martes, 9 de junio de 2015

Cbpolicyd en Zimbra

Un tux-cartero-censor es la mejor idea para un logo
 Parafraseando la descripción que ellos mismos dicen acerca de su desarrollo:
PolicyD v2 (Nombre en clave “cluebringer”, de cuya contracción queda cbpolicyd), es un servidor de políticas multiplataforma para los servidores MTA más populares. Este servicio de políticas está diseñado principalmente para entornos de hosting de correo a gran escala. El principal objetivo es implementar tantas características de combate al spam y de sanitización de correo como sea posible, mientras al mismo tiempo se mantiene la portabilidad, estabilidad y rendimiento requerido para la crítica misión de hosting de correo. La mayoría de ideas y métodos implementados en cbpolicyd derivan de Policyd v1, así como de la larga participación de los autores en la industria del hosting de correo a gran escala.
Si bien pueden complicarse las reglas con el fin de usar todas las características posibles (Verificación de SPF y HELO, por mencionar algunas), es necesario entender que la comprobación de cbpolicyd ocurre dentro de los procesos de postfix, por lo que puede reducir el tiempo de respuesta frente al usuario.
Las demás características de cbpolicyd pueden implementarse dentro de la configuración anti-spam posterior, siendo de hecho un poco menos restrictivas y más flexibles.

Por ahora, usaremos cbpolicyd para definir políticas de volumen de correo por remitente, esto es, cuántos correos puede un mismo remitente enviar por unidad de tiempo, una característica que le dará un perfil bastante profesional a nuestro servicio de correo electrónico.

La configuración por defecto de zimbra (Bastante sencilla de poner en marcha, dicho sea de paso) tiene un problema de rendimiento inherente al hecho de usar Sqlite como backend, así que en su momento hemos de cambiar la configuración para que use una base de datos que hemos de configurar en el servidor mysql que zimbra ha instalado por defecto.
No sé de otros casos, pero un servidor mediano con más de 5,000 cuentas de correo se verá seriamente afectado en algunas horas del día si no se hace este cambio.

Comprobamos que sqlite esté instalado en el servidor, caso contrario, tendremos un pequeño error al arrancar el servicio por primera vez:

rpm -qa | grep sqlite
sqlite-3.6.20-1.el6.x86_64

Los siguientes son los script para creación de base de datos y de nuestras reglas, que hemos de usar más adelante:

~/backup/cbpolicyd/cbpolicyd.mysql.sql
-- -----------------------------------------------------
-- Schema cbpolicyd
-- -----------------------------------------------------
CREATE SCHEMA IF NOT EXISTS `cbpolicyd` DEFAULT CHARACTER SET latin1 ;
USE `cbpolicyd` ;

-- -----------------------------------------------------
-- Table `cbpolicyd`.`policies`
-- -----------------------------------------------------
DROP TABLE IF EXISTS `cbpolicyd`.`policies` ;

CREATE TABLE IF NOT EXISTS `cbpolicyd`.`policies` (
  `ID` INT(11) NOT NULL AUTO_INCREMENT,
  `Name` VARCHAR(255) NOT NULL,
  `Priority` SMALLINT(6) NOT NULL,
  `Description` TEXT NULL DEFAULT NULL,
  `Disabled` SMALLINT(6) NOT NULL DEFAULT '0',
  PRIMARY KEY (`ID`))
ENGINE = InnoDB
DEFAULT CHARACTER SET = latin1;


-- -----------------------------------------------------
-- Table `cbpolicyd`.`access_control`
-- -----------------------------------------------------
DROP TABLE IF EXISTS `cbpolicyd`.`access_control` ;

CREATE TABLE IF NOT EXISTS `cbpolicyd`.`access_control` (
  `ID` INT(11) NOT NULL AUTO_INCREMENT,
  `PolicyID` INT(11) NULL DEFAULT NULL,
  `Name` VARCHAR(255) NOT NULL,
  `Verdict` VARCHAR(255) NULL DEFAULT NULL,
  `Data` TEXT NULL DEFAULT NULL,
  `Comment` VARCHAR(1024) NULL DEFAULT NULL,
  `Disabled` SMALLINT(6) NOT NULL DEFAULT '0',
  PRIMARY KEY (`ID`),
  INDEX `PolicyID` (`PolicyID` ASC),
  CONSTRAINT `access_control_ibfk_1`
    FOREIGN KEY (`PolicyID`)
    REFERENCES `cbpolicyd`.`policies` (`ID`))
ENGINE = InnoDB
DEFAULT CHARACTER SET = latin1;


