Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Zimbra

Автор: m9ls
Дата сообщения: 26.05.2015 14:26
Приветствую, буду рад помощи по следующей проблеме:
Zimbra 8.6 OSE
С недавнего времени жестко брутят сервер по 25 (до 10к соединений в сутки), хочу решить проблему запретив авторизацию через 25 порт, для авторизации останется 587 . Все клиенты, которым необходима авторизация, находятся или в локалке или за впном, выставлять в интернет 587 в принципе нет необходимости (в крайнем случае переброшу для определенного ip). Pop3(s), imap(s), http(s) и пр. так же закрыты для интернет, наружу смотрит только 25.

Метод AUTH LOGIN PLAIN уже отключен, остался STARTTLS, его можно отключить в зимбре с помощью

Код: mprov ms `zmhostname` zimbraMtaTlsSecurityLevel none
Автор: m9ls
Дата сообщения: 28.05.2015 11:08
По поводу предыдущего поста, вдруг кому пригодиться:
master.cf генерируется из master.cf.in, редактировать необходимо его, если на месте того, что вы хотите поменять переменная, то значит данный параметр меняется через zmlocalconfig или zmprov. При обновлении зимбры файлик master.cf.in замениться на стандартный, так что не забудьте после обновления снова внести ихменения.
Автор: Shkodnikc
Дата сообщения: 09.06.2015 18:07
Всем здрасте, подскажите можно ли как то настроить почтовый сервер zimbrа в таких условиях

есть выделенный ip на нем крутится корпоративный сайт(на 80 порту) с доменом вида _domaim.com.ua_, хостится сайт у нас на серваке этот сервак является шлюзом+(сквид+почта(старая)порт 25 занят) + есть WIN2003 c DNS и AD который со всей локальной сетью находится за сетевым экраном (dfl-800 на порту 443 временно(постоянно ) используется для проброса портов) доступ к панели регистратора домена пока не доступен
что выходит: 25й порт занят старой почтой, порт 443-занят DFL-800, на 80м сайт.

что бы хотелось настроить: что бы юзеры в локальной сети, а также филиалы(за пределами лок сети) в браузере вбивали один адрес и попадали в почту со всеми её возможностями

Попробовав что получилось у меня
так как добавить mail к домену(domaim.com.ua_) нет возможности регнул новый domen.dd.ua в его настройках прописал IP фирмы в А запись, в MX запись добавил новый регнутый домен вида mail.domen.dd.ua

настроив zimbr(у) в лок сети я могу попасть в веб интерфейс и даже могу отправлять и получать почту в лок сети, отправить почту в интернет тоже могу но вот получить обратно не выходит, также достучатся на веб из интернета не могу, хотя в админку с портом 7071 открыть с интернета получается.

Порты 80,443,7071,8080 проброшены.

ещё раз что есть

-win 2003 используется как локальный DHCP, DNS, AD, для win юзеров
-в DFL приходит интернет основной и резервный c него линк в лок сеть, он(DFL) используется для проброса портов терминалки, 80, 443, 25 и других.
-шлюз в локальной сети у него два интерфейса один в лок другой в DFL на шлюзе сквид, почта(старая), сайт через него юзеры ходят в нет .
-zimbra стоит на отдельном серваке в лок сети (имеет IP лок сети) за DFL но для него проброшен ip на шлюзе и поэтому он ходит мимо сквида в нет.

Так вот можно ли настроить zimbr(у) так как я описал выше без отключения старой почты на 25 порту и не отключая железку(DFL-800) от удаленного доступа отключив порт 443

Автор: m9ls
Дата сообщения: 11.06.2015 17:23
2Shkodnikc
Вопрос мало относиться к зимбре, думаю лучше задавать его в соответствующей теме.

