Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio Connect (ex Kerio MailServer)

Автор: brassnet
Дата сообщения: 03.06.2009 13:53
sooprshtorm
Она и так и будет делать, если настроить правило фильтрации таким образом: задать список разрешенных адресов, а от остальных отправлять в спам.
Автор: sooprshtorm
Дата сообщения: 03.06.2009 14:00
Ну вот есть такая опция - "добавить отправителя в белый список защиты от спама".
Как сослаться на "белый список защиты от спама"?
В целом фильтр выглядит так:
if address :all :contains "From" "xxx"
{
fileinto "INBOX";
}
а конструкция по типу -> in WhiteList <-
чтобы правило выглядело как-нибудь так
if address -> in WhiteList <-
{
fileinto "INBOX";
}
существует?
Автор: Vetal1705
Дата сообщения: 03.06.2009 14:04
А по моему вопросу кто то что то может сказать ? А то песпектива постоянно забивать пользователям новые порли не нравится. У кого пароли меняются раз в 3 месяца как они выходят из этой ситуации?
Автор: sooprshtorm
Дата сообщения: 03.06.2009 14:16
Vetal1705
А пароли ты откуда в КМС берешь?
Автор: Vetal1705
Дата сообщения: 03.06.2009 14:30
sooprshtorm из AD, у пользователей в настройках на KMS установливаю kerberos5 (но и домен NT тоже работает), а в KOC вбивать приходится вручную, автоматом NTLM подхватывает только у пользователей одного почтового домена, удаляю почтовый домен то на котором работает (на тестовом сервере) и начинает работать почтовый домен что раньше не работал. Насторйки AD (Служба каталогов+Дополнительно) в настройках доменов в KMS одинаковые. Я думаю это довольно распространенная ситуация когда почтовых доменов несколько, а AD один.
Автор: anatoly2002
Дата сообщения: 03.06.2009 14:39
Vetal1705
Почтовый клиент какой?
Автор: Vetal1705
Дата сообщения: 03.06.2009 14:41
anatoly2002 Outlook 2003 и 2007 через KOC и KOFF
Автор: sooprshtorm
Дата сообщения: 03.06.2009 14:46
А домен AD совпадает с одним из почтовых доменов?
Я просто год как не работаю с кмс.
Но раньше у меня был один домен и делался мэппинг из AD. Никаких проблем с авторизацией не было. Правда совпадали домены почтовый и AD.
Насколько помню KOC - приблуда для аутлука, которая позволяет пользоваться некоторыми добавочными фичами KMS. Надо бы почитать, что про авторизацию пишет в логах сам KMS.
Автор: anatoly2002
Дата сообщения: 03.06.2009 14:47
Vetal1705

Цитата:
Outlook 2003 и 2007 через KOC и KOFF

Outlook 2007 + KOFF - NTLM без глюков (если не считать проблем с двумя доменами) ?
Автор: Vetal1705
Дата сообщения: 03.06.2009 15:05
anatoly2002
По одному домену проблем с NTLM нет вообще, если в общем, то есть глючек именно в 2007 outlookе с задачами проблеммы и на этом же клиенте были проблемы с кодировкой, это баг и последствия Exchange Migration Tool, если средствами outlook мигрировать то все норм.
Автор: immotus
Дата сообщения: 03.06.2009 15:12
Беспокоит "старая болезнь" на русском KMS 6.6.2.651. В логах ошибок фигурирует сообщение, типа:
[03/Jun/2009 15:39:09] mail_pop3c.cpp: No sorting rule complied for mail downloaded from POP3 server domain.com, user vasia
Естественно ошибка как-то связана с правилами сортировки, при получении почты. Почта правда доходит и вроде без потерь, но после загугливания готового решения найти так и не удалось. В правилах сортировки идет обычный расклад, типа:
Сортировать по адресу Адрес доставки
pasha@domain.com - pasha@domain.com
masha@domain.com - masha@domain.com
В первоочередном заголовке указан Received. Прочего криминала вроде не замечено.
Автор: Vetal1705
Дата сообщения: 03.06.2009 15:20
sooprshtorm Нет не совпадает, что самое обидное в логах на это окно ни чего не пишет везде смотрел.
Автор: Ruza
Дата сообщения: 03.06.2009 15:32
immotus
Ну так создай общее правило типа
*@domain.com - *@domain.com и Вася в логах ошибок не появится...