-- -----------------------------------------------------
-- Table `cbpolicyd`.`checkhelo`
-- -----------------------------------------------------
DROP TABLE IF EXISTS `cbpolicyd`.`checkhelo` ;

CREATE TABLE IF NOT EXISTS `cbpolicyd`.`checkhelo` (
  `ID` INT(11) NOT NULL AUTO_INCREMENT,
  `PolicyID` INT(11) NULL DEFAULT NULL,
  `Name` VARCHAR(255) NOT NULL,
  `UseBlacklist` SMALLINT(6) NULL DEFAULT NULL,
  `BlacklistPeriod` BIGINT(20) UNSIGNED NULL DEFAULT NULL,
  `UseHRP` SMALLINT(6) NULL DEFAULT NULL,
  `HRPPeriod` BIGINT(20) UNSIGNED NULL DEFAULT NULL,
  `HRPLimit` BIGINT(20) UNSIGNED NULL DEFAULT NULL,
  `RejectInvalid` SMALLINT(6) NULL DEFAULT NULL,
  `RejectIP` SMALLINT(6) NULL DEFAULT NULL,
  `RejectUnresolvable` SMALLINT(6) NULL DEFAULT NULL,
  `Comment` VARCHAR(1024) NULL DEFAULT NULL,
  `Disabled` SMALLINT(6) NOT NULL DEFAULT '0',
  PRIMARY KEY (`ID`),
  INDEX `PolicyID` (`PolicyID` ASC),
  CONSTRAINT `checkhelo_ibfk_1`
    FOREIGN KEY (`PolicyID`)
    REFERENCES `cbpolicyd`.`policies` (`ID`))
ENGINE = InnoDB
DEFAULT CHARACTER SET = latin1;


-- -----------------------------------------------------
-- Table `cbpolicyd`.`checkhelo_blacklist`
-- -----------------------------------------------------
DROP TABLE IF EXISTS `cbpolicyd`.`checkhelo_blacklist` ;

CREATE TABLE IF NOT EXISTS `cbpolicyd`.`checkhelo_blacklist` (
  `ID` INT(11) NOT NULL AUTO_INCREMENT,
  `Helo` VARCHAR(255) NOT NULL,
  `Comment` VARCHAR(1024) NULL DEFAULT NULL,
  `Disabled` SMALLINT(6) NOT NULL DEFAULT '0',
  PRIMARY KEY (`ID`),
  UNIQUE INDEX `Helo` (`Helo` ASC))
ENGINE = InnoDB
DEFAULT CHARACTER SET = latin1;


-- -----------------------------------------------------
-- Table `cbpolicyd`.`checkhelo_tracking`
-- -----------------------------------------------------
DROP TABLE IF EXISTS `cbpolicyd`.`checkhelo_tracking` ;

CREATE TABLE IF NOT EXISTS `cbpolicyd`.`checkhelo_tracking` (
  `Address` VARCHAR(64) NOT NULL,
  `Helo` VARCHAR(255) NOT NULL,
  `LastUpdate` BIGINT(20) UNSIGNED NOT NULL,
  UNIQUE INDEX `Address` (`Address` ASC, `Helo` ASC),
  INDEX `checkhelo_tracking_idx1` (`LastUpdate` ASC))
ENGINE = InnoDB
DEFAULT CHARACTER SET = latin1;


-- -----------------------------------------------------
-- Table `cbpolicyd`.`checkhelo_whitelist`
-- -----------------------------------------------------
DROP TABLE IF EXISTS `cbpolicyd`.`checkhelo_whitelist` ;

CREATE TABLE IF NOT EXISTS `cbpolicyd`.`checkhelo_whitelist` (
  `ID` INT(11) NOT NULL AUTO_INCREMENT,
  `Source` VARCHAR(512) NOT NULL,
  `Comment` VARCHAR(1024) NULL DEFAULT NULL,
  `Disabled` SMALLINT(6) NOT NULL DEFAULT '0',
  PRIMARY KEY (`ID`),
  UNIQUE INDEX `Source` (`Source` ASC))
ENGINE = InnoDB
DEFAULT CHARACTER SET = latin1;


-- -----------------------------------------------------
-- Table `cbpolicyd`.`checkspf`
-- -----------------------------------------------------
DROP TABLE IF EXISTS `cbpolicyd`.`checkspf` ;

