» Kerio Connect (ex Kerio MailServer)

power_by_dragon
Цитата:

почему 127.0.0.1?

Не бери в голову. Это у Яху фишка известная.
Видимо, применяют какие-то фильтры, вот и получается, что поток
идет с адреса 127.0.0.1. У ребят из Яху тоже могут быть кривые руки.
А то, что попадает в спам - ну попало с твоего адреса пару раз в спам,
теперь идет по накатанной. Говорю же, кривые руки...
Попробуй добавить dmarc, dkim подписи, они это любят.

Цитата:

power_by_dragon
Цитата:
почему 127.0.0.1?  
Не бери в голову. Это у Яху фишка известная.
Видимо, применяют какие-то фильтры, вот и получается, что поток
идет с адреса 127.0.0.1. У ребят из Яху тоже могут быть кривые руки.
А то, что попадает в спам - ну попало с твоего адреса пару раз в спам,
теперь идет по накатанной. Говорю же, кривые руки...
Попробуй добавить dmarc, dkim подписи, они это любят.

Уже такое проходили, во первых в yahoo стоит задержка приветствия на SMTP, также помогает установить и у себя задержку приветствия SMTP приёма на 20сек. Также необходимо установить ДНСы провайдера и попросить создать на домен mail.почта.com PTR запись.

Кстати, они всё таки задерживают письма, они приходят адресату, но попадают в спам.

Ребят, перенес с Win на дебиан папку store, файлы mailserver.cfg и users.cfg. В mailserver.cfg изменил расположение всех папок на новый путь, но у меня нечего не подтягивает(
Число активных почтовых ящиков 0 (25 создано)
Разобрался)

Цитата:

также помогает установить и у себя задержку приветствия SMTP приёма на 20сек.

у меня как раз стояла 20сек, я убрал. так как не проходил полную валидность у всяких онлайн тестерах, подумал что может в этом дело... а нет, не в этом


Вопрос, может кто знает.
К примеру я отправляю с любго другого сервиса почтового, и там нету никаких 127.0.0.1. Я просто думал, что это и есть причина. DKIM у меня есть. DMARK прописал самый простой.

Приветствую всех!
Вопросы по KOC OFFLINE -
1. Кто-нибудь придумал. как можно перенести файлы пользователей из профиля?
2. По обслуживанию - можно как-нибудь автоматизировать, я так понимаю через некоторое время файл начинает сильно пухнуть из-за удаленных писем и вложений, помогает очистка кэша. Нет ли какой-нибудь возможности не пересинхонизировать, а просто сжимать файлы , или установить как-нибудь авто синхронизацию через какое-то время?
Вообще, кто как борется с распуханием профилей пользователей?

dexl
Цитата:

файл начинает сильно пухнуть из-за удаленных писем и вложений

Странно, всегда считал, что тормоза возникают из-за того,
что не удаляют всякий мусор, а письма с вложениями, после их извлечения
и использования, оставляют лежать в ящиках.

Цитата:

Странно, всегда считал, что тормоза возникают из-за того,
что не удаляют всякий мусор

Я не говорю про тормоза, а про размер папки kerio в профиле пользователя, которая начинает катастрофически распухать и приходиться постоянно делать обслуживание в свойствах коннектора в outlook. Если пользователей много, то это начинает напрягать, поэтому и возник вопрос об автоматизации процесса или его каком-то упрощении. опять же, поскольку переместить папку из профиля стандартными средствами нельзя, то либо перемещать весь профиль, что не очень хочется, либо увеличивать диск С, что тоже как-то не очень. Короче кривизна какая-то с этим коннектором.

dexl
Цитата:

Я не говорю про тормоза, а про размер папки kerio в профиле пользователя, которая начинает катастрофически распухать

Так и я о том же.

Нашел, что можно через dbbackup шринк базы делать, но там в параметрах MAPI Profile Name. Не понял в каком виде его вводить, ввожу email - пишет не найдено имя и все.

Добавлено:
Разобрался - dbbackup s outlook - шринкает все базы через коннектор
по переносу баз - ответ есть у керио в базе данных -
How to point Kerio Outlook Connector Offline (KOFF) database location to use custom path
•    Open windows registry editor regedit.exe and navigate to "HKEY_CURRENT_USER\Software\Kerio\Outlook Connector (Offline Edition)"
•    Create new registry key REG_SZ (REG_EXPAND_SZ) and add value "Cache Root Path"
•    Fill requested path to the new created registry key.

