» Merak Mail Server - IceWarp Software

Lexona


Цитата:

.........в 8 и ранее был такой пункт у юзера - "не учавствует в рассылке" или что-то аналогиченое, т.е. когда идет рассылка например всем, эти из списка исключаются. А вот в 9-м хоть убей не могу найти подобное. а дело очень нужное.

Я использовал "Mailing Lists" в нужном мне домене, добавил туда адрес "Mailing List"
а там дальше в нем закладка "Members" уже в которой выбрал через "Add" только
тех зверей, которые были мне нужны.
Те кого я в список не выбирал были в пролете при рассылках.

***********************************************************************

Lexona


Цитата:

NOBODYmx
Если ящиков не много, то вариант, а когда больше сотни то напряжно. В 8-м было просто, поставил галку что не в рассылке и забыл про него.
Самое интересное, что при переносе базы из 8 в 9, эта галка продолжает работать. Т.е. они не в рассылке. А вот уже которых создал в 9-ке, такого поставить не могу. Найти б где это отмечено. В каком файле и в каком месте.

Ничего там напряжного нет. У меня самого 5 доменов и 15хх зверей в них - оптом.
Выбирай зверей с использованием [Shift] и будет очень даже легко....

Где точно отмечено и в каком файле..... я даже не искал и не знаю,
т.к. по мне лично удобнее стало чем в 8-ке.

NOBODYmx
9-ка удобней и лучше, это вопросов нет. А вот зачем они эту фишку убрали непонятно. Причем не совсем убрали, раз при переносе из старой конфигурации она работает, значит система ее знает и отслеживает.
Здесь что-то по Мераку вообще тишина мертвая. Больше никаких форумов по нему нет ? Поиском ничего путного не попалось. А сервер мне нравится. Уже лет 5 его пользую, стабильно, без глюков и заморочек, поставил и забыл.

Lexona



Цитата:

Нельзя ли каким нибудь способом блокировать такой IP с которого в минуту идет очень много авторизаций ? Для SMTP такая настройка есть, а вот относительно POP3 не нашел ничего подходящего.

Можно в ветке:
"Domains&Accounts" -> "Policies" // "Login Policy"
выставить все, как оно тебе там надо

и еще добить пораметрами правильными в ветке:
"Mail Service" -> "Security" // "Intrusion Prevention"
например, поставив в "Action" 1440 - в бан на сутки.


Цитата:

Больше никаких форумов по нему нет ?

Я в последний раз пытался найти форум год назад, но все что находил не
устраивало меня по причине того, что там обсуждения были в пределах
краткого мануала, да и то нашел всего два таких места.

На сайте производителя закрытый форум раньше был оч. хороший
и там было много интересного с примерами - других мест не находил...

А сам сервер конечно классный, да простят меня за это поклонники MDaemon.
Хорошая альтернатива почтовика, вместо CommuniGate Pro.

Цитата:

Можно в ветке:
"Domains&Accounts" -> "Policies" // "Login Policy"
выставить все, как оно тебе там надо

Спасибо, но этот пункт однозначно не подходит, т.к. во первых перечисляются логины которых в большинстве у меня просто нет, идет тупая переборка типа root - пароль root , далее другой логин и такой же пасс и т.д.
Вот пример:
200.37.108.194 [0460] 20:50:20 <<< USER popa3d
200.37.108.194 [0460] 20:50:20 >>> +OK popa3d
200.37.108.194 [0460] 20:50:20 <<< PASS ******
200.37.108.194 [0460] 20:50:23 >>> -ERR Unknown user or incorrect password
200.37.108.194 [0460] 20:50:24 >>> -ERR Command unrecognized: ""
200.37.108.194 [0460] 20:50:24 Disconnected
200.37.108.194 [0460] 20:50:24 Connected
200.37.108.194 [0460] 20:50:24 <<< USER aptproxy
200.37.108.194 [0460] 20:50:24 >>> +OK aptproxy
200.37.108.194 [0460] 20:50:24 <<< PASS ********
200.37.108.194 [0460] 20:50:27 >>> -ERR Unknown user or incorrect password
200.37.108.194 [0460] 20:50:28 <<< USER desktop
200.37.108.194 [0460] 20:50:28 >>> +OK desktop
200.37.108.194 [0460] 20:50:29 <<< PASS *******
200.37.108.194 [0460] 20:50:32 >>> -ERR Unknown user or incorrect password
200.37.108.194 [0460] 20:50:32 <<< USER workshop
200.37.108.194 [0460] 20:50:32 >>> +OK workshop
200.37.108.194 [0460] 20:50:33 <<< PASS ********
200.37.108.194 [0460] 20:50:36 >>> -ERR Unknown user or incorrect password
200.37.108.194 [0460] 20:50:36 <<<
200.37.108.194 [0460] 20:50:36 >>> -ERR Command unrecognized:


