วันพุธที่ 21 พฤษภาคม พ.ศ. 2557

Trusted network / วิธีกำหนดให้ Email Client บางเครื่องต้อง Authen เมื่อจะส่ง Email ผ่าน Zimbra Server

โดยปกติ องค์กรที่ใช้ Zimbra เป็น Mail Server  ถ้ามีการใช้ควบคู่ไปกับ Email Client เช่น Outlook หรือ Thunderbird  การส่ง Email ออกไปภายนอก เราจะ config ที่ Email Client โดยระบุให้ Email ที่จะส่งออก ให้ส่งไปยัง  Zimbra เป็นคนส่งต่อให้อีกทอดหนึ่ง (Relay) โดย เราต้องกำหนดที่ Config ของ Email Client  ในส่วนของ  SMTP Server ของ Email Client นั้นๆ

เพื่อความปลอดภัย เราควรจะกำหนดให้ Email Client ที่จะใช้เครื่อง Zimbra ของเรา ส่ง Email ต่อออกไปให้นั้น ต้องทำการ Authentication (ต้องระบุ user และ password ด้วย) โดยใช้ User และ Password ของ account บนเครื่อง Zimbra  การทำแบบนี้  คนภายนอก โดยเฉพาะพวกนักส่ง spam จะไม่สามารถแอบมาใช้เครื่อง zimbra ของเรา ใช้ในการส่ง email  หรือ spam ได้

แต่อย่างไรก็ตาม หลายคนอาจจะมองว่า วิธีนี้จะทำให้เกิดความไม่สดวกกับคนบางกลุ่ม เราควรจะเซตให้เฉพาะ Email Client ที่เชื่อมต่อกับ Zimbra มาจาก network ภายนอกองค์กรจะต้องทำการ Authen เพื่อส่ง Email เท่านั้น ส่วน Email Client ที่เชื่อมต่อมาจาก Network ภายในองค์กร ไม่จำเป็น เพราะมีการรักษาความปลอดภัยดีพออยู่แล้ว

เราเรียก network ที่เครื่องที่อยู่ใน network นั้น ส่ง email ออกไปยัง domain ภายนอก ผ่านทาง Zimbra ได้ โดยไม่ต้อง authentication ว่า trusted network ครับ

เราสามารถกำหนด trusted network ที่ Zimbra ให้ทำตามความต้องการข้างต้นได้ครับ

ขั้นตอนการ setup
เริ่มต้น ก็ต้อง  Login Admin Console (https://.... :7071)  ครับ

   1. จากเมนู เลือก Configure -> Servers -> เลือกชื่อ host ของ Zimbra ของเรา หน้าจอจะมาที่หน้า ตามรูป


   2. เลือก MTA
   3. แก้ไขค่า ในส่วนของ Authentication
       3.1 ) Enable Authentication ให้ติ๊กถูกตรงนี้ เป็นการกำหนดให้ Email Client ที่จะใช้ เครื่อง Zimbra ของเรา ทำการส่ง Email ต่อให้กับ Domain อื่นที่ไม่ได้อยู่ในเครื่อง Zimbra  (Relay Email) ต้องมีการระบุ User และ Password ด้วย
       3.2) TLS Authentication Only  ถ้าต้องการ authen แบบ TLS เท่านั้นคือ ระบุว่า ให้ Email Client ต้องเข้ารหัสข้อมูลที่ใช้ในการ Authen ให้กับเครื่อง Zimbra ทาง SMTP protocol ด้วย
       ถ้าเรากำหนดตรงจุดนี้ เราต้องกำหนดที่ Email Client ให้ Authen โดยใช้  TLS เหมือนกันด้วยนะครับ

หมายเหตุ ถ้า Email Client สามารถ Set up ให้ใช้  TLS Authentication ได้ ผมแนะนำให้กำหนดตรงนี้ด้วย เพราะถ้าไม่ทำ ผู้ไม่หวังดีจะสามารถแอบดู User และ Password ที่คุยกันระหว่าง Email Client และ Zimbra Server โดยดูจากข้อมูลที่วิ่งในระบบ network ได้

   4. MTA trusted network ในส่วนนี้ ใส่เฉพาะ network ที่เราต้องการให้ Email Client ที่อยู่ใน network เหล่านี้ "ไม่ต้อง Authen"  ปกติ default จะเป็น network เดียวกันกับที่ zimbra อยู่  ค่าทีใส่ จะเป็น Network ภายในขององค์กรครับ โดยจากตัวอย่างคือระบุ Network แบบ  CIDR คือ network address/subnet bit
     ถ้าในองค์กรมีหลาย Network ให้ใช้ space เป็นตัวคั่นระหว่าง Network ที่ระบุครับ

หมายเหตุ ค่า default ของ trusted network จะเป็น 127.0.0.1 และ network ที่ Zimbra server เกาะอยู่  อย่าไปเอาออกนะครับ ไม่งั้นจะ save ไม่ได้ ถ้าต้องการเพิ่ม  trusted network เพิ่มจากค่า default ที่มีมาให้ครับ

   5. เสร็จแล้วกด Save

ถ้ากำหนดตามขึ้นตอนข้างต้น Email Client ที่จะส่ง Email ออกไปยัง Email address  ที่อยู่ใน Domain อื่น นอกเครื่อง Zimbra ของเรา ถ้าอยู่ใน Trusted Network ไม่ต้อง Authen ครับ แต่ถ้าอยู่นอก Trusted Network ต้องทำการ Authen

จุดประสงค์ของการทำแบบนี้ เพื่อป้องกันไม่ให้คนอื่นทีไม่มีสิทธิใช้งาน Zimbra Server ของเรา ส่ง Email  ไปที่อื่น ซึ่งปกติคนที่ทำเช่นนี้ ต้องการส่ง spam ครับ ดังนั้น การกำหนดแบบนี้ เป็นการป้องกันมิให้คนภายนอกใช้เครื่อง Zimbra Server ของเราส่ง SPAM ซึ่งวิธีการ ส่ง Spam แบบนี้ เรียกว่า Spam Relay ครับ

ข้อจำกัดของการใช้ trusted network
1) วิธีการนี้ ไม่ป้องกันการส่ง Spam จากเครื่องใน  Trusted Network นะครับ ที่เคยเห็นก็คือ เครื่องใน Trusted Network ติด Virus หรือ Trojan ที่ทำการส่ง Spam ออกไปภายนอก  ซึ่งวิธีการนี้ ป้องกันไม่ได้
2) การใช้ trusted network จะป้องกันในกรณีที่ ใช้ zimbra เราทำ Mail Relay คือส่งต่อไปยัง domain อื่น นอกเหนือกจากที่มีในเครื่อง zimbra ของเราเท่านั้น
แต่ถ้าส่งมายัง domain ที่อยู่ในเครื่อง zimbra ของเราโดยตรง วิธีนี้ไม่ได้กันนะครับ ต้องใช้วิธีอื่น

ไม่มีความคิดเห็น:

แสดงความคิดเห็น