Zimbra ошибка сети при авторизации

Разбираемся со встроенной DoS защитой в Zimbra

После увеличения количества пользователей Zimbra появились жалобы, что при входе в веб интерфейс появляется «Ошибка сети». Эта проблема связана с работой встроенного в Zimbra 8.0 и старше метода защиты от DoS

Пользователи начали жаловаться, что периодически при попытке входа возникает «Ошибка сети». Анализ логов выявил следующее сообщение:

Выяснилось, что это срабатывает встроенная, начиная с версии 8.0 защита от DoS. Настройка осуществляется с помощью нескольких параметров:

• zimbraHttpDosFilterDelayMillis — задержка, которая применяется ко всем запросам выше лимита, прежде чем они будут рассмотрены. В миллисекундах. Возможны варианты в виде значения от -1,0,1 и более. Где -1 — отклонять запросы сразу. 0 — не выставлять задержку, 1 и более — задержка в мс. По-умолчанию -1.
• zimbraHttpDosFilterMaxRequestsPerSec — Лимит количества запросов в секунду. По-умолчснию 30
• zimbraHttpThrottleSafeIPs — белый список IP, с которых запросы не проверяются на их количество.

Решение проблемы кроется в подкручивании этих ручек до комфортных значений и последующего перезапуска mailbox сервиса ( zmmailboxdctl restart )

Однако, есть нюансы, если у Вас так называемая «Multi server» кофигурация, то есть несколько mailbox серверов за proxy.

Что бы все это дело работало, необходимо для начала сделать так, что бы mailbox знали о реальных IP, с которых приходят запросы. По-умолчанию в логах отображается IP proxy.
Это, конечно, логично, но пока я обратил внимание на IP адрес запроса в логах чуть крутилку DoS фильтра не сломал…

Для этого проверяю текущее значение параметра zimbraMailTrustedIP:
$ zmprov gcf zimbraMailTrustedIP
Добавляю IP zimbra-proxy
$ zmprov mcf +zimbraMailTrustedIP 10.202.1.31
выполняю на всех mailbox серверах:
$ zmmailboxdctl restart

После этого в логах будут реальные IP и политики DoS будут применяться к ним и все будет работать как задумано.

Alexey Egorychev

FreeBSD and Linux sysadmin. Know many systems like mailsystems, DB, WWW stack. Automation with salt, ansible. Monitoring with nagios, zabbix.

Источник

Network service error

Contents

Network service error after changing size related attributes

Problem

• Not able to login to admin and webclient after changing value of any attribute which exceeding the max allowed size (i.e 1000MB).
• Such as zimbraFileUploadMaxSize, zimbraMailContentMaxSize, zimbraMtaMaxMessageSize etc

Such changes usually get neglected and users start facing login issues as follows.

While investigating, the admin may notice the following log entries which are constantly appearing in /opt/zimbra/log/mailbox.log

And, following entries from /opt/zimbra/log/nginx.log

Analysis

• If the issue is unknown, start thinking of all the changes done on the server recently and revert all the changes one-by-one and check which change was affecting the server.(if the changes were done from the CLI, checking bash history will help quickly.)
• If various changes are done from the admin panel but not sure which were they, execute the below command and check all Size related attributes and check whether the size of any attribute is showing exceptionally high.

• Also, search for the below kind of error in the /opt/zimbra/log/mailbox.log, there will be only one entry of this hence it is possible it may get overlooked while analysing the log file. (instead of zimbraFileUploadMaxSize there could be any attribute hence don’t search using the keyword zimbraFileUploadMaxSize)

Once find the root cause do the following

Solution

• Verify the existing value on zimbraFileUploadMaxSize.

• Now change the value to the allowed limit as follows (Example: let’s set it to 21MB) and restart mailbox services.

• If the above doesn’t resolve the issue, NE customers can raise a case with Zimbra support and provide the following details while submitting the case.
• Log files from the below location (if having a multi-server environment, provide the logs from the respective servers)

-/opt/zimbra/log/mailbox.log
-/opt/zimbra/log/ngnx.log

• An output of the following commands.

Above are quite basic details, that are required to start an investigation on the initial level at least, further, the support engineer may ask for more details If needed.

Источник

Zimbra client. Network error.

