Alt-N MDaemon – почтовая система для средних и крупных компаний

РОМАН МАРКОВ

Alt-N MDaemon – почтовая система

для средних и крупных компаний

Alt-N MDaemon – почтовый сервер корпоративного уровня для ОС семейства Windows. Уже с первых версий данный продукт пользовался заслуженной популярностью среди администраторов Windows-систем, благодаря чему постоянно совершенствовался и дополнялся новыми возможностями. На сегодняшний день MDaemon – это SMTP/POP/IMAP сервер с полным набором возможностей: защита от спама, безопасный доступ к почте через веб-интерфейс при помощи обычного браузера, удаленное администрирование, а также при установленном MDaemon AntiVirus защита вашей системы от почтовых вирусов.

MDaemon AntiVirus был разработан Alt-N совместно с Kaspersky Labs для обеспечения хорошего уровня встроенной защиты для пользователей MDaemon. Он перехватывает, подвергает карантину, исправляет и/или удаляет любое сообщение, в котором найден вирус. Большой набор гибких правил для Content Filter позволяет производить дополнительный анализ, сортировку и обработку писем. Например, явное запрещение вложений в виде исполняемых файлов позволяет максимально защититься от новых вирусов, сигнатуры которых еще не включены в антивирусную базу.

К сожалению, антивирусные продукты других производителей не анонсированы на официальном сайте Alt-N, что является минусом для администраторов, предпочитающих другие решения. Однако «прикрутить» к Mdaemon другой антивирус все же можно, используя нетривиальные подходы. Например, правила сортировки с запуском сторонней программы при поступлении письма, а также запуск программы при наличии сообщений в очереди. Помимо этого можно использовать online-сканирование папок, в которых сохраняются временные файлы при получении письма, а также папок пользователей. Причина отсутствия штатной интеграции с другими антивирусами автору данной статьи, к сожалению, неизвестна.

Помимо этого с MDaemon интегрируются следующие продукты от Alt-N:

• LDaemon – LDAPv3-сервер (Lightweight Directory Access Protocol). С LDaemon ваши адресные книги путешествуют вместе с вами. LDaemon скачивается отдельно и предлагается пользователям MDaemon бесплатно.
• MDaemon GroupWare – вместе с MDaemon Pro раскрывает функции групповой работы Microsoft Outlook, используя MDaemon в качестве серверной платформы. Пользователи Outlook могут совместно использовать папки Календаря, Задач, Контактов, Заметок и Дневника без применения Microsoft Exchange Server.
• RelayFax – факс-сервер с возможностями OCR и поддержкой TWAIN. Входящие и исходящие факсы маршрутизируются в соответствии с гибкими правилами и могут включать различные критерии, такие как OCR, Caller-ID или факс-аппарат.

Системные требования и первоначальная установка

MDaemon не слишком требователен к ресурсам при минимальной нагрузке, однако при ее возрастании (увеличение количества учетных записей, многочисленные правила сортировки, большой поток писем) эти требования резко меняются. Прежде всего необходимо обеспечить достаточно большой объем оперативной памяти. Именно ее может не хватить при большой нагрузке на почтовый сервер. Производитель (www.altn.com) указывает следующие минимальные требования к оборудованию:

• Pentium III 500 МГц и выше.
• 512 Мб RAM (рекомендуется 1 Гб).
• Свободное место на диске для установки – 30 Мб + дополнительное место под хранение писем, а также log-файлов.
• Microsoft Windows 95 OSR2/98/ME/XP/NT/2000/2003.
• Winsock 2 (для старых версий ОС).
• Internet Explorer 4.0 и выше.

К сожалению, на сайте производителя не указывается, для какой нагрузки необходимы именно такие требования. Поэтому ниже приведены проверенные автором на практике данные о необходимых ресурсах.