Vetal1705
Не туда смотрел... Отлуп авторизации даёт PDC/BDC...
Посмотри ошибки авторизации на доменном контроллере в момент попытки авторизации NTLM. Просто интересно что подставляется опосля @. По идее должно быть что то вроде user@domain.local или user@DOMAIN, а может быть DOMAIN\user.
Автор: Vetal1705
Дата сообщения: 03.06.2009 16:42
Ruza Так и есть kerio_admin@DOMAIN.local, DOMAIN.local он берет из пункта имя домена AD в настройках почтового домена, может это важно рабочий сервер KMS находится на SDC, а тестовый на XP_SP3 на моем, ведут себя они одинаково, а в какой групе должен состоять kerio_admin@DOMAIN.local ? В журнале событий в разделе БЕЗОПАСНОСТЬ событий аудит отказа в момент теста замеченно не было(активность высокая ночью еще более подробне посмотрю). Вот что еще меня смущает
Автор: Ruza
Дата сообщения: 03.06.2009 17:20
Vetal1705

Цитата:
Вот что еще меня смущает

А не должно, раз авторизация проходит...
По идее косяк керио - полученный ответ авторизации ищется возможно в "основном" почтовом домене.
Для теста на ночь...
Создай пустой (либо создай одного локального пользователя) почтовый домен типа nah.local сделай его основным, и проверь как будет работать NTLM в "не основных"
Автор: Vetal1705
Дата сообщения: 04.06.2009 09:48
Ruza
Как раз на основном и не работает, вот что еще я заметил при обычной авторизации с вводом пароля, на основном домене можно вводить имя в формате и user и user@firma1.com.ua, а на дополнительном обязательно вводить в формате user@firma2.com.ua
Автор: Ruza
Дата сообщения: 04.06.2009 11:07
Vetal1705

Цитата:
а на дополнительном обязательно вводить в формате user@firma2.com.ua

Это правильно. Надо же как то разруливать кого куда...
А на счёт того что не работает на "основном" это интересно, надо схемы подключения АД смотреть в керио, может их 2 одинаковых надо сделать...
Автор: Vetal1705
Дата сообщения: 04.06.2009 11:43
Ruza Все настройки одинаковые тестовые подключения работают везде. Я думаю может это баг моего AD, сделайте кто то у себя такое. Пожалуйста посмотрите у себя эту политику , у вас так же ?
Автор: Ruza
Дата сообщения: 04.06.2009 21:33
Vetal1705
У меня вот это:

Цитата:
Send NTLMv2 response only\refuse LM & NTLM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM and NTLM (accept only NTLMv2 authentication).



Добавлено:

Цитата:
Все настройки одинаковые тестовые подключения работают везде.