Добрый день коллеги, возникла проблема с доступом к веб интерфейсу zimbra 8.6.0. Создал топик на оф. сайте но что то там не отвечают. Ссылка: https://forums.zimbra.org/viewtopic.php?f=15&t=61966#p276194 (извиняюсь что здесь не описываю проблему полностью как там) тут просто не очень удобно размещать лог. Почта по IMAP работает, через оутлук, а к web клиенту не хочет подключаться, выдает ошибку.

гуглил, но решения не нашел. Пишут:

Всегда радуюсь таким постам. Поставят черный самописный ящик на яве, где из нормальных пакетов только postfix и из коробки все сверкает, но как только проблема, то «сейчас подожди, garbage-collector мусор соберет». Извините за ехидство, не удержался.

и что? я должен ms eхchange чтоли покупать по вашему? когда есть бесплатные продукты

Дело в том, что по закрытости и трудности анализа проблем зимбра не далеко ушла от exchange. Я еще раз повторюсь, что в zimbre из нормальных пакетов только postfix. А весь MDA написан ими в ручную на яве, и черт там ногу сломит. Вот вы пришли на linux.org.ru с проблемой не linux , а с проблемой явы.

Есть куча других бесплатных комбаинов на linux,которые собраны из нормальных пакетов, если самому лень конфигурировать почтовик.

Вы считаете, что zimbra не является нормальным почтовым сервером? просто других с подобным функционалом я не встречал

Да, я считаю, что zimbra собрана на коленке из говна, палок и явы. А что там за функционал? Sogo как веб клиент может почти все , что зимбра , если мы говорим про веб интерфейс для юзеров.

Я же не настаиваю что zimbra идеальный почтовый сервер, готов и перейти на другой если он будет лучше и удобнее для пользователей. Просто знания линукс мне пока не позволяют собрать почтовик самому, поэтому использую готовые

Источник

Блог инженера

Заметки о Linux, системном администрировании, программировании, электронике и не только

Поиск по блогу

пятница, 24 июля 2015 г.

Zimbra ругается «network error» при логине в webmail

Если при попытке залогиниться в Zimbra webmail начало ругаться «network error», то скорее всего кто-то еще с вашего IP адреса (актуально для офисов) несколько раз подряд залогинился неправильно, либо, что менее вероятно, кто-то или что-то сделало 30 запросов на вебсервер zimbra за секунду.

Проверить догадку можно в логе /opt/zimbra/log/mailbox.log:

Чтобы решить эту проблему достаточно добавить офисный IP (например 1.2.3.4) в whitelist и перезагрузить mailboxd:

23 комментария:

Спасибо. Долго не мог понять в чем причина =)))

А если проблема у тех кто не из офиса заходит ?

Нужно смотреть в логе /opt/zimbra/log/mailbox.log в чем именно проблема. Если это «Access to IP x.x.x.x suspended, for repeated failed login», то возможно какое-то приложение или устройство в той же сети использует неправильный пароль и тем самым блокирует доступ.

что делать если стоит зимбра 8.5.1 zmprov команда не найдена. dpkg -l дал zimbra-apache,zimbra-core,zimbra-dnscache,zimbra-ldap,zimbra-logger,zimbra-memcached,zimbra-mta,zimbra-proxy,zimbra-snmp,zimbra-spell,zimbra-store. Что то блокирует айпишники на пол часа и как это изменить — не знаю. В nano /opt/zimbra/conf/postfix_rbl_override айпишники забил, но блокируется все равно после

10 неправильных логинов. В веб морде нашел белый список ip(входа и выхода) — в него тоже забивал — безрезультатно

Утилита zmprov есть в zimbra 8.5.1. Смотрите /opt/zimbra/bin/zmprov и желательно сменить пользователя на ‘zimbra’ (su — zimbra).

а другой суперюзер не пойдет?

Спасибо! Нашел ее через файл менеджер, запустил, вбил командой айпишник. Единственное- не могу перезагрузить только zmmailboxdctl restart (опять не знает такой команды убунтя) Это из за того, что я не от Zimbra сижу? — пришлось сервис зимбра рестарт. Жду эффекта.

Большинство команд Zimbra не требуют прав root пользователя. В добавок /opt/zimbra/bin не добавляется в системный PATH.

Спасибо, после перезагрузки айпишник не блокируется.

