griffinplus/zimbra

Docker镜像：Zimbra 8.8.15 GA (FOSS Edition)

![Build Status]([***]

概述

本镜像包含下载、设置和运行Zimbra协作套件所需的一切。镜像本身不包含Zimbra，首次启动时，容器会将精简版Ubuntu 18.04 LTS安装到Docker卷上。此安装作为Zimbra的根文件系统，确保Zimbra能与环境正常交互，且所有数据持久化——即使容器更新也不受影响。这意味着拉取新版本镜像不会自动更新Docker卷上的Ubuntu安装。为降低安全风险，容器配置了Ubuntu的unattended upgrades包，以自动安装官方更新。

容器支持带全局IPv6地址的IPv6，并配置包过滤以阻止常见***和对非公共端口的访问。

使用方法

关于如何在Docker主机或Kubernetes上部署Zimbra容器的使用场景，请参见https://github.com/GriffinPlus/docker-zimbra/wiki%E3%80%82

维护

如果卷为空，容器会将完整的Ubuntu 18.04 LTS安装及Zimbra安装到附加卷上。这也意味着运行更新后的Docker镜像不会自动更新卷上的安装。不过，由于Ubuntu的unattended upgrades包会自动安装官方更新，安装会保持最新。若不希望自动更新，可在安装完成后，通过在/etc/apt/apt.conf.d/20auto-upgrades中设置APT::Periodic::Unattended-Upgrade "0";来禁用自动更新。

要手动安装更新，需使用以下命令进入容器shell：

docker exec -it zimbra /bin/bash

整个Ubuntu安装位于/data，因此需通过chroot进入环境：

chroot /data /bin/bash

此时，可在一定限制下像操作常规Ubuntu安装一样操作该环境。Docker默认的seccomp配置文件会阻止某些内核调用，可能需要调整。此外，systemd无法工作，需直接调用初始化脚本来启动/停止服务。

首先，应定期运行以下命令保持Ubuntu安装更新：

apt-get update
apt-get upgrade

若有新的Zimbra版本，需手动更新以确保初始设置后的自定义配置被正确重新应用。新镜像不会自动更新已有的Zimbra安装。

安全性

传输安全（TLS）

默认情况下，Zimbra会生成自签名TLS证书。由于自签名证书不被信任，网页浏览器会提示警告。要使用受信任证书颁发机构（CA）签发的证书，可将私钥放在/data/app/tls/zimbra.key，证书放在/data/app/tls/zimbra.crt，容器会跟踪证书文件变化并在必要时重新配置Zimbra。建议挂载包含密钥和证书的卷到/data/app/tls，以便证书更换。证书应包含直至根证书的证书链。若缺少中间CA或根CA证书，容器会尝试使用“权威信息访问”扩展（若可用）下载缺失证书。

此外，会生成4096位DH参数，以提高密钥交换的安全级别。

HTTP传输安全（HSTS）

若容器直接连接互联网（无反向代理），应启用HTTP传输安全（HSTS），告知网页浏览器仅通过HTTPS连接Zimbra。配置方法如下：

sudo -u zimbra -- /opt/zimbra/bin/zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000"

默认配置可通过以下流行的SSL/TLS服务器测试：

• SSL Labs（仅支持HTTPS）
• Online Domain Tools（支持HTTPS、SMTP、IMAP、POP）
• High-Tech-Bridge（支持HTTPS、SMTP、IMAP、POP）

防火墙

容器配置防火墙，仅允许以下服务从公共互联网访问：

后端服务（如LDAP、MariaDB、Jetty服务器）的访问被包过滤器阻止。Webmail（通过HTTP(S)）和邮件访问（通过POP(S)、IMAP(S)）由Zimbra自带的NGINX代理，增加额外安全层。使用本镜像安装Zimbra时保持默认设置，将启用安全进程间通信。可禁用此功能，因所有组件在同一主机（甚至同一容器）内运行，无需加密通信，能提升系统性能。