Цитата:

и еще добить пораметрами правильными в ветке:
"Mail Service" -> "Security" // "Intrusion Prevention"
например, поставив в "Action" 1440 - в бан на сутки.

А этот пункт действует наверное только на SMTP, здесь у меня стоит бан, но на POP3 он не работает.

Общее у них только что все запросы с одного и того же IP и слишком часто.

ЗЫ. Использовать IP ограничение на логин тоже нельзя, т.к. народ бывает в командировках и я не могу знать заранее с каких адресов он вылезет что б поглядеть свой ящик.

Lexona


Спасибо за кусок лога, теперь мне определенно ясно о чем идет речь.
А то мне померещилось, что пароли к юзерам через POP3 подбирают, а
тут получается, что нет ни юзера, ни пароля - просто коннекты лишние.

Конкретного места по решению данной "проблемы" там нет, т.к.
это не проблема безопасности, а скорее проблема некоторого
неудобства. Взять и поставить где-то галку, решив это сразу негде.

Да. Все верно.
Действительно первое решение только для того случая, когда логинятся
к уже существующему зверю. А в данном логе видно, что случай совсем
не тот.

Да. Второе решение по добиванию, действительно имеет отношение к SMTP,
но(!) оно еще своей частью затрагивает правила, которые можно заложить
в фильты "Mail Service" - > "Filters" // "Content Filters", но тут пример в логе
совсем иной.


Конкретно по данному логу, я бы сам выбирал бы из двух возможностей:

1) Если MTA стоит за "стеной", то закрыть 110 порт снаружи, разрешив
всем кто снаружи заходить только по 995 порту через сертификат SSL.
Оставить 110 только для стационарщиков (филиалов) IP сети которых
заведомо известны, собственно именно их прописать в стене для 110.
Инструменты для подобных коннектов заточены в основной своей массе
именно под 110 порт. Сами коннекты будут стеной отрезаться,
а коммандировочным даже лучше будет забирать @почту через
SSL, а не открытым текстом передавать свои пароли.

2) Если сам MTA стоит "снаружи", то 110 порт вообще убрать, на самом Merak
оставив только защищенный 995 SSL и всех перевести на него со временем.
Долбить будут 110, которого уже вовсе нет.

В обоих случаях, особо насточивых долбиться уже на 995, а таких если и
будут, то это просто слезы - в бан через правила в домене или в фильтры
прямо целыми диапазонами IP.

В четверг вечером, что-то больше мне в голову не приходит )

Цитата:

А то мне померещилось, что пароли к юзерам через POP3 подбирают, а
тут получается, что нет ни юзера, ни пароля - просто коннекты лишние.

Да, допустим на протяжении 3-4 часов, правда пока в основном в нерабочее время. И вероятность подбора пароля все же существует, хоть и минимальная. Часть логинов как ни крути, совпадет.
Цитата:

Если MTA стоит за "стеной", то закрыть 110 порт снаружи, разрешив всем кто снаружи заходить только по 995 порту через сертификат SSL.

За стеной, закрыть не проблема. Через SSL никогда не работал. В настройках клиента достаточно просто указать что использовать защищенное соединение и порт 995 ? Больше ничего не нужно ? Т.к. чуть больше специфических настроек и юзеры потухнут, мало кто сможет сам что-то настроить. (Речь об удаленных)
В общем мысль не плохая. На днях попробую. В любом случае спасибо за помощь !
А бан ip при обращении на поп3 многие сервера используют. Но скорей всего это никсовые, там настраивай как угодно. Во всяком случае те , которые я знаю достоверно.
А Мерак мне нравится, уходить от него не хочу, да и небольшая распространенность тоже свой плюс на мой взгляд, за 4 года его пользования взлома не было ни разу. Конечно может он и на фик никому не нужен, а то что замечено, это баловство пионеров, но тем не менее.