Я так понимаю, что в этом случае никто из пользователей зайти по веб-интерфейсу не может? Но более частой проблемой бывает, что только кто-то один из всех пользователей не может зайти — остальные нормально работают. Значит, адрес не блокирован. Мы делаем рестарт всех служб зимбры через zmcontrol , но понятно, что это неудобно

Есть несколько видов блокировок — одна из них из-за многочисленных попыток ввода неправильного пароля. В этом случае блокируется только одна учетка.

Посмотрел логи, понятно. А как добавить всю локальную подсеть в доверенные?

Примерно так же как и один адрес

zmprov mcf +zimbraHttpThrottleSafeIPs 172.16.0.0/24

Выполнил указанную последовательность команд, но после перезапуска mailboxd перестало находить сервер в веб-интерфейсе и в админку.
Ошибка такая:
zclient.IO_ERROR (invoke В соединении отказано (Connection refused), server: localhost) (cause: java.net.ConnectException В соединении отказано (Connection refused))

Долго пытался понять в чем дело, выполнил
zmlocalconfig |grep zmprov
zimbra_zmprov_default_soap_server = localhost
zimbra_zmprov_default_to_ldap = false
zmprov_safeguarded_attrs = zimbraServiceEnabled,zimbraServiceInstalled
zmprov_tmp_directory = $/zmprov

Вот это false исправил на тру:
zmlocalconfig -e zimbra_zmprov_default_to_ldap=true
не помогло
Потом еще что-то пытался восстановить из архива, но в итоге увидел, что некоторые директории в /zimbra оказались рутовыми.
Исправил права, все взлетело, но оставило в недоумении — а что это было и почему?

Источник

zenadmin

Дзен системного администрирования

Записки сисадмина бредущего в пустоте

Zimbra на одном из дружественных серверов внезапно перестала выходить на связь. Сообщая при авторизации «Ошибка сети»

Перезапуск сервера ничего не дал. Запуск зимбры вручную выдавал ошибку ldap:

$ zmcontrol start
Host mail.yourdomain.com
Unable to determine enabled services from ldap.
Unable to determine enabled services. Cache is out of date or doesn’t exist.

Попытки проверить права доступа, постучать в бубен, выйти и войти ничего не дали. Единственой зацепкой стал тот факт, что устонавливали зимбру примерно год назад.

Гугление принесло интересный результат — сдох сертификат SSL. Чисто от старости. Благо, что все равно самоподписанный.
Единственная найденная осмысленная дока давала следующие советы:

Первые шаги надо делать от рута.
Генерим Certificate Authority (CA).

# /opt/zimbra/bin/zmcertmgr createca -new

** Creating /opt/zimbra/ssl/zimbra/ca/zmssl.cnf…done
** Creating CA private key /opt/zimbra/ssl/zimbra/ca/ca.key…done.
** Creating CA cert /opt/zimbra/ssl/zimbra/ca/ca.pem…done.
Теперь генерим сертификат, подписанный CA еще на 365 дней.

# /opt/zimbra/bin/zmcertmgr createcrt -new -days 365

Validation days: 365
** Creating /opt/zimbra/conf/zmssl.cnf…done
** Backup /opt/zimbra/ssl/zimbra to /opt/zimbra/ssl/zimbra.20101009200401
** Generating a server csr for download self -new -keysize 1024
** Creating /opt/zimbra/conf/zmssl.cnf…done
** Backup /opt/zimbra/ssl/zimbra to /opt/zimbra/ssl/zimbra.20101009200401
** Creating server cert request /opt/zimbra/ssl/zimbra/server/server.csr…d one.
** Saving server config key zimbraSSLPrivateKey…failed.
** Signing cert request /opt/zimbra/ssl/zimbra/server/server.csr…d one.

Теперь развертываем сертификат.

# /opt/zimbra/bin/zmcertmgr deploycrt self

** Saving server config key zimbraSSLCertificate…done.
** Saving server config key zimbraSSLPrivateKey…done.
** Installing mta certificate and key…done.
** Installing slapd certificate and key…done.
** Installing proxy certificate and key…done.
** Creating pkcs12 file /opt/zimbra/ssl/zimbra/jetty.pkcs12…done.
** Creating keystore file /opt/zimbra/mailboxd/etc/keystore…done.
** Installing CA to /opt/zimbra/conf/ca…done.

