Вы находитесь на странице: 1из 20

В данной части урока будет рассмотрено пошаговое руководство, как

быстро установить Kerio MailServer чтобы он сразу заработал в вашей компании


как почтовый сервер. У нас уже имеются знания о TCP/IP протоколах и
принципах работы почтового протокола SMTP.

Этап 1.
Установиваем Kerio MailServer и настраиваем требуемые параметры, с
использованием мастера настроек (создание первичного домена, а также имя и
пароль для пользователя Admin).
Запускаем Kerio Administration Console.

И получаем доступ к конфигурации всех параметров сервера:


Этап 2
Настройки Параметров Служб

Открываем Конфигурация/Службы (Configuration/Services), чтобы установить


сервисы, которые вы планируете использовать. Если вы, например, хотите
запускать веб-сервер на той же машине, то остановите сервис HTTP / Secure
HTTP или назначьте другой порт для него.
Назначение каждой из служб нам уже известно, поэтому рассмотрим параметры
служб

Список служб содержит следующие пункты:

• Службы
• Статус (Остановлена /Выполняется)
• Запуск (Вручную /Автоматически)
• Слушать IP-адреса и порты, которым разрешен доступ к службе

Параметры выбранных служб могут быть изменены по нажатию кнопки


Редактировать, либо они могут быть вызваны из контекстного меню.
Способ запуска службы (автоматически/вручную). Если выбран автоматический
запуск, служба стартует незамедлительно после загрузки Kerio MailServer. Если
выбран запуск вручную, служба остановлена и она может быть снова запущена
администратором.

IP-адреса и порты прослушивания

Данная секция используется для назначения портов и адресов сервера.


Используя Kerio MailServer, службы могут быть соединены с различными IP-
адресами. Служба на каждом IP-адресе может использовать различные порты
для связи. Это означает то, что два различных веб-сервера на двух разных IP-
адресах могут быть соединены через стандартный порт 80.

Порты

Большинство служб используют стандартные порты и не рекомендуется


изменять их без необходимости (например, в случае конфликта с другим
приложением того же типа). Кликните Default для восстановления настроек по
умолчанию.

Ограничение доступа к службе (Закладка Доступ):

Разрешить доступ только для выбранной группы адресов

Позволяет доступ к выбранной службе только ограниченным IP-адресам


(определенным в выбранной группе). Группа IP-адресов может быть определена
в секции Конфигурация/Определения/Группы IP-адресов или непосредственно в
этом диалоговом окне.

Детальная политика доступа для службы SMTP может быть установлена в секции
Конфигурация/АнтиСпам.

Разрешить анонимный доступ


Эта опция доступна только в службе NNTP (S), поэтому она не содержится в
диалоговых окнах других служб. Эта опция позволяет анонимный доступ к
серверу NNTP. Это означает что любой может регистрироваться в списке
рассылки анонимно.

Максимальное количество параллельных соединений

Эта опция ограничивает количество параллельных соединений в выбранной


службе. Слишком большое количество параллельных соединений могут стать
причиной перегрузки сервера, которая впоследствии может привести к его
отказу. Это также хорошая идея к предотвращению так называемых DoS атак
(Отказ в обслуживании), где атакующий пробует перегрузить сервер слишком
большим количеством параллельных соединений. Установка предельного
значения соединений помогает предотвратить DoS-атаки (Отказ в
обслуживании) против Вашего сервера.

Когда вы планируете ограничить количество соединений, учитывайте


количество пользователей сервера.

Защищенные и не защищенные версии одинаковых служб работают как две


различные службы. Это означает, что имеются два различных способа
обращения к одному и тому же серверу и пользователь (клиент) может выбрать
один из них . Для безопасности и защиты секретности мы настоятельно
рекомендуем использовать безопасную версию для любых средств связи. Однако
это должно поддерживаться программным обеспечением клиента.

Этап 3.
Создаем локальные домены Конфигурация/Домены (Configuration/Domains).
Первичный домен должен быть создан первым. Если вы не уверены, какой
домен должен быть первым, выберите домен с наибольшим количеством
пользователей. Не забудьте заполнить в DNS имя SMTP сервера.
Kerio MailServer может служить нескольким независимым почтовым доменам.
Каждый домен может содержать любое число псевдонимов.