Многолетний опыт использования почтового сервера MDaemon (начиная с версии 3.xx и до сегодняшней – 7.xx) показал, что он идеально подходит для организаций любого масштаба – от малого бизнеса до крупной компании. Поэтому использование этого продукта даже для сети из 5-10 компьютеров оправдано: гибкая система сортировки практически по любым условиям и в зависимости от этих условий – выполнение разнообразных действий (например, при наличии в письме вложения с «запароленным» архивом – отсечь вложение, отправить автоответ, запустить указанную программу, и изменив тему письма, доставить пользователю), наличие веб-интерфейса и другие описанные выше возможности помогают сделать любую почтовую систему безопасной и удобной. Причем минимальные системные требования, указанные производителем, являются несколько завышенными применительно к объему оперативной памяти. Автор статьи использует в качестве почтового сервера на базе MDaemon 7.xx компьютер с объемом оперативной памяти 256 Мб. При этом в системе функционирует около 200 почтовых ящиков, встроенный антивирус, веб-интерфейс, а также довольно много правил сортировки. Правда, одновременное использование всех возможностей, дополнительных модулей, а также дальнейший рост количества пользователей как раз и увеличит этот лимит до 512 Мб.

Для установки почтового сервера рекомендуется использовать ОС семейства Windows NT (Windows NT/2000/XP/2003), так как MDaemon, как и любое серверное приложение, лучше устанавливать в качестве системной службы. Дистрибутив скачиваем с официального сайта: http://www.altn.com/download.

В этой статье описывается установка и настройка английской версии MDaemon. Существует локализованная сторонней компанией русская версия (www.MDaemon.ru), однако чаще всего системные администраторы не доверяют «нефирменным» локализациям, предпочитая оригинальные версии от производителя продукта.

Если система будет масштабной и критичной к сбоям, выбираем качественный и надежный носитель, например, RAID-1 из SCSI-дисков. В окне «Registration Information» вводим имя приобретенной лицензии и имя компании, а также регистрационный ключ. Продукт имеет 30-дневный trial-период, в течение которого его можно протестировать бесплатно. После окончания срока работы пробной версии необходимо будет активировать продукт.

Сразу после установки запустится мастер, при помощи которого можно ввести первоначальную информацию о почтовой системе. В первом окне «What is your domain name» введите имя своего домена (то, что находится справа от символа @, не включая сам символ). Например, тестовый домен: lagman.spb.ru. Здесь же можно кликнуть по ссылке и воспользоваться услугами бесплатного сервиса по регистрации доменов «dns4you». Однако такой способ хорош только для тестового режима.

Для создания корпоративной почтовой системы рекомендуется зарегистрировать доменное имя, воспользовавшись услугами провайдеров. В следующем окне «Please Setup your first account» необходимо ввести первую учетную запись нашей почтовой системы, которой автоматически будут делегированы полные права по конфигурированию домена, а также сопоставлен alias «Postmaster» как обязательный согласно требованиям RFC. Вводим имя, предпочитаемый вами login (без символа @ и имени домена – они будут автоматически добавлены при создании), а также пароль. Помните, что пароль этой учетной записи должен быть сложным. Убедимся, что флажок «This account is an administrator – full configuration access is granted» установлен и перейдем на следующую страницу мастера. В окне «Please Setup Your DNS» вводим адреса DNS-серверов, предоставленных нам провайдером подключения к сети Интернет, либо других доступных DNS-серверов. Флажок «Use Windows DNS-settings» снимаем – такие настройки лучше прописывать явно.

В следующем окне мастера выбираем режим, в котором будет запускаться сервер – Easy или Advanced. Отличия данных режимов описаны на сайте производителя в разделе Features. Мы выбираем полный функционал – Run MDaemon in «Advanced Mode». В следующем окне будет предложено установить MDaemon в качестве системной службы. Устанавливаем флажок «Setup MDaemon as a system service». Оставляем флажок «Start MDaemon» в последнем окне мастера и выбираем «Finish». Сервер должен запуститься. Если по каким-либо причинам этого не произошло при первоначальной установке, выберите из меню «Пуск –> MDaemon» ярлык «Start MDaemon». Если вы используете не тестовую, а полноценную версию программы, прежде всего необходимо активировать ваш программный продукт. Делается это в меню «Help –> Activate your software». Запустится мастер активации. Вам будет предложено активировать автоматически через интернет или вручную, введя код активации. На этом установка завершена, и сервер готов к настройке.