Теперь развертываем CA

** Importing CA /opt/zimbra/ssl/zimbra/ca/ca.pem into CACERTS…done.
** Saving global config key zimbraCertAuthorityCertSelfSigned…done.
** Saving global config key zimbraCertAuthorityKeySelfSigned…done.
** Copying CA to /opt/zimbra/conf/ca…done.

И, наконец, смотрим что у нас получилось:

::service mta::
notBefore=Oct 9 13:04:03 2010 GMT
notAfter=Oct 9 13:04:03 2011 GMT
subject= /C=US/ST=N/A/O=Zimbra Collaboration Suite/OU=Zimbra Collaboration

Suite/CN=mail.yourdomain.com
issuer= /C=US/ST=N/A/L=N/A/O=Zimbra Collaboration Suite/OU=Zimbra Collaboration

Suite/CN=mail.yourdomain.com
SubjectAltName=
::service proxy::
notBefore=Oct 9 13:04:03 2010 GMT
notAfter=Oct 9 13:04:03 2011 GMT
subject= /C=US/ST=N/A/O=Zimbra Collaboration Suite/OU=Zimbra Collaboration

Suite/CN=mail.yourdomain.com
issuer= /C=US/ST=N/A/L=N/A/O=Zimbra Collaboration Suite/OU=Zimbra Collaboration

Suite/CN=mail.yourdomain.com
SubjectAltName=
::service mailboxd::
notBefore=Oct 9 13:04:03 2010 GMT
notAfter=Oct 9 13:04:03 2011 GMT
subject= /C=US/ST=N/A/O=Zimbra Collaboration Suite/OU=Zimbra Collaboration

Suite/CN=mail.yourdomain.com
issuer= /C=US/ST=N/A/L=N/A/O=Zimbra Collaboration Suite/OU=Zimbra Collaboration

Suite/CN=mail.yourdomain.com
SubjectAltName=
::service ldap::
notBefore=Oct 9 13:04:03 2010 GMT
notAfter=Oct 9 13:04:03 2011 GMT
subject= /C=US/ST=N/A/O=Zimbra Collaboration Suite/OU=Zimbra Collaboration

Suite/CN=mail.yourdomain.com
issuer= /C=US/ST=N/A/L=N/A/O=Zimbra Collaboration Suite/OU=Zimbra Collaboration

Теперь переключаемся в пользователя zimbra и пробуем запустить:

$ zmcontrol start
Host mail.yourdomain.com
Starting ldap…Done.
Starting logger…Done.
Starting convertd…Done.
Starting mailbox…Done.
Starting antispam…Done.
Starting antivirus…Done.
Starting snmp…Done.
Starting spell…Done.
Starting mta…Done.
Starting stats…Done.
$

Варианты сообщений об ошибке:

Unable to determine enabled services from ldap
Unable to determine enabled services Cache is out of date or doesnt exist
Saving global config key zimbraCertAuthorityCertSelfSigned failed
Saving server config key zimbraSSLPrivateKey failed
Unable to determine enabled services from ldap Unable to determine enabled services Cache is out of date or doesnt exist

Источник

Adblock
detector

Problem

• Not able to login to admin and webclient after changing value of any attribute which exceeding the max allowed size (i.e 1000MB).
• Such as zimbraFileUploadMaxSize, zimbraMailContentMaxSize, zimbraMtaMaxMessageSize etc

Such changes usually get neglected and users start facing login issues as follows.

While investigating, the admin may notice the following log entries which are constantly appearing in /opt/zimbra/log/mailbox.log

022-04-27 20:53:19,281 WARN  [qtp195615004-782:https://xxx.xxx.xxx.xxx/] [] webclient - system failure: ,: Service Unavailable
com.zimbra.common.service.ServiceException: system failure: error while proxying request to target server: Service Unavailable
ExceptionId:qtp195615004-782:https://xxx.xxx.xxx.xxx/:1651072999281:2a0061c1a4fb9afe
Code:service.FAILURE at com.zimbra.common.service.ServiceException.FAILURE(ServiceException.java:288)