В поле имя Интернет хоста вводим имя компьютера (WIN2008) на который


установлен Kerio MailServer. Имена серверов используются для распознавания
сервера во время обмена информацией протоколом SMTP.
Нажимаем Дополнительно(Advanced) для установки местоположения
общедоступных папок:

• Особое для каждого домена (Unique for each domain) каждый домен
содержит собственные общедоступные папки. Эта конфигурация не
позволяет пользователям получать доступ к папкам другого домена.
• Общее для всех доменов (Global for all domains) пользователи всех
доменов совместно используют одни и те же общедоступные папки.

Рядом находится кнопка Установить как основной (Set as primary) для установки
типа домена (то же самое может быть выполнено с использованием контекстного
меню). Любой домен определенный первым всегда является основным
локальный [Local (primary) ]. Другие домены могут быть установлены как
основной локальный либо просто как локальный.

Отметьте: Каждый новый домен, который вы добавляете может быть установлен


Local (primary), даже если другой домен имеет этот статус. Таким образом после
данной операции новый домен становится первичным, а старый только
локальным (Local)

Основные параметры домена.

Закладка Общие
Здесь мы можем добавить описание домена и установить максимальное число
пользователей домена (по умолчанию - неограниченно)

Закладка Сообщения

Данная закладка позволяет ограничить размер сообщения и кроме этого


предоставляет средства автоматической очистки удаленных и нежелательных
элементов. Имеется также возможность восстановления удаленных элементов,
если это необходимо.

Закладка Псевдонимы (Aliases)

В этом диалоговом меню могут быть определены псевдонимы текущего домена.


Адреса электронной почты внутри этих доменов идентичны (письма
доставляются пользователям с одинаковым именем). Цель этой опции позволить
пользователю быть частью множества доменов.

Предупреждение: должны быть сделаны соответствующие записи DNS для


каждого отдельного домена, если это не локальный псевдоним. Простое
определение домена как псевдоним другого домена не будет создавать домена в
Интернете.

Закладка Сноски (Footers)

На этой закладке можно создать текст, который будет добавлен, как сноска в
каждое письмо, отправляемое с этого домена (сноска будет добавляться к
каждому письму, в котором адрес отправителя содержит имя данного домена).

Закладка Переадресация (Forwarding)


Используя данное поле вы можете установить автоматическую пересылку
сообщений к другому SMTP серверу.

Переадресовать сообщение на другой хост, если получатель не


принадлежит этому домену

Сообщение будет переслано другому SMTP серверу, если получатель не был


найден в данном домене. Сообщения пересылаются, если адрес получателя не
является адресом пользователя, группы пользователей или псевдонима данного
домена. Если в данном домене пользователи, группы пользователей или
псевдонимы не определены, все сообщения также.

Переадресовать на адрес

Имя DNS или IP адрес SMTP сервера, которому пересылаются все письма для
этого домена.

Порт

Порт SMTP сервера. По умолчанию стандартно устанавливается 25 порт.

Интерактивная доставка

В нормальных обстоятельствах Kerio MailServer посылает почту для Forward


domain (домена пересылки) к указанному SMTP серверу немедленно.

Автономная доставка - диспетчером

Если сервер использует dial-up коммутируемое соединение с Internet это может


вызвать слишком частое соединение и разрыв связи (и высокую стоимость
соединения). Выбор этой опции позволяет ставить в очередь и оправлять по
расписанию планировщика пересылаемые сообщения.
Автономная доставка - доставка выполняется с помощью команды ETRN

Kerio MailServer не отправляет письма этого домена к указанному SMTP серверу,


пока не получит ETRN команду от сервера. Этим способом Kerio MailServer может
воспользоваться как вторичный сервер для домена, чей первичный SMTP сервер
в данный момент не соединен с Интернетом.

Если домен в адресе получателя является одним из псевдонимов этого


домена

Здесь вы можете определить, будут ли пересланы сообщения, которые содержат


один из псевдонимов домена в адресе получателя. Эта опция позволяет
избежать зацикливания, в случае если нужный получатель не был найден ни на
одном из серверов с которыми работает данный домен.

Закладка Служба каталога (Active Directory)

Kerio MailServer может работать с учетными записями или группами которые


управляются посредством LDAP (облегченный протокол службы каталогов) (в
настоящее время поддерживаются базы данных Microsoft Active Directory и Apple
OpenDirectory). LDAP обеспечивает выгоду содержа все учетные записи в одном
месте. Это снижает требование к администрированию и возможность
возникновения ошибок.

