Acest post este scris de un bun prieten, Mihai Marius. A configurat pentru www.scurt.ro serverul de email – si ii multumesc. Totodata, a descris pe lung cum se face modificarea. Ceea ce urmeaza este scris de el :

Configurarea DNS-ului pentru a sustine organizatia de e-mail.

Inainte de a incepe descrierea serverului de e-mail, avem de efectuat un pas important pentru a permite dezvoltarea organizatiei de e-mail, configurarea DNS-ului.

Orice organizatie detine un DNS public. Pentru a trimite/primi e-mailuri trebuie configurata o inregistrare de tip MX. Aceasta inregistrare reprezinta adresa serverului care ofera serviciul de e-mail. Pentru a trimite un e-mail catre o organizatie, serverul de e-mail, pe baza unui query DNS, identifica serverul destinatie de e-mail.

Deschidem consola de DNS si vom crea un nou host cu numele mx (putem folosi ce nume dorim, dar pentru exemplul nostru am ales mx).

Inregistrarea trebuie sa arate ca exemplul de mai jos:

Dupa crearea acestui host declaram mx-ul pentru domeniul nostru. Selectam MX si vom face browse dupa hostul declarat anterior (mx.scurt.ro). De asemenea vom lasa la mail server priority valoarea 10 (aceasta valoare este default). Inregistrarea MX-ului trebuie sa arate ca exemplul de mai jos:

Cam acestia sunt pasii necesari configurarii DNS-ului pentru a oferi suport unui server de e-mail.

Serverul de e-mail

Serverul e-mail ales in acest exemplu este hMailServer (http://www.hmailserver.com). Este un server free care a evoluat in cei aproape 6 ani de existenta. Versiunea pe care o vom folosi este 5.3. Poate fi descarcata de aici.

Aceasta include:

– Servicii de POP3, SMTP si IMAP

– Posibilitatea de a crea mai multe domenii virtuale (de exemplu: acest server poate gestiona mailurile pentru domeniul scurt.ro dar si pentru domeniul lung.ro)

– Sistem de backup integrat

– Posibilitatea de criptare SSL a traficului intre client si server

– Anti-spam

– Anti-virus (se poate integra foarte usor cu ClamAV)

– Posibiliatatea de a crea scripturi

– Reguli de rutare pentru mailuri

Se poate folosi una din bazele de data pentru stocarea mailurilor (implicit se instaleaza Microsoft SQL Server Compact):

Microsoft SQL Server

PostgreSQL

MySQL

Inainte sa instalam acest produs vom crea si configura baza de date pe un server SQL 2008.

Crearea bazei de date in SQL pentru serverul de e-mail:

Cream Baza de date, numita DBMail :

Adaugam un user pentru acces la baza aceasta , numit DBMailUser/DBMailUser si ii punem default database la DBMail:

Mai mult , ii configuram accesul de dbowner la baza DBMail:

Instalarea server-ului de e-mail

In imaginile ce urmeaza vom descrie pasii necesari instalarii.

Dupa descararea versiunii 5.3 a serverului de mail vom da dublu-click pe setup.

Selectam Next.

Selectam I accept the agreement si apoi apasam pe Next.

Alegem calea unde dorim sa instalam server-ul de e-mail. In acest exemplu vom folosi calea propusa implicit.

Selectam next.

Selectam Use external database engine dupa care vom selecta Next.

Selectam Next.

Selectam Install.

In cazul in care nu avem instalat Microsoft .Net Framework 2.0 vom primi un mesaj identic cu imganiea de mai jos.

Dupa finalizarea instalarii vom avea de setat baza de date:

Selectam Next

Selectam Create a new hMailServer database si apoi click pe Next.

Selectam tipul de baza de date dorit. In exemplul nostrum vom folosi Microsoft SQL Server si apoi click pe Next.

Vom introduce in campurile Database server address numele serverului\instanta de sql.

In Database name vom introduce numele bazei de date.

De asemenea vom introduce si userul cu drepturi de pe baza, declarat anterior.

Dam click pe Next.

In acest pas vom configura serviciul serverului hmailserver sa fie dependent de serviciul de SQL Server.

Click pe Next.

Dupa ce apasati next se va finaliza cu conectarea la baza.

In fereastra urmatoare vom seta o parola pentru consola de administrare.(P@SS4mail asta nu trebuie sa apara in document)

Click Next.

Click Finish.

Deschidem consola si selectam serverul local.

Apasam connect.

Folosim parola setata anterior (aceasta este parola de administrator pentru serverul de mail).

Dupa autentificare, deoarece este prima acesare, un wizard de configurare va porni.

Selectam Add Domain

In fereastra urmatoare vom introduce numele domeniului pentru care dorim sa cream o organizatie de e-mail. In cazul nostrum vom trece scurt.ro.

Signature

In acest tab putem configura o semnatura, care poate fi folosita la mailurile care ajung pe server dar si la cele care parasesc serverul.

Limits

In acest tab vom putea specifica urmatoarele limitari:

Maximum size (MB) = se refera la suma casutelor de mail create. In exemplu de mai jos am specificat sa nu depaseasca 1 GB.

Max message size (KB) = se refera la dimensiunea maxima acceptata pentru un mail. Mailurile care depasesc aceasta valoare vor fi respinse.

Maximum size of accounts (MB) = se refera la dimensiunea maxima pentru o casuta de mail.