Начальная настройка почтового сервера

Настройка почтового сервера начинается с конфигурирования системных параметров. Не будем расписывать все опции каждого меню конфигурирования – это тема отдельного справочника. К тому же встроенная справочная система подробно и полностью описывает назначение каждой настройки (на английском языке). Опишем только те опции, которые необходимо изменить либо проверить их значение. Для настройки в качестве примера можно использовать приведенные скриншоты.

Меню «Setup –> Miscellaneous Options». На закладке GUI задаем параметры запуска сервера MDaemon. Тут все индивидуально и зависит от личных предпочтений. Скажем лишь, что полезно установить опцию «Start MDaemon…» в «In the system tray» и «Create Sessions…» в «In a hidden window». Первая при старте сворачивает MDaemon в системный трей, а вторая задает запуск активных сессий (отправка и получение почты) в скрытом окне, которое не будет мешать при просмотре логов и настроек. Параметр «Max number of log lines…» задает количество строк, которое будет отображаться в окнах протоколирования сессий перед их затиранием. Обращаем внимание на то, что эти параметры влияют только на количество отображаемых на экране строк – размер лог-файлов задается в другом меню. Раздел «Composite log windows contains» позволяет включить/отключить отображение требуемых окон протоколирования. То есть если мы не используем LDAP и IMAP – можно смело отключить вывод этих окон.

Рисунок 1

На закладе Servers оставляем почти все, как есть. В поле «POP/IMAP server always accept connections from IP» устанавливаем адрес локальной петли 127.0.0.1 или IP-адрес нашего сервера. Подключения с этого адреса будут возможны всегда, независимо от параметров защиты MDaemon. Если ваш сервер предоставляет POP3 доступ для клиентов с тонкими и нестабильными интернет-каналами, полезно установить флажок «POP DELE command immediately removes messages from mailbox». Тогда уже полученные клиентами сообщения будут удаляться немедленно и при обрыве связи получение продолжится с первого еще не доставленного сообщения (в обычном режиме полученные сообщения удаляются только после завершения сессии POP3, и при обрыве связи доставка начинается с начала, дублируя уже полученные письма и создавая лишний трафик). При необходимости можно установить лимит на объем отсылаемых/получаемых по протоколу SMTP писем. Для этого предназначены опции Data Transfer Limits. Крайне рекомендуется установить значение Max acceptable SMTP message size отличным от 0. В противном случае неопытные пользователи будут беспрепятственно отсылать письма любой величины (частый пример – огромные фотографии или видеоролики). Приемлемое значение – от 2500 до 10000 Кб. Не рекомендуется устанавливать значение менее 2500 Кб, так как стандартный размер дискеты 1.44 Мб при пересылке достигает примерного объема 2,2 Мб. Более 10 Мб также устанавливать не стоит – приучайте пользователей разбивать файлы на части. Даже если ваш почтовый сервер отправит такое сообщение – не всякий почтовый сервер его примет. В итоге сообщение вернется к вам, создав никому не нужный входящий трафик. Если передающий клиент поддерживает команду ESMTP SIZE, то соединение будет разорвано сразу. В противном случае MDaemon начнет прием сообщения, и после завершения соединения отвергнет его доставку адресату. Опция «Kill the connection if data transmission exceeds» позволяет задать суммарный объем данных на сессию, при превышении которого данное соединение будет разорвано.

Рисунок 2

На следующем скриншоте видно, что сеанс был завершен принимающим сервером сразу после того, как обнаружилось несоответствие размера принимаемого письма и заданного на сервере ограничения.

Рисунок 3

Следующие закладки до «Misc» пропускаем – для нашей настройки они пока не нужны. На закладке «Misc» проверяем и устанавливаем флажки «Create ‘Everyone Lists’», «Create ‘MasterEveryone’ Lists». В предыдущих версиях MDaemon данные опции были включены по умолчанию. Они создают списки рассылки. Everyone@ включает в себя все почтовые адреса конкретного почтового домена (почтовых доменов может быть несколько), а MasterEveryone@ – абсолютно все почтовые адреса почтового сервера. Данные списки позволяют организовывать корпоративную рассылку для всех сотрудников, что является очень удобным способом оповещения работников предприятия. При соблюдении политики сложных паролей и прочих параметров безопасности можно быть уверенным, что спаммеры не воспользуются данным списком, так как по умолчанию отправить письмо для списка рассылки может только администратор почтовой системы либо пользователь, которому администратором явно делегировано такое право.

