lAHb7UCBgqI1/2tOB2gaCfXKOoJ4shcCEjrlzGT6C6c7I7J0i4UMRgv446EMK7/Ddynmu7SisiOXnl06J38GKtLp36PHtOZYhOJWc0ke0ap9+7YQMQIDAQAB"
 +
)
 +
EOF
 +
</pre>
 +
 +
systemctl stop systemd-resolved
 +
systemctl disable systemd-resolved
  
 
= Настройка dkim, spf, dmark=
 
= Настройка dkim, spf, dmark=
Строка 110: Строка 190:
 
  "I87BJDBMF5Wb2u6Mr0KaoCjpie9Y89YwXGID6Ofor1Rg2qra507oNIPnFFhKI6KacBMS1kQTESgJ0AJxvyjuc+fKGcmA+sh2rzYLlRulvGu4mBsZkKJuLP0iuZgymPS1oB0PA5WQIDAQAB" )  ; ----- DKIM key 1774E6C4-60E2-11ED-9312-806B2F1CB351 for nntc.nnov.ru
 
  "I87BJDBMF5Wb2u6Mr0KaoCjpie9Y89YwXGID6Ofor1Rg2qra507oNIPnFFhKI6KacBMS1kQTESgJ0AJxvyjuc+fKGcmA+sh2rzYLlRulvGu4mBsZkKJuLP0iuZgymPS1oB0PA5WQIDAQAB" )  ; ----- DKIM key 1774E6C4-60E2-11ED-9312-806B2F1CB351 for nntc.nnov.ru
 
</pre>
 
</pre>
 +
 +
=Фиксы=
 +
 +
==Переименовать==
 +
 +
su - zimbra
 +
/opt/zimbra/libexec/zmsetservername -n nntc.nnov.ru
 +
 +
==Предотвратить попадания писем в спам для внутренних ящиков==
 +
 +
zmprov ms `zmhostname` zimbraAmavisOriginatingBypassSA TRUE
 +
zmamavisdctl restart
 +
 +
==Создать spam,ham and quarantine accounts==
 +
 +
http://docs.zimbra.com/docs/os/6.0.2/administration_guide/A_app-command-line.13.3.html
 +
 +
===Get the previous account names from the global configuration:===
 +
 +
su - zimbra
 +
zmprov -l gacf zimbraAmavisQuarantineAccount zimbraSpamIsSpamAccount zimbraSpamIsNotSpamAccount
 +
 +
Now recreate the account using the name obtained in the previous step:
 +
Spam Account:
 +
 +
zmprov ca <spam-account@example.com> <PASSWORD> amavisBypassSpamChecks TRUE zimbraAttachmentsIndexingEnabled FALSE zimbraIsSystemAccount TRUE zimbraIsSystemResource TRUE zimbraHideInGal TRUE description 'System account for spam training.'
 +
 +
Ham Account:
 +
 +
zmprov ca <ham-account@example.com> <PASSWORD> amavisBypassSpamChecks TRUE zimbraAttachmentsIndexingEnabled FALSE zimbraIsSystemAccount TRUE zimbraIsSystemResource TRUE zimbraHideInGal TRUE description 'System account for Non-Spam (Ham) training.'
 +
 +
Quarantine Account:
 +
 +
zmprov ca <virus-quarantine-account@example.com> <PASSWORD> amavisBypassSpamChecks TRUE zimbraAttachmentsIndexingEnabled FALSE zimbraIsSystemAccount TRUE zimbraIsSystemResource TRUE zimbraHideInGal TRUE zimbraMailMessageLifetime 30d description 'System account for Anti-virus quarantine.'
 +
 +
 +
===Steps to create new spam, ham and quarantine accounts===
 +
 +
apt install binutils
 +
 +
The above recreates existing accounts. If there is a need to recreate accounts with a random name, like spam.<random number> and ham.<random number>, follow these steps.
 +
 +
First create spam, ham and quarantine accounts with random passwords and add a random string in account name.:
 +
 +
zmprov ca spam.`strings /dev/urandom | tr -dc _A-Z-a-z-0-9 | head -c10`@example.com "`strings /dev/urandom | tr -dc _A-Z-a-z-0-9 | head -c10`" amavisBypassSpamChecks TRUE zimbraAttachmentsIndexingEnabled FALSE zimbraIsSystemAccount TRUE zimbraIsSystemResource TRUE zimbraHideInGal TRUE description 'System account for spam training.'
 +
 +
 +
zmprov ca ham.`strings /dev/urandom | tr -dc _A-Z-a-z-0-9 | head -c10`@example.com "`strings /dev/urandom | tr -dc _A-Z-a-z-0-9 | head -c10`" amavisBypassSpamChecks TRUE zimbraAttachmentsIndexingEnabled FALSE zimbraIsSystemAccount TRUE zimbraIsSystemResource TRUE zimbraHideInGal TRUE description 'System account for Non-Spam (Ham) training.'
 +
 +
 +
zmprov ca virus-quarantine.`strings /dev/urandom | tr -dc _A-Z-a-z-0-9 | head -c10`@example.com "`strings /dev/urandom | tr -dc _A-Z-a-z-0-9 | head -c10`" amavisBypassSpamChecks TRUE zimbraAttachmentsIndexingEnabled FALSE zimbraIsSystemAccount TRUE zimbraIsSystemResource TRUE zimbraHideInGal TRUE zimbraMailMessageLifetime 30d description 'System account for Anti-virus quarantine.'
 +
 +
Get the new account names:
 +
 +
zmprov -l gaa | egrep -i 'spam|ham|virus-quarantine'
 +
 +
Now add these to the global configuration, and restart for the changes to take effect:
 +
 +
zmprov mcf zimbraSpamIsSpamAccount <spam-account@example.com> zimbraSpamIsNotSpamAccount <ham-account@example.com> zimbraAmavisQuarantineAccount <virus-quarantine-account@example.com>
 +
 +
zmcontrol restart
 +
 +
Note: Replace example.com with the actual primary domain name.
  