ЗЫ. Кстати, в настройках у меня стоит 3-х секундная задержка на ответ сервера, я думал что она тоже только на СМТП, а по логу похоже и на ПОП3 распространяется. Надо попробовать увеличить ее до 10-15 секунд. Для нормального юзера это не заметно, тем более при опросе почты автоматом. А вот для таких подборщиков это уже будет значительной проблемой. 4-6 запроса в минуту это производительность нулевая.

Lexona

......
3) Вариант с использованием PAT, т.е. пробросить свободный порт снаружи
на внутренний 110. При этом при обращении к внешнему 110 будет тишина на стене,
а при обращении, допустим к настроенному тобой свободному порту трафик перейдет
в 110, но это уже тема совсем другого топика.


POP3 сможет продолжать работать по 110 порту, а дополнительно создав SPOP3 с SSL
можно дать себе время на плавный перевод зверей по новым правилам. Паралельно
оба порта будут работать, пока последнего зверя заходящего из вне не перенастроить.

SPOP3 без сертификата - это как на HTTPS без сертификата заходить - ГРАБЛИ!

1) создать сертификат для MTA:

Вероятно собственного удостоверяющего центра сертификации в конторе нет,
поэтому делаем SSL средствами самого Merak в ветке
"System" -> "Certificates" // "Server Certificates" // "Create Server Certificate"
создается там сертификат по общим правилам и понятим их создания.

После создания там же добавляем его через "Add".
Потом добавляем его в окне "CA Certificates".
Если все правильно, то при обращении к сертификату только один пункт
будет желтеньким, остальные зелененькие будут у самого сертификата -
значит все правильно получилось.


2) прикрутить сертификат к MTA:

Едем в ветку "System" -> "Services" // "POP3" // "Properties"
тут проверяем правильность всех настроек, затем через "Add"
находим созданный сертификат, прикручиваем его к серверу и
добавляем потом снова через "Add" подключение к 110 порту SSL (No).
Перезагружаем все свое хозяйство и наслаждаемся.


3) Поскольку сертификат создавался без собственного в конторе удостоверяющего центра, то при подключении к Merak клиентский софт будет "тявкать", что мол незнаю доверять или нет этому SSL. Лично я для удобства работы со зверями, прикручиваю дополнительно SSL к Web интерфейсу почтовика. В таком случае они имеют возможность без особых знаний зайти к Web почте и получив предупреждение о непонятках с доверием или нет выбрать установку его в "хранилище по умолчанию", после чего почтовый клиент наслаждается закрытым каналом. К слову сказать так удобнее, чем каждый раз при обращении к SPOP3 отвечать, что "ДА" доверяю. НО! Даже если не добавлять в хранлище, а просто согласиться с таким соединение, то трафик закрывается, т.к. логин и пароль зверем передается уже по защищенному соединению
и на его качество не влияет.

Что будет проще юзерам не знаю %-)
Рассылку им сделать с инструкцией и скринами того где надо что-то там поменять и
ткнуть у себя.

А что за задержка в настройках стоит 3-х секундная? Если это стоит в
"Perform a greeting delay for new SMTP....." то она ставит соединение входящее SMTP
на "HOLD" и на указанное время. Спаммер обычно законнектился и сразу отвалился,
а настоящий почтовик должен будет подождать указанное время. Ну это я так сазать очень грубо это описал, но мое мнение, что полезная опция, а исключения, например для филиалов или внутренней сети в "Bypass".

Я обедать.......

Ок, спасибо ! Помозгую.

А кто нибуть может выложить список DNSBL серверов. Что б в настройках прописать. Или мож адресок кто даст на этот случай.


Сам нашел

bl.spamcop.net
cbl.abuseat.org
dnsbl.njabl.org
dnsbl.sorbs.net
list.dsbl.org
zen.spamhaus.org

Я использую следующий список DNSBL:

zen.spamhaus.org
bl.spamcop.net
* t1.dnsbl.net.au
psbl.surriel.com
list.dsbl.org
dnsbl.njabl.org
opm.blitzed.org
cbl.abuseat.org
dynamic.rhs.mailpolice.com

* С 1.04.2009 t1.dnsbl.net.au прекратил свою работу (см. www.dnsbl.net.au )

А че так много? Тоже думал что чем больше тем лучше. Оставил три
zen.spamhaus.org
bl.spamcop.net
dnsbl.sorbs.net

И хватает

saym101

Так спама отсеивается побольше. Можешь сам проверить.

testforicq
Больше. Но и нужных адресов тоже больше в спам попадает. Тут некоторый компромисс нужен.