Флажок «Require strong passwords» предписывает использовать только сложные пароли (не менее 6 символов, включающие в себя буквы и цифры в разных регистрах, а также не содержащие частей названия ящика) к ящикам для предотвращения возможности несанкционированного доступа. Если вы будете предоставлять доступ к почтовому серверу извне – крайне рекомендуем использовать именно такие пароли, причем увеличить их длину до 8 символов. Минимальная длина пароля задается в файле MDaemon.ini (MDaemonApps) –> Секция [Special] –> MinPassword Length=XX. Пароли для всех протоколов едины и задаются в свойствах каждой учетной записи (либо, если используется сквозная аутентификация в домене NT/AD, берутся из соответствующей БД).

Флаг «Periodically check for new MDaemon updates» разрешает серверу MDaemon самостоятельно проверять наличие обновлений на сайте производителя. В случае появления новой версии значок в трее будет мигать.

Рисунок 4

Теперь настроим размер и расположение log-файлов. По непонятной причине (ошибка разработчиков или сомнительная задумка) независимо от пути установки MDaemon создает на диске C: папку MDaemon и в ней подпапку Logs, куда и записывается часть log-файлов. Сразу исправим эту ошибку: остановим сервис MDaemon, откроем файл Apps MDaemon.ini и заменим значение переменной LogFiles в секции [Directories] на путь установки MDaemon. После этого перенесем все файлы из папки C:MDaemonLogs в папку установки, удалим с диска C: уже ненужный каталог и снова запустим службу. Затем в окне «Setup –> Logging» настроим необходимые нам параметры.

На закладке «Log Mode» необходимо выбрать вид имен log-файлов (стандартные или основанные на дате/дне недели). Для общего комплексного анализа рекомендуется выставить «Create a standard set of log files». Если необходимо осуществлять поиск записей по дням – лучше воспользоваться набором log-файлов с именами, основанными на днях недели или дате. То же самое с опциями «Log detailed mail-sessions» (записывать подробный протокол сессий) и «Log summarized mail sessions» (записывать краткий протокол сессий). Если необходимо будет анализировать возможные проблемы с отправкой/приемом писем по протоколу SMTP – лучше записывать подробный протокол. Это может понадобиться при рассмотрении жалоб пользователей, связанных с функционированием системы доставки почты. Если log-файл служит только для краткого анализа успеха/неудачи (например, анализ системой подсчета трафика) – лучше выбирать краткий формат файлов. Разумеется, что подробное протоколирование требует гораздо большего дискового пространства. Опция «Log each service into separate log file» позволяет разделять протоколы различных служб MDaemon по отдельным файлам, что, несомненно, удобнее при поиске необходимой информации.

Опции закладки «Maintenance» позволяют задать максимальный размер log-файлов, а также настроить архивирование старых файлов, возраст которых превысил количество дней, задаваемое в поле «Automatically ZIP and archive log file older than ….. days». При этом следует помнить, что данная опция действует, только если на предыдущей закладке выбрана опция «Create a standard set of log files».

На закладке Options отмечаем те службы, протокол работы которых необходимо записывать в log-файлы. Также устанавливаем флажки «Always log to screen» и «Log session in real time». Первая опция устанавливает одновременный вывод протоколов, записываемых в log-файлы на экран, а вторая – разрешает этот вывод в режиме реального времени, а не постфактум после осуществления операции. Это полезно при анализе и устранении возможных ошибок.

Рисунок 5

Настройка доменной почтовой системы

Определимя со способом доставки почты. MDaemon – полнофункциональный почтовый сервер и имеет различные механизмы для получения почты, которые при необходимости могут использоваться одновременно. Первый способ – настройка MX-записи с наивысшим приоритетом в DNS-записях вашего домена на внешний IP-адрес сервера MDaemon. Помните, что такой способ требует от вас внимательной настройки безопасности почтового сервера. В противном случае вы рискуете предоставить спамерам открытый relay, что неизбежно повлечет за собой жалобы вашему провайдеру, а также создаст большой паразитный трафик.