  
 
[[Категория:Публичные сервисы]]
 
[[Категория:Публичные сервисы]]
 +
 +
==Улучшить параметры получения писем==
 +
 +
https://habr.com/ru/company/Zextras/blog/436304/
 +
 +
В файле
 +
 +
/opt/zimbra/conf/opendkim.conf.in
 +
 +
выставить параметры
 +
 +
On-NoSignature reject
 +
Mode sv
 +
 +
перезапустить сервис
 +
 +
su - zimbra
 +
zmopendkimctl restart
 +
 +
=Скрипты=
 +
 +
==Получить список ящиков в файл==
 +
 +
su zimbra -
 +
zmaccts | grep "@" | awk '{print $1}' > accounts.txt
 +
 +
==Резервное копирование==
 +
 +
<pre>
 +
cat << 'EOF' > /opt/export-boxes.sh
 +
#!/bin/bash
 +
 +
dest="/mnt/backup"
 +
 +
for i in $(cat accounts.txt); do
 +
 +
mailbox="$i"
 +
stamp="$(date +%Y_%m_%d__%H_%M_%S)"
 +
destfile="${dest}/${mailbox}_${stamp}".tar
 +
 +
 +
echo "now backup mbox $mailbox to $destfile"
 +
 +
/opt/zimbra/bin/zmmailbox -z -t 0 -m "${mailbox}" getRestURL -u "https://mail.nntc.nnov.ru" "//?fmt=tar" > ${destfile}
 +
echo "done. Next..."
 +
echo ""
 +
 +
done
 +
EOF
 +
</pre>
 +
 +
==Восстановление из резервных копий==
 +
 +
<pre>
 +
cat << 'EOF' > /opt/import-boxes.sh
 +
#!/bin/bash
 +
 +
dest="/mnt/backup"
 +
 +
for i in $(cat accounts.txt); do
 +
 +
mailbox="$i"
 +
stamp="$(date +%Y_%m_%d__%H_%M_%S)"
 +
destfile="${dest}/${mailbox}_${stamp}".tar
 +
 +
 +
echo "now backup mbox $mailbox to $destfile"
 +
 +
/opt/zimbra/bin/zmmailbox -z -t 0 -m "${mailbox}" getRestURL -u "https://mail.nntc.nnov.ru" "//?fmt=tar" > ${destfile}
 +
echo "done. Next..."
 +
echo ""
 +
 +
done
 +
EOF
 +
</pre>
 +
 +
==Сменить всем пароли==
 +
<pre>
 +
cat << 'EOF' > /opt/passwd-boxes.sh
 +
#!/bin/bash
 +
 +
out="accounts.pwd"
 +
 +
rm ${out}
 +
 +
for ACCOUNT in `cat accounts.txt`; do
 +
 +
PASS=`pwgen -s 12 1`
 +
echo $ACCOUNT
 +
#su - zimbra -c "zmprov sp $ACCOUNT NewGenerated42Password";
 +
#su - zimbra -c "zmprov ma $ACCOUNT zimbraPasswordMustChange TRUE";
 +
 +
echo "${ACCOUNT} ${PASS}" >> ${out}
 +
 +
done
 +
 +
exit 0
 +
EOF
 +
</pre>
 +
 +
 +
=Интеграция=
 +
 +
В этом разделе представлен пример небольшого сервера для интеграции с zimbra. Сервер представляет из себя HTTP сервис, принимающий POST запрос с логином и паролем от внешней системы.
 +
 +
Сервер написан на nodejs, поэтому для его функционирования необходимо поставить пакет nodejs
 +
 +
apt-get install nodejs
 +
 +
Общий смысл работы сервера:
 +
 +
1. Принять POST запрос от внешней системы
 +
 +
2. Распознать в запросе корректно присланные логин и пароль
 +
 +
3. Добавить к логину домен почтового аккаунта (настраивается в файле скрипта /opt/zimbra_sync/exec.sh)
 +
 +
4. Проверить существования аккаунта в zimbra средствами zmprov
 +
 +
5. Если аккаунт существует, то поменять ему пароль
 +
 +
6. Если аккаунт не существует, то создать новый аккаунт и установить для него пароль
 +
 +
Сервер должен запускаться на хосте с zimbra под суперпользователем.
 +
 +
Пример внешней системы, которая может быть клиентом описанного в этом разделе сервера, описан [[ Pam#.D0.97.D0.B0.D0.BF.D1.83.D1.81.D1.82.D0.B8.D1.82.D1.8C_.D1.81.D1.86.D0.B5.D0.BD.D0.B0.D1.80.D0.B8.D0.B9_.D0.BF.D1.80.D0.B8_.D0.B2.D1.85.D0.BE.D0.B4.D0.B5_.D0.BF.D0.BE.D0.BB.D1.8C.D0.B7.D0.BE.D0.B2.D0.B0.D1.82.D0.B5.D0.BB.D1.8F_.D0.B2_GNU.2FLinux_.D1.81_.D0.BF.D0.B5.D1.80.D0.B5.D0.B4.D0.B0.D1.87.D0.B5.D0.B9_.D0.B2_.D0.BD.D0.B5.D0.B3.D0.BE_.D0.BB.D0.BE.D0.B3.D0.B8.D0.BD.D0.B0_.D0.B8_.D0.BF.D0.B0.D1.80.D0.BE.D0.BB.D1.8F | здесь]]
 +
 +
==Создаём каталог для сервера интеграции==