CREATE TABLE IF NOT EXISTS `cbpolicyd`.`checkspf` (
  `ID` INT(11) NOT NULL AUTO_INCREMENT,
  `PolicyID` INT(11) NULL DEFAULT NULL,
  `Name` VARCHAR(255) NOT NULL,
  `UseSPF` SMALLINT(6) NULL DEFAULT NULL,
  `RejectFailedSPF` SMALLINT(6) NULL DEFAULT NULL,
  `AddSPFHeader` SMALLINT(6) NULL DEFAULT NULL,
  `Comment` VARCHAR(1024) NULL DEFAULT NULL,
  `Disabled` SMALLINT(6) NOT NULL DEFAULT '0',
  PRIMARY KEY (`ID`),
  INDEX `PolicyID` (`PolicyID` ASC),
  CONSTRAINT `checkspf_ibfk_1`
    FOREIGN KEY (`PolicyID`)
    REFERENCES `cbpolicyd`.`policies` (`ID`))
ENGINE = InnoDB
DEFAULT CHARACTER SET = latin1;


-- -----------------------------------------------------
-- Table `cbpolicyd`.`greylisting`
-- -----------------------------------------------------
DROP TABLE IF EXISTS `cbpolicyd`.`greylisting` ;

CREATE TABLE IF NOT EXISTS `cbpolicyd`.`greylisting` (
  `ID` INT(11) NOT NULL AUTO_INCREMENT,
  `PolicyID` INT(11) NULL DEFAULT NULL,
  `Name` VARCHAR(255) NOT NULL,
  `UseGreylisting` SMALLINT(6) NULL DEFAULT NULL,
  `GreylistPeriod` BIGINT(20) UNSIGNED NULL DEFAULT NULL,
  `Track` VARCHAR(255) NOT NULL,
  `GreylistAuthValidity` BIGINT(20) UNSIGNED NULL DEFAULT NULL,
  `GreylistUnAuthValidity` BIGINT(20) UNSIGNED NULL DEFAULT NULL,
  `UseAutoWhitelist` SMALLINT(6) NULL DEFAULT NULL,
  `AutoWhitelistPeriod` BIGINT(20) UNSIGNED NULL DEFAULT NULL,
  `AutoWhitelistCount` BIGINT(20) UNSIGNED NULL DEFAULT NULL,
  `AutoWhitelistPercentage` BIGINT(20) UNSIGNED NULL DEFAULT NULL,
  `UseAutoBlacklist` SMALLINT(6) NULL DEFAULT NULL,
  `AutoBlacklistPeriod` BIGINT(20) UNSIGNED NULL DEFAULT NULL,
  `AutoBlacklistCount` BIGINT(20) UNSIGNED NULL DEFAULT NULL,
  `AutoBlacklistPercentage` BIGINT(20) UNSIGNED NULL DEFAULT NULL,
  `Comment` VARCHAR(1024) NULL DEFAULT NULL,
  `Disabled` SMALLINT(6) NOT NULL DEFAULT '0',
  PRIMARY KEY (`ID`),
  INDEX `PolicyID` (`PolicyID` ASC),
  CONSTRAINT `greylisting_ibfk_1`
    FOREIGN KEY (`PolicyID`)
    REFERENCES `cbpolicyd`.`policies` (`ID`))
ENGINE = InnoDB
DEFAULT CHARACTER SET = latin1;


-- -----------------------------------------------------
-- Table `cbpolicyd`.`greylisting_autoblacklist`
-- -----------------------------------------------------
DROP TABLE IF EXISTS `cbpolicyd`.`greylisting_autoblacklist` ;

CREATE TABLE IF NOT EXISTS `cbpolicyd`.`greylisting_autoblacklist` (
  `ID` INT(11) NOT NULL AUTO_INCREMENT,
  `TrackKey` VARCHAR(512) NOT NULL,
  `Added` BIGINT(20) UNSIGNED NOT NULL,
  `Comment` VARCHAR(1024) NULL DEFAULT NULL,
  PRIMARY KEY (`ID`),
  UNIQUE INDEX `TrackKey` (`TrackKey` ASC))
ENGINE = InnoDB
DEFAULT CHARACTER SET = latin1;


-- -----------------------------------------------------
-- Table `cbpolicyd`.`greylisting_autowhitelist`
-- -----------------------------------------------------
DROP TABLE IF EXISTS `cbpolicyd`.`greylisting_autowhitelist` ;