Lexona
Согласен полностью. От всего спама не защититься. А бегать и смотреть почему у когото письмо не дошло. Извините. некогда. Есть чем заняться и без этого.

Ребят, помогите.

Поставил этот сервер, вроде настроил. Вроде работает.

А вот как сделать Веб-Интерфейсную регисрацию?


http://5-stars.net.ua:32000/webmail/

Сделал так как писали раньше (но как я понял это для Джабера)




Цитата:

У меня вопрос. Каким образом можно обычным пользователям создавать себе новый ящик через WEB? Предположим, на http://hostname:3200/mail появляется линк "создать новый почтовый ящик". Такое возможно в этой проге?

2 NewDiamond

это стандартная функция и она доступна. Но для этого надо в панели администратора в разделе Instant Messanging поставить галочку напротив "Enable Account Registration"/

Заходишь через веб морду.
Там - Настройки администратора - общие - ограничения - откл/вкл регистрацию.

Как настроить SIP (VoIP) сервер в IceWarp
Для начала создадим домен и пользователей. В данном случае в локальной сети отсутствует ДНС.
Поэтому для нормальной работы SiP необходимо создать алиас для основного домена.
Как на иллюстрации раздела Management.

Далее укажите номера телефонов для пользователей, картинка ниже.

Теперь приведите в соответствие галочки в модуле SiP.


Конфигурируем Sip клиента (X-Lite) на работу с IceWarp Mail Server.

кто активно пользуется Merak.
подскажите пожалуйста - можно ли там создавать очереди как в MDaemon - и раскидывать в них определённую почту, ну а потом выпускать её и что очень важно - выпускать порциями по 100 штук скажем ?

спасибо.

Необходимо сделать переадресацию с http на https. Судя по всему встроенной функции нет.

Вопрос в следующем - на чем сделан Webmail в Merak (какой веб-сервер) и можно ли сделать на нем переадресацию через .htaccess ?

dezintegrator

На чем сделан не знаю, но как вариант для энтузиазма привязять Merak
в "Services" только к 443 порту, а на 80 порту поднять что угодно, хоть
nginx или apache настроив redirect или alias. Даже Microsoft IIS сойдет.

Я так вообще SquirrelMail прикрутил с удаленного WEB сервера к Merak.
Конечно негугл ) но работает без проблем.

Добавлено:
slech
Можно, но при условии, которое Вас вероятно не устроит - это
в разделе "Internet Connection" использовать Dial.
вариант номер 2 = воспользоваться там-же при выбраном варианте
"Network connection" - настроить "Global Schedule" посмотреть как
он повлияет на ситуацию - надо пробовать как оно сработает.
При этом будет исполнено Ваше условие - выпускать порциями.

поставил себе 10.0.4 на windows

все в общем хорошо, но есть ряд проблем:

-не удается подключится удаленно через консоль администратора (пишет ошибку логин/пароль)

-после чего-то перестало пускать локально через консоль администратора (пишет ошибку логин/пароль) - есть подозрение на то, что я макс. кол-во пользователей увеличил с 99 до 999, при этом через веб-интерфейс в админ раздел с этим же логином/паролем пускает, дает поменять пароль, заводить пользователей, управлять черными и белыми списками

-не идет почта на rambler и mail

Цитата:

----- Transcript of session follows ----- .. while talking to imx1.rambler.ru
>>> RCPT To:<xxxx@rambler.ru> NOTIFY=SUCCESS,FAILURE,DELAY
<<< 554 5.7.1 Helo command rejected

Цитата:

Unfortunately, the remote mail system does not support confirmation of actual delivery. Unless the delivery fails, this will be the only delivery status notification sent.