Мое мнение по поводу проблемы - не геммороится, гораздо проще сразу перейти на зимбру, чем держать 2 MTA на одном ипе. Возможность конечно есть, но в любом случае почта будет приходить только на 1 MTA, на тот, 25 порт которого смотрит наружу.
Предположим что выставлен наружу 25 порт старого сервера, в данном случае можно:
1) Релеить всю почту нужного домена (или вообще всю) со старого сервера, на сервер зимбры.
2) Забирать почту, к примеру, по протоколу pop3 с ящиков старого сервера, на новые ящики в зимбре.

В любом случае в данном варианте получим геморой с ДНС, домена будет 2 - внутренний и внешний или можно попробовать настроить сплит-днс с одним доменом, и разные ипы mx для внутренней и внешней сети (тут все зависит от структуры вашей сети) - внутренняя почта при этом вообще не будет попадать на старый сервер, а внешняя идти только на старый. При желании, с авторизацией, можно отправлять через сервер зимбры из внешней сети через 587 порт.

443 тоже не должен быть проблемой, посмотрите внимательно настройки длинка, там точно можно перебросить 443 порт для внешней сети, при этом для локального ипа длинка 443 останется доступным. В крайнем случае если нужен доступ из внешней сети, наверняка можно поменять порт веб морды, или перебрасывать порт только для определенных внешних ипов (к сожалению давно не видел длинков, больше циски все, но все это должен уметь делать любой более-менее нормальный роутер).
Автор: Sim_Sim
Дата сообщения: 23.06.2015 18:17
Доброго времени суток!
Есть задачка есть 2 Zimbrы обе 8.6.0 OSE нужно настроить отказоустойчевость типа если падает 1 сервер то на втором все ок все письма есть все пользователи есть все отлично почта приходит и уходит. Соответственно когда сервер подымается обратно все синхронится и работает и все данные актуальны! Может кто сталкивался и подскажет как это лучше реализовать и возможно ли это в обще!
Автор: m9ls
Дата сообщения: 26.06.2015 15:07
2Sim_Sim
Что то было в платной версии, честно говоря сам не пробовал, да и сейчас нагуглить не могу, вот еще первая ссылка в гугле реализации не совсем средствами зимбры http://imanudin.net/2015/03/24/how-to-install-configure-zimbra-high-availability-ha/ (с осторожностью, в этом блоге я уже находил пару не совсем правильных мануалов).

Хотя я бы наверное не советовал, на мой взгляд, если хочется отказоустойчивости без гемора и лишних проблем, то это лучше смотреть в сторону виртуализации. Естественно на подобные решения придется потратиться, но можно сделать и бесплатно, с некоторыми ограничениями. К примеру взять 2 сервера c бесплатным esxi с некоторым запасом по ресурсам, держать на них можно не только зимбру но и другие сервера, желательно на raid-1. При выходе из строя одного из серверов просто вытыкаем из него винты с виртуалками, втыкаем во 2 ой (вот зачем запас по ресурсам) и запускаем уже на нём. Дел на 15 минут, переткнуть винты много толку не надо, справиться и эникей, остальное удаленно в несколько кликов делается. Вместо винтов можно и iSCSI хранилище использовать, но это уже дороговато для небольших организаций. Если хочется чтобы все само это делалось - смотреть в сторону платного esxi или других систем виртуализации.
Автор: Sim_Sim
Дата сообщения: 26.06.2015 15:43
2m9ls
Как бы я так использую ESXI но как бы есть нюансы в том что сервера находятся в датацентре и бывают моменты падения интернета в дата центре еще какой то фигни и тому подобного плюс как бы винты тоже не поперетыкаеш датацентр за бугром а хочется сделать что то такое чтоб сервера синхронились между собой каким то способом думал в сторону кластера но он не стабилен

Автор: m9ls
Дата сообщения: 26.06.2015 18:06
В данном случае я не думаю, что вы сами сможете обеспечить отказоустойчивость лучше, чем это сделал бы нормальный датацентр. Синхронизация между 2мя датацентрами приличных объемов данных, боюсь вы разоритесь, да и с актуальностью наверняка будут проблемы.

