How to set web server mode on Zimbra mail

Published On Thursday, May 2nd, 2013


Zimbra
หากต้องการแก้ไขให้ระบบ webmail ของเราสามารถทำงานในโหมด http, https หรือทั้งสองอย่าง สามารถทำได้โดยการเปลี่ยน mode การใช้งาน webmail ซึ่งสามารถทำได้ตามวิธีด้านล่างนี้

  1. รันคำสั่งด้านล่างเพื่อทำการเปลี่ยนโหมดการทำงานของ web server บน Zimbra

    ตัวอย่างเช่น
    ต้องการใช้งาน webmail ผ่าน http อย่างเดียว จะรันคำสั่งดังนี้

    ต้องการใช้งาน webmail ผ่าน https อย่างเดียว จะรันคำสั่งดังนี้

    ต้องการใช้งาน webmail ผ่าน http และ https อย่างเดียว จะรันคำสั่งดังนี้
  2. รันคำสั่งด้านล่างเพื่อ restart ระบบ mailbox

Mode ของ zmtlsctl

  • http – เปิดใช้งานเฉพาะ port 80 (http://webmail)
  • https – เปิดใช้งานเฉพาะ port 443 (https://webmail)
  • both – เปิดใช้งานทั้ง port 80 (http://webmail) และ 443 (https://webmail)
  • mixed – ถ้าหากเข้าผ่าน http://webmail ระบบจะทำการ switch ไปที่ https://webmail เพื่อใช้ในการ login หลังจากนั้นจะกลับไปใช้งาน
  • http://webmail ตามปรกติ แต่ถ้าหากเข้าใช้งานเป็น https://webmail ก็จะใช้งาน https://webmail ตามปรกติ
  • redirect – การทำงานคล้าย mode mixed แต่ถ้าหากเข้าผ่าน http://webmail ระบบจะทำการ switch ไปที่ https://webmail

Limitation ของ redirect mode

  • zimbraMailMode redirect only applies to Zimbra Web Client versions Advanced (AJAX), Standard HTML, and Mobile/XHTML. We will make a best effort for any of our connectors such as ZCO to as well within the limitations of the applications.
  • Many client applications will send an auth request in the initial HTTP request to the server (“blind auth”). The implications of this are that this auth request will be sent in the clear/unencrypted prior to any possible opportunity to redirect the client app to HTTPS.
  • Redirect mode allows for the possibility of a man-in-the-middle attack, intentional/unintentional redirection to a non-valid server, or the possibility that a user will mistype the server name and not have certificate-based validity of the server.
  • In many client apps, it is impossible for the user to tell if they have been redirected (for example, ActiveSync), and therefore will continue to use HTTP even if the auth request is being sent unencrypted. (iPhone does have a bug open with apple about this).
  • In short, only zimbraMailMode https can ensure that no listener will be available on HTTP/port 80, that no client apps will try to auth over HTTP, and that all data exchanged with client application will be encrypted.