此外，包过滤器包含多项规则以防护常见威胁：

• TCP泛洪（SYN泛洪除外）
• TCP数据包中的伪造标志
• RH0数据包（可用于DoS***）
• Ping of Death

缓解拒绝服务（DoS）***

HTTP请求速率限制

Zimbra提供通过限制每IP地址HTTP请求速率来缓解DoS***的机制。

zimbraHttpDosFilterDelayMillis设置决定如何处理超过速率限制的请求：-1直接拒绝请求（默认）；其他正值会对请求应用延迟（毫秒）以降低速率。配置命令如下：

sudo -u zimbra -- zmprov mcf zimbraHttpDosFilterDelayMillis -1

zimbraHttpDosFilterMaxRequestsPerSec设置每秒允许的最大请求数，默认值为30。配置命令如下：

sudo -u zimbra -- zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 30

zimbraHttpThrottleSafeIPs设置不应被限流的IP地址或IP地址范围（CIDR表示法）。默认白名单为空，但回环地址始终被白名单。配置命令如下：

sudo -u zimbra -- zmprov mcf zimbraHttpThrottleSafeIPs 10.1.2.3/32 zimbraHttpThrottleSafeIPs 192.168.4.0/24

也可向现有列表添加值：

sudo -u zimbra -- zmprov mcf +zimbraHttpThrottleSafeIPs 10.1.2.3/32
sudo -u zimbra -- zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.4.0/24

缓解暴力***

Zimbra内置机制，当某IP地址多次登录失败时会阻止该IP。默认值通常适用，但可根据部署情况调整。

zimbraInvalidLoginFilterDelayInMinBetwnReqBeforeReinstating设置IP被阻止的时间（分钟），默认值为15。调整命令如下：

sudo -u zimbra -- zmprov mcf zimbraInvalidLoginFilterDelayInMinBetwnReqBeforeReinstating 15

zimbraInvalidLoginFilterMaxFailedLogin设置触发IP阻止的失败登录尝试次数，默认值为10。调整命令如下：

sudo -u zimbra -- zmprov mcf zimbraInvalidLoginFilterMaxFailedLogin 10

zimbraInvalidLoginFilterReinstateIpTaskIntervalInMin设置解除IP阻止的任务运行间隔（分钟），默认值为5。调整命令如下：

sudo -u zimbra -- zmprov mcf zimbraInvalidLoginFilterReinstateIpTaskIntervalInMin 5

监控认证活动

容器配置Zimbra的暴力检测工具zmauditswatch，监控认证活动并向配置的接收者发送可能的邮件通知。默认接收者为管理员（通过zmlocalconfig smtp_destination获取）。此工具不阻止！

初始参数设置如下：

大多数情况下参数无需调整，如需修改，可使用以下命令：

sudo -u zimbra -- /opt/zimbra/bin/zmlocalconfig -e zimbra_swatch_notice_user=admin@my-domain.com
sudo -u zimbra -- /opt/zimbra/bin/zmlocalconfig -e zimbra_swatch_threshold_seconds=3600
sudo -u zimbra -- /opt/zimbra/bin/zmlocalconfig -e zimbra_swatch_ipacct_threshold=10
sudo -u zimbra -- /opt/zimbra/bin/zmlocalconfig -e zimbra_swatch_acct_threshold=15
sudo -u zimbra -- /opt/zimbra/bin/zmlocalconfig -e zimbra_swatch_ip_threshold=20
sudo -u zimbra -- /opt/zimbra/bin/zmlocalconfig -e zimbra_swatch_total_threshold=100

提升安全性的手动调整

启用域名密钥识别邮件（DKIM）

域名密钥识别邮件（DKIM） 是一种电子邮件认证方法，旨在检测邮件伪造。它允许接收方验证声称来自特定域名的邮件确实经过该域名所有者授权，用于防止钓鱼和垃圾邮件中常见的伪造发件人地址。