Я бы не стал придумывать велосипед при подобных обстоятельствах, полностью забил бы на веб-морду зимбры, почту получаем только через imap/pop с хранением почты и контактов локально у клиента, поднять mx20 с форвардом на mx10. Тут и зимбра особо не нужна будет, письма всегда доступны через локальный клиент.
Автор: Sim_Sim
Дата сообщения: 26.06.2015 18:46
ну схема конечно хорошая но есть но из за которых она не подойдет
1. слабое звено локальный комп пользователя здох и почте хана
2. без веб морды совсем херово так как большинство пользуются ей и удобная доступность в любом месте с любых девайсов
Скорей всего будем использовать network edition на виртуализации там есть бэкап плюс отдельный сервер для бекапом чтоб сразу лило туда единственный способ с минимальным простоем из за падения сервера
Другого варианта я не вижу пока
Автор: m9ls
Дата сообщения: 28.06.2015 13:16
1. Не обязательно же удалять письма с сервера если их забирают к примеру через pop3, по imap аналогично, делайте ежедневные бэкапы именно на сервере, в общем придумать можно.
2. Веб морда действительно удобна, хотя почтовые клиенты легко настраиваются и на мобильных платформах. Для бэкапов совсем не обязательна Network версия, бэкапы очень легко делаются на OSE хоть ежедневные, хоть полные, с восстановлением тоже проблем нет, даже при восстановлении писем на другой сервер. Помоему в OSE это даже удобней, хотя бы тем, что скрипты писал сам и точно знаешь что они делают. Единственно ради чего бы я взял NE это мобильный тач клиент, остальное, по крайней мере для меня, не очень актуально и если рассматривать платные варианты, скорее всего найдется что то получше Zimbra.
Автор: Vladsn007
Дата сообщения: 14.07.2015 14:49
Кто-нибудь организовывал прозрачную ntlm авторизацию пользователей Active Directory в Zimbra?
Автор: tunik
Дата сообщения: 15.07.2015 15:33
Где найти вменяемую инструкцию по добавлению двух серверов для обслуживания одного домена?
Zimbra_OS_Admin_Guide_8.6.0.pdf
нашел только
zmprov
CreateServer cs {name} [attribute1 value1 etc]
Выполнил, сервер появился в списке. При редактировании ошибка в веб.
"Повідомлення: system failure: exception during auth {RemoteManager: mxmsk.msk.xx.ua->zimbra@mx.xx.ua:22} Код помилки: service.FAILURE Докладно:soap:Receiver"

проверил 22 открыт.

Спасибо.

Upd.

Исправил, в итоге нужно было скопировать паблик ключи на другой сервер и включить в демоне ссш авторизацию по ключам. [more] копал по ссылке http://community.zimbra.com/collaboration/f/1928/t/1134985
1. add server
файл /opt/zimbra/.ssh/authorized_keys
command="/opt/zimbra/libexec/zmrcd" ssh-rsa ......... serverB.domain.com

2. edit
файл /etc/ssh/sshd_config
RSAAuthentication yes
PubkeyAuthentication yes

3. systemctl restart sshd

4. check
ssh -vi /opt/zimbra/.ssh/zimbra_identity -o strictHostKeyChecking=no zimbra@serverB.domain.com [/more]
пока миграция ящиков между серверами не заработала.