 +
 +
mkdir /opt/zimbra_sync
 +
 +
==Создаём файлы сервера на nodejs и скрипт, который будет выполняться при обращении к серверу==
 +
 +
===Сам сервер===
 +
 +
<pre>
 +
cat << 'EOF' > /opt/zimbra_sync/app.js
 +
const http = require('http');
 +
const spawn = require('child_process').spawn;
 +
const path = require('path');
 +
 +
const server = http.createServer((req, res) => {
 +
  if (req.method === 'POST' && req.url === '/') {
 +
    let data = '';
 +
 +
    req.on('data', (chunk) => {
 +
      data += chunk;
 +
    });
 +
 +
    req.on('end', () => {
 +
      try {
 +
        const { login, password } = JSON.parse(data);
 +
 +
        if (!login || !password) {
 +
          res.writeHead(400, { 'Content-Type': 'application/json' });
 +
          res.end(JSON.stringify({ error: 'Missing login or password in the request body.' }));
 +
          return;
 +
        }
 +
 +
const scriptPath=`/opt/zimbra_sync/exec.sh`;
 +
 +
        const process = spawn(scriptPath, [login, password]);
 +
 +
        process.on('close', (code) => {
 +
          res.writeHead(200, { 'Content-Type': 'application/json' });
 +
          res.end(JSON.stringify({ exitCode: code }));
 +
        });
 +
 +
        process.on('error', (error) => {
 +
          res.writeHead(500, { 'Content-Type': 'application/json' });
 +
          res.end(JSON.stringify({ error: `Error while executing the process: ${error.message}` }));
 +
        });
 +
 +
      } catch (error) {
 +
        res.writeHead(400, { 'Content-Type': 'application/json' });
 +
        res.end(JSON.stringify(error));
 +
      }
 +
    });
 +
  } else {
 +
    res.writeHead(404, { 'Content-Type': 'application/json' });
 +
    res.end(JSON.stringify({ error: 'Not Found' }));
 +
  }
 +
});
 +
 +
const port = 65432;
 +
const host = '0.0.0.0';
 +
 +
server.listen(port, host, () => {
 +
  console.log(`zimbra_sync server listen http://${host}:${port}`);
 +
});
 +
EOF
 +
</pre>
 +
 +
===Скрипт===
 +
 +
<pre>
 +
cat << 'EOF' > /opt/zimbra_sync/exec.sh
 +
#!/bin/bash
 +
login="$1"
 +
password="$2"
 +
email_domain='yourdomain.com'
 +
 +
function is_account_exist(){
 +
su - zimbra -c "zmprov GetAccount \"${1}\" > /dev/null"
 +
echo $?
 +
}
 +
 +
mailbox="${login}@${email_domain}"
 +
 +
check=`is_account_exist "${mailbox}"`
 +
 +
if [ $check -eq 0 ]; then
 +
# set password
 +
echo "update password for exist account"
 +
su - zimbra -c "zmprov sp ${mailbox} ${password}";
 +
su - zimbra -c "zmprov ma ${mailbox} zimbraPasswordMustChange FALSE";
 +
else
 +
echo "create account and set password"
 +
# create account
 +
su - zimbra -c "zmprov ca ${mailbox} ${password}";
 +
# set password
 +
su - zimbra -c "zmprov sp ${mailbox} ${password}";
 +
su - zimbra -c "zmprov ma ${mailbox} zimbraPasswordMustChange FALSE";
 +
fi
 +
 +
exit 0
 +
EOF
 +
</pre>
 +
 +
chmod +x /opt/zimbra_sync/exec.sh
 +
 +
==Создаём сервис systemd и включаем его==
 +
 +
<pre>
 +
cat << 'EOF' > /etc/systemd/system/zimbra_sync.service
 +
[Unit]
 +
Description=zimbra_sync
 +
Requires=network-online.target
 +
After=network-online.target
 +
[Service]
 +
Restart=always
 +
RestartSec=3
 +
WorkingDirectory=/opt/zimbra_sync/
 +
ExecStart=/usr/bin/node app.js
 +
User=root
 +
Group=root
 +
[Install]
 +
WantedBy=multi-user.target
 +
EOF
 +
</pre>
 +
 +
systemctl daemon-reload
 +
 +
systemctl enable --now zimbra_sync
 +
 +
=Установка сертификатов=
 +
 +
https://habr.com/ru/companies/Zextras/articles/341996/

