DoSFilter Nedir ve Neden Önemlidir?
Zimbra Collaboration Suite 8.0 ve sonraki sürümlerde varsayılan olarak etkinleştirilen DoSFilter (Denial of Service Filter), sunucunuza kısa sürede aşırı sayıda istek gönderen istemcileri otomatik olarak kısıtlayan bir güvenlik mekanizmasıdır. Bu filtre, Jetty web sunucusu düzeyinde çalışarak sunucu kaynaklarını kötü niyetli veya hatalı yapılandırılmış istemcilerden korur. Bu rehberde, DoSFilter yapılandırmasını, IP beyaz listesini, başarısız giriş engellemeyi ve sorun giderme adımlarını detaylı şekilde anlatıyoruz.
DoSFilter Temel Parametreleri
DoSFilter yapılandırması üç ana parametre üzerinden yönetilir. Bu parametreleri zmprov komutuyla değiştirebilirsiniz.
1. Saniye Başına Maksimum İstek Sayısı
zimbraHttpDosFilterMaxRequestsPerSec parametresi, bir bağlantı başına saniyede izin verilen maksimum istek sayısını belirler. Varsayılan değer 30‘dur.
su - zimbra
# Mevcut değeri görüntüleyin
zmprov gacf zimbraHttpDosFilterMaxRequestsPerSec
# Değeri artırın (örneğin yoğun ortamlar için)
zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 100
# Değişikliğin uygulanması için servisi yeniden başlatın
zmmailboxdctl restartDikkat: Bu değeri çok yükseğe ayarlamak DoS korumasını zayıflatır, çok düşük ayarlamak ise meşru kullanıcıları etkileyebilir. Ortamınıza göre dengelemeniz önemlidir.
2. İstek Gecikmesi (Delay)
zimbraHttpDosFilterDelayMillis parametresi, hız limitini aşan isteklere uygulanacak gecikmeyi belirler:
- -1 (Varsayılan): İstek doğrudan reddedilir (503 hatası döner)
- 0: Gecikme uygulanmaz, istek normal işlenir
- Pozitif değer: Belirtilen milisaniye kadar geciktirilir
# İstekleri reddetmek yerine 20ms geciktir
zmprov mcf zimbraHttpDosFilterDelayMillis 20
# Varsayılana dön (reddet)
zmprov mcf zimbraHttpDosFilterDelayMillis -1
zmmailboxdctl restart3. Güvenli IP Beyaz Listesi
zimbraHttpThrottleSafeIPs parametresi, DoSFilter kontrolünden muaf tutulacak IP adreslerini tanımlar. Varsayılan olarak şu adresler beyaz listededir:
127.0.0.1(localhost IPv4)::1ve0:0:0:0:0:0:0:1(localhost IPv6)- Tüm mailboxd sunucu IP adresleri
ZCS 8.7 ve Üzeri (CIDR Desteği)
8.7 sürümünden itibaren CIDR notasyonu ile alt ağ tanımlaması yapabilirsiniz:
# Tekli IP adresi ekle
zmprov mcf zimbraHttpThrottleSafeIPs 10.1.2.3/32
# Ek IP veya alt ağ ekle (mevcut listeye ekleme)
zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.4.0/24
# Yük dengeleyici IP'sini ekle
zmprov mcf +zimbraHttpThrottleSafeIPs 10.0.0.100/32
zmmailboxdctl restartZCS 8.6 ve Öncesi
Eski sürümlerde CIDR desteği yoktur, IP adreslerini tek tek eklemeniz gerekir:
zmprov mcf +zimbraHttpThrottleSafeIPs 10.1.2.3
zmprov mcf +zimbraHttpThrottleSafeIPs 10.1.2.4
zmmailboxdctl restartBaşarısız Giriş Engelleme (ZCS 8.5+)
Zimbra 8.5 sürümünden itibaren, belirli sayıda başarısız giriş denemesinden sonra IP adresini geçici olarak engelleyen ek bir koruma katmanı bulunmaktadır. Bu özellik, brute force (kaba kuvvet) saldırılarına karşı etkili bir savunma sağlar.
