Наряду с шифрованием писем и использованием электронно-цифровой подписи, одним из самых эффективных и малозатратных способов защиты электронной почты от взлома является грамотная парольная политика безопасности. Записанные на бумажках, хранящиеся в общедоступных файлах или просто недостаточно сложные пароли всегда являются большой брешью в информационной безопасности предприятия и могут привести к возникновению серьезных инцидентов с ощутимыми для бизнеса последствиями. Именно поэтому на любом предприятии должна существовать строгая парольная политика безопасности.
![image](https://habrastorage.org/r/w1560/webt/op/xi/ie/opxiieyaijocgswpkt2td6f4-u0.png)
Впрочем, любой безопасник знает, что парольная политика будет приносить результат только тогда, когда она не просто существует, но и неукоснительно соблюдается всеми, или хотя бы ключевыми сотрудниками организации. Добиться этого сложнее, чем кажется. И без того сильно загруженные работой сотрудники постоянно забывают о необходимости смены пароля, либо идут по пути наименьшего сопротивления, каждый раз делая пароль все проще и проще, сводя таким образом на нет весь эффект. Именно поэтому вопрос соблюдения парольной политики на предприятиях обычно решается различными техническими средствами.
Для того, чтобы следить за соблюдением парольной политики в Zimbra, никаких сторонних приложений не потребуется. Добиться этого можно при помощи встроенных средств.
Сперва стоит разобраться в том, как устроено управление паролями в Zimbra. В момент создания новой учетной записи, администратором ей присваивается временный пароль. После этого пользователь сможет самостоятельно войти в учетную запись и сменить пароль. Все пароли хранятся в зашифрованном виде на сервере с Zimbra и благодаря этому недоступны даже администратору сервера. Именно поэтому в случае, если пользователь забывает пароль, ему придется создавать новый. Напомним, что до недавнего времени для создания нового пароля требовалось участие администратора, но в последней версии Zimbra Creative Suite 8.8.9 была добавлена возможность для пользователей самостоятельно устанавливать новый пароль.
![image](https://habrastorage.org/r/w780q1/getpro/habr/post_images/842/c7a/8af/842c7a8af8602504d81248b417b2f7d2.jpg)
Настройки парольной политики можно найти в настройках отдельных пользователей и групп пользователей. Настроить можно:
Как видите, настройки паролей в Zimbra достаточно гибки и способны подстроиться под парольную политику на практически любом предприятии. Кроме того, за счет использования простенького скрипта можно настроить отправку пользователям напоминаний о том, что время действия их пароля вскоре закончится. Благодаря такому напоминанию, сотрудник сможет в спокойной обстановке сменить пароль, в то время как не открывающаяся с утра почта у прозевавшего момент смены пароля сотрудника может негативно сказаться на его эффективности.
Для того, чтобы этот скрипт заработал, его надо скопировать в файл и сделать этот файл исполняемым. Рекомендуется автоматизировать исполнение этого скрипта при помощи Cron так, чтобы он ежедневно оповещал пользователей, которые давно не обновляли пароль о том, что он вскоре перестанет работать. Кроме того, в скрипте вместо zimbra.server.com необходимо подставить имя вашего собственного домена.
Таким образом, можно сказать, что Zimbra Collaboration Suite вполне подойдет даже тем предприятиям, на которых внедрена жесткая парольная политика, а благодаря встроенным функциям добиться от сотрудников ее неукоснительного исполнения будет достаточно просто.
По всем вопросам, связанными c Zextras Suite вы можете обратиться к Представителю компании «Zextras» Екатерине Триандафилиди по электронной почте ekaterina.triandafilidi@zextras.com
![image](https://habrastorage.org/webt/op/xi/ie/opxiieyaijocgswpkt2td6f4-u0.png)
Впрочем, любой безопасник знает, что парольная политика будет приносить результат только тогда, когда она не просто существует, но и неукоснительно соблюдается всеми, или хотя бы ключевыми сотрудниками организации. Добиться этого сложнее, чем кажется. И без того сильно загруженные работой сотрудники постоянно забывают о необходимости смены пароля, либо идут по пути наименьшего сопротивления, каждый раз делая пароль все проще и проще, сводя таким образом на нет весь эффект. Именно поэтому вопрос соблюдения парольной политики на предприятиях обычно решается различными техническими средствами.
Для того, чтобы следить за соблюдением парольной политики в Zimbra, никаких сторонних приложений не потребуется. Добиться этого можно при помощи встроенных средств.
Сперва стоит разобраться в том, как устроено управление паролями в Zimbra. В момент создания новой учетной записи, администратором ей присваивается временный пароль. После этого пользователь сможет самостоятельно войти в учетную запись и сменить пароль. Все пароли хранятся в зашифрованном виде на сервере с Zimbra и благодаря этому недоступны даже администратору сервера. Именно поэтому в случае, если пользователь забывает пароль, ему придется создавать новый. Напомним, что до недавнего времени для создания нового пароля требовалось участие администратора, но в последней версии Zimbra Creative Suite 8.8.9 была добавлена возможность для пользователей самостоятельно устанавливать новый пароль.
![image](https://habrastorage.org/getpro/habr/post_images/842/c7a/8af/842c7a8af8602504d81248b417b2f7d2.jpg)
Настройки парольной политики можно найти в настройках отдельных пользователей и групп пользователей. Настроить можно:
- Password length — позволяет установить минимальную и максимальную длину пароля. По умолчанию минимальная длина пароля составляет 6 символов, а максимальная — 64.