And, following entries from /opt/zimbra/log/nginx.log

2022/04/27 21:37:58 [error] 211623#0: *5 zm lookup: lookup handler  xxx.xxx.xxx.xxx:7072 sent error response: 503 Service Unavailable while SSL handshaking to lookup handler, client: aaa.aaa.aaa.aaa, server: mail.example.tld, request: "POST /service/soap/NoOpRequest HTTP/1.1", host: " xxx.xxx.xxx.xxx", referrer: "https:// xxx.xxx.xxx.xxx/#8"
2022/04/27 21:37:58 [warn] 211623#0: *5 zmauth: an error occurs during zm lookup: , fall back to IPHASH to get the upstream route while SSL handshaking to lookup handler, client: aaa.aaa.aaa.aaa, server: mail.exampl.tld, request: "POST /service/soap/NoOpRequest HTTP/1.1", host: " xxx.xxx.xxx.xxx", referrer: "https:// xxx.xxx.xxx.xxx/#8"

Analysis

• If the issue is unknown, start thinking of all the changes done on the server recently and revert all the changes one-by-one and check which change was affecting the server.(if the changes were done from the CLI, checking bash history will help quickly.)
• If various changes are done from the admin panel but not sure which were they, execute the below command and check all Size related attributes and check whether the size of any attribute is showing exceptionally high.

su - zimbra
zmprov -l gacf | grep -i size
zmprov -l gs `zmhostname` | grep -i size

• Also, search for the below kind of error in the /opt/zimbra/log/mailbox.log, there will be only one entry of this hence it is possible it may get overlooked while analysing the log file. (instead of zimbraFileUploadMaxSize there could be any attribute hence don’t search using the keyword zimbraFileUploadMaxSize)

com.zimbra.cs.account.AccountServiceException: zimbraFileUploadMaxSize must be a valid long:
at com.zimbra.cs.account.AccountServiceException.INVALID_ATTR_VALUE(AccountServiceException.java:212)

Once find the root cause do the following

Solution

• Verify the existing value on zimbraFileUploadMaxSize.

zmprov -l gcf zimbraFileUploadMaxSize 

• Now change the value to the allowed limit as follows (Example: let’s set it to 21MB) and restart mailbox services.

zmprov -l mcf zimbraFileUploadMaxSize 2147483647
zmmailboxdctl restart

Next

• If the above doesn’t resolve the issue, NE customers can raise a case with Zimbra support and provide the following details while submitting the case.
• Log files from the below location (if having a multi-server environment, provide the logs from the respective servers)

-/opt/zimbra/log/mailbox.log

-/opt/zimbra/log/ngnx.log

• An output of the following commands.

su - zimbra
zmprov -l gacf
zmprov -l gs `zmhostname`
zmlocalconfig 
zmcontrol -v

Above are quite basic details, that are required to start an investigation on the initial level at least, further, the support engineer may ask for more details If needed.

Submitted by: Amol Mistry

Zimbra на одном из дружественных серверов внезапно перестала выходить на связь. Сообщая при авторизации «Ошибка сети»

Перезапуск сервера ничего не дал. Запуск зимбры вручную выдавал ошибку ldap:

$ zmcontrol start
Host mail.yourdomain.com
Unable to determine enabled services from ldap.
Unable to determine enabled services. Cache is out of date or doesn’t exist.

Попытки проверить права доступа, постучать в бубен, выйти и войти ничего не дали. Единственой зацепкой стал тот факт, что устонавливали зимбру примерно год назад.

Гугление принесло интересный результат — сдох сертификат SSL. Чисто от старости. Благо, что все равно самоподписанный.
Единственная найденная осмысленная дока давала следующие советы:

Первые шаги надо делать от рута.
Генерим Certificate Authority (CA).

# /opt/zimbra/bin/zmcertmgr createca -new

** Creating /opt/zimbra/ssl/zimbra/ca/zmssl.cnf…done
** Creating CA private key /opt/zimbra/ssl/zimbra/ca/ca.key…done.
** Creating CA cert /opt/zimbra/ssl/zimbra/ca/ca.pem…done.
Теперь генерим сертификат, подписанный CA еще на 365 дней.