Engelleme Parametreleri
su - zimbra
# Kaç başarısız denemeden sonra engellenecek (varsayılan: 5)
zmprov mcf zimbraInvalidLoginFilterMaxFailedLogin 5
# Engelleme süresi — dakika cinsinden (varsayılan: 15)
zmprov mcf zimbraInvalidLoginFilterDelayInMinBetwnReqBeforeReinstating 25
# Engelleme kaldırma kontrol aralığı — dakika (varsayılan: 5)
zmprov mcf zimbraInvalidLoginFilterReinstateIpTaskIntervalInMin 5
zmmailboxdctl restartParametre Açıklamaları
- MaxFailedLogin: Bir IP adresinden gelen ardışık başarısız giriş denemesi sayısı. Bu eşik aşıldığında IP engellenir.
- DelayInMinBetwnReqBeforeReinstating: Engellenen IP’nin kaç dakika sonra tekrar erişime açılacağını belirler.
- ReinstateIpTaskIntervalInMin: Sistem bu aralıkla engellenen IP’leri kontrol eder ve süresi dolmuş engellemeleri kaldırır.
Sorun Giderme
DoSFilter’ın meşru kullanıcıları engelleyip engellemediğini kontrol etmek için log dosyalarını incelemeniz gerekir.
Log Dosyalarını Kontrol Etme
su - zimbra
# DoS uyarılarını kontrol edin
grep "DOS ALERT" /opt/zimbra/log/zmmailboxd.out
# 503 hatalarını kontrol edin (ActiveSync istemcileri)
grep "503 Service Unavailable" /opt/zimbra/log/sync.log
# Son 100 DoS uyarısını listeleyin
grep "DOS ALERT" /opt/zimbra/log/zmmailboxd.out | tail -100Yaygın Sorunlar ve Çözümleri
ActiveSync İstemcileri 503 Hatası Alıyor
Mobil cihazlar sık senkronizasyon yaptığında DoSFilter limitlerine takılabilir. Çözüm olarak istek limitini artırın veya mobil cihaz alt ağını beyaz listeye ekleyin:
# İstek limitini artırın
zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 150
# Veya mobil ağ alt ağını beyaz listeye ekleyin
zmprov mcf +zimbraHttpThrottleSafeIPs 10.10.0.0/16
zmmailboxdctl restartYük Dengeleyici Arkasında Çalışan Sunucular
Yük dengeleyici (load balancer) kullandığınızda, tüm istekler aynı IP’den geliyormuş gibi görünür. Bu durumda yük dengeleyicinin IP adresini mutlaka beyaz listeye ekleyin:
zmprov mcf +zimbraHttpThrottleSafeIPs YUK_DENGELEYICI_IP/32
zmmailboxdctl restartZimlet veya Üçüncü Parti Uygulamalar Engelleniyor
API üzerinden yoğun sorgu yapan uygulamalar DoSFilter tarafından engellenebilir. Bu uygulamaların kaynak IP adreslerini beyaz listeye ekleyin.
Güvenlik Önerileri
- DoSFilter’ı devre dışı bırakmayın: Performans sorunu yaşıyorsanız limitleri artırın ancak filtreyi tamamen kapatmayın.
- Log izleme: DoS uyarılarını düzenli olarak kontrol edin — gerçek saldırıları meşru trafikten ayırt etmeniz önemlidir.
- Beyaz listeyi güncel tutun: Yeni sunucu veya uygulama eklendiğinde beyaz listeyi güncellemeyi unutmayın.
- Başarısız giriş engelleme: Brute force koruması için başarısız giriş engellemeyi aktif tutun ve eşik değerlerini ortamınıza göre ayarlayın.
- Harici güvenlik duvarı: DoSFilter’ı tek başına yeterli görmeyip, sunucu önünde bir güvenlik duvarı (iptables, fail2ban) kullanarak ek koruma sağlayın.
Destek ve İletişim
Zimbra ile ilgili herhangi bir sorunuz veya destek ihtiyacınız varsa, [email protected] adresinden bize ulaşabilir veya zimbraturkiye.com üzerinden iletişime geçebilirsiniz. Uzman ekibimiz size en iyi hizmeti sunmak için hazır.