CREATE TABLE IF NOT EXISTS `cbpolicyd`.`greylisting_autowhitelist` (
  `ID` INT(11) NOT NULL AUTO_INCREMENT,
  `TrackKey` VARCHAR(512) NOT NULL,
  `Added` BIGINT(20) UNSIGNED NOT NULL,
  `LastSeen` BIGINT(20) UNSIGNED NOT NULL,
  `Comment` VARCHAR(1024) NULL DEFAULT NULL,
  PRIMARY KEY (`ID`),
  UNIQUE INDEX `TrackKey` (`TrackKey` ASC))
ENGINE = InnoDB
DEFAULT CHARACTER SET = latin1;


-- -----------------------------------------------------
-- Table `cbpolicyd`.`greylisting_tracking`
-- -----------------------------------------------------
DROP TABLE IF EXISTS `cbpolicyd`.`greylisting_tracking` ;

CREATE TABLE IF NOT EXISTS `cbpolicyd`.`greylisting_tracking` (
  `TrackKey` VARCHAR(512) NOT NULL,
  `Sender` VARCHAR(255) NOT NULL,
  `Recipient` VARCHAR(255) NOT NULL,
  `FirstSeen` BIGINT(20) UNSIGNED NOT NULL,
  `LastUpdate` BIGINT(20) UNSIGNED NOT NULL,
  `Tries` BIGINT(20) UNSIGNED NOT NULL,
  `Count` BIGINT(20) UNSIGNED NOT NULL,
  UNIQUE INDEX `TrackKey` (`TrackKey` ASC, `Sender` ASC, `Recipient` ASC),
  INDEX `greylisting_tracking_idx1` (`LastUpdate` ASC, `Count` ASC))
ENGINE = InnoDB
DEFAULT CHARACTER SET = latin1;


-- -----------------------------------------------------
-- Table `cbpolicyd`.`greylisting_whitelist`
-- -----------------------------------------------------
DROP TABLE IF EXISTS `cbpolicyd`.`greylisting_whitelist` ;

CREATE TABLE IF NOT EXISTS `cbpolicyd`.`greylisting_whitelist` (
  `ID` INT(11) NOT NULL AUTO_INCREMENT,
  `Source` VARCHAR(255) NOT NULL,
  `Comment` VARCHAR(1024) NULL DEFAULT NULL,
  `Disabled` SMALLINT(6) NOT NULL DEFAULT '0',
  PRIMARY KEY (`ID`),
  UNIQUE INDEX `Source` (`Source` ASC))
ENGINE = InnoDB
DEFAULT CHARACTER SET = latin1;


-- -----------------------------------------------------
-- Table `cbpolicyd`.`policy_groups`
-- -----------------------------------------------------
DROP TABLE IF EXISTS `cbpolicyd`.`policy_groups` ;

CREATE TABLE IF NOT EXISTS `cbpolicyd`.`policy_groups` (
  `ID` INT(11) NOT NULL AUTO_INCREMENT,
  `Name` VARCHAR(255) NOT NULL,
  `Disabled` SMALLINT(6) NOT NULL DEFAULT '0',
  `Comment` VARCHAR(1024) NULL DEFAULT NULL,
  PRIMARY KEY (`ID`),
  UNIQUE INDEX `Name` (`Name` ASC))
ENGINE = InnoDB
DEFAULT CHARACTER SET = latin1;


-- -----------------------------------------------------
-- Table `cbpolicyd`.`policy_group_members`
-- -----------------------------------------------------
DROP TABLE IF EXISTS `cbpolicyd`.`policy_group_members` ;

CREATE TABLE IF NOT EXISTS `cbpolicyd`.`policy_group_members` (
  `ID` INT(11) NOT NULL AUTO_INCREMENT,
  `PolicyGroupID` INT(11) NULL DEFAULT NULL,
  `Member` VARCHAR(255) NOT NULL,
  `Disabled` SMALLINT(6) NOT NULL DEFAULT '0',
  `Comment` VARCHAR(1024) NULL DEFAULT NULL,
  PRIMARY KEY (`ID`),
  INDEX `PolicyGroupID` (`PolicyGroupID` ASC),
  CONSTRAINT `policy_group_members_ibfk_1`
    FOREIGN KEY (`PolicyGroupID`)
    REFERENCES `cbpolicyd`.`policy_groups` (`ID`))
ENGINE = InnoDB
DEFAULT CHARACTER SET = latin1;