Для того чтобы Kerio MailServer мог полностью взаимодействовать с Active


Directory необходимо установить Kerio Active Directory Extensions.

Kerio MailServer позволяет добавлять внутренне управляемые учетные записи


пользователей (хранящимися в базах данных LDAP), которые были внесены в
базу данных из Active Directory с одинаковыми электронными адресами доменов.
Это может быть полезно в случаях создания учетной записи Администратора,
которая будет доступна даже если главный сервер будет недоступен.

Данный материал будет рассмотрен позже при изучении Windows 2008 Server

Аутентификация пользователя
В поле аутентификации вы можете указать параметры для аутентификации
пользователей в созданном домене:

Kerberos 5

Имя Kerberos 5 домена, в котором пользователь будут авторизован.Если домен


Windows 2003 или Windows 2008 (Active Directory) используются для
авторизации, имя домена должно быть определено.

Отметьте: Если учетная запись пользователя сохранена в Microsoft Active


Directory (см. использование баз данных LDAP), имя Active Directory должно быть
использовано для определения в данном входе. Если вы используете поле баз
данных LDAP для определения Active Directory, эта запись определяется
автоматически.

Домен Windows NT

NT домен, в котором все пользователи авторизуются. Имя компьютера, на


котором установлен Kerio MailServer должно быть добавлено в этот домен.

Связать данный домен с конкретным IP адресом

Здесь вы можете ввести IP адрес интерфейса хостов Kerio MailServer.Затем,


всякий раз когда клиенты используют этот интерфейс для соединения с Kerio
MailServer, они могут входить в систему используя только имена без доменных
спецификаций.

Пример: Хост Kerio MailServer использует два интерфейса. 192.168.1.10


развернут для сети компании и, названный Company, и 192.168.2.10
развернутый для сети AnotherCompany. Новая учетная запись названная smith
добавлена в домен anothercompany.com (этот домен не является первичным).
Anothercompony.com ограничена IP адресом 192.168.2.10. Пользователям этого
домена не надо указывать свое доменное при соединении с Kerio MailServer.

С другой стороны, пользователи первичного домена должны вводить адрес


полностью, чтобы соединиться с этим интерфейсом.

Создавая новую учетную запись, вы можете выбрать, как данный пользователь


будет авторизоваться. Различные пользователи могут использовать разные
способы авторизации в пределах одного домена.

Удаление доменов

Вы можете удалить домен используя клавишу удаления. Домен не может быть


удален, если:

• Учетные записи определены. Они должны быть удалены в первую очередь


это первичный домен. Однако, вы может сделать новый домен и
определить его как первичный, а затем удалить нужный вам домен.

Этап 4

SMTP-сервер
Настройки SMTP защищают от некорректного использования сервер, на котором
выполняется Kerio MailServer.

Защита почтового сервера от спама позволяет указывать, кто может


пользоваться этим сервером, а также какие операции можно выполнять. Это
защищает сервер от некорректного использования. Если SMTP-сервер доступен
из Интернета, любой клиент может к нему подключиться и использовать для
отправки сообщений, В том числе и для рассылки спама. Получатель такого
сообщения в качестве отправителя видит ваш сервер SMTP и может
заблокировать получение сообщений, исходящих с этого сервера. Вы можете
быть расценены как отправитель спама, а ваш сервер занесен в
соответствующую базу данных.

Kerio MailServer предлагает систему защиты, позволяющую пользователям


определять, кто может отправлять сообщения и куда. Любой может
подключиться к SMTP-серверу, чтобы отправить сообщение внутри домена. Тем
не менее, только авторизованные пользователи могут отправлять сообщения
адресатам вне домена.

В этом разделе также задаются параметры доставки:

Закладка Управление ретрансляцией (Relay Control)


На закладке Управление ретрансляцией можно задать группы разрешенных IP-
адресов и/или авторизацию пользователей на SMTP-сервере.

Разрешить ретрансляцию только для следующих пользователей (Allow


relay only for)

Используется для включения авторизации пользователей по IP-адресу или


имени и паролю. Как правило, авторизованные пользователи могут использовать
сервер для отправки сообщений в любой домен, а неавторизованные только
внутри локального домена.