- Password aging — позволяет установить время, по истечении которого пароль становится недействительным. Пользователям не обязательно дожидаться истечения срока действия пароля, заменить его можно и до истечения срока его действия
- Minimum upper case characters — позволяет установить минимальное число заглавных букв, используемых в пароле
- Minimum lower case characters — позволяет установить минимальное число строчных букв, используемых в пароле
- Minimum numeric characters — позволяет установить минимальное число цифр от 0 до 9, используемых в пароле
- Minimum punctuation symbols — позволяет установить минимальное число знаков препинания и спецсимволов, используемых в пароле
- Enforce password history — позволяет установить число запоминаемых паролей, чтобы пользователь периодически не использовал повторяющиеся пароли
- Password locked — эта опция позволяет запретить пользователю менять пароль
- Enable failed log in lockout — эта опция позволяет настроить реакцию системы на ввод неправильного пароля
Как видите, настройки паролей в Zimbra достаточно гибки и способны подстроиться под парольную политику на практически любом предприятии. Кроме того, за счет использования простенького скрипта можно настроить отправку пользователям напоминаний о том, что время действия их пароля вскоре закончится. Благодаря такому напоминанию, сотрудник сможет в спокойной обстановке сменить пароль, в то время как не открывающаяся с утра почта у прозевавшего момент смены пароля сотрудника может негативно сказаться на его эффективности.
Для того, чтобы этот скрипт заработал, его надо скопировать в файл и сделать этот файл исполняемым. Рекомендуется автоматизировать исполнение этого скрипта при помощи Cron так, чтобы он ежедневно оповещал пользователей, которые давно не обновляли пароль о том, что он вскоре перестанет работать. Кроме того, в скрипте вместо zimbra.server.com необходимо подставить имя вашего собственного домена.
#!/bin/bash
# Задаем ряд переменных:
# Сперва количество дней для первого напоминания, затем для последнего:
FIRST="3"
LAST="1"
# Задаем адрес отправителя:
FROM="admin@zimbra.server.com"
# Задаем адрес получателя, который будет получать письмо со списком аккаунтов с истекшими паролями
ADMIN_RECIPIENT="admin@zimbra.server.com"
# Указываем путь к исполняемому файлу Sendmail
SENDMAIL=$(ionice -c3 find /opt/zimbra/common/sbin/sendmail* -type f -iname sendmail)
# Получаем список всех пользователей.
USERS=$(ionice -c3 /opt/zimbra/bin/zmprov -l gaa $DOMAIN)
# Указываем дату с точностью до секунды:
DATE=$(date +%s)
# Проверяем каждого из них:
for USER in $USERS
do
# Узнаем, когда был установлен пароль
USERINFO=$(ionice -c3 /opt/zimbra/bin/zmprov ga "$USER")
PASS_SET_DATE=$(echo "$USERINFO" | grep zimbraPasswordModifiedTime: | cut -d " " -f 2 | cut -c 1-8)
PASS_MAX_AGE=$(echo "$USERINFO" | grep "zimbraPasswordMaxAge:" | cut -d " " -f 2)
NAME=$(echo "$USERINFO" | grep givenName | cut -d " " -f 2)
# Проверяем, нет ли среди пользователей тех, у кого срок действия пароля уже истек.
if [[ "$PASS_MAX_AGE" -eq "0" ]]
then
continue
fi
# Высчитываем дату окончания действия паролей
EXPIRES=$(date -d "$PASS_SET_DATE $PASS_MAX_AGE days" +%s)
# Считаем, сколько дней осталось до окончания срока действия пароля
DEADLINE=$(( (($DATE - $EXPIRES)) / -86400 ))
# Отправляем письмо пользователям
SUBJECT="$NAME - Ваш пароль станет недействительным через $DEADLINE дней"
BODY="
Здравствуйте, $NAME,
Пароль вашего аккаунта станет недействительным через $DEADLINE дней, Пожалуйста, создайте новый как можно скорее.
Вы можете также создать напоминание о смене пароля в календаре Zimbra.
Заранее спасибо.
С уважением, IT-отдел
"
# Первое предупреждение
if [[ "$DEADLINE" -eq "$FIRST" ]]
then
echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
echo "Reminder email sent to: $USER - $DEADLINE days left"
# Последнее предупреждение
elif [[ "$DEADLINE" -eq "$LAST" ]]
then
echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
echo "Reminder email sent to: $USER - $DEADLINE days left"
# Final
elif [[ "$DEADLINE" -eq "1" ]]
then
echo "Subject: $SUBJECT" "$BODY" | $SENDMAIL -f "$FROM" "$USER"
echo "Last chance for: $USER - $DEADLINE days left"
fi
done
Таким образом, можно сказать, что Zimbra Collaboration Suite вполне подойдет даже тем предприятиям, на которых внедрена жесткая парольная политика, а благодаря встроенным функциям добиться от сотрудников ее неукоснительного исполнения будет достаточно просто.
По всем вопросам, связанными c Zextras Suite вы можете обратиться к Представителю компании «Zextras» Екатерине Триандафилиди по электронной почте ekaterina.triandafilidi@zextras.com