Похожую пример нашел здесь

Блин все есть в доках вот она Хttps://files.zimbra.com/website/docs/8.0/Zimbra_NE_Multi-Server_Install_8.0.7.pdf
Автор: tunik
Дата сообщения: 16.07.2015 09:47
Dymx

Цитата:
3. Показывает ли у кого почтовые очереди в админке? У меня валится с ошибкой
Сообщение: system failure: exception during auth {RemoteManager: mail.domain.com->zimbra@mail.domain.com:22} Код ошибки: service.FAILURE Method: [unknown] Детали:soap:Receiver

Да, я SSH на другой порт перевел. Ему надо именно 22 для показа очередей, что вообще странно.


zmprov ms hostname.yourdomain.com zimbraRemoteManagementPort 10212
Автор: Dymx
Дата сообщения: 26.08.2015 16:00

Цитата:
NE есть какой то доп. компонент, а в FOSS все делается через zmmailbox. Но долго это все. У меня порядка 200 пользователей, 500гб база, бекап через zmmailbox около 6 часов.

Очень долго не то слово! У меня порядка 600 пользователей, много очень жирных. Архивы занимают 1.2Т. Жмется это 3 суток((


Добавлено:

Цитата:
Есть задачка есть 2 Zimbrы обе 8.6.0 OSE нужно настроить отказоустойчевость типа если падает 1 сервер то на втором все ок все письма есть все пользователи есть все отлично почта приходит и уходит. Соответственно когда сервер подымается обратно все синхронится и работает и все данные актуальны! Может кто сталкивался и подскажет как это лучше реализовать и возможно ли это в обще!

Делал на тестовых серверах Livesync. Работает, но с некоторыми нюансами. Попробуйте, может подойдет...
http://wiki.zimbra.com/wiki/Server_Live_sync#Zimbra_version_and_platform

Автор: dlfav
Дата сообщения: 16.09.2015 09:36
Стоит и работает Zimbra 8.6.0_GA_1178.NETWORK
Столкнулся с проблемей. Если два пользователя хотят на одном компе одновременно в разных окнах хрома подключиться к Zimbr'е, соединение происходит, начинаются тормоза. При повторном подключении получаем ошибку "Network error" для обоих пользователей.
Я так понимаю что разные подключенные сеансы с одного компьютера существовать не могут.

Хотел проверить, посмотреть подключенные через http сеансы где то на сервере. И не нашёл такой возможности впринципе.
Мой вопрос - каким образом можно посмотреть какие сеансы подключения к морде сервера Zimbra существуют в данный момент? Может кто сталкивался с такой задачей ?
Автор: BW4ever
Дата сообщения: 06.10.2015 14:29
ZCS NE я так понимаю, не поддерживает autodiscover для outlook 2010+?
Для мобильных устройств я настроил через SRV запись, а outlook обязательно лезет на https://mydomain/Autodiscover/Autodiscover.xml
Не находя там ответа, автонастройка завершается с ошибкой. Есть некий свободный проект z-push, по добавлению ActiveSync функционала, так вот я попробовал использовать php скрипт с него, как его подключить к серверу zimbra?
Пробовал его подключить к другому веб-серверу, скрипт отрабатывает. На zimbra никак. Подскажите плиз, как их интегрировать?
Автор: boffin2
Дата сообщения: 07.10.2015 09:15
Подскажите пожалуйста, недавно установил зимбру и столкнулся с такой проблемой, что пока не добавишь ip шлюза в mta networks почта не хочет отправляться+проверка на открытый релей на mxtoolbox говорит что "может быть открытый". Зибра стоит за Kerio Control+естественно проброс портов до нее
Автор: BW4ever
Дата сообщения: 07.10.2015 10:03
Замените в параметре zimbraMtaMyNetworks адреса с подсети (например с 192.168.0.0/24) на хост (192.168.0.0/32)
Автор: boffin2
Дата сообщения: 07.10.2015 10:20
BW4ever, сеть - 192.168.1.0, почтовый сервер - 192.168.1.251. Если в zimbraMtaMyNetworks оставить 192,168,1,251, то нет входящей почты (говрит что хост не найден, хотя все mx записи настроены) приходится ставить 192.168.2.1/32 - это ip модема на входящий интернет
Автор: BW4ever
Дата сообщения: 07.10.2015 10:28
А почему бы в таком случае не дать ей внешний адрес?
Автор: boffin2
Дата сообщения: 07.10.2015 10:59
BW4ever, ok, попробую. Это как нибудь повлияет на безопасность? Вроде как где то читал что это не есть хорошо. Прописать "внешний адрес/32"?
Автор: BW4ever
Дата сообщения: 07.10.2015 11:05
Нет, я имел в виду настроить почтовик на внешнем адресе, А пользователям настроить snat, если необходимо. Я никогда не настраивал zimbra за nat, и она вообще очень болезненно относится ко всему, что связано с адресацией и dns.
p.s. zimbraMtaMyNetworks как раз и отвечает за адреса, которым можно слать почту без аутентификации.
Автор: boffin2
Дата сообщения: 07.10.2015 11:05
BW4everне работает в логах идет 450 4.7.1 Client host rejected: cannot find your hostname
Автор: boffin2
Дата сообщения: 07.10.2015 11:17
SplitDNS настроен. Я понимаю суть zimbraMtaMyNetworks, поэтому мне и не нравится вписывать в него ip шлюза, грубо говоря это получается открытый релей
Автор: BW4ever
Дата сообщения: 14.10.2015 12:17
Выставьте ее в интернет. А в локальную сеть пробросьте порты, и проблема решена.
Автор: DeH
Дата сообщения: 21.10.2015 21:27
Здравствуйте!
Есть бесплатная редакция ZCS:
Release 8.6.0_GA_1153.RHEL6_64_20141215151155 RHEL6_64 FOSS edition, Patch 8.6.0_P4.