Maximum number of accounts = se refera la numarul maxim de casute ce pot fi create pentru acest domeniu

Maximum number of aliases = se refera la numarul maxim de alias-uri asociate unei casute

Maximum number of distribution lists = se refera la numarul maxim al listelor de distrbuitie permise in acest domeniu

DKIM Signing

Avem posibilitatea de a utiliza si DKIM (Domain Keys Identified Mail); este un proces care "semneaza" mailurile care parasesc organizatia cu o cheie privata. Acest mecanism este folosit pentru a verifica autenticitatea mailurilor, mai exact, daca mailul vine de la domeniul specificat sau este spam. Acest serviciu se foloseste de DNS lookup pentru a gasi cheia publica pentru domeniul respectiv. Informatia criptata care se gaseste in corpul mailului, ( mai exact spus este un hash introdus in headerul mailului) este decriptata; daca mecanismul de validare (serverul de mail care a primit mesajul calculeaza hashul pentru acest mail), returneaza aceasi valoare, mailul este acceptat.

Advanced

In acest tab avem posibilitatea de a specifica in campul Catch-all address o adresa de mail care va colecta toate mailurile care nu au destinatar corect (mai exact mailuri trimise la adrese inexistente).

Greylisting este o metoda de protectie improtriva mailurilor de tip spam. Principiul este destul de simplu. Daca serverul de mail are activata aceasta functie, va pastra mailurile pe care nu le poate valida sursa si va initia un raspuns serverului prin care il anunta ca acest mail este temporar respins. Un server legitim va trimite dupa o anumita perioada din nou acel mail (timpul difera de la server la server, de la organizatie la organizatie). Atunci mailul este catalogat ca fiind valid. Se merge pe pincipiul ca un spammer nu sta sa-si bata capul cu fiecare reject in parte, el lucrand la scara macro :).

Dezavantajul acestei optiuni este reprezentat prin intarzieri mari de primire a mailurilor. De asemenea, pot aparea probleme si cu mailurile valide daca provin de la server gresit configurate. Recomand pentru inceput sa nu folositi aceasta regula.

Apasam save si avem domeniul de mail scurt.ro creat.

In setarile aferente organizatie de mail scurt.ro vom avem activat tabul Names.

Aici putem sa declaram alias la nivel de organizatie de mail.

Daca firma detine mai multe domenii asa cum am pus eu in exemplul de mai jos le adaugati.

Pentru crearea unui cont de mail vom selecta din partea stanga submeniul Accounts:

Apasam Add pentru adaugarea unui cont.

Vom crea pentru inceput un cont generic, de exemplu contact:

In tabul general vom completa adresa de mail, parola pentru acest cont.

Maximum size (MB) = se refera la spatiul pe care il poate folosi aceasta casuta de mail.

Administration level = se refera la timpul de acces al acestui cont. Aceasta valoare este valabila numai daca se utilizeaza PHPWebAdmin.

Last logon time = reprezinta data si ora cand acest cont s-a autentificat la server.

Bifa de Enable reprezinta statusul contului. Pentru a face disable unui cont se debifeaza Enable.

In cazul in care ati setat o politica la nivel de organizatie pentru dimensiunea maxima alocata unei casute si nu a fost trecuta si in campul Maximum size ve-ti primi mesajul de mai jos.

In tabul Auto-reply putem seta o notificare de tip Out-of-office.

Putem programa pentru un anumit interval de timp in care aceasta notificare sa fie active, sau sa fie permanenta (in acest caz administratorul trebuie sa intervina manual pentru a o dezactiva).

In tabul Forwarding putem sa adaugam o adresa de email unde vor fi redirectionate mailurile care sosesc pe aceasta casuta.

Daca selectem Keeep original message o copie a mailului redirectionat va ramane pe server.

In tabul Signature se poate configura o semnatura personalizata pentru aceasta casuta de mail. Poate fi adugata ca text simplu sau cod HTML.

In tabul External accounts se pot configura conturi catre servere de mail externe, prin configurarea conectorului the tip pop3 pentru a obtine acele mailuri livrate in casuta locala a utilizatorului.

In tabul Active Directory puteti sa asociati acestui cont de mail un user the domeniu. Validarea credentialelor va fi efectuata de domain controller si nu de serverul de mail. De asemenea serverul de mail NU pastreaza local nici o informatie legata de aceasta parola ceea ce ofera un avantaj in plus nivelului de securitate.

In tabul Advanced putem sa adaugam Numele si Prenumele utilizatorului.

De asemenea mai avem access la urmatoarele optiuni:

Edit folders = ofera posibilitatea de a crea si sterge foldere IMAP care sunt atasate acestui cont

Empty account = ofera posibilitatea de a sterge toate folderele si continutul lor cand este folosit protocolul IMAP

Unlock = ofera posibilitatea de a debloca, pentru acest cont, legaturile ramase agatate cand este folosit protocolul POP3.

Apasam save.

Pentru a crea un alias pentru o adresa de mail ne vom pozitiona pe Aliases (ca in poza de mai jos).

Apasam add

Completam aliasul dorit si adresa asignata acestuia si apasam save.

Dupa adaugare va aprea ca in imaginea alaturata.