-- -----------------------------------------------------
-- Table `cbpolicyd`.`policy_members`
-- -----------------------------------------------------
DROP TABLE IF EXISTS `cbpolicyd`.`policy_members` ;

CREATE TABLE IF NOT EXISTS `cbpolicyd`.`policy_members` (
  `ID` INT(11) NOT NULL AUTO_INCREMENT,
  `PolicyID` INT(11) NULL DEFAULT NULL,
  `Source` TEXT NULL DEFAULT NULL,
  `Destination` TEXT NULL DEFAULT NULL,
  `Comment` VARCHAR(1024) NULL DEFAULT NULL,
  `Disabled` SMALLINT(6) NOT NULL DEFAULT '0',
  PRIMARY KEY (`ID`),
  INDEX `PolicyID` (`PolicyID` ASC),
  CONSTRAINT `policy_members_ibfk_1`
    FOREIGN KEY (`PolicyID`)
    REFERENCES `cbpolicyd`.`policies` (`ID`))
ENGINE = InnoDB
DEFAULT CHARACTER SET = latin1;


-- -----------------------------------------------------
-- Table `cbpolicyd`.`quotas`
-- -----------------------------------------------------
DROP TABLE IF EXISTS `cbpolicyd`.`quotas` ;

CREATE TABLE IF NOT EXISTS `cbpolicyd`.`quotas` (
  `ID` INT(11) NOT NULL AUTO_INCREMENT,
  `PolicyID` INT(11) NULL DEFAULT NULL,
  `Name` VARCHAR(255) NOT NULL,
  `Track` VARCHAR(255) NOT NULL,
  `Period` BIGINT(20) UNSIGNED NULL DEFAULT NULL,
  `Verdict` VARCHAR(255) NULL DEFAULT NULL,
  `Data` TEXT NULL DEFAULT NULL,
  `LastQuota` SMALLINT(6) NOT NULL DEFAULT '0',
  `Comment` VARCHAR(1024) NULL DEFAULT NULL,
  `Disabled` SMALLINT(6) NOT NULL DEFAULT '0',
  PRIMARY KEY (`ID`),
  INDEX `PolicyID` (`PolicyID` ASC),
  CONSTRAINT `quotas_ibfk_1`
    FOREIGN KEY (`PolicyID`)
    REFERENCES `cbpolicyd`.`policies` (`ID`))
ENGINE = InnoDB
DEFAULT CHARACTER SET = latin1;


-- -----------------------------------------------------
-- Table `cbpolicyd`.`quotas_limits`
-- -----------------------------------------------------
DROP TABLE IF EXISTS `cbpolicyd`.`quotas_limits` ;

CREATE TABLE IF NOT EXISTS `cbpolicyd`.`quotas_limits` (
  `ID` INT(11) NOT NULL AUTO_INCREMENT,
  `QuotasID` INT(11) NULL DEFAULT NULL,
  `Type` VARCHAR(255) NULL DEFAULT NULL,
  `CounterLimit` BIGINT(20) UNSIGNED NULL DEFAULT NULL,
  `Comment` VARCHAR(1024) NULL DEFAULT NULL,
  `Disabled` SMALLINT(6) NOT NULL DEFAULT '0',
  PRIMARY KEY (`ID`),
  INDEX `QuotasID` (`QuotasID` ASC),
  CONSTRAINT `quotas_limits_ibfk_1`
    FOREIGN KEY (`QuotasID`)
    REFERENCES `cbpolicyd`.`quotas` (`ID`))
ENGINE = InnoDB
DEFAULT CHARACTER SET = latin1;


-- -----------------------------------------------------
-- Table `cbpolicyd`.`quotas_tracking`
-- -----------------------------------------------------
DROP TABLE IF EXISTS `cbpolicyd`.`quotas_tracking` ;

CREATE TABLE IF NOT EXISTS `cbpolicyd`.`quotas_tracking` (
  `QuotasLimitsID` INT(11) NULL DEFAULT NULL,
  `TrackKey` VARCHAR(512) NULL DEFAULT NULL,
  `LastUpdate` BIGINT(20) UNSIGNED NULL DEFAULT NULL,
  `Counter` DECIMAL(10,4) NULL DEFAULT NULL,
  UNIQUE INDEX `QuotasLimitsID` (`QuotasLimitsID` ASC, `TrackKey` ASC),
  INDEX `quotas_tracking_idx1` (`LastUpdate` ASC),
  CONSTRAINT `quotas_tracking_ibfk_1`
    FOREIGN KEY (`QuotasLimitsID`)
    REFERENCES `cbpolicyd`.`quotas_limits` (`ID`))
ENGINE = InnoDB
DEFAULT CHARACTER SET = latin1;