Текущая версия на 15:39, 31 октября 2024

Zimbra
Почтовый сервер


URL: https://mail.nntc.nnov.ru
Платформа: Zimbra
Сервер: apve3/vestacp
IP-адрес: 192.168.10.151
Открытые порты: 443TCP (Web-интерфейс)

Настройка доступа к контактам через Thunderbird

Данная инструкция проверялась на Ubuntu 20.04.

  • Скачать и установить дополнение CardBook в Thunderbird. Можно найти через менеджер дополнений и установить оттуда же.
  • Открыть окно CardBook (кнопка находится в правом верхнем углу окна Thunderbird.)
  • Правой кнопкой мыши кликнуть на список адресных книг в левой части экрана и выбрать из меню "Новая адресная книга" ("New Address Book".)
  • В открывшемся окне выбрат тип адресной книги "Remote".
  • Выбрать тип адресной книги "CardDAV". В настройках подключения указать URL следующего вида:
 https://mail.nntc.nnov.ru/dav/<user-name>@nntc.nnov.ru/Contacts/
  • Ввести имя пользователя почты и пароль.


bind

cat << 'EOF' > /etc/bind/named.conf.options 
options {
	directory "/var/cache/bind";

	// forward only;

	// If there is a firewall between you and nameservers you want
	// to talk to, you may need to fix the firewall to allow multiple
	// ports to talk.  See http://www.kb.cert.org/vuls/id/800113

	// If your ISP provided one or more IP addresses for stable 
	// nameservers, you probably want to use them as forwarders.  
	// Uncomment the following block, and insert the addresses replacing 
	// the all-0's placeholder.

	forwarders {
	  8.8.8.8;
	};

	//========================================================================
	// If BIND logs error messages about the root key being expired,
	// you will need to update your keys.  See https://www.isc.org/bind-keys
	//========================================================================
	dnssec-validation no;

	listen-on-v6 { any; };
};
EOF
echo 'include "/etc/bind/qwe.rty.ru_zones.conf";' >> /etc/bind/named.conf


cat << 'EOF' > /etc/bind/qwe.rty.ru_zones.conf 
zone "qwe.rty.ru" {
    type master;
    file "/etc/bind/zone_qwe.rty.ru";
};
EOF