In cazul in care depasim limita de alias-uri declarate la nivel de domeniu vom primi urmatorul mesaj:

Pentru a crea o lista de distributie ne pozitionam pe Distribution lists (ca in poza de mai jos).

Selectam add

Introducem adresa de email asociata acestei liste ca in exemplul de mai jos.

De asemenea trebuie sa specificam modul in care aceasta lista functioneaza:

Public = Oricine poate trimite mailuri la aceasta adresa

Membership = Numai persoanele care fac parte din aceasta lista pot trimite mailuri

Announcements = Numai adresa specificata poate trimite mailuri catre aceasta adresa

Require SMTP Authentication = daca aceasta optiune este selectata serverul de mail va avea nevoie de autetificare din partea utilizatorului care trimite pentru a livra acest mesaj catre lista de disitributie, cu alte cuvinte numai userii care au conturi declarate pe acest server vor putea trimite mailuri la aceasta lista de distributie.

Dupa ce am selectat informatiile necesare apasam save si ne pozitionam pe tabul members.

Aici avem posibilitatea de a adauga adrese externe prin folosirea butonului add dar si adrese create in cadrul domeniului nostru prin functia select.

In meniul Rules avem posibilitatea sa cream o multitudine de reguli in functie de criterile dorite.

Nu vom aborda acest meniu pentru ca este foarte complex si pentru inceputul unui domeniu de mail nu este obligatoriu. Am facut un printscreen cu toate meniurile disponbile pentru a intelege mai bine despre ce este vorba. Pentru o cercetare amanuntita va recomand sa rasfoiti manualul care se gaseste online aici sau offline sub forma de chm aici.

Pentru configurarea protocoalelor dorite ne vom pozitiona pe Settings si vom accesa meniul Protocols.

Dupa cum se vede in acest printscreen am deselectat protocolul POP3 deoarece el gestioneaza mailurile la nivel de client de mail in timp ce IMAP-ul gestioneaza la nivel de server. Sunt si alte diferente majore intre cele doua protocoale dar pentru un user final cel mai important este sa poate gestiona eficient casuta de mail, de aceea am ales sa subliniez aceasta caracteristica.

Dupa modificarea protocoalelor va trebui sa dam restart la server.

Putem sa efectuam aceasta operatie intr-unul din modurile de mai jos:

Cu ajutorul scripturilor din Service

Cu ajutorul consolei Service unde vom restarta serviciul hMailServer

Cu ajutorul consolei de administrare a serverului din meniul Status.

sau din linia de comanda folosind urmatoarele comenzi:

Pentru oprirea serviciului net stop hMailServer

Pentru pornirea serviciului net start hMailServer

Configurarea protocolului SMTP

Inainte de a pune in functiune un server de mail trebuie sa configuram setarile legate de protocoalele utilizare. Aici ma refer atat la setarea lor initiala cat si la securizarea lor. In acest proces este important sa tineti cont de numarul de useri care vor accesa serverul si de capacitatea de procesare a serverului. Aceasta dimensionare este critica in buna functionare a serverului.

Pentru configurarea protocolului SMTP ne vom pozitiona pe Protocols si selectam SMTP (ca in poza de mai jos).

In campul Connections nu este recomandat sa lasam 0 pentru ca dorim sa controlam numarul de conexiuni, mai ales ca limitam atacurile de tip DoS (Denial of Service) pe serverul de mail.

In acest exemplu am ales sa setez aceasta valoare la 50, dar cum am precizat anterior este important sa ai in calcul acea dimensionare cand faci aceste setari.

La welcome message avem posibilitatea sa afisam un mesaj la nivelul comunicatiei smtp pentru a "masca" informatiile care sunt oferite implicit de server. Aceasta este o metoda de securizare a protocolului si a serverul care ofera acest serviciu, deoarece o persoana rauvoitoare nu va stii cu exactitate ce server de mail folosesti. Pentru a incepe un atac asupra unui serviciu sau server este necesar sa ai cat mai multe informatii despre el. Mesajul va aparea ca in exemplul de mai jos cand o conexiune este creata cu serverul de smtp.

Putem folosi comanda telnet mx.scurt.ro 25

Mesajul ar trebui sa arata cam asa:

In cazul in care nu functioneaza atunci mai mult ca sigur ai uitat sa faci o exceptie in firewall pentru serverul de mail.

Max Message size (KB) se refera la dimensiunea mailurilor care sunt acceptate de acest server. Mailurile care vor depasi aceasta dimensiune for fi respinse.

In tabul Delivery of e-mail putem defini urmatoarele:

Number of retries = se refera la numarul de incercari pe care acest server trebuie sa le faca pentru a distribui un e-mail. Valorea implicita este 4.

Minutes between every retry = se refera la la timpul pe care trebuie sa treaca intre incercari. Valoarea implicita este 60.

La Local host name este indicat sa treceti hostul declarat ca mx, in cazul nostrum mx.scurt.ro

La SMTP Relayer putem specifica un alt server de mail care va distribui mailurile din organizatia noasta.

Deoarece noi instalam un sever dedicat pentru a primi si trimite mailuri aici nu vom completa nimic.

In taburile Statistics, RFC compliance si Advanced nu vom aduce nici o modificare. In cazul in care analizati setarile si nu sunteti multumiti puteti modifica valorile dar ar fi bine inainte de asta sa consultati si manualul. Pentru inceput aceste valori sunt bune si nu necesita nici o modificare.

