Zimbra 2FA Nasıl Yapılandırılır?

Merhabalar,

Zimbra serisinin devamı niteliğindeki bu makalemde, 2FA ile zimbra üzerindeki güvenlik seviyesini, bir kademe daha nasıl yükseltebileceğinize dair bilgiler aktaracağım. Oldukça basit birkaç işlemle, bu yapılandırmayı gerçekleştirebilirsiniz. Böylece, e-mail hesaplarınızın güvenliğini bir adım daha ileriye taşıyarak, hesap çalınmalarına ve yetkisiz erişimlere karşı da önlem almış olacaksınız.

Zimbra’nın ücretsiz versiyonu olan Community versiyonunda, normalde 2FA kullanamıyorsunuz. Lisanslı versiyon olan Network Edition ile bu özellik gelmekte. Fakat yaptığım araştırmalarda, github üzerinden paylaşılmış olan bir script ile bu yeteneklerin kazandırılabileceğini gördüm ve test ortamımda test ettim. Eğer canlı bir altyapıda kullanacaksanız, sizlerin de öncesinde bunu test etmenizi önermekteyim.

Aşağıdaki linkte verilmiş olan script içeriğini inceleyebilirsiniz.

https://raw.githubusercontent.com/Zimbra-Community/zimbra-foss-2fa/master/2fa-installer.sh

Ben bu sayfadaki kodları bir dosya içerisine kopyala/yapıştır şeklinde aldım ve sh uzantılı olacak şekilde notepad++ ile kaydettim. Yalnız bu yöntemle yaparsanız, script çalıştırılırken hata verecek. Kaydetmeden önce, format olarak UNIX Format olarak editlemeniz gerekiyor. Sonrasında sunucu üzerine kopyalayıp çalıştırabilirsiniz.

Eğer wget komutlarıyla, direkt olarak sunucu üzerine indirirseniz zaten sorun olmayacaktır.

İşlemlere başlamadan önce, zimlet’lerin bir ekran görüntüsünü alıyorum, böylece ne gibi bir değişiklik olacağını da görebileceğiz.

Sunucu üzerinde bir dizin oluşturup, scripti bu dizine kopyalıyoruz. Sonrasında executable hale getirelim ve çalıştıralım.

chmod +x zimbra2FA.sh

./zimbra2FA.sh

Bu noktada devam etmek için herhangi bir tuşa basabiliriz. Eğer devam etmek istemezseniz CTRL+C tuş kombinasyonu ile işlemi sonlandırabilirsiniz.

Mail sunucu üzerinde tanımlı domain’leri göreceksiniz. Benim sunucumda tanımlı olan doman’i seçiyorum ve OK ile devam ediyorum.

Bir dizi otomatikleştirilmiş kurulum işlemi başlayacak. Docker ve bileşenlerinin kurulumları gerçekleşecektir.

Kurulumun bir noktasında, LDAP sunucu için IP bilgisi sorulacaktır. Burada da LDAP sunucunuzun IP adresini tanımlıyorsunuz. Genel olarak, sizin sunucu IP adresiniz olacaktır diyebiliriz.

Yes seçeneği ile devam ediyoruz.

Bundan sonra kurulumların bitmesini bekliyoruz.

Kurulum ortalama 5-10 dk. kadar sürecek. Kurulum bittiğinde, hatasız şekilde bittiğini teyit ediniz. Mailboxd servisi otomatik restart edilir ve işlem tamamen bitmiş olur.

Şimdi az önceki zimlet listesine tekrar bakalım. Bakınız burada yeni bir zimlet görüyoruz.

Aynı şekilde Admin Extensions altına da ekleniyor.

Şimdi konfigürasyon adımlarına geçebiliriz.

Zimbra 2FA konfigürasyonu nasıl yapılır?