cat << 'EOF' > /etc/bind/zone_qwe.rty.ru 
$ORIGIN qwe.rty.ru.
$TTL 86400
@ IN SOA ns1.qwe.rty.ru. root.qwe.rty.ru. (
2023013110; Serial
3600 ; Refresh
900 ; Retry
604800 ; Expire
86400 ; Minimum
)
;
	IN	NS	ns1.qwe.rty.ru.
@	IN	A	192.168.10.51
ns1	IN	A	192.168.10.51
ns2	IN	A	192.168.10.51
www	IN	CNAME	@
;mail	IN	CNAME	@
mail	IN	A	192.168.10.51
@	IN	MX 10	mail
mail	IN	MX 10	mail
@	IN	TXT	"v=spf1 a mx ip4:89.109.54.20 ~all"
_dmarc	IN	TXT	"v=DMARC1; p=quarantine"
2B2943B4-A15F-11ED-BFE7-22BC155843E7._domainkey 300 IN TXT (
"v=DKIM1; k=rsa;"
"p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoGbExU/BhOyVqPnwz80o1NKVTkH9zPvo4x6Qs5+MuZsWH+fk5lpKxtrhiD+3+sjzpMZBSXmJ5JEefqW+0dByQrATJY91ynYzY3hOFdhLvkptNisNiycdFT5u3lT4PxfXG/GB8CVvX88OXXjXuD3zAL2cbs+u+AsY2a+85D/5L1/SPxqvUOi1B1o0Lsk9e4shZTLlIH/0NKF9yE"
"3ECAsAJiHhV3GJZbytTBR8lAHb7UCBgqI1/2tOB2gaCfXKOoJ4shcCEjrlzGT6C6c7I7J0i4UMRgv446EMK7/Ddynmu7SisiOXnl06J38GKtLp36PHtOZYhOJWc0ke0ap9+7YQMQIDAQAB"
)
EOF
systemctl stop systemd-resolved
systemctl disable systemd-resolved

Настройка dkim, spf, dmark

Источник: https://habr.com/ru/company/Zextras/blog/339296/

dkim

Добавляем dkim к домену

/opt/zimbra/libexec/zmdkimkeyutil -a -d nntc.nnov.ru

В ответ получаем текст типа такого

DKIM Data added to LDAP for domain nntc.nnov.ru with selector 1774E6C4-60E2-11ED-9312-806B2F1CB351
Public signature to enter into DNS:
1774E6C4-60E2-11ED-9312-806B2F1CB351._domainkey	IN	TXT	( "v=DKIM1; k=rsa; "
	  "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAvoJiPVvchkOXgMRcxHTMTlkmFIk5BLkHqbY7htxDCRD7Pnwchktcdg7HAWd7SMgdJeSylo221GKKrx/f1nOYp0naBcRzPXi9R3a/a3fsY94indUuI1JnwrL3RCoCl4TkTSAP4VGP9hcTcf1ms6u2mbKuiKgdaKeXieXInIhg+KasYm9hnFTMX8I+mZOjvwbOQETpmxrXUW8Uo9"
	  "I87BJDBMF5Wb2u6Mr0KaoCjpie9Y89YwXGID6Ofor1Rg2qra507oNIPnFFhKI6KacBMS1kQTESgJ0AJxvyjuc+fKGcmA+sh2rzYLlRulvGu4mBsZkKJuLP0iuZgymPS1oB0PA5WQIDAQAB" )  ; ----- DKIM key 1774E6C4-60E2-11ED-9312-806B2F1CB351 for nntc.nnov.ru

Далее идём в настройки DNS записей для домена nntc.nnov.ru и добавляем такую TXT запись в настройках домена.

В случае с настройками днс сервера типа bind9 запись будет выглядеть примерно так. Если интерфейс настройки другой, то бездумно копировать этот текст не надо. Надо копировать - подумав! :-)

1774E6C4-60E2-11ED-9312-806B2F1CB351._domainkey	IN	TXT	( "v=DKIM1; k=rsa; "
	  "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAvoJiPVvchkOXgMRcxHTMTlkmFIk5BLkHqbY7htxDCRD7Pnwchktcdg7HAWd7SMgdJeSylo221GKKrx/f1nOYp0naBcRzPXi9R3a/a3fsY94indUuI1JnwrL3RCoCl4TkTSAP4VGP9hcTcf1ms6u2mbKuiKgdaKeXieXInIhg+KasYm9hnFTMX8I+mZOjvwbOQETpmxrXUW8Uo9"
	  "I87BJDBMF5Wb2u6Mr0KaoCjpie9Y89YwXGID6Ofor1Rg2qra507oNIPnFFhKI6KacBMS1kQTESgJ0AJxvyjuc+fKGcmA+sh2rzYLlRulvGu4mBsZkKJuLP0iuZgymPS1oB0PA5WQIDAQAB" )  ; ----- DKIM key 1774E6C4-60E2-11ED-9312-806B2F1CB351 for nntc.nnov.ru


Проверяем

host -t txt 1774E6C4-60E2-11ED-9312-806B2F1CB351._domainkey.nntc.nnov.ru

В ответ должен прийти тот текст, который является значением для TXT зоны 1774E6C4-60E2-11ED-9312-806B2F1CB351._domainkey.nntc.nnov.ru, добавленной выше где-то там на сервере, который обслуживает днс зону


Формируем команду для проверки ключа в зимбре.