# /opt/zimbra/bin/zmcertmgr createcrt -new -days 365

Validation days: 365
** Creating /opt/zimbra/conf/zmssl.cnf…done
** Backup /opt/zimbra/ssl/zimbra to /opt/zimbra/ssl/zimbra.20101009200401
** Generating a server csr for download self -new -keysize 1024
** Creating /opt/zimbra/conf/zmssl.cnf…done
** Backup /opt/zimbra/ssl/zimbra to /opt/zimbra/ssl/zimbra.20101009200401
** Creating server cert request /opt/zimbra/ssl/zimbra/server/server.csr…done.
** Saving server config key zimbraSSLPrivateKey…failed.
** Signing cert request /opt/zimbra/ssl/zimbra/server/server.csr…done.

Теперь развертываем сертификат.

# /opt/zimbra/bin/zmcertmgr deploycrt self

** Saving server config key zimbraSSLCertificate…done.
** Saving server config key zimbraSSLPrivateKey…done.
** Installing mta certificate and key…done.
** Installing slapd certificate and key…done.
** Installing proxy certificate and key…done.
** Creating pkcs12 file /opt/zimbra/ssl/zimbra/jetty.pkcs12…done.
** Creating keystore file /opt/zimbra/mailboxd/etc/keystore…done.
** Installing CA to /opt/zimbra/conf/ca…done.

Теперь развертываем CA

# /opt/zimbra/bin/zmcertmgr deployca

** Importing CA /opt/zimbra/ssl/zimbra/ca/ca.pem into CACERTS…done.
** Saving global config key zimbraCertAuthorityCertSelfSigned…done.
** Saving global config key zimbraCertAuthorityKeySelfSigned…done.
** Copying CA to /opt/zimbra/conf/ca…done.

И, наконец, смотрим что у нас получилось:

# /opt/zimbra/bin/zmcertmgr viewdeployedcrt

::service mta::
notBefore=Oct 9 13:04:03 2010 GMT
notAfter=Oct 9 13:04:03 2011 GMT
subject= /C=US/ST=N/A/O=Zimbra Collaboration Suite/OU=Zimbra Collaboration

Suite/CN=mail.yourdomain.com
issuer= /C=US/ST=N/A/L=N/A/O=Zimbra Collaboration Suite/OU=Zimbra Collaboration

Suite/CN=mail.yourdomain.com
SubjectAltName=
::service proxy::
notBefore=Oct 9 13:04:03 2010 GMT
notAfter=Oct 9 13:04:03 2011 GMT
subject= /C=US/ST=N/A/O=Zimbra Collaboration Suite/OU=Zimbra Collaboration

Suite/CN=mail.yourdomain.com
issuer= /C=US/ST=N/A/L=N/A/O=Zimbra Collaboration Suite/OU=Zimbra Collaboration

Suite/CN=mail.yourdomain.com
SubjectAltName=
::service mailboxd::
notBefore=Oct 9 13:04:03 2010 GMT
notAfter=Oct 9 13:04:03 2011 GMT
subject= /C=US/ST=N/A/O=Zimbra Collaboration Suite/OU=Zimbra Collaboration

Suite/CN=mail.yourdomain.com
issuer= /C=US/ST=N/A/L=N/A/O=Zimbra Collaboration Suite/OU=Zimbra Collaboration

Suite/CN=mail.yourdomain.com
SubjectAltName=
::service ldap::
notBefore=Oct 9 13:04:03 2010 GMT
notAfter=Oct 9 13:04:03 2011 GMT
subject= /C=US/ST=N/A/O=Zimbra Collaboration Suite/OU=Zimbra Collaboration

Suite/CN=mail.yourdomain.com
issuer= /C=US/ST=N/A/L=N/A/O=Zimbra Collaboration Suite/OU=Zimbra Collaboration

Suite/CN=mail.yourdomain.com
SubjectAltName=
#

Все!

Теперь переключаемся в пользователя zimbra и пробуем запустить:

~$ zmcontrol start
Host mail.yourdomain.com
Starting ldap…Done.
Starting logger…Done.
Starting convertd…Done.
Starting mailbox…Done.
Starting antispam…Done.
Starting antivirus…Done.
Starting snmp…Done.
Starting spell…Done.
Starting mta…Done.
Starting stats…Done.
$

Варианты сообщений об ошибке:

Unable to determine enabled services from ldap
Unable to determine enabled services Cache is out of date or doesnt exist
Saving global config key zimbraCertAuthorityCertSelfSigned failed
Saving server config key zimbraSSLPrivateKey failed
Unable to determine enabled services from ldap Unable to determine enabled services Cache is out of date or doesnt exist