De asemenea pentru protoculul de SMTP putem sa cream rute directe pentru domenii partenere.

Deoarece acest exemplu este pentru o firm mica nu vom defini nici o ruta ci doar vom prezenta fereastra intr-un printscreen pentru a stii de existanta acestei optiuni.

Protocolul POP3 nu este folosit in aceasta configuratie.

Configurarea protocolului IMAP

Pentru protoculul IMAP avem in tabul general urmatoarele:

In campul Connections nu este recomandat sa lasam 0 pentru ca dorim sa controlam numarul de conexiuni, mai ales ca limitam atacurile de tip DoS (Denial of Service) pe serverul de mail.

In acest exemplu am ales sa setez aceasta valoare la 50, dar cum am precizat anterior este important sa ai in calcul acea dimensionare cand faci aceste setari.

La welcome message avem posibilitatea sa afisam un mesaj la nivelul comunicatiei IMAP pentru a "masca" informatiile care sunt oferite implicit de server. Aceasta este o metoda de securizare a protocolului si a serverul care ofera acest serviciu, deoarece o persoana rauvoitoare nu va stii cu exactitate ce server de mail folosesti.

Mesajul va aparea ca in exemplul de mai jos cand o conexiune este creata cu serverul de IMAP.

Putem folosi comanda telnet mx.scurt.ro 143

Mesajul ar trebui sa arata cam asa:

Vom folosi valorile default in taburile Public folders si Advanced.

Meniul Anti-Spam

Inainte de a descrie aceasta rubrica trebuie sa intelegeti ca spam-ul este un atac in continua miscare si "modernizare". De aceea nu se poate spuna ca am setat x,y si z si vom fi protejati de mailurile de tip spam. Acest domeniu necesita multa rabdare, analiza, si reglaje de finete pentru a ajunge la comportamentul dorit. In exemplul nostru vom folosi cele mai perfectionate metode pentru a preveni primirea de atacuri spam dar in acelasi timp sa fim asigurati de primirea mailurilor legitime.

In tabul General avem campul Spam Mark Threshold care reprinzinta de la ce valoare (serverul de mail va verifica mailul care ajunge si in funcite de continut si analiza ii va da o "nota") este marcat ca spam.

Add X-hMailServer-Spam = Va aduga in headerul mailului un marcaj care spune ca acest mail este spam.

Add X-hMailServer-Reason =Va aduga in headerul mailului informatii care explica de ce acest mail este considerat spam

Add to message subject = Va aduga in subiectul mailului un marcaj care sa arate ca acest mail este spam

Spam delete Threshold = daca mailul ajunge la aceasta valoare atunci va fi sters.

Maxium message size to scan (KB) = se refera la dimensiunea maxima a mailului pentru scanare.

Nu vom aduce nici o modificare la aceste valori.

Tabul Spam Tests

Asa cum spune si numele tabului aceste functii sunt pentru verificarea autenticitatii mailurilor care ajung pe serverul de mail.

Use SPF se refera la utilizarea Sender Policy Framework unei verificari de tip text in DNS. Daca aceasta nu apare pentru domeniul de la care primim mailul atunci mesajul este catalogat ca spam. Mai multe informatii despre SPF gasiti la http://www.openspf.org/. In exemplul nostru nu vom folosi aceasta metoda.

Check host in the HELO command

Aceasta functie se poate folosi pentru a configura serverul de mail sa verifice hostul prezentat de un server de mail care incearca sa transmita un mesaj in domeniul nostru.

Check that sender has DNS-MX records

Aceasta functie se poate folosi pentru a configura serverul de mail sa verifice daca domeniul de la care se primeste un mail are o inregistrare de tip MX in DNS. Desi nu este o regula ca un domeniu sa aiba inregistrare de tip MX si sa trimita mailuri, majoritatea domeniilor folosesc inregistrari de tip MX. Oricum trebuie analizat bine daca se va activa aceasta optiune sau nu in functie de domeniile cu care faceti schimb de mailuri.

Verify DKIM-Signature header

Daca se va activa aceasta optiune serverul de mail va cauta in header-ul mailului semantura DKIM. Daca este gasita si mecanismul de validare il accepta atunci acest mail va fi primit. Daca nu acest mail va fi analizat si I se va aloca o nota care se va aduna la scorul total al mailului. Daca aceasta suma va depasi valoarea de spam va fi marcat ca spam. Trebuie inteles ca un mail va fi marcat ca spam numai daca a depasit valorea alocata pentru un spam. De exemplu un mail va fi considerat ca spam daca depaseste nota de 10. In urma filtrelor care au fost aplicate daca el cumuleaza 12 puncte automat va fi marcat ca spam. Daca acumuleaza 9 puncte va fi considerat un mail legitim.

SpamAssasin

Este o solutie foarte populara si utila pentru identificarea spamurilor. Serverul de mail ofera posibilitatea integrarii lui. El se instaleaza separat. Poate fi descarcat de aici. In exemplul nostru nu vom instala acest produs.

Tarpitting

Tarpitting este o metoda antispam prin care se mareste timpul de raspuns pentru un mail care a fost primit.