Замечание. Если почтовый сервер, на который установлен MDaemon, находится внутри локальной сети и выходит в Интернет, используя технологию NAT, необходимо организовать проброс портов (Port-Map) с 25-го порта внешнего интерфейса сети на внутренний интерфейс почтового сервера. Также не забудьте прописать шлюз по умолчанию и DNS-сервера в свойствах TCP/IP-соединения по локальной сети.

Второй способ – это создание провайдером доменного почтового ящика, в который будут доставляться абсолютно все письма, посланные на ваш почтовый домен (или домены, если их несколько). MDaemon будет получать письма с этого ящика по протоколу POP3, сортировать и складывать в папки существующих пользователей. В этом случае при расположении сервера MDaemon на интернет-шлюзе компании не забудьте о принудительном запрете входящих подключений к порту TCP/25 внешнего интерфейса для предотвращения попыток несанкционированной рассылки с использованием вашего сервера. В некоторых случаях порт TCP/25 требуется открыть, например, если вы разрешите использовать ваш сервер в качестве SMTP-сервера для обладателей ящика на нем. В этом случае необходимо очень тщательно спланировать безопасность, например, включив обязательную авторизацию SMTP-сессий и задав всем учетным записям сложные пароли. Mdaemon поддерживает шифрованные протоколы аутентификации, а также STARTTLS, STLS для SMTP, POP3, IMAP-сессий. Помимо этого имеется возможность шифровать сессии веб-доступа к почтовым ящикам. Настройку можно произвести в меню Security – SSL/TLS/Certificates.

В обоих случаях мы получаем полную независимость от провайдера (кроме содержания DNS-записи, если, конечно, вы не делаете это своими средствами) и возможность управления своими почтовыми ящиками внутри нашей сети, мгновенно активизируя внесенные изменения.

Поддерживается и третий способ получения почты – ETRN. Он объединяет в себе преимущества первого метода и безопасность второго и заключается в том, что провайдер собирает всю адресованную вам почту в одну очередь, которую и перенаправляет на ваш IP-адрес по протоколу SMTP, когда ваш хост доступен, либо по сигналу от вашего сервера на разбор очереди. В этом случае мы должны будем разрешить входящие подключения на порт TCP/25 только для Relay-сервера провайдера.

Устанавливаем расписание обмена почтой: «Setup –> Event Scheduling». Для постоянной доставки почты через определенный интервал времени устанавливаем флажок «Deliver/collect remote mail at this interval» и передвигаем указатель интервала на необходимое нам время. Также устанавливаем флаг «Deliver remote mail immediately upon reception» для того, чтобы полученные письма сразу доставлялись пользователю. Если вам необходимо создать другое, более гибкое расписание, то в вашем распоряжении все средства для этого. Снимаем флаг: «Deliver/collect remote mail at this interval» и вручную настраиваем любое расписание. Если вы используете Dial-Up, то здесь же можно настроить параметры подключения и отключения (RAS setup).

Помните, что если почтовый сервер будет получать письма напрямую от отправителей по протоколу SMTP, то письма начнут доставляться сразу после создания домена, поэтому если вы переводите на MDaemon уже существующую внешнюю систему, сначала необходимо завести учетные записи пользователей (почтовые ящики), а только затем производить открытие порта TCP/25 на вход. Однако это спорное решение, т.к. в данном случае отправителям будут возвращены все письма, которые были посланы ими в момент перевода MX-записи домена на ваш IP-адрес. Если же сначала открыть порт TCP/25, а затем заводить пользователей, то в зависимости от настройки условий доставки писем для неопознанных адресатов, такие сообщения будут либо приняты и направлены пользователю Postmaster, либо – так же, как и в предыдущем случае – возвращены отправителю. Как выход, при грамотном планировании перевода почтовой системы от провайдера к себе можно настроить MX-запись с более высоким приоритетом на свой IP-адрес уже после полной настройки почтового сервера.