Пользователи из группы IP-адресов (Users from IP address group)

Используется для указания группы IP-адресов, с которых сообщения могут


отправляться в любой домен. Можно также использовать меню группы IP-
адресов (IP address group) для выбора элементов из списка групп, созданных
при помощи Настройка/Определения/Группы IP-адресов.

Пользователи, авторизованные на SMTP-сервере для исходящих


сообщений (Users authenticated through SMTP server for outgoing mail)

Пользователи, зарегистрированные на сервере SMTP (указавшие верные логин и


пароль), могут отправлять почтовые сообщения в любой домен. Таким образом,
все зарегистрированные в Kerio MailServer пользователи пользуются таким
правом.

Пользователи с определенным IP-адресом, авторизованные на POP3-


сервере (Users authenticated through POP3 from the same IP address)
Пользователи, зарегистрированные на сервере POP3 (указавшие имя и пароль),
имеют доступ к ретрансляции со своих IP-адресов в течение определенного
времени. По умолчанию период равен 30 минутам.

Авторизация по IP-адресу производится независимо от авторизации по


имени/паролю, следовательно пользователь должен отвечать хотя бы одному
требованию.

Открытая ретрансляция (Open relay)

В этом режиме сервер SMTP не анализирует отправителя сообщений. Любой


пользователь имеет возможность отправить сообщение в любой домен.

Не рекомендуется использовать этот режим, если Kerio MailServer открыт для


доступа из Интернет. Иначе ваш сервер может быть использован для рассылки
спама и, как следствие, занесен в черный список.

Закладка Параметры безопасности (Security Options)

Помимо блокировки отдельных отправителей Kerio MailServer позволяет


предотвратить, например, отправку слишком большого числа сообщений или
открытие большого количества соединений (известное как DoS-атака). Такие
параметры можно установить в разделе Параметры безопасности (Security
Options).

Макс. число сообщений, поступающих в течение часа с одного IP-адреса


(Max. number of messages per hour)

Максимально возможное количество сообщений, отправляемых в течение часа с


одного IP-адреса. Функция защищает дисковую память от перегрузки большим
числом отправляемых сообщений (зачастую одинаковых или нежелательных).
Макс. число одновременных соединений SMTP, открытых с одного IP-
адреса (Max. number of concurrent SMTP connections)

Максимально допустимое число одновременных TCP-соединений, установленных


между сервером SMTP и одним IP-адресом. Способ защиты от DoS-атак. Слишком
большое число одновременно открытых соединений перегружают систему, в
следствие чего к серверу не могут подключиться новые пользователи.

Макс. число неизвестных получателей (Max. number of unknown


recipients)

Используется в качестве защиты от так называемой атаки Directory harvest,


отправитель угадывает адреса получателей, задавая часто используемые имена
пользователей, и при этом делает слишком много ошибок.

Не применять эти ограничения для группы IP-адресов (Do not apply


these limits to IP address group)

Задает группу IP-адресов, на которые не накладываются ограничения. Это


правило обычно применяется к группам локальных пользователей. Такие
пользователи все исходящие сообщения отправляют посредством Kerio
MailServer. Следовательно, количество сообщений, отправляемых ими на сервер,
намного больше числа сообщений, поступающих от внешних пользователей
(серверов) и направленных получателям локального домена.

Блокироватьсообщение, если почтовыйдомен отсутствует в базе DNS


(Block if senders mail domain…)

При получении сообщения Kerio MailServer проверяет, имеется ли в DNS запись


о домене отправителя. Если такая запись отсутствует, сообщение отбрасывается.
Эта функция защищает от получения сообщений с фиктивными адресами в
качестве отправителя.

Использование этой функции может замедлить работу Kerio MailServer


(ожидание ответа сервера DNS может занять несколько секунд).

Максимальное число получателей, указанных в сообщении (Max. number


of recipients in a message)

Максимальное допустимое количество получателей, указанных в разделе Rcpt


To: SMTP-конвeрта. Функция защищает сервер от возможного образования
циклов между двумя или более SMTP-серверами.

Макс. число команд, завершающихся сбоем в сеансе SMTP (Max. number


of failed commands)

Зачастую спам рассылается при помощи особых программ, соединяющихся с


SMTP-серверами и игнорирующих сообщения об ошибках, выдаваемых этими
серверами. Если включить эту функцию, Kerio MailServer будет автоматически
разрывать SMTP-соединения, в ходе которых превышено заданное число
неудачно завершившихся команд.