Mai exact se merge pe idea ca un spammer nu trimite un mail la o singura persoana ci la o lista de utilizatori. Cand numarul de utilizatori este egal sau mai mare cu valoarea din Count (in cazul nostrum 15) atunci raspunsurile pe care utilizatorii le trimit vor fi intarziate cu numarul de secunde declarat in Delay (in cazul nostrum 60 de secunde). Trebuie analizat inainte de a activa aceasta functie deoarece poate duce la intarzieri pentru mailuri legitime.

DNS Blacklists

Acest serviciu ofera posibilitatea de a face o verificare intr-o baza de date care contine toate DNS-urile marcate ca domenii de spam (DNS blacklist). Pe langa cele doua site-uri care sunt default (si cele mai populare) zen.spamhaus.org , bl.spamcop.net avem posibilitatea sa adaugam si alte site-uri.

Ca mod de functionare serverul de mail face o verificare a serverului de mail care incerca sa-I trimita mail iar daca acesta este declarat pe unul din site-urile pe care le folosim atunci va trimite un mesaj de raspuns persoanei care a incercat sa trimita mesajul cu motivul pentru care acest mail a fost respins.

Activarea acestui site se face ca in exemplul de mai jos. De asemenea avem posibilitatea de a personaliza mesajul de respingere.

SURBL Servers

Acest serviciu ofera posibilitatea de a face o verificare intr-o baza de date care contine toate paginile de web care sunt folosite in mailurile de spam (SURBLs). Ca mod de functionare serverul de mail face o verificare in continutul mailului iar daca gaseste un link catre o pagina de web va incerca sa-o verifice iar daca acesta este declarat pe unul din site-urile pe care le folosim atunci va trimite un mesaj de raspuns persoanei care a incercat sa trimita mesajul cu motivul pentru care acest mail a fost respins.

Activarea acestui site se face ca in exemplul de mai jos. De asemenea avem posibilitatea de a personaliza mesajul de respingere.

Greylisting

Greylisting este o metoda de protectie improtriva mailurilor de tip spam. Principiul este destul de simplu. Daca serverul de mail are activata aceasta functie, va pastra mailurile pe care nu le poate valida sursa si va initia un raspuns serverului prin care il anunta ca acest mail este temporar respins. Un server legitim va trimite dupa anumita perioada din nou acel mail (timpul difera de la server la server, de la organizatie la organizatie). Atunci mailul este catalogat ca fiind valid. Se merge pe principiul ca un spammer nu sta sa-si bata capul cu fiecare reject in parte, el lucrand la scara macro :). Dezavantajul acestei optiuni este ca se pot realiza intarzieri mari de primire a mailurilor. De asemenea, pot aparea probleme si cu mailurile valide daca provin de la server gresit configurate. Recomand pentru inceput sa nu folositi aceasta regula.

White Listing

White Listing ofera posibilitatea de a permite unui domeniu, care este intr-un blacklist, sa iti trimita mailuri.

Aceasta functie este utila cand ai un partener de incredere care dintr-un anume motiv a ajuns pe o lista de spammer si nu mai poti schimba mail-uri cu el.

Meniul Anti-virus

In tabul General putem sa definim actiunile pe care serverul de mail sa le efectueze la identificarea unui mail care contine un atasament periculos. Se poate selecta stergerea e-mailului sau doar a atasamentului.

ClamWin

Dupa instalarea modulului de scanare open source ClamWin (http://www.clamwin.com) il putem folosi in scanarea mailurilor, prin configuarea lui in tabul ClamWin. Daca butonul Auto Detect nu functioneaza atunci introduceti valorile ca in printscreenul de mai jos:

ClamWin este foarte bun pentru scanarea unui trafic de pana la 100 de mailuri pe ora. Pentru un trafic mai mare este recomandat sa folositi un alt AV. In tabul External virus scanner aveti posibilitatea de a defini un alt antivirus. Deoarece acest document este gandit pentru a veni in ajutorul unei organizatii mici am ales implementarea antivirusului ClamWin.

Avem de asemenea posibilitatea de a specifica extensiile permise. In cazul nostru am activat aceasta optiune.

Logging

Acest server de mail ofera posiblitatea de logare a evenimentelor. Pentru a activa logarea evenimentelor vom selecta enable.

Optiunile care le avem sunt:

Application = Aceasta optiune va inregistra evenimentele majore care au loc pe server, cum ar fi oprirea, pornirea, restartarea serverului.

SMTP conversation = Aceasta optiune va inregistra comunicatiile care au loc la nivelul protocolului SMTP. Aceasta optiune este foarte utila in cazul in care intampinam probleme de comunicatie la nivelul acestui protocol.

POP3 conversation = Aceasta optiune va inregistra comunicatiile care au loc la nivelul protocolului POP3. Aceasta optiune este foarte utila in cazul in care intampinam probleme de comunicatie la nivelul acestui protocol.

IMAP conversation = Aceasta optiune va inregistra comunicatiile care au loc la nivelul protocolului IMAP. Aceasta optiune este foarte utila in cazul in care intampinam probleme de comunicatie la nivelul acestui protocol.

TCP/IP = Aceasta optiune va inregistra evenimetntele care au loc la nivelul TCP/IP cum ar fi interogari de DNS, sesiunile care sunt deschise dar si cele care sunt inchise.

Debug messages = Aceasta optiune va inregistra evenimetntele de debugging.

AWStats = Aceasta optiune va inregistra evenimetntele de SMTP in format AWstats. Acest utilitar este gratuit si este util pentru ca analizeaza loguri si ofera grafice in timp real.

