Monitorando registros DKIM, SPF e DMARC da Centreon

Impressão amigável, PDF & E-mail

Poço, Poço, Poço… Estamos de volta com o Centreon! Hoje um post para manter o controle de registros públicos relacionados ao serviço de e-mail. Então, se não queremos ter problemas de e-mail, certificar-nos-emos de que o registo DKIM, SPF e DMARC existem em nosso domínio.

Si queremos tener un servicio de correo perfectamente configurado, conocemos que tenemos que tener perfectamente configurados los registros DKIM, SPF y DMARC, para ello tenemos múltiples páginas que nos ayudarán a crearlos, validarlos y asegurar que cumplimos los estándares, conseguimos buena reputación y no nos penalizarán los sistemas antispam del resto de organizaciones. Lo dicho la mítica web de https://www.mail-tester.com nos ayudará en tener la configuración óptima.

Una vez este trabajo está realizado, desde el equipo de monitorización podremos sencillamente confirmar que estos registros existen y no se pierden, ya que son tantas cosas las que tenemos que considerar en una organización, que mejor que alguien mire cada punto crítico de la organización.

DKIM

Total, txapas a parte, en este post vamos a conseguir que mediante un par de scripts podremos integrarlos en Centreon para conocer que los registros son válidos, empezamos con ‘check_dkim’, instalamos los requisitos y nos descargamos el script:

yum install python36-devel
pip3.6 install pycrypto
pip3.6 install dnspython

cd /usr/lib/centreon/plugins/
git clone https://github.com/countsudoku/check_dkim.git
cd check_dkim/

Y probamos directamente desde shell el funcionamiento, cada uno obviamente con su nombre de dominio público:

/usr/bin/python3.6 /usr/lib/centreon/plugins/check_dkim/check_dkim.py -d bujarra.com -s default
DKIM OK - DKIM key is there

SPF

O mesmo, instalamos requisitos, nos descargamos el script ‘check_spf_record_match.rb’, lo hacemos executable:

yum install ruby -y
wget https://raw.githubusercontent.com/garymoon/nagios-check-spf-record-match/master/check_spf_record_match.rb
chmod +x check_spf_record_match.rb

E nós tentamos:

/usr/lib/centreon/plugins/check_spf_record_match.rb --domains bujarra.com --debug
Opções: {:debug=>Verdadeiro, :domains=>["bujarra.com"]}
registro para bujarra.com: v=spf1 include:_spf.srv.cat +a +mx include:pepipost.net ~all
OK: Todos os registos sincronizados.

DMARC

Para usar este script baseamo-nos no script anterior de SPF, criámos o de DMARC fazendo uma cópia do ficheiro atual e vamos criar um para nós.

cp ./check_spf_record_match.rb ./check_dmarc_record_match.rb

E fazemos-lhe as seguintes alterações:

  • Substituímos a palavra spf por dmarc
  • Substituímos a palavra SPF por DMARC
  • Na linha 50
    • de: records = dns.getresources(domínio, Resolv::DNS::Resource::EM::TXT)
    • Para: records = dns.getresources(‘_dmarc.’ + domínio, Resolv::DNS::Resource::EM::TXT)
  • Na linha 65
    • de: dmarc_record_n = txt_strings.index{|s| s.downcase.include?’DMARC’}
    • Para: dmarc_record_n = txt_strings.index{|s| s.include? ‘DMARC’}
  • Na linha 70
    • de: coloca txt_strings.index{|s| s.downcase.include?’DMARC’}
    • Para: coloca txt_strings.index{|s| s.include?’DMARC’}
E testamos:
/usr/lib/centreon/plugins/check_dmarc_record_match.rb --domains bujarra.com --debug
Opções: {:debug=>Verdadeiro, :domains=>["bujarra.com"]}
registro para bujarra.com:  v=DMARC1; p=none
OK: Todos os registos sincronizados.

Como de costume, uma vez que sabemos que os comandos funcionam, será a hora de registar os Comandos no nosso Centreon, desde “Configuração” > “Comandos” > “Verifica”. Criaremos neste caso 3 Comandos, um para cada verificação, o único que faremos será ter em conta remover o ‘–Depurar’ utilizado nos exemplos que vimos; e se quisermos e tivermos vários domínios a verificar, podemos mudar isso por algum argumento.
E uma vez que tenhamos os Comandos é hora de criar os Serviços a partir de “Configuração” > “Serviços” > “Services by Host” , neste caso igualmente, faremos 3 Serviços, um para a verificação do DKIM, outro para o SPF e outro para o DMARC. A este tipo de serviços podemos definir a verificação predefinida, talvez 1440 minutos para que seja executada uma vez por dia… a gosto.
Recordar grabar y exportar la configuración de Centreon y si hemos hecho todo bien, podremos verificar que los chequeos são válidos y nos asseguramos que nunca desaparezcan estes registos TXT tão importantes do servidor DNS público.
Esperando que este tipo de temas os generen interesse u os de ideias para poder tentar abarcar qualquer necessidade crítica na empresa e possa afetar ao serviço do negócio.

Postagens recomendadas

Monitorando o Proxmox EV com o Centreon
Ler
Monitoramento do Crowdsec com o Centreon
Ler
Monitorando as regras UTM da web do nosso firewall graças ao Centreon
Ler
Monitorizando Tareas programadas con Centreon
Ler

Autor

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Não hesite em contactar-me, Vou tentar ajudá-lo sempre que puder, Compartilhar é viver ;) . Desfrute de documentos!!!

Um podcast para TI - Dia do Kubernetes 1

14 Junho de 2021

Ganhar um A+ em SSLABS em sites publicados com o NetScaler

29 Junho de 2021