-- -----------------------------------------------------
-- Table `cbpolicyd`.`session_tracking`
-- -----------------------------------------------------
DROP TABLE IF EXISTS `cbpolicyd`.`session_tracking` ;

CREATE TABLE IF NOT EXISTS `cbpolicyd`.`session_tracking` (
  `Instance` VARCHAR(255) NULL DEFAULT NULL,
  `QueueID` VARCHAR(255) NULL DEFAULT NULL,
  `UnixTimestamp` BIGINT(20) NOT NULL,
  `ClientAddress` VARCHAR(64) NULL DEFAULT NULL,
  `ClientName` VARCHAR(255) NULL DEFAULT NULL,
  `ClientReverseName` VARCHAR(255) NULL DEFAULT NULL,
  `Protocol` VARCHAR(255) NULL DEFAULT NULL,
  `EncryptionProtocol` VARCHAR(255) NULL DEFAULT NULL,
  `EncryptionCipher` VARCHAR(255) NULL DEFAULT NULL,
  `EncryptionKeySize` VARCHAR(255) NULL DEFAULT NULL,
  `SASLMethod` VARCHAR(255) NULL DEFAULT NULL,
  `SASLSender` VARCHAR(255) NULL DEFAULT NULL,
  `SASLUsername` VARCHAR(255) NULL DEFAULT NULL,
  `Helo` VARCHAR(255) NULL DEFAULT NULL,
  `Sender` VARCHAR(255) NULL DEFAULT NULL,
  `Size` BIGINT(20) UNSIGNED NULL DEFAULT NULL,
  `RecipientData` TEXT NULL DEFAULT NULL,
  UNIQUE INDEX `Instance` (`Instance` ASC),
  INDEX `session_tracking_idx1` (`QueueID` ASC, `ClientAddress` ASC, `Sender` ASC),
  INDEX `session_tracking_idx2` (`UnixTimestamp` ASC))
ENGINE = InnoDB
DEFAULT CHARACTER SET = latin1;

El siguiente ejemplo esta recortado a próposito, pero supongo que podría ser bastante ilustrativo sobre la forma de crear las reglas. En todo caso, encontrar una la forma correcta de hacer estas reglas parece ser más arte que ciencia, en cuanto la documentación disponible me ha parecido extrañamente escasa

~/backup/cbpolicyd/dominio.mysql.sql

use cbpolicyd;

/* Creamos los grupos que hemos de usar posteriormente en la tabla policy_members */
INSERT INTO policy_groups (Name) values('MAILSERVER');
/* Asignamos algunos miembros a los grupos */
INSERT INTO policy_group_members (PolicyGroupID,Member, Comment) VALUES (1,'10.10.20.2/24', 'MailServer');
INSERT INTO policy_group_members (PolicyGroupID,Member, Comment) VALUES (1,'190.86.170.10/24', 'IP Pública');

INSERT INTO policy_groups (Name) values('MIRED');
INSERT INTO policy_group_members (PolicyGroupID,Member, Comment) VALUES (2,'192.168.20.0/24', 'Redes LAN');
INSERT INTO policy_group_members (PolicyGroupID,Member, Comment) VALUES (2,'10.10.20.0/24', 'DMZ');

INSERT INTO policy_groups (Name) values("DOMINIOS");
INSERT INTO policy_group_members (PolicyGroupID,Member, Comment) VALUES (3,'@dominio.com', 'Dominio Principal');

/* Creamos las politicas en tabla policies. Cada politica debe tener al menos un miembro definido en policy_members */
INSERT INTO policies (Name,Priority,Description) VALUES ('PoliticaMailServer',0,'Primer politica con Mail Server');
/* Asignamos miembros haciendo politicas que definan origen y destino  */
INSERT INTO policy_members (PolicyID,Source,Destination) VALUES(1, '%MAILSERVER', 'any');

INSERT INTO policies (Name,Priority,Description) VALUES ('PoliticaLANInterna',1,'Primer politica con LAN');
INSERT INTO policy_members (PolicyID,Source,Destination) VALUES(2, '%MIRED,!%MAILSERVER', '%DOMINIOS');