Периодически на почтовый ящик админа сервера приходят вот такие сообщения:


Код: Oct 21 07:24:40 mail zmconfigd[20269]: Service status change: mail.... mailbox changed from running to stopped
Автор: Evg33
Дата сообщения: 22.10.2015 01:32

Цитата:
Есть задачка есть 2 Zimbrы обе 8.6.0 OSE нужно настроить отказоустойчевость

Синхронизацию можно сделать по этой инструкции:
https://wiki.zimbra.com/wiki/Server_Live_sync
Останется придумать как переключать мастера.
Автор: Dymx
Дата сообщения: 23.10.2015 11:23
Столкнулись с какой-то хренью. Есть у меня ZCS 8.0.7, у получателей более новые версии, например 8.6. В мою сторону письма приходят на ура, а вот отправить мы им не можем. В логе:
relay=mail.avselectro.ru[91.195.127.26]:25, delay=9
335, delays=8735/0.01/600/0, dsn=4.4.2, status=deferred (conversation with mail.avselectro.ru[91.195.127.26] timed out while receiving
the initial server greeting)
Ну думаю, зарелею на этот домен через другой почтовик, там Zimbra 8.5. Сначала все улетало отлично, на следующий день - те же грабли!
Общаясь с админом того почтовика, всякое перепробовали, ничего не помогает! Куда копать вообще не понятно...
Автор: dasVelit
Дата сообщения: 23.10.2015 17:20
Dymx

У меня такая же беда переодически бывает, но то отправляет без проблем то висит часа два в очереди и потом оп, и все работает

В этих ваших энторнетах мения расходятся, кто то говорит что это таймауты, кто то говорит что это из за STARTTLS (но почему работало, работало и перестало?)

http://serverfault.com/questions/542845/postfix-relay-host-connection-fails-timed-out-while-receiving-initial-server-gr

https://www.howtoforge.com/community/threads/postfix-timed-out-while-receiving-the-initial-server-greeting.48972/
Автор: Dymx
Дата сообщения: 26.10.2015 15:27
Попробовал вот это
openssl s_client -connect mail.avselectro.ru:465
приконектился. При том, что telnet 25 порт висит. Вбил в релей для домена 465 порт, и все равно тоже самое в логах. Как их подружить?

UPD: оказалось все банально - fail2ban на той стороне.

Страницы: 1234567891011

Предыдущая тема: Глюк после перехода


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.