1.  2FA enable etme

Yaptığımız bu kurulum işlemi, Login sayfasına 2FA kontrol adımını entegre etmiş olacak. Aşağıdaki gibi görebilirsiniz. Herhangi bir kullanıcı mailbox’ına bağlanmak için, bu kullanıcı bilgileriyle login olalım. Henüz 2FA ayarlarını açmadığımız için, o bölümü boş geçerek, sadece kullanıcı şifresi ile login olunuz.

Kullanıcı ile bağlanıp Preferences sekmesine geçtiğimizde, 2FA Account Security sekmesinin de bu arabirime eklendiğini göreceksiniz. Ayarlarımızı, bu sekme altında aktive edeceğiz.

Click here to continue setup seçeneğine tıklıyoruz.

Küçük bir pencere açılacak, bu kısma herhangi bir tanımlayıcı girebilirsiniz. Ben kendi domain ismimi belirleyici bir isim olarak giriyorum. Bu tanım, sadece bir description olacak, o yüzden çok önemli değil.

OK ile devam edelim.

Sonrasında bir karekod pop-up açılacak. Bu kodu, telefonunuzda yüklü olan Google Authenticator ya da  muadili bir 2FA şifre sağlayıcı yazılım içinden taratıyoruz. Login işlemi sırasında, geçici kodları bize bu uygulama sağlayacak artık. Taratma işlemi bittiğinde, OK tuşuna basarak bu pencereyi kapatabilirsiniz.

2FA Account Security altında, artık TOTP ile başlayan token’lar yapılandırılmış olacaktır. Özellikle domain ismini description olarak kullanmıştım ki birden fazla domain aktif ettiğinizde herhangi bir karışıklığa sebep olmasın…

İşlemlerimiz bu kadar. Öncelikle logoff oluyoruz. Şimdi tekrar login olacağız fakat şifremize ek olarak, bu uygulama tarafından oluşturulan geçici kodu da 2FA kısmında tanımlayacağız.

Bakınız 2FA kodlarımız çalışıyor ve login olduk.

Artık yönetimsel anlamda yapacağınız her işlem için 2FA kodunu girmeniz gerekecek. Örneğin kullanıcı şifresini değiştirmek isteyelim.

Bir pop-up pencere açılacak ve sizden eski parolanızı, yeni parolanızı ve 2FA kodunu girmeniz istenecek. Eğer olması gereken süre içerisinde geçici kodu girmezseniz işlem başarısız olacak. Aynı şekilde zamanı dolmuş bir 2FA şifresini girdiğinizde de işlem başarısız olacak.

2.  2FA disable etme

2FA‘yı devre dışı bırakmak da isteyebilirsiniz. Bunu yapmak için 2FA Account Security sekmesi altında, Current tokens bölümünde gördüğünüz TOTP token üzerine tıklayınız.

Buna tıkladığınızda, silme işlemini onaylamanız istenecektir. OK ile işlemi tamamlayabilirsiniz. 2FA, artık devre dışı kalmış olacak.

Current tokens altından da silinmiş durumda olacaktır.

Şimdi tekrar logoff olup test edelim.

2FA artık devre dışı kaldığına göre, sadece kullanıcı şifresiyle login olabiliriz.

Login işlemi başarılı ve 2FA’nın devre dışı kaldığı görülüyor.

NOT: Her kullanıcı, kendi mailbox ayarları altından 2FA enable/disable etmelidir. Çünkü bu uygulama, kişinin kendi telefonu üzerinde yüklü uygulama ile sağlanmaktadır.

2FA ile ilgili aktaracaklarım şimdilik bunlardan ibaret. Application code konusu da var. Fakat konuları birbirine karıştırmamak adına, o konuyu da bir sonraki makalemde sizlere aktarmak istiyorum.

E-Mail hizmeti alırken, 2FA aktivasyonu ile hesap güvenliğini bir adım ileriye taşımış olacaksınız. Umarım sizler için ilginç ve keyifli bir konu olmuştur.

Yararlı olması dileğiyle.

Yusuf İşleyen