/opt/zimbra/common/sbin/opendkim-testkey -d nntc.nnov.ru -s 1774E6C4-60E2-11ED-9312-806B2F1CB351 -x /opt/zimbra/conf/opendkim.conf

Если в ответ не прилетает текста с ошибками, значит всё настроено верно, скорее всего. Но нужно убедиться, выполнив проверку на стороннем сервисе. Например здесь: https://www.mail-tester.com

Ещё важный момент: Если на самой зимбре настроен внутренний днс сервер на bind9, то в зону nntc.nnov.ru необходимо также добавить выше описанную TXT запись.

spf

В нашем случае для spf нужно сделать такую TXT запись для домена nntc.nnov.ru

v=spf1 a mx ip4:89.109.54.20 ~all

dmark

В нашем случае для dmark нужно сделать такую TXT запись для домена _dmarc.nntc.nnov.ru

v=DMARC1; p=quarantine

Итог

В итоге зона DNS сервера должна иметь такие настройки, которые представлены ниже в формате конфига для сервера bind9

$ORIGIN nntc.nnov.ru.
$TTL 86400
@ IN SOA ns1.nntc.nnov.ru. root.nntc.nnov.ru. (
2022111004 ; Serial
3600 ; Refresh
900 ; Retry
604800 ; Expire
86400 ; Minimum
)
;
	IN	NS	ns1.nntc.nnov.ru.
@	IN	A	192.168.10.51
ns1	IN	A	192.168.10.51
ns2	IN	A	192.168.10.51
www	IN	CNAME	@
;mail	IN	CNAME	@
mail	IN	A	192.168.10.51
@	IN	MX 10	mail
mail	IN	MX 10	mail
@	IN	TXT	"v=spf1 a mx ip4:89.109.54.20 ~all"
_dmarc	IN	TXT	"v=DMARC1; p=quarantine"
1774E6C4-60E2-11ED-9312-806B2F1CB351._domainkey	IN	TXT	( "v=DKIM1; k=rsa; "
	  "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAvoJiPVvchkOXgMRcxHTMTlkmFIk5BLkHqbY7htxDCRD7Pnwchktcdg7HAWd7SMgdJeSylo221GKKrx/f1nOYp0naBcRzPXi9R3a/a3fsY94indUuI1JnwrL3RCoCl4TkTSAP4VGP9hcTcf1ms6u2mbKuiKgdaKeXieXInIhg+KasYm9hnFTMX8I+mZOjvwbOQETpmxrXUW8Uo9"
	  "I87BJDBMF5Wb2u6Mr0KaoCjpie9Y89YwXGID6Ofor1Rg2qra507oNIPnFFhKI6KacBMS1kQTESgJ0AJxvyjuc+fKGcmA+sh2rzYLlRulvGu4mBsZkKJuLP0iuZgymPS1oB0PA5WQIDAQAB" )  ; ----- DKIM key 1774E6C4-60E2-11ED-9312-806B2F1CB351 for nntc.nnov.ru

Фиксы

Переименовать

su - zimbra
/opt/zimbra/libexec/zmsetservername -n nntc.nnov.ru

Предотвратить попадания писем в спам для внутренних ящиков

zmprov ms `zmhostname` zimbraAmavisOriginatingBypassSA TRUE
zmamavisdctl restart

Создать spam,ham and quarantine accounts

http://docs.zimbra.com/docs/os/6.0.2/administration_guide/A_app-command-line.13.3.html

Get the previous account names from the global configuration:

su - zimbra
zmprov -l gacf zimbraAmavisQuarantineAccount zimbraSpamIsSpamAccount zimbraSpamIsNotSpamAccount

Now recreate the account using the name obtained in the previous step: Spam Account:

zmprov ca <spam-account@example.com> <PASSWORD> amavisBypassSpamChecks TRUE zimbraAttachmentsIndexingEnabled FALSE zimbraIsSystemAccount TRUE zimbraIsSystemResource TRUE zimbraHideInGal TRUE description 'System account for spam training.'

Ham Account:

zmprov ca <ham-account@example.com> <PASSWORD> amavisBypassSpamChecks TRUE zimbraAttachmentsIndexingEnabled FALSE zimbraIsSystemAccount TRUE zimbraIsSystemResource TRUE zimbraHideInGal TRUE description 'System account for Non-Spam (Ham) training.'