ну и хотелось бы ссылки на какие-то инструкции, примеры, форумы, если есть?
ps
-форум на icewarp.ru - не работает.
-дублирую свой вопрос из темы "В помощь системному администратору » IceWarp Merak Mail Server " - там почти 2 года никого не было, надеюсь что в этой теме есть живые

gtxfnybr

Как вариант через WEB создать еще одного админа и через его
учетную запись пытаться подключиться. Если нет, то стендовую
машину взять и на ней попытаться через WEB поснимать все правила
безопасности и блокировок, чтобы понять где там накосячилось.

Если есть подозрение, что превышено количесво пользователей,
то поудалять всех лишних на стендовой машине, чтобы понять
в чем дело. Превышение кол-ва пользоваетелей не может быть
причиной запрета на администрирование самим администратором.

Проверить правильность записей DNS при указании хоста (домена)
для подключения.


Ошибка с отправкой на на rambler и mail связана с неверной
установкой и настройкой самого Merak, как почтового сервера.
Как вариант почтовый хост Merak не числится почтовым хостом
по домену отправителя или IP находится в списке RBL. Тут надо
все проверять тщательно, включая возможность подключения
к используемого хосту по SMTP из вне, проверка MX записей.

спасибо за отклик, NOBODYmx, я думал здесь совсем уж ответа не дождусь
переставил полностью Merak - чтобы добраться к настройкам, поэтому однозначно из-за чего не пускало в систему админа уже установить не получится
есть подозрения, что из-за поставленной галочки "требовать у администратора аутентификацию для доступа к настройкам системы"
так как сейчас при запуске консоли локально на машине где установлен Merak - никакого пароля не спрашивает - все доступно, а удаленно (с другого компа в локальной сети) так и не могу зайти через полноценную консоль - только через web. в прошлый раз когда и локально не пускало - при запуске коносли просил логин/пароль и говорил об ошибке пароля

остаются вопросы:
-не удается подключится удаленно через консоль администратора с другого компа (пишет ошибку логин/пароль)
-по рамблеру и майл-у вроде разобрался - почта туда ходит - но как то "случайно получилось"
-по черным и белым спискам - можно ставить группы доменов доверенных или там только конкретные отправители и получатели должны быть прописаны?
-по документации и форумам - нет ничего получается?

вообще конфигурация:
-есть шлюз с белым ip
-за ним стоит комп с win server 2003 (AD) и Merak 10.0.4

gtxfnybr

Если удаленно консоль не пускает, то можно пробовать с соседнего компа
коннектится, чтобы проверить из этой же сети. Может при маршрутизации
проблемы с пробросом портов, а может разрешено только из локальной
(внутренней сети). Надо начать проверять в обход маршрутизатора
коннектится на тот IP на котором Merak висит и он к нему приписан
в самом домене и в System -> Services
Уж из той же сети в обход маршрутизатора точно проблем не возникнет.
Возможно порт занят. Например висит на 443 порту, а на машине поднят
IIS и 443 занят на win server 2003 (AD) под это дело.
Как вариант, если что-то не идет, то плюнуть и поставить NetOp.

Если имеется в виду белые и черные списки в разделе Status -> Spam Queues
то конкретных получателей и отправителей. При заходе в нужный раздел
можно нажать F1 и появится подсказка Merak в которой на примере указан
формат записи в данные разделы.

При нахождении в любом из интересующих разделов, есть возможность
нажать F1 где появится описание с примерами - это и есть документация,
ну или в Пуск -> Пограммы -> Merak -> Help -> Reference Manual
У них на форуме ничего особенного нет, кроме цитат мануала, который
и так есть. Более сложные вещи, типа как скрестить Merak и MS Exchange
уже в мануал включены с годами. На сайте ничего нет, кроме их Help Desk.

приветствую, NOBODYmx

-не пускает удаленно именно из локалки, (удаленно, снаружи за шлюзом - даже не пробовал еще, нет необходимости)
-порт к которому надо конектиться - я, так понимаю, задается в службах и зовется Control - там по умолчанию стоит 32000

по черному и белому списку - как заносить - в общем понятно
непонятна логика:
1. что делается связка отправитель-получатель (один и тот же отправитель заносится несколько раз, если его занесли в базу разные получатели - когда письмо приходит нескольким адресатам или на группу адресатов)
2. что нельзя задать (или у меня не получается) домен отправителя - чтобы все отправители с этого считались "белыми", хотя на закладке АнтиСпам->Общие->Другие- вид белого списка выбрано "домен" или это надо задавать в исключениях каких-то?

