Monitoritzant els registres DKIM, SPF i DMARC des de Centreon

Bo, bo, bo… tornem a la càrrega amb Centreon! Avui un post per tenir controlat els registres públics relacionats amb el servei del correu electrònic. Així que si no volem tenir problemes de correu, ens assegurarem que el registre DKIM, SPF i DMARC existeixen en el nostre domini.

Si volem tenir un servei de correu perfectament configurat, coneixem que hem de tenir perfectament configurats els registres DKIM, SPF i DMARC, per això tenim múltiples pàgines que ens ajudaran a crear-los, validar-los i assegurar que complim els estàndards, aconseguim bona reputació i no ens penalitzaran els sistemes antispam de la resta d'organitzacions. El dit la mítica web de https://www.mail-tester.com ens ajudarà a tenir la configuració òptima.

Una vegada aquest treball està realitzat, des de l'equip de monitoratge podrem senzillament confirmar que aquests registres existeixen i no es perden, ja que són tantes coses les que hem de considerar en una organització, que millor que algú miri cada punt crític de l'organització.

DKIM

Total, txapes a part, en aquest post vam aconseguir que mitjançant un parell de scripts podrem integrar-los a Centreon per conèixer que els registres són vàlids, comencem amb 'check_dkim', instal·lem els requisits i ens descarreguem l'script:

yum install python36-devel pip3.6 install pycrypto pip3.6 install dnspython cd /usr/lib/centreon/plugins/ git clone https://github.com/countsudoku/check_dkim.git cd check_dkim/

I probamos directament des de shell el funcionamiento, cada un òbviament amb el seu nombre de domini públic:

/usr/bin/python3.6 /usr/lib/centreon/plugins/check_dkim/check_dkim.py -d bujarra.com -s DKIM per defecte OK - La clau DKIM hi és

FPS

El mateix, instalamos requisits, ens descarregamos el script 'check_spf_record_match.rb', el fem executable:

yum instal·lar ruby -y wget https://raw.githubusercontent.com/garymoon/nagios-check-spf-record-match/master/check_spf_record_match.rb chmod +x check_spf_record_match.rb

Y lo probamos:

/usr/lib/centreon/plugins/check_spf_record_match.rb --domains bujarra.com --debug Opcions: {:debug=>true, :dominis=>["bujarra.com"]}
rècord de bujarra.com: v=spf1 inclou:_spf.srv.cat +a +mx inclou:pepipost.net ~ tot bé: Tots els registres sincronitzats.

DMARC

Per utilitzar aquest script ens basamos en el script anterior de SPF, creem el de DMARC fent una còpia del fitxer actual i en vam crear un per a nosaltres.

cp ./check_spf_record_match.rb ./check_dmarc_record_match.rb

I li fem els següents canvis:

Substituïm la paraula spf per dmarc
Substituïm la paraula SPF per DMARC
En la línia 50
- de: records = dns.getresources(domain, Resolv::DNS::Resource::IN::TXT)
- a: records = dns.getresources('_dmarc.’ + domain, Resolv::DNS::Resource::IN::TXT)
En la línia 65
- de: dmarc_record_n = txt_strings.index{|s| s.downcase.include?'DMARC'}
- a: dmarc_record_n = txt_strings.index{|s| s.include? 'DMARC'}
En la línia 70
- de: puts txt_strings.index{|s| s.downcase.include?'DMARC'}
- a: puts txt_strings.index{|s| s.include?'DMARC'}

I provem:

/usr/lib/centreon/plugins/check_dmarc_record_match.rb --domains bujarra.com --debug Options: {:debug=>true, :dominis=>["bujarra.com"]}
rècord de bujarra.com:  v = DMARC1; p = none OK: Tots els registres sincronitzats.

Com sempre, un cop sabem que els comandaments funcionen, serà l'hora de donar d'alta els Comandaments al nostre Centreon, des de “Configuration” > “Commands” > “Checks”. Crearem en aquest cas 3 comandaments, un per a cada revisió mèdica, l'únic que farem serà tenir en compte treure el '–debug’ utilitzat en els exemples que hem vist; i si volem i tenim diversos dominis a, podem canviar això per algun argument.

I un cop tinguem els Comandaments és hora de crear els Serveis des de “Configuration” > “Services” > “Services by Host” , en aquest cas igualment, farem 3 serveis, un per a la revisió mèdica del DKIM, un altre per a l'SPF i un altre per al DMARC. A aquest tipus de serveis els podem pujar la revisió mèdica predeterminada, a potser 1440 minuts perquè s' executi un cop al dia… al gust.

Recordar gravar i exportar la configuració de Centreon i si hem fet tot bé, podrem verificar que les revises són vàlides i ens assegurem que mai desapareguin aquests registres TXT tan importants del servidor DNS públic.

Esperant que aquest tipus de temes us generin interès o us d'idees per poder intentar abastar qualsevol necessitat crítica a l'empresa i pugui afectar el servei del negoci.