Configuración de seguridad del servidor server-configuration

Protección de carga de archivos

Compruebe con los usuarios operativos qué tipo de archivos cargan en el servidor mediante la consola del cliente de Campaign o la interfaz web. Como recordatorio, las necesidades empresariales pueden ser:

Añádalos todos en serverConf/shared/datastore/@uploadAllowlist (expresión regular java válida). Obtenga más información en esta página.

Adobe Campaign no restringe el tamaño del archivo. Pero puede hacerlo configurando IIS/Apache. Obtenga más información en esta sección.

Relé

Consulte esta página para obtener más información.

De forma predeterminada, todas las páginas dinámicas se transmiten automáticamente al servidor Tomcat local del equipo cuyo módulo web se haya iniciado. Puede optar por no transmitir algunos de ellos. Si no utiliza algunos módulos de Adobe Campaign (como webapp, interaction, some jsp), puede eliminarlos de las reglas de retransmisión.

De forma predeterminada, hemos forzado la capacidad de mostrar los recursos del usuario final mediante http (httpAllowed="true"). Como estas páginas pueden mostrar algunas PII (como contenido de correo electrónico, direcciones), canjear vales y ofertas, debe forzar el uso de HTTPS en estas rutas.

Si utiliza nombres de host diferentes (uno público y otro para operadores), también puede evitar la retransmisión de algunos recursos necesarios por los operadores sobre el nombre DNS público.

Protección de conexión saliente

La lista predeterminada de direcciones URL a las que pueden llamar los códigos JavaScript (flujos de trabajo, etc.) está limitada. Para permitir una nueva dirección URL, el administrador debe hacer referencia a ella en el archivo serverConf.xml.

Existen tres modos de protección de conexión:

<urlPermission action="warn" debugTrace="true">
  <url dnsSuffix="abc.company1.com" urlRegEx=".*" />
  <url dnsSuffix="def.partnerA_company1.com" urlRegEx=".*" />
  <url dnsSuffix="xyz.partnerB_company1.com" urlRegEx=".*" />
</urlPermission>

Los nuevos clientes utilizarán el modo de bloqueo. Si desea permitir una nueva dirección URL, debe ponerse en contacto con el administrador para añadirla a la lista de permitidos.

Los clientes existentes que provengan de una migración pueden utilizar el modo de advertencia durante un tiempo. Mientras tanto, deben analizar el tráfico saliente antes de autorizar las direcciones URL.

Restricción de comandos (del lado del servidor)

En la lista de bloqueados de la se incluyen varios comandos que no se pueden ejecutar mediante la función execCommand. Un usuario de Unix dedicado proporciona una seguridad adicional para ejecutar comandos externos. Para instalaciones alojadas, esta restricción se aplica automáticamente. Para las instalaciones in situ, puede configurar manualmente esta restricción siguiendo las instrucciones de esta página. Además, las actividades de flujo de trabajo Script y External task no están disponibles (instancias recién instaladas).

Otras configuraciones

Puede agregar encabezados HTTP adicionales para todas las páginas (para obtener más información, consulte esta página):

Adobe Campaign permite establecer una contraseña sin formato en el elemento <dbcnx .../>. No utilice esta función.

De forma predeterminada, Adobe Campaign no fija una sesión a una IP específica, pero puede activarla para evitar que se robe la sesión. Para ello, en el archivo serverConf.xml, establezca el atributo checkIPConsistent en true en el nodo <authentication>.

De forma predeterminada, el MTA de Adobe Campaign no utiliza una conexión segura para enviar contenido al servidor SMTP. Debe habilitar esta función (puede reducir la velocidad de envío). Para ello, establezca enableTLS en true en el nodo <smtp ...>.

Puede reducir la duración de una sesión en el nodo de autenticación (atributo sessionTimeOutSec).