про хелп - понятно, но там тоже не шибко примеров... думал вдруг таки есть некие тайные форумы или какие-то описания/примеры.

gtxfnybr


Цитата:

вообще конфигурация:
-есть шлюз с белым ip
-за ним стоит комп с win server 2003 (AD) и Merak 10.0.4

исходя из этих описанных условий
я сделал несколько вероятных предположений о том, почему нельзя
подключиться админу удаленно. Все остальное необходимо смотреть
на месте в логах, например в логах тут:
Status -> Sessions -> Control (в верху вкладка в Service)

Если Merak был установлен правильно то для удаленного подключения:
File -> Connect -> далее в Connection Manager выбрать Add заполнив:
Descriptions: (что угодно можно написать, хоть матом)
Server: (хост на котором установлен и к которому привязан Merak ПОРТ НЕ УКАЗЫВАТЬ)
Administrator: (логин, в настройках может стоять в полном формате типа логин@домен )
Password: (пароль)
Quick ID: (оставить пустым)
Use SSL - галку снять
Save password - галку поставить
Proxy - заполнить если в сети используется прокси
Примечание*** в Server: как вариант экспериментально указать хост:80 (к 80 порту)

1.
Anti-Spam -> Black&White List далее выбрать вкладку Whitelist
и поставить везде галки. После этого контакты будут автоматом заноситься
в белый список, а не в ручном режиме. Список который будет Merak сам
пополнять автоматом просматривать в разделе: Status -> Spam Queues
далее вкладка в верху Whitelist

2.
Для задания всего домена надо зайти в раздел: Status -> Spam Queues
далее вкладка в верху Whitelist -> внизу Add -> Owner выбрать домен
и в Account type выбрать Any или иное значение, под нужные задачи.

NOBODYmx
так и не получается подключиться удаленно
вроде как все делал так же как у Вас описано
в логах - показывает "пустоту" (в сессии есть строчка что пытался подключится (когда порт указываю 32000 - длительность 0), а при переходе в логи - пусто совсем)

1. галочки стоят и адресаты кому отправляем - сами заносятся в белый список
2. видимо я неправильно вопрос сформулировал: по Вашему ответу ставится домен в качестве получателя, а я хотел узнать как поставить в белый список домен в качестве отправителя: например есть отправител pasha@test.ru и masha@test.ru - хочется всех отправителей с домена test.ru занести в белый список. На Керио это можно было сделать через символы подставновки: задать в качестве доверенного отправителя *@test.ru Здесь я пробовал такой вариант, насколько я понял, не прокатило.

gtxfnybr

Если в логах пусто, то это признак отсутствия сетевого соединения, как такового.
Некоторые из предположительных причин в прошлых постах есть, добавлю еще
наличие антивируса и брандмауэра (Firewall), и т.д. и т.п., что именно мешает
отсюда не видно )
В любом случе это проблема сетевая, а не Merak. Необходимо искать где и
на каком отрезке соединения блокируется трафик при попытке подключения.

Если мы говорим об исключении домена из СПАМ проверки, то необходимо
следующее:
В разделе Anti-Spam -> General -> вкладка Other -> B (Bypass)
добавьте туда исключение по Вашим критериям. Согласно докам:
*****
Press this button to open the Anti-Spam Bypass file, listing any users, accounts or domains from which messages will not undergo Anti-Spam processing.
*****
Таким образом Вы можете исключить нужный Вам домен из проверки на спам в данном механизме (службе) Merak. Домен указанный Вами в Bypass попадает условно в белый список, что равносильно его исключению из процесса обработки на принадлежность к спам.

NOBODYmx, спасибо что помогаешь
антивируса нет, брендамауер в винде отключен - вроде все перебрал, причем вспоминая прошлый опыт: включив "требовать пароль при входе" - я и с локальной (той на которой становлен Merak) машины зайти не мог - а тут сетевые настройки вроде как не при чем.

по СПАМ проверке и Bypasss - так и предполагал, спасибо за разъяснение

Приводил ли кто-нибудь русификацию 10-го Мерака к должному виду?
Задача-минимум - доделать русификацию Web-интерфейса (файл "c:\Program Files\IceWarp\html\webmail\client\languages\ru\data.xml").