技术上，DKIM通过附加数字签名将域名与邮件关联，接收方使用DNS中发布的签名者公钥验证签名。有效签名保证邮件部分内容（可能包括附件）自签名后未被修改。DKIM签名通常对终端用户不可见，由基础设施而非发件人/收件人处理。

要启用DKIM签名，运行以下命令（替换相应域名）：

sudo -u zimbra -- /opt/zimbra/libexec/zmdkimkeyutil -a -d my-domain.com

此命令会创建2048位RSA密钥并为指定域名启用DKIM签名。配置完成后，需将zmdkimkeyutil返回的TXT记录发布到DNS。TXT记录名称类似AB6EFD30-2AA8-11E8-ACDA-A71CCC6989A6._domainkey（其中AB6EFD30-2AA8-11E8-ACDA-A71CCC6989A6为DKIM选择器），值如下：

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAmQ0nDvzpJn4b6nvvTDw2N0/Glcj24w0ZyTgNW1h5zNEEmxiH+7TuTcRvCVmBIHrY/anAtdiMZ60leQqo2USjI3ixE7Y1AewvjP95yS/WRq3Khoi7E2JsucreMcrf5WkVPsJd6G1Aw2uBGG/h/lyfjGYtpOjjnNqEb9Nxh3eMwATYNFUI55PVuTI405yR12SUPRomI2QvqiqTW2

几分钟后，可使用DKIM测试验证DKIM签名是否生效：向生成的地址发送邮件，等待报告。

发件人策略框架（SPF）

发件人策略框架（SPF） 是一种简单的电子邮件验证系统，通过让接收邮件服务器检查来自某域名的邮件是否来自该域名管理员授权的主机，以检测邮件伪造。授权发送主机列表以特定格式的TXT记录发布在该域名的DNS中。垃圾邮件和钓鱼邮件常使用伪造的“发件人”地址，因此发布和检查SPF记录可视为反垃圾邮件技术。

要启用SPF，需向DNS添加TXT记录。记录名称为SPF策略所针对的域名，值定义策略。一个简单有效的策略是：

v=spf1 mx a ~all

此策略指示其他邮件服务器接受来自该域名DNS中A/AAAA记录或MX记录所列主机的邮件。~all表示将策略违规视为“软失败”（邮件被标记但不拒绝），主要与DMARC策略配合使用（见下文）。SPF语法文档提供自定义SPF策略的方法。

设置SPF记录几分钟后，可使用以下工具检查：

• MxToolbox
• Dmarcian SPF Surveyer

基于域名的邮件认证、报告和一致性（DMARC）

基于域名的邮件认证、报告和一致性（DMARC） 是一种电子邮件验证系统，旨在检测和防止邮件伪造，用于对抗钓鱼和垃圾邮件中伪造From:头字段的技术。在RFC 7489中定义，DMARC基于上述DKIM和SPF机制，允许域名管理员发布策略（使用DKIM、SPF或两者），并指定接收方如何处理验证失败，同时提供操作报告机制。

要启用DMARC，需向DNS添加TXT记录。记录名称必须为_dmarc，值定义接收邮件服务器处理来自该域名邮件的规则。一个简单有效的记录是：

v=DMARC1; p=quarantine; rua=mailto:dmarc@my-domain.com; ruf=mailto:dmarc@my-domain.com; sp=quarantine

此记录指示其他邮件服务器仅接受DKIM签名有效和/或SPF策略通过的邮件；若两者均失败，邮件应被隔离。邮件服务器会向dmarc@my-domain.com发送聚合报告（rua）和取证数据（ruf）。官方DMARC网站提供详细文档，Kitterman's DMARC Assistent可帮助设置自定义DMARC策略。

设置DMARC记录几分钟后，可使用以下工具检查：

• MxToolbox
• Dmarcian DMARC Inspector
• Proofpoint DMARC Check

拒绝虚假“Mail From”地址

Zimbra默认允许接收邮件时使用任何发件人地址，这可能导致***者冒充其他用户向Zimbra用户发送邮件。以下链接提供安全改进指南：

• [拒绝虚假“mail from”地址]([***]