Keep files open = Prin aceasta setare se poate controla modul in care serverul de mail foloseste logurile.

Mai exact putem sa specificam daca vream (sau nu) ca serverul sa tina logurile deshise intre scrieri. Implicit este sa nu tina documentul fisierul deschis. Dezavantajul pentru setarea implicita este ca in cazul in care are de scris mai multe informatatii poate impacta performanta serverului. Pe de alta parte daca vom selecta sa tina fisierul deschis datele vor fi scrise direct. Dar mai este un dezavantaj si anume,nu vom putea sterge logul direct (pentru ca acest fisier este deschis).

Ca un sfat pentru utilizarea logurillor, nu este recomandat sa le activam pe toate si doar cele care ne intereseaza, pentru ca putem impacta functionalitatea serverului.

Meniul Advanced

Default Domain

In acest meniu putem specifica un domeniu default pentru serverul de mail. Asta inseamna ca daca vom folosi un user si incercam sa ne autentificam in cazul in care nu am specificat un domeniu default atunci contul nostru va fi definit ca user@domeniuspecificat.

Administrations password

Avem posibilitatea de a schimba parola contului de administrator pe care am declarata-o la instalarea serverlui.

Auto-ban

Avem posibilitatea de a defini valorile pentru:

Max invalid Logon attempts = reprezinta numarul maxim de incercari esuate permise. Daca acest numar a fost depasit IP-ul de pe care se fac aceste incarcari este banat. Implicit valorea este 3 dar indicat ar fi sa o setam la 10.

Minutes before reset = reprezinta intervalul de timp in care se pot efectua incercarile esutate. Daca in aceasta perioda de timp am avut mai mult de 10 incercari atunci IP-ul va fi blocat cu numarul de minute declarat in campul Minutes to auto-ban.

Minutes to auto-ban = reprezinta intervalul de timp cat un IP este banat.

SSL Certificate

La sfarsitul acestei proceduri vom avea o rubrica dedicata in care vom declara procesul prin care putem crea un certificat si cum sa-l folosim pentru criptarea comunicatiei cu serverul de mail atat pentru primirea mailurilor (IMAP) cat si pentru trimitere (SMTP).

IP Ranges

In acest meniu putem declara clase de ip-uri cu diferite proprietati. Pentru inceput nu vom declara nimic nou si vom folosi valorile implicite. In cazul in care ve-ti folosi Vlan-uri separate puteti declara diverse proprietati pe clasa definita.

Pentru a va face o idée despre ce este vorba am atasat clasa care definste toate ip-urile 0.0.0.0 (any) pentru a putea vedea proprietatile despre care vorbeam mai sus.

Incoming relays

In cazul in care serverul noastru va trimite mailuri si pentru alte organizatii putem declara in acest meniu clasa de IP pentru care permitem sa trimita mailuri cu ajutorul serverului nostru. Acest serviciu se numeste relay si nu face nici o verificare (ma refer ca verificare de credentiale); de aceea este foarte important sa aveti grija ce treceti aici. Acesta este unul din principalele motive pentru care un domeniu ajunge pe listele de spam. O configurare gresita poate oferi persoanelor rau intentionate sa trimita mail-uri de tip spam prin serverul tau fara nici o restrictie.

Mirror

Asa cum spune si textul se poate declara o casuta de mail unde se pot trimite toate mailurile care se trimit/primesc pe acest server. Aveti grija cu aceasta setare deoreace se pot incalca drepturile utilizatorului. Ar fi bine sa va consultati cu departamentul Juridic inainte de a activa aceast functie. 

Performance

In acest meniu se pot face reglaje de finete are serverului din punct de vedere al performantei.

Cache

In acest tab putem sa selectam numarul de obiecte pe care serverul de mail le va tine in cache. Aceste setari vor imbunatati timpul de raspuns al serverului. Pentru o configurare eficienta va recomand sa studiati documentatia la aceast link inainte de a efectua eventuale modificari.

Threading

In acest tab putem sa configuram numarul de procese pe care serverul le va folosi pentru anumite operatiuni dar si prioritatea lor in raport cu alte procese (care nu apartin serverului de mail).

Max number of command threads

Cand o comanda este primita pe unul din protocoalele SMTP, POP3 sau IMAP serverul porneste un process de comanda. Un process de comanda poate fi o cerere de autentificare, de a trimite un mail etc.

Valoarea trecuta in aceasta casuta reprezinta totalul comenzilor permise sa ruleze simultan. Este important sa intelegeti ca cu cat treceti o valoare mai mare mai multe comenzi vor rula simultan dar vor rula mai greu iar cu cat treceti o valoare mai mica cu atat ele vor fi executate mai rapid. Dvs.decideti care este combinatia optima pentru serverul de mail.

Delivery threads

In acest camp putem selecta valoarea proceselor care vor fi folosite simultan pentru trimiterea mailurilor. Cu cat valoarea este mai mare cu atat va afecta performanta procesorului. Cu cat valoarea este mai mica cu atat vor fi transmise mai greu mailurile. Este foarte important sa analizati resursele hardware ale serverului inainte de a modifica aceste valori. In documentatia serverului veti gasi urmatoare propuneri:

Pentru o organizatie mica este recomandata o valorea de 3 Delivery threads

Pentru o organizatie medie este recomandata o valore intre 15 si 20 de Delivery threads.