INSERT INTO policies (Name,Priority,Description) VALUES ('PoliticaLANExterna',2,'Primer politica con LAN');
INSERT INTO policy_members (PolicyID,Source,Destination) VALUES(3, '%MIRED,!%MAILSERVER', '!%DOMINIOS');

INSERT INTO policies (Name,Priority,Description) VALUES ('Salida',3,'Politica para usuarios externos');
INSERT INTO policy_members (PolicyID,Source,Destination) VALUES(4, '!%DOMINIOS', '%DOMINIOS');

/* Asignamos una quota a cada politica, que define entre otras cosas la unidad de tiempo en la cual se define */
/* Este tiene onda, es casi exactamente uno menos de lo que se especifica en este */
INSERT INTO quotas (PolicyID,Name,Track,Period,Verdict,Data) VALUES (1, 'Min_PoliticaMailServer','Sender:user@domain', 60, 'DEFER', 'Se difieren los mensajes fuera de cuota');
/* Y ahora asignamos a la cuota, propiamente un volumen permitido */
INSERT INTO quotas_limits (QuotasID,Type,CounterLimit) VALUES(1, 'MessageCount', 125);
/* Este es otro par quota - quota_limits que pertenece a la misma política */
INSERT INTO quotas (PolicyID,Name,Track,Period,Verdict,Data) VALUES (1, 'Hor_PoliticaMailServer','Sender:user@domain', 3600, 'REJECT', 'Se rechazan los mensajes fuera de cuota');
INSERT INTO quotas_limits (QuotasID,Type,CounterLimit) VALUES(2, 'MessageCount', 480);

/* Desde Red LAN hacia cuentas de nuestros dominios */
INSERT INTO quotas (PolicyID,Name,Track,Period,Verdict,Data) VALUES (2, 'Min_PoliticaLANInterna','Sender:user@domain', 60, 'DEFER', 'Se difieren los mensajes fuera de cuota');
INSERT INTO quotas_limits (QuotasID,Type,CounterLimit) VALUES(3, 'MessageCount', 60);
INSERT INTO quotas (PolicyID,Name,Track,Period,Verdict,Data) VALUES (2, 'Hor_PoliticaLANInterna','Sender:user@domain', 3600, 'REJECT', 'Se rechazan los mensajes fuera de cuota');
INSERT INTO quotas_limits (QuotasID,Type,CounterLimit) VALUES(4, 'MessageCount', 250);

/* Desde Red LAN hacia fuera del dominio */
INSERT INTO quotas (PolicyID,Name,Track,Period,Verdict,Data) VALUES (3, 'Min_PoliticaLANExterna','Sender:user@domain', 60, 'DEFER', 'Se difieren los mensajes fuera de cuota');
INSERT INTO quotas_limits (QuotasID,Type,CounterLimit) VALUES(5, 'MessageCount', 74);
INSERT INTO quotas (PolicyID,Name,Track,Period,Verdict,Data) VALUES (3, 'Hor_PoliticaLANExterna','Sender:user@domain', 3600, 'REJECT', 'Se rechazan los mensajes fuera de cuota');
INSERT INTO quotas_limits (QuotasID,Type,CounterLimit) VALUES(6, 'MessageCount', 400);

/* Gente externa que quiere enviar a nuestro dominio */
INSERT INTO quotas (PolicyID,Name,Track,Period,Verdict,Data) VALUES (4, 'Min_Salida','Sender:user@domain', 60, 'DEFER', 'Se difieren los mensajes fuera de cuota');
INSERT INTO quotas_limits (QuotasID,Type,CounterLimit) VALUES(7, 'MessageCount', 95);
INSERT INTO quotas (PolicyID,Name,Track,Period,Verdict,Data) VALUES (4, 'Hor_Salida','Sender:user@domain', 3600, 'REJECT', 'Se rechazan los mensajes fuera de cuota');
INSERT INTO quotas_limits (QuotasID,Type,CounterLimit) VALUES(8, 'MessageCount', 460);

Creamos la base de datos en el servidor mysql de zimbra: Creamos un directorio en ~/backup (O en cualquier directorio que como usuario zimbra tengamos permiso suficiente) para trabajar con nuestros ficheros.
zimbra@mail:~ $ mkdir ~/backup/cbpolicyd
zimbra@mail:~ $ cd ~/backup/cbpolicyd

Creamos los ficheros que con los script para creación de base de datos y para insertar nuestras reglas. Por el tamaño de ambos, creo que separarlos es una idea recomendable en vista a que sean tan sencillos como sean posibles.
zimbra@mail:~/backup/cbpolicyd $ vim -p cbpolicyd.mysql.sql minsal.mysql.sql
[... En donde colocamos el contenido de los ficheros antes expuestos ...]

