Filter penolakan layanan atau DoSFilter ditambahkan ke server mailbox di ZCS 8.0 untuk membatasi klien yang mengirimkan permintaan yang besar dalam waktu yang sangat singkat. DoSFilter diterapkan ke permintaan mailboxd untuk service, mailbox, dan admin. Fitur ini ditambahkan dengan selesainya bug 66921.
Pemfilteran DoS diaktifkan secara default setelah ZCS 8 diinstal. Mungkin perlu untuk menyesuaikan konfigurasi untuk mengakomodasi kebutuhan lingkungan tertentu. Menonaktifkan DoSFilter tidak disarankan.
Klien seperti Zimbra Connector untuk Outlook (ZCO), ActiveSync seluler, zmprov, dll. Dapat memicu DoSFilter. Untuk klien, layanan kotak surat Zimbra tidak tersedia. DoSFilter dapat diidentifikasi di server dengan cara berikut:
/opt/zimbra/log/zmmailboxd.out
2021-01-31 15:57:32.537:WARN:oejs.DoSFilter:DOS ALERT:ip=127.0.1.1,session=null,user=null
Konfigurasi berada pada atribut zimbraHttpDosFilterDelayMillis, zimbraHttpDosFilterMaxRequestsPerSec dan zimbraHttpThrottleSafeIPs. Setiap atribut adalah server global atau dapat dikonfigurasi di tingkat server. Rekomendasi kami adalah mempertahankan konfigurasi default jika memungkinkan.
Penundaan diberlakukan pada semua permintaan yang melebihi limit, by default bernilai -1 = Tolak permintaan, 0 = Tanpa penundaan, nilai lainnya = Penundaan dalam ms. Default-nya adalah -1.
Untuk memodifikasi dalam konfigurasi global; misalnya atur penundaan menjadi 20ms:
zmprov mcf zimbraHttpDosFilterDelayMillis 20
Jumlah maksimum permintaan dari satu koneksi per detik. Permintaan yang melebihi jumlah ini akan dibatasi. by default adalah 30 dan minimumnya adalah 1.
Untuk mengatur jumlah maksimum permintaan dalam konfigurasi global:
zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 100
Peringatan: Zimbra Collaboration 8.7 sebelumnya tidak mendukung CIDR, jadi Anda harus menambahkan IP satu per satu.
Zimbra 8.7, 8.8, 9.0
zmprov mcf zimbraHttpThrottleSafeIPs 10.1.2.3/32 zimbraHttpThrottleSafeIPs 192.168.4.0/24
Zimbra 8.6, 8.5, 8.0, 7.x
zmprov mcf zimbraHttpThrottleSafeIPs 10.1.2.3 zimbraHttpThrottleSafeIPs 192.168.4.5
Diperlukan restart service mailbox saat mengubah/menambahkan atribut ini.
zmmailboxdctl restart
Mulai di ZCS 8.5, Anda dapat memblokir IP untuk jangka waktu tertentu setelah sejumlah upaya login yang gagal. Perhatikan bahwa ini melihat konfigurasi zimbraHttpThrottleSafeIPs, jadi jika disetel, ini tidak akan memblokir IP yang masuk daftar putih di sana.
Anda akan melihat nilai-nilai ini:
zimbraInvalidLoginFilterDelayInMinBetwnReqBeforeReinstating: 15
zimbraInvalidLoginFilterMaxFailedLogin: 10
zimbraInvalidLoginFilterReinstateIpTaskIntervalInMin: 5
zimbraInvalidLoginFilterDelayInMinBetwnReqBeforeReinstating mengatur berapa lama IP diblokir.
zimbraInvalidLoginFilterMaxFailedLogin menetapkan jumlah login yang gagal sebelum IP diblokir.
zimbraInvalidLoginFilterReinstateIpTaskIntervalInMin menyetel berapa lama antara menjalankan proses untuk membuka blokir IP.
Untuk mengatur filter DoS untuk memblokir IP setelah 5 percobaan login yang gagal selama 25 menit, Anda akan melakukan ini:
zmprov mcf zimbraInvalidLoginFilterDelayInMinBetwnReqBeforeReinstating 25
zmprov mcf zimbraInvalidLoginFilterMaxFailedLogin 5
zmmailboxdctl restart
Sekian artikel terkait Mekanisme Throttling DoSFilter Zimbra. Jika para pembaca yang ingin mengetahui ataupun bertanya tentang Zimbra, Lisensi Zimbra, serta Professional Services untuk kebutuhan server Zimbra pembaca lebih lanjut. Silahkan hubungi kami di info@rekha.co.id atau WhatsApp ke 0851-5532-4400