Pentru o organizatie maxima este recomandata o valore intre 50 si 100 de Delivery threads.

Aceste valori au un caracter informativ si trebuie tinut cont cand modificati aceste valori si de fluxul de mailuri pe care il aveti zilnic.

Max number of asynchronous task threads

In acest camp putem selecta numarul maxim de procese care vor fi executate in paralel pentru utilizarea softului de anti-spam (de exemplu daca folosim SpamAssasin).

Worker thread priority

Din drop-down putem sa selectam nivelul de prioritate cu care procesele vor fi executate. Cu cat nivelul este mai ridicat cu atat mai repede aceste procese vor fi executate.

Message indexing

Aceasta functie permite indexarea mailurilor pe baza unor informatii de tip metadata. Aceasta ajuta foarte mult la identificarea mailului (din punct de vedere al vitezei de raspuns) pentru ca serverul nu va mai analiza fiecare mail in parte pentru a returna un email cautat ci doar va analiza aceste informatii, cand este folosit un client de mail web based. Marele dezavantaj al acestei functii este ca duce la o crestere a dimensiunii bazei de date. Nu se recomanda activarea acestei functii decat in cazul in care intampinati performante scazute, din cauza casutelor de mail foarte mari care ofera o navigare greoaie pe clientii de mail web based.

Server messages

In acest meniu avem posibilitatea de a personaliza mesaje pe care le primim de la server. In imaginea de mai jos avem mesajele standard pe care acest server le trimite.

Scripts

In acest meniu avem posibilitatea de a implementa scripturi; mai exact suporta Microsoft VBScript si Microsoft Jscript. In cazul in care doriti sa implementati scripturi va sfatuiesc sa consultati documentia serverului.

TCP/IP Ports

In acest meniu vom declara porturile aferente fiecarui protocol. Implicit sunt definite cele trei protocoale SMTP,IMAP si POP3. Deoarece nu vom folosi POP3 il vom sterge. De asemenea putem sa configuram si porturi non-standard pentru protocoalele noastre dar nu pentru SMTP pentru ca acest protocol trebuie sa fie pe un port standard pentru a permite primirea mailurilor de la alte organizatii. La sfarsitul documentului vom declara un alt protocol SMTP pentru utilizatorii nostrii cu un port non-standard care va folosi si un certificat pentru criptarea comunicatiei.

Configurarea protocolului IMAP-ul

Prin selectarea protocolului IMAP avem posiblitatea de a aduce modificari in functionarea sa. Putem de asemenea sa schimbam portul default sau sa adaugam un certificat. La sfarsitul acestui document vom crea un certificat pentu a-l folosi la criptarea informatiilor dintre client si server.

Meniul Utilities

Backup

In tabul backup vom declara:

Destination = calea catre locatia unde backup-ul va fi salvat.

Settings = Daca selectam aceasta optiune serverul va face backup la setari. In aceasta categorie sunt incluse toate setarile definite in Meniul Settings.

Domains = Daca selectam aceasta optiune serverul va face backup la domenii. In aceasta categorie sunt incluse toate setarile definite in Meniul Domains.

Messages = Daca selectam aceasta optiune serverul va face backup la mesaje, numai daca a fost selectat in prealabil si Domains. Aceasta optiune nu face backup la mesajele care se afla in coada de livrare.

Asa cum ati observat din poza aveti un buton de start. Asa se poate porni backup-ul. Don’t worry. Avem si posibilitatea de a crea un schedule task pentru pornirea backup-ul.

Scheduled backup

In calea unde a fost instalat server-ul de mail exista un folder Addons. In el veti gasi un script numit StartBackup.vbs. Pentru a-l putea excuta trebuie sa-l editati si sa treceti parola de administrator declarata in consola de administrare. Il puteti rula cu dublu click sau prin crearea unui schedule task, care va executa scriptul la un anumit interval de timp.

MX-query

MX-query este un modul care poate fi folosit la interogarea inregistrarilor de tip mx pentru un domeniu specificat. Este util pentru debugging, pentru ca aveti posibilitatea sa vedeti ce server de mail a fost folosit serverul in transmiterea unui mesaj, pentru un anume domeniu. Pentru a exemplifica acest lucru am analizat domeniu scurt.ro. Dupa cum vedeti a returnat adresa IP a serverului de mail.

Server sendout

Acest modul poate fi folosit pentru trimiterea de mailuri informative, cum ar fi perioadele de mentenanta pe server, eventuale upgrade-uri etc.

Send to

Aici selectam caror adrese putem sa trimitem aceste mesaje. Aceste mesaje pot fi trimise doar adreselor definte pe server.

Email

Aici definim mesajul care va fi trimis. El trebuie sa fie doar text, deoarece HTML-ul nu este permis.

Diagnostics

Acest modul ofera posibilitatea de a rula, pentru domeniile definite pe serverul nostru, un test de verificare pentru a depista eventualale probleme. Vom selecta domeniul scurt.ro.

In poza de mai jost este rezultatul testului. Dupa cum arata totul este in regula.

Creare certificat pentru securizarea comunicatiei SMTP si IMAP

Pentru a crea un certificat avem nevoie de o aplicatie care sa ne ajute in acest sens pentru a-l genera. In cazul de fata vom folosi Win32OpenSSL care poate fi descarcat de la aceasta adresa.