В случае перевода на MDaemon системы с получением почты по протоколу POP3 с единого ящика, перед настройкой параметров в DomainPOP (см. далее) необходимо создать все необходимые ящики.

Произведем настройку нашего почтового домена (Primary Domain). Меню «Setup –> Primary Domain». На закладке «Domain» уже указаны настройки, которые мы ввели во время установки почтового сервера. При необходимости их можно изменить. Если используется прямое получение почтовым сервером почты по протоколу SMTP (MX-запись соответствует нашему внешнему IP-адресу), то в поле «Primary Domain IP» указываем именно этот IP-адрес. В противном случае можно указать либо внутренний IP, либо адрес локальной петли 127.0.0.1.

На закладке «Delivery» указывается способ отправки писем нашим почтовым сервером во внешний мир:

• «Always send every outbound email to the server specified below» – всегда отправлять исходящие сообщения на сервер, указанный в поле «Mail server». В поле «Mail server» указывается SMTP-сервер вашего провайдера.
• «Try direct delivery but send problem emails to the server specified below» – пытаться отправить напрямую, а в случае неудачи – через хост, указанный в поле «Mail Server».
• «Always send all outbound email directly to the recipient’s mail server» – всегда отправлять почту только напрямую получателям.

Закладка «Ports» позволяет изменить стандартные привязки служб MDaemon к портам. В случае если вы поменяли какое-либо значение, для вступления изменений в силу необходимо нажать «Bind to new port values now». В противном случае изменения вступят в силу только после перезагрузки службы MDaemon.

В закладке «DNS» находятся данные об используемых почтовым сервером DNS-серверах, указанные нами еще на этапе установки. При необходимости их можно сменить. Помимо этого можно настроить параметры опроса MX- и A-записей, согласно которым будут производиться действия над письмами в случае получения сообщений об ошибках. В частности, установка флага «Use ‘A’ record IP addresses found within MX record packets» разрешает серверу MDaemon при отсутствии MX-записи для домена попытаться доставить сообщения по IP-адресу, возвращенному A-записью получателя. Более подробно о протоколе SMTP можно прочитать в RFC1891 (для хорошего понимания принципов обмена по почтовым протоколам настойчиво рекомендуется это сделать). Установка флага «Immediately return mail when DNS says domain does not exists» позволит сразу же возвращать отправителю письмо, если DNS-запрос имени домена возвратил результат «Домен не существует». Это предотвратит постановку такого письма в очередь системы повтора, что, в общем-то, является в данном случае бесполезным (исключения составляют некорректные переносы зон их держателями, однако это редкое исключение из правил).

Раздел «Timers» предоставляет возможность изменить величины тайм-аутов на различные события при соединении.

На закладке «Sessions» рекомендуется настроить предельное количество одновременных сессий различных типов. При медленной исходящей скорости канала рекомендуется установить величину «Maximum concurrent SMTP outbound sessions» значением не более 2-4. В любом случае даже при наличии быстрого канала не стоит злоупотреблять этим параметром. Приемлемая величина этой переменной для быстрых каналов (512 kbit/s и более) – 10-20.

Параметр «Maximum concurrent SMTP inbound sessions» влияет на максимальное количество одновременно входящих сессий по протоколу SMTP. В случае превышения заданной величины клиенты получат сообщение «Server too busy».

Закладка «Unknown mail» позволяет указать на действие, которое необходимо производить с письмами, адресат которых не опознан. Подразумевается, что доменный адрес в доставленном письме соответствует обслуживаемым доменам MDaemon, однако такого пользователя в системе не существует. Имеется возможность возвращать письмо отправителю с комментарием «No such user», а также отправлять копию такого письма администратору почтового сервера (копия отправляется как вложение). Возврат письма отправителю возможен только при получении почты по протоколу SMTP.

На закладке «Pruning» задаются образцы доменных квот. Здесь рекомендуется задать значения, отличные от 0, так как в противном случае редко проверяемые ящики, на которые приходит большое количество писем, будут занимать много места на диске. Это же замечание относится к ящикам пользователей, которые бездумно устанавливают в свойствах почтового клиента опцию «Оставлять письма на сервере», не указывая максимальный срок их хранения. Разумные сроки удаления неактивных учетных записей и устаревших писем для каждой организации свои. Просто рекомендуем не забывать про наличие этого раздела. Письма в Mdaemon хранятся для каждого ящика отдельно, в папке Users. Каждое письмо представляет собой отдельный файл с расширением *.msg.