Quarantine Account:

zmprov ca <virus-quarantine-account@example.com> <PASSWORD> amavisBypassSpamChecks TRUE zimbraAttachmentsIndexingEnabled FALSE zimbraIsSystemAccount TRUE zimbraIsSystemResource TRUE zimbraHideInGal TRUE zimbraMailMessageLifetime 30d description 'System account for Anti-virus quarantine.'


Steps to create new spam, ham and quarantine accounts

apt install binutils

The above recreates existing accounts. If there is a need to recreate accounts with a random name, like spam.<random number> and ham.<random number>, follow these steps.

First create spam, ham and quarantine accounts with random passwords and add a random string in account name.:

zmprov ca spam.`strings /dev/urandom | tr -dc _A-Z-a-z-0-9 | head -c10`@example.com "`strings /dev/urandom | tr -dc _A-Z-a-z-0-9 | head -c10`" amavisBypassSpamChecks TRUE zimbraAttachmentsIndexingEnabled FALSE zimbraIsSystemAccount TRUE zimbraIsSystemResource TRUE zimbraHideInGal TRUE description 'System account for spam training.'


zmprov ca ham.`strings /dev/urandom | tr -dc _A-Z-a-z-0-9 | head -c10`@example.com "`strings /dev/urandom | tr -dc _A-Z-a-z-0-9 | head -c10`" amavisBypassSpamChecks TRUE zimbraAttachmentsIndexingEnabled FALSE zimbraIsSystemAccount TRUE zimbraIsSystemResource TRUE zimbraHideInGal TRUE description 'System account for Non-Spam (Ham) training.'


zmprov ca virus-quarantine.`strings /dev/urandom | tr -dc _A-Z-a-z-0-9 | head -c10`@example.com "`strings /dev/urandom | tr -dc _A-Z-a-z-0-9 | head -c10`" amavisBypassSpamChecks TRUE zimbraAttachmentsIndexingEnabled FALSE zimbraIsSystemAccount TRUE zimbraIsSystemResource TRUE zimbraHideInGal TRUE zimbraMailMessageLifetime 30d description 'System account for Anti-virus quarantine.'

Get the new account names:

zmprov -l gaa | egrep -i 'spam|ham|virus-quarantine'

Now add these to the global configuration, and restart for the changes to take effect:

zmprov mcf zimbraSpamIsSpamAccount <spam-account@example.com> zimbraSpamIsNotSpamAccount <ham-account@example.com> zimbraAmavisQuarantineAccount <virus-quarantine-account@example.com>
zmcontrol restart

Note: Replace example.com with the actual primary domain name.

Улучшить параметры получения писем

https://habr.com/ru/company/Zextras/blog/436304/

В файле

/opt/zimbra/conf/opendkim.conf.in

выставить параметры

On-NoSignature reject
Mode sv

перезапустить сервис

su - zimbra
zmopendkimctl restart

Скрипты

Получить список ящиков в файл

su zimbra -
zmaccts | grep "@" | awk '{print $1}' > accounts.txt

Резервное копирование

cat << 'EOF' > /opt/export-boxes.sh
#!/bin/bash

dest="/mnt/backup"

for i in $(cat accounts.txt); do

mailbox="$i"
stamp="$(date +%Y_%m_%d__%H_%M_%S)"
destfile="${dest}/${mailbox}_${stamp}".tar


echo "now backup mbox $mailbox to $destfile"

/opt/zimbra/bin/zmmailbox -z -t 0 -m "${mailbox}" getRestURL -u "https://mail.nntc.nnov.ru" "//?fmt=tar" > ${destfile}
echo "done. Next..."
echo ""

done
EOF

Восстановление из резервных копий

cat << 'EOF' > /opt/import-boxes.sh
#!/bin/bash

dest="/mnt/backup"

for i in $(cat accounts.txt); do

mailbox="$i"
stamp="$(date +%Y_%m_%d__%H_%M_%S)"
destfile="${dest}/${mailbox}_${stamp}".tar


echo "now backup mbox $mailbox to $destfile"

/opt/zimbra/bin/zmmailbox -z -t 0 -m "${mailbox}" getRestURL -u "https://mail.nntc.nnov.ru" "//?fmt=tar" > ${destfile}
echo "done. Next..."
echo ""

done
EOF

Сменить всем пароли

cat << 'EOF' > /opt/passwd-boxes.sh
#!/bin/bash

out="accounts.pwd"

rm ${out}

for ACCOUNT in `cat accounts.txt`; do

PASS=`pwgen -s 12 1`
echo $ACCOUNT
#su - zimbra -c "zmprov sp $ACCOUNT NewGenerated42Password";
#su - zimbra -c "zmprov ma $ACCOUNT zimbraPasswordMustChange TRUE";

echo "${ACCOUNT} ${PASS}" >> ${out}

done

exit 0
EOF


Интеграция

В этом разделе представлен пример небольшого сервера для интеграции с zimbra. Сервер представляет из себя HTTP сервис, принимающий POST запрос с логином и паролем от внешней системы.