Ejecutamos el cliente de mysql como usuario zimbra en el servidor, que es por mucho la forma más sencilla de acceder a él.
zimbra@mail:~/backup/cbpolicyd $ mysql
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 126452
Server version: 5.5.32-log Source distribution

Copyright (c) 2000, 2013, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql> 

Crearemos la base de datos cbpolicyd, y le asignaremos permisos sobre ella a un usuario cbpolicyd con contraseña “Password”, valores todos que pueden cambiarse como se desee pero que en este momento son bastante descriptivos.
mysql> create database cbpolicyd;
Query OK, 1 row affected (0.00 sec)
mysql> grant all privileges on cbpolicyd.* to 'cbpolicyd'@'%' identified by 'Password';
Query OK, 0 rows affected (0.00 sec)

Ejecutamos los script para creación de base de datos y para nuestras reglas personalizadas
mysql> source cbpolicyd.mysql.sql;
Query OK, 1 row affected, 1 warning (0.00 sec)
Database changed
Query OK, 0 rows affected, 1 warning (0.00 sec)
Query OK, 0 rows affected (0.24 sec)
Query OK, 0 rows affected, 1 warning (0.00 sec)
Query OK, 0 rows affected (0.31 sec)
Query OK, 0 rows affected, 1 warning (0.00 sec)
Query OK, 0 rows affected (1.70 sec)
[...]

mysql> source dominio.mysql.sql
Database changed
Query OK, 1 row affected (0.00 sec)
Query OK, 1 row affected (0.00 sec)
Query OK, 1 row affected (0.00 sec)
[...]

Por último, en un intento de normalización, movemos los script que hayamos creado a la locación por defecto para datos de cbpolicyd en ~/data/cbpolicyd/db/, donde hallaremos entre otras cosas el fichero sqlite que usaría por defecto:
mysql> quit
zimbra@mail:~ $ mv *sql ~/data/cbpolicyd/db/

Ahora podemos habilitar cbpolicyd en nuestro servidor zimbra:
zmprov ms `zmhostname` +zimbraServiceEnabled cbpolicyd

Uno o dos minutos después, zmconfigd se encargará de poner todo en marcha por primera vez. Configuramos el fichero /opt/zimbra/conf/cbpolicyd.conf.in, desde donde se crea la configuración de cbpolicyd en /opt/zimbra/conf/cbpolicyd.conf con cada reinicio de zmconfigd, de manera que el DSN por defecto quede comentarizado y hallamos agregado uno que apunte hacia nuestra base de datos en el servidor mysql:
[...]
#DSN=DBI:SQLite:dbname=@@cbpolicyd_db_file@@
DSN=DBI:mysql:database=cbpolicyd;host=127.0.0.1;port=7306
Username=cbpolicyd
Password=Password
[...]

Reiniciamos el servicio, y en cuanto esté arriba todas las reglas empezarán a surgir efecto:
zmcbpolicydctl restart

4 comentarios:

  1. una consulta al migrar a una nueva version de zimbra como migro estas politicas

    ResponderEliminar
    Respuestas
    1. Si bien aún no he pasado por eso, temo que al igual que la mayoría de personalizaciones que se hacen en zimbra habrá que volver a configurarlas a mano. Sea que se instale un parche o que se instale desde cero, zmconfigd buscará que policyd use el archivo sqlite por defecto

      Eliminar
  2. cuando configuro el cbpolicyd con mysql e intento acceder a la webui me sale el siguiente error
    Error connecting to Policyd v2 DB: could not find driver
    sin embargo cuando lo configuro con sqlite funciona ok
    que debo instalar para resolver este problema..

    ResponderEliminar
    Respuestas
    1. No he usado la administración web, pero supongo que habrá que configurarla para que apunte también a la base de datos mysql, el error de hecho hace suponer que sigue apuntando al archivo sqlite que se configura por por defecto. Supongo que habría que instalar con yum el paquete para el driver sqlite de php, cuyo nombre debería ir como php5-sqlite, aunque creo que en realidad es un poco màs complicado de lo que parece: http://serverfault.com/questions/195790/how-do-i-activate-sqlite3-on-php-5-3-3-centos-5

      Eliminar

Otros apuntes interesantes

Otros apuntes interesantes