Это понятно... Что работает, а вот при разруливании кого куда пихать возможно непонятка проходит.
Автор: chubarev
Дата сообщения: 05.06.2009 11:54
Ребята помогайте!
значит есть ящик *@domain.ru от туда редирект на test@domain.ru
с ящика test@domain.ru забирает KMS.
в KMS правило сортировки с *@domain.ru переправлять на *@domain.ru (около 100 юзеров). До недавнего времени все прекрасно работало!
Но тут отправителям письма стало приходить сообщение типа "mailbox does not exist" (и в скрытой информации видно, что письмо дошло до *@domain.ru перенаправилось на test@domain.ru). Хотя такой ящик в базе KMS присутствует. Систему никакой нет: письма могут доходить, а могут и нет.
И что самое интересное: В логах Kerio пусто!!!!! Про такие не доставленные сообщения никакой информации.
Автор: vxdcall
Дата сообщения: 05.06.2009 16:31
Здравствуйте, у партнеров стоит Kerio Mail Server на винде. Он дает отлуп некоторым моим адресам одни прпускает другие нет. С собщением 553 5.1.8 Domain of sender address <Bla@bla.bla> does not exist Он отключил проверку существования адреса. Жалко его, спамом завалят Сам он ничего не знает Поэтому пару вопросов как KMS проверяет существоание адреса? Конструкции встречной проверки от его почтовика MAIL FROM:<> RCPT TO: <Bla@bla.bla> у себя не нашел. По DNS запросу? Существует ли в KMS "белый список" для домена или IP с которого такая проверка не выполняется. Я KMS в глаза никогда не видел. Просьба иметь в виду что некоторые очевидные для вас вещи могут быть не очевидными для меня. Наилучшие пожелания.
Автор: Ruza
Дата сообщения: 05.06.2009 18:52
vxdcall

Цитата:
Domain of sender address <Bla@bla.bla> does not exist


Цитата:
По DNS запросу?

Угадай с 3-х попыток...

Цитата:
Существует ли в KMS "белый список" для домена или IP с которого такая проверка не выполняется.

Да... Можно в пользовательском разделе правил борьбы со спамом.

Добавлено:

Цитата:
Но тут отправителям письма стало приходить сообщение типа "mailbox does not exist" (и в скрытой информации видно, что письмо дошло до *@domain.ru перенаправилось на test@domain.ru). Хотя такой ящик в базе KMS присутствует. Систему никакой нет: письма могут доходить, а могут и нет.
И что самое интересное: В логах Kerio пусто!!!!! Про такие не доставленные сообщения никакой информации.

Заголовки указанных писем в студию!!!
Автор: Vetal1705
Дата сообщения: 05.06.2009 23:50
Ruza

Цитата:
У меня вот это:

Цитата:Send NTLMv2 response only\refuse LM & NTLM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM and NTLM (accept only NTLMv2 authentication).

Это твои логи KMS? Пожалуйста покажи политику по NTLM на твоем AD. До KMS был Excheng может это под него меняли я понятия не имею как правильно и как по умолчанию, но судя по твоему логу если это лог кмс то мне нужно изменить свою политику на AD.
Автор: Ruza
Дата сообщения: 06.06.2009 01:20
Vetal1705
Send NTLMv2 response only\refuse LM & NTLM - это и есть политика... Домен 2003.
Но политика NTLM имхо в твоей ситуации не играет огромной роли т.к. авторизация всё же проходит.
Автор: Vetal1705
Дата сообщения: 09.06.2009 12:08
А может оно вообще впринципе не работает? Кто то пробовал у себя такое сделать(два почтовых домена, с одновременной безопасной авторизацией из одного AD)?
Ruza Ты был прав изминение политики
Цитата:
Send NTLMv2 response only\refuse LM & NTLM
ниче не дало.
Автор: woodman
Дата сообщения: 09.06.2009 15:45
Vetal1705

два домена один АД
используй разные OU

http://support.kerio.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=413
Автор: Vetal1705
Дата сообщения: 10.06.2009 14:57
woodman Выдает то же самое. Попробуйте в своем KMS добавить тестовый виртуальный домен и настроить на безопасную авторизацию в AD как здесь http://support.kerio.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=413&ratingconfirm=1
До этого был exchenge, и такая авторизация работала на разных доменах.
Автор: woodman
Дата сообщения: 10.06.2009 18:46
Vetal1705

не могу сервак промышленный настроил и отдал клиенту

Kerio и Eчchange разные вещи
Автор: immotus
Дата сообщения: 10.06.2009 22:17
Ruza

Цитата:
Ну так создай общее правило типа
*@domain.com - *@domain.com и Вася в логах ошибок не появится...

Это в замен всех остальных или добавить еще одно?
Автор: Ruza
Дата сообщения: 11.06.2009 06:48
immotus
Это правило взамен всем остальным.

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139

Предыдущая тема: Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.