Сервер написан на nodejs, поэтому для его функционирования необходимо поставить пакет nodejs

apt-get install nodejs

Общий смысл работы сервера:

1. Принять POST запрос от внешней системы

2. Распознать в запросе корректно присланные логин и пароль

3. Добавить к логину домен почтового аккаунта (настраивается в файле скрипта /opt/zimbra_sync/exec.sh)

4. Проверить существования аккаунта в zimbra средствами zmprov

5. Если аккаунт существует, то поменять ему пароль

6. Если аккаунт не существует, то создать новый аккаунт и установить для него пароль

Сервер должен запускаться на хосте с zimbra под суперпользователем.

Пример внешней системы, которая может быть клиентом описанного в этом разделе сервера, описан здесь

Создаём каталог для сервера интеграции

mkdir /opt/zimbra_sync

Создаём файлы сервера на nodejs и скрипт, который будет выполняться при обращении к серверу

Сам сервер

cat << 'EOF' > /opt/zimbra_sync/app.js 
const http = require('http');
const spawn = require('child_process').spawn;
const path = require('path');

const server = http.createServer((req, res) => {
  if (req.method === 'POST' && req.url === '/') {
    let data = '';

    req.on('data', (chunk) => {
      data += chunk;
    });

    req.on('end', () => {
      try {
        const { login, password } = JSON.parse(data);

        if (!login || !password) {
          res.writeHead(400, { 'Content-Type': 'application/json' });
          res.end(JSON.stringify({ error: 'Missing login or password in the request body.' }));
          return;
        }

	const scriptPath=`/opt/zimbra_sync/exec.sh`;

        const process = spawn(scriptPath, [login, password]);

        process.on('close', (code) => {
          res.writeHead(200, { 'Content-Type': 'application/json' });
          res.end(JSON.stringify({ exitCode: code }));
        });

        process.on('error', (error) => {
          res.writeHead(500, { 'Content-Type': 'application/json' });
          res.end(JSON.stringify({ error: `Error while executing the process: ${error.message}` }));
        });

      } catch (error) {
        res.writeHead(400, { 'Content-Type': 'application/json' });
        res.end(JSON.stringify(error));
      }
    });
  } else {
    res.writeHead(404, { 'Content-Type': 'application/json' });
    res.end(JSON.stringify({ error: 'Not Found' }));
  }
});

const port = 65432;
const host = '0.0.0.0';

server.listen(port, host, () => {
  console.log(`zimbra_sync server listen http://${host}:${port}`);
});
EOF

Скрипт

cat << 'EOF' > /opt/zimbra_sync/exec.sh 
#!/bin/bash
login="$1"
password="$2"
email_domain='yourdomain.com'

function is_account_exist(){
su - zimbra -c "zmprov GetAccount \"${1}\" > /dev/null"
echo $?
}

mailbox="${login}@${email_domain}"

check=`is_account_exist "${mailbox}"`

if [ $check -eq 0 ]; then
# set password
echo "update password for exist account"
su - zimbra -c "zmprov sp ${mailbox} ${password}";
su - zimbra -c "zmprov ma ${mailbox} zimbraPasswordMustChange FALSE";
else
echo "create account and set password"
# create account
su - zimbra -c "zmprov ca ${mailbox} ${password}";
# set password
su - zimbra -c "zmprov sp ${mailbox} ${password}";
su - zimbra -c "zmprov ma ${mailbox} zimbraPasswordMustChange FALSE";
fi

exit 0
EOF
chmod +x /opt/zimbra_sync/exec.sh

Создаём сервис systemd и включаем его

cat << 'EOF' > /etc/systemd/system/zimbra_sync.service 
[Unit]
Description=zimbra_sync
Requires=network-online.target
After=network-online.target
[Service]
Restart=always
RestartSec=3
WorkingDirectory=/opt/zimbra_sync/
ExecStart=/usr/bin/node app.js
User=root
Group=root
[Install]
WantedBy=multi-user.target
EOF
systemctl daemon-reload
systemctl enable --now zimbra_sync

Установка сертификатов

https://habr.com/ru/companies/Zextras/articles/341996/