Ограничить максимальный размер входящих сообщений SMTP до: (Limit


maximum incoming SMTP message size to)

SMTP-сервер принимает только сообщения, размер которых ограничен заданной


величиной. Функция защищает сервер от перегрузки слишком большими
сообщениями. Значение 0 снимает ограничение на размер принимаемых
сообщений. Величину сообщений можно указывать как в килобайтах (KB), так и
в мегабайтах (MB).

Максимальное число принятых заголовков полученных сообщений:


(Maximum number of accepted Received headers (hops))

Функция помогает блокировать сообщения, попавшие в цикл пересылки.

Закладка Доставка SMTP (SMTP Delivery)

В этом разделе задаются параметры доставки сообщений:

Доставлять сообщения напрямую с помощью записей DNS MX (Deliver


directly using DNS MX records)

Почта отправляется напрямую в домен получателя, адрес которого выясняется с


помощью почтовых записей DNS.

Использовать сервер ретрансляции SMTP (Use relay SMTP server)

Вся исходящая почта отправляется через ретранслирующий SMTP-сервер.

Имя Сервера ретрансляции (Relay server hostname)

Имя DNS или IP-адрес сервера, используемого для ретрансляции сообщений.

Порт Сервера ретрансляции (Relay server port)

Порт, используемый ретранслирующим SMTP-сервером. Обычно используется


стандартный порт 25.

При обращении на сервер ретрансляции требуется аутентификация


(Relay server requires authentication)

Функция используется в случае, когда ретранслирующий сервер требует


идентифицировать отправителя (Kerio MailServer) при помощи пары имя
пользователя/пароль. Заполните поля User (Пользователь) и Password (Пароль).

Аутентификация (Authentication)
Способ идентификации на сервере ретрансляции: команда SMTP AUTH (SMTP
AUTH Command) или POP3 перед SMTP (POP3 before SMTP) Сначала
идентифицируется указанный пользователем локальный почтовый ящик POP3,
после чего разрешается отправка сообщений через сервер SMTP. Вводимые
здесь имя пользователя и пароль используются только для входа в почтовый
ящик, сообщения при этом не считываются. Следовательно, для отправки
сообщений нет нужды указывать почтовый ящик в разделе Настройка/Загрузка
POP3 (Configuration/POP3 Download).

Использовать протокол SSL, если он поддерживается удаленным


сервером SMTP (Use SSL if supported by remote SMTP server)

Отправляя сообщение, сервер сначала пытается использовать защищенное


соединение. Если SSL не поддерживается, используется незащищенное
соединение. Таким образом, обеспечивается максимально возможный уровень
безопасности.

Параметры очереди (Queue Options)

На этой закладке задаются параметры очереди отправки почтовых сообщений.


Их можно увидеть в разделе Состояние/Очередь сообщений (Status/Mail Queue).

Максимальное количество потоков доставки (Maximum number of


delivery threads)

Максимальное число потоков, используемых для отправки сообщений из


очереди (максимальное количество одновременно отправляемых сообщений).
Значение должно задаваться с учетом возможностей процессора и скорости
соединения с Интернет.

Интервал времени между попытками доставки (Delivery retry interval)

Продолжительность паузы между попытками отправить сообщение.

Возвратить сообщение отправителю, если доставка не будет выполнена


в течение: (Return the message to sender)
Если невозможно доставить сообщение по истечении заданного времени, оно
возвращается отправителю, при этом сообщение автоматически удаляется из
очереди.

Для задания интервала можно использовать предопределенные единицы


измерения (минуты, часы, дни).

Однако единицы измерения не определяются, когда сообщение отправляется


через ретранслирующий SMTP-сервер.

Послать предупреждение отправителю…(Send warning to sender)

Если сообщение не отправлено по истечении указанного периода, отправителю


отправляется предупреждение (при этом сервер продолжает попытки отправить
сообщение).

Язык отчета (Report language)

Язык, используемый в сообщениях об ошибке, предупреждениях и


информативных сообщениях.

Отчеты сохраняются в папке reports, находящейся в каталоге установки Kerio


MailServer (в кодировке UTF-8). Администратор может изменять отчеты или
добавлять версии отчетов на других языках.

Оценить