Раздел «Archival» позволяет отправлять копию абсолютно всех входящих и исходящих писем указанным пользователям (адреса разделяются запятой), а также архивировать их в общую IMAP-папку, доступ к которой по умолчанию имеет только Postmaster. Данная опция применяется для контроля службой безопасности любой проходящей через ваш почтовый сервер информации.

«Dequeue» – данная закладка служит для настройки получения почты от провайдера по ETRN. Укажите здесь адрес, по которому ваш сервер должен посылать сигнал о начале сеанса доставки вам почты по протоколу SMTP со стороны провайдера.

Если у нас несколько почтовых доменов, то необходимо их сконфигурировать. Заходим в Setup – Secondary Domains, указываем имя для вторичного домена, в поле Ip Address указываем IP адрес для этого домена. Если подключение к вторичному почтовому домену будет осуществляться с использованием IP адреса, не совпадающего с IP адресом первичного домена, необходимо указать Bind sockets to this IP only. При этом создаваемые нами учетные записи пользователей уникальны и принадлежат только конкретному домену. То есть при создании новой учетной записи через Account Manager в системе с несколькими доменами нам необходимо ввести его Login, а также указать, к какому домену он принадлежит, выбрав из выпадающего списка требуемый. При импорте пользователей из базы NT/AD необходимо выбрать, в какой домен будут внесены записи. Если необходимо, чтобы один пользователь получал почту с разных доменов, необходимо создать соответствующие алиасы.

Если почтовый сервер будет забирать почту у провайдера по протоколу POP3 c доменного почтового ящика, то последним шагом первоначальной настройки MDaemon будет указание свойств этого ящика (их может быть несколько). Меню «Setup –> DomainPOP». На закладке Account устанавливаем переключатель «Enable DomainPOP mail collection engine» и вводим адрес POP3-сервера, имя и пароль для доступа. Если ящиков, с которых будет доставляться почта, несколько (например, при наличии нескольких почтовых доменов), то можно задать параметры остальных ящиков, нажав «Extra hosts» и отредактировав текстовый конфигурационный файл по указанному в нем же шаблону. После принятия изменений MDaemon будет собирать почту с указанных ящиков согласно расписанию, созданному нами в меню «Event Scheduling». Можно задать дополнительные параметры, например, оставлять письма на сервере – «Leave a copy of message on host server», не скачивать (и при необходимости удалять прямо с сервера) письма, размер которых больше, чем указанная величина, – «Don’t download messages larger than [XX] KB (0 = no limit)». При медленном входящем канале полезно установить опцию «Download messages according to size (small messages first)». В этом случае сообщения будут скачиваться согласно их размеру – меньшие по размеру в первую очередь. Это позволит большому количеству малых по размеру сообщений быть полученными быстрее, не заставляя многих получателей страдать из-за одного пользователя, которому было послано многомегабайтное письмо. На закладке «Foreign mail» обязательно установите опцию «Do not deliver mail addressed to non-local addresses». При парсинге полученных сообщений в поле TO: могут попадаться другие, нелокальные для вас адреса. Данная опция запретит пересылать такие письма указанным адресатам. Она наиболее безопасна с точки зрения защиты от несанкционированной рассылки с использованием вашего почтового сервера.