Atentie !!!: Inainte de instalare trebuie sa va asigurati ca aveti instalat Microsoft Visual C++ 2008 Redistributable Package.

Instalarea este foarte usoara (vom da Next, Next pana la Finish).

Dupa instalare deschidem un cmd si ne pozitionam in C:\openssl\bin exact ca in exemplul de mai jos:

Vom rula urmatoarea comanda:

openssl genrsa -out scurt.key 2048

Aceasta comanda va genera cheia privata pentru domeniul scurt.ro

Pentru a putea crea un certificat avem nevoie de cheia privata si de csr. Csr-ul este cererea de certificare pe care o organizatie o va prezenta unei autoritati valide de certificare pentru a o valida ca domeniu de certificare. Acest lucru este necesar in cazul in care dorim sa devenim o autoritate de certificare.

In cazul notru vom crea doar pentru a putea genera un certificat pe care il vom folosi in criptarea traficului dintre client si serverul de mail.

Pentru a crea csr-ul vom executa urmatoarea comanda:

openssl req -new -key scurt.key -out scurt.csr

Va trebui sa completati informatiile cerute pentru emiterea lui. Cand veti fi intrebat sa introduceti extra attributes puteti trece mai departe cu Enter. Se poate observa in exemplul de mai jos.

Pentru crearea si semnarea certificatului vom folosi comanda :

openssl x509 -req -days 365 -in scurt.csr -signkey scurt.key -out scurt.crt

Certificatul va arata exact ca in poza de mai jos:

Acest certificat nu este validat de o autoritate de certificare. Acest lucru se poate observa si din marcajul rosu cu un X in centru. Din aceasta cauza, cand il vom folosi la criptarea legaturilor smtp (de la clienti locali) si IMAP vom primi o alerta de genul :

Aceast mesaj ne informeaza ca certificatul folosit de server nu poate fi verificat deoarece nu provine de la o autoritate de certificare publica. Ni se va cere aprobarea de fiecare data cand veti deschide clientul de mail. Aceasta metoda de creare este cea mai utila pentru o firma la inceput. Daca totusi dispuneti de bani puteti achizitiona on-line un certificat de la o autoritate cunoscuta contra unei sume. Aceasta optiune ramane la alegerea fiecaruia dar este bine, din considernte de securitate, sa folositi un certificat pentru cripatarea informatiilor care se transmit intre clienti si server.

Configurarea certificatulul pentru protocoalele de SMTP si IMAP

Pentru configurarea protocoalelor de SMTP si IMAP mai intai trebuie sa declaram acest certificat in serverul de mail. Acest lucru se face in Meniul Advanced la SSL certificates.

In acest meniu ii vom declara un nume. In exemplul de mai jos i-am trecut numele domeniului pe care il va servi. De asemenea vom completa si calea catre ceritifcat si cheia privata. Dupa ce am introdus toate informatiile vom apasa butonul Save.

Vom merge in meniul Advanced si pozitionam pe TCP/IP Ports. Vom selecta protocolul IMAP si apoi vom selecta Use SSL si in cele din urma selectam certificatul dorit. In cazul nostrum nu vom observa decat certificatul declarat pentru scurt.ro. Apasam Save.

Vom declara un nou protocol de SMTP pentru clientii nostri locali care il vor folosi sa trimata mailuri intr-un mod sigur, mai exact prin criptarea traficului intre client si server. Facem aceasta diferenta pentru evita alterarea protocolului declarat pe portul 25, care face legatura intre alte severe de mail si severul nostru. Daca acele servere nu stiu sa foloseasca certificate atunci nu ne pot trimite mailuri (plus ca acest certificat nu este validat de o autoritate certificata si ar putea respinge legaturile securizate cu serverul pentru ca nu prezinta incredere).

Dupa aceasta configurare vom fi obligati sa dam restart:

Selectam Yes.

Configurarea clientilor pentru conexiunea cu serverul de email

In exemplul meu am folosit clientul de mail Outlook 2007 dar pasii sunt asemanatori si pentru alti clienti de mail. Selectam din control Panel, Mail. Din fereastra nou deschisa selectam E-mail Accounts.

Selectam New :

In fereastra urmatoare vom selecta Microsoft Exchange, POP3, IMAP or HTTP si apasam Next.

Selectam Manually configure server settings or additional server types si apasam Next.

Completam ca in pagina de mai jos iar dupa ce toate informatiile au fost introduse vom selecta More Settings:

Dupa ce se va deschide noua fereastra vom merge pe tabul Outgoing Server si bifam My outgoing server (SMTP) requires authentication si selectam Use same settings as my incoming mail server:

Vom merge pe tabul Advanced si selctam SSL pentru IMAP si pentru SMTP. La SMTP setam portul 465. Apasam OK.

Dupa intoarcerea in pagina principla vom apasa butonul Test Account Settings, pentru a testa setarile.

Vom apasa Yes la aparitia mesajului prin care suntem informati ca certificatul nostru nu este validat de o autoritate de certficare valida:

Vom introduce parola:

Dupa verificarea parolei testul ar trebui sa returneze un rezultat de forma:

Apasam Close. Si in fereastra principal apasam Next.

In urmatoarea fereastra apasam Finish.

In aceast moment clientul de mail a fost configurat.