Par défaut, Zimbra ne force pas les utilisateurs en HTTPS. Cela doit être ajouté sur le(s) serveur(s) 'store' avec : zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000"
Zimbra ne protège pas non plus des XSS.
zmprov mcf +zimbraResponseHeader "X-XSS-Protection: 1; mode=block"
Et enfin, pour les navigateurs récents : zmprov mcf +zimbraResponseHeader "X-Content-Type-Options: nosniff"