Заведение учетных записей пользователей

Управление учетными записями производится при помощи меню Accounts. MDaemon поддерживает импорт учетных записей пользователей из домена NT/Active Directory и сквозную аутентификацию пользователей. Для этого выбираем из меню Accounts – Importing опцию «Import accounts from the NT SAM database». Если имя домена NT/AD не совпадает с созданным нами, то в открывшемся окне указываем домен, из которого будет производиться импорт, а также имя сервера, если оно не было найдено автоматически, и нажимаем кнопку Refresh. Если учетные записи для импорта не появились (либо появились далеко не все – например, только учетные записи администраторов домена), то скорее всего учетная запись, от имени которой запущена служба MDaemon не имеет привилегии «SE_TCB_NAME» в указанном домене. Для выхода из этой ситуации необходимо создать в домене учетную запись с минимальными правами доступа, единственной задачей которой будет получение доступа на чтение базы учетных записей домена. Затем в свойствах службы MDaemon необходимо настроить ее запуск с этими учетными данными и перезапустить службу (эту настройку можно произвести в меню «Setup –> System Service»). После этого перезапускаем процедуру импорта, выделяем требуемые учетные записи, указываем способ задания паролей для создаваемых пользователей почтового сервера, и подтверждаем выбор кнопкой «Import Selected Account». Не стоит устанавливать опцию «Set account passwords equal to account names», так как это выходит за рамки любых требований безопасности. Лучше всего установить сквозную аутентификацию в домене (не забыв при этом усилить политику безопасности паролей в домене), либо вручную задать единый сложный пароль и затем вручную генерировать и изменять пароли для каждой учетной записи. По умолчанию пользователи могут изменять свои пароли двумя способами – через веб-интерфейс и при помощи специально сформированного письма на адрес Mdaemon@domain содержащего в поле письма адрес электронной почты и пароль (однако пароли, которые проверяются через сквозную аутентификацию NT/AD, изменить таким образом не удастся). Если данные аутентификации совпадают, то тело письма интерпретируется сервером как последовательность инструкций. Более подробно о них можно узнать из встроенной системы помощи. Из соображений безопасности рекомендуется сменить стандартные шаблоны прав пользователей, по умолчанию запретив им изменение собственных настроек – особенно возможность самостоятельной смены пароля, адресов пересылки и автоответчика (меню «Accounts –> Account Manager –> New Account Default»). В любом случае при правильной политике паролей сменить данные настройки возможно, только зная пароль учетной записи. Кстати, из соображений безопасности тема таких писем не записывается в файлы и окна протоколирования.

Рисунок 6

Дальнейшее управление учетными записями пользователей, а также заведение пользователей, не используя импорт из домена, производится через меню Accounts, используя консоль Account Manager, а также другие функции данного меню. Рассмотрим свойства отдельной учетной записи, прокомментировав назначение некоторых параметров в различных закладках.

«Account» – кроме понятных всем стандартных параметров имеется кнопка «Aliases», нажав на которую можно задать для учетной записи так называемые «Алиасы» (дополнительные почтовые адреса, почта для которых также будет доставляться данному пользователю). То есть для указания множества почтовых адресов, письма с которых должны адресоваться одному пользователю, достаточно создать для него алиас. Например, после создания алиаса vasya@domain.com для пользователя user2@domain.ru все полученные письма, в поле адресата которых будет встречаться адрес vasya@domain.com, будут доставляться в ящик пользователя user2@domain.ru.

«Forwarding» – позволяет отсылать копии письма на указанные (через запятую) адреса. Установив флаг «Retain a local copy of forwarded mail», копия письма будет оставаться в ящике пользователя.

«Admin» – здесь можно делегировать пользователю права глобального администратора (имеющего полный доступ к администрированию почтового сервера), либо только администратора домена, который обладает только правами по конфигурированию данного домена, используя WebAdmin (описывается в разделе «Настройка веб-доступа»).

«Quota» – здесь настраиваются персональные квоты пользователей. Если опция квотирования включена, то при превышении заданного количества сообщений или объема, занимаемого письмами, последующие письма для такого пользователя будут отвергаться с сообщением «User over quota». В отличие от квот домена по умолчанию, которые первоначально применяются на все ящики, данная опция перекрывает общие настройки, задавая персональные квоты. Таким образом можно выделять привилегированных или наоборот, более ограниченных пользователей.

Последним действием при запуске системы в действие является проверка запуска минимально необходимых сервисов MDaemon – POP3, SMTP, Antivirus, DomainPOP. Это делается в левой части основного окна программы. Если нужный нам сервис имеет статус «Inactive», дважды кликните по нему и проконтролируйте, что статус изменился на «Active».

В следующем номере читайте продолжение статьи про более тонкую первоначальную настройку MDaemon.