Люди выручайте!
На версии 9.0.4 пошёл рассинхрон времени (5 минут). Теперь пользователи не могут авторизироваться. Debug пишет сообщения такого характера {auth} Krb5: get_init_creds_password(krbtgt/*****.LOC@*****.LOC, user@*****.LOC): Clock skew too great, error code 0x96c73a25 (-1765328347)

ntp.conf как и службу ntp в нём не нашёл.

Если есть мысли как поправить ситуацию буду благодарен. В debian слабоват.

monkluk1
Цитата:

ntp.conf как и службу ntp в нём не нашёл.

Есть тема по Debian,
там и спросил бы, как тебе этим справиться.
Не нашел - значит его нет, и надо поставить. А пока руками настрой правильное время.

Решилось синхронизацией NTP с ESXI

monkluk1
Привет!
Ты сам все решил. Гостевая система синхронизируется с гипервизером. Сними галку и все будет ок или на гипервизере сделай нормальное время.

Доброе время суток. Подскажите как настроить запись caller id на сервре (BIND 9). Вроде все сделал как написано в доке, но при проверке говорит нет записи caller id для домена.....


Добавлено:
monkluk1

sudo apt-get update
sudo apt-get install ntp

ntpq -p


Добавлено:
SammyIzh12

http://kb.kerio.com/product/kerio-connect/server-configuration/security/configuring-dns-for-dkim-1483.html

там как раз про это


Добавлено:
Вопрос снят. Caller ID заработал, долго обновлялись dns записи.

Ребят, извините за глупый вопрос, только начал работу с Керио... : один внешний адрес попал в спам-фильтр на моем почтовике, как его исключить из спама? Где этот список?

[del]

Народ, в чем может быть затык - Kerio Connect 7.4.3. Была настроена группа, с которой сыпались письма нескольким пользователям. Вдруг переадресация работать перестала. Создал еще одну группу, настроил переадресацию. При посылке письма на этот адрес сервер отвечает, что этот mailbox does not exist. В какую сторону копать?

Добавлено:
еще по поводу переадресации - сделал переадресацию с одного почтового ящика на другой - сообщение висит в обработке очереди сообщений в состоянии "локальная отправка"

Имеется ВНЕШНИЙ Kerio Connect 9.1.0 на Linux (VMware Virtual Appliance) - домен sample.ru.
Имеется ВНУТРЕННИЙ контроллер домена Active Directory на Windows Server 2012 R2, на котором установлено расширение Kerio Active Directory Extension и даже настроен LDAPS - домен sample.lan.
Между ними БРАНДМАУЭР Kerio Control 9.1.0 на Linux (VMware Virtual Appliance), который успешно перенаправляет (NAT) на контроллер домена все входящие соединения на порты LDAP (TCP/UDP 389), LDAPS (TCP 636) и Kerberos (TCP/UDP 88, TCP/UDP 749).
Для почтового сервера домен SAMPLE.LAN выдаёт внешний IP брандмауэра.
ВРЕМЯ на всех серверах одинаковое.

Kerio Connect без проблем подключается к AD, даже через защищённое соединение.
В AD при создании пользователя ему можно создать почту и потом ей управлять через вкладку "Kerio Connect Account", соответственно на Kerio Connect появляется такой ящик.
Так же пользователи AD видны в Kerio Connect и их можно активировать.

Но, при попытке входа под доменными учётными записями получаем сообщение, что "неверное имя пользователя или пароль".
Насколько я понял Kerio и AD не могут обменяться данными Kerberos.

Security log:
HTTP/WebMail: Authentication failed for user test@sample.ru. Attempt from IP address xxx.xxx.xxx.xxx. External authentication service rejected authentication due to invalid password or authentication restriction.

Debug log:
{auth} Authenticating user test@sample.ru...
{ldapdb} test@sample.ru: Looking up in cache...
{ldapdb} test@sample.ru: found in cache
{auth} Krb5: entering auth (user: test@SAMPLE.LAN)
{auth} Krb5: get_init_creds_password(krbtgt/SAMPLE.LAN@SAMPLE.LAN, test@SAMPLE.LAN): Cannot contact any KDC for requested realm, error code 0x96c73a9c (-1765328228)


upd

Суть оказалась в том, что Kerberos даже не обращался к брандмауэру.

РЕШЕНИЕ:
Нужно создать файл /etc/krb5.conf со следующим содержанием:

Код: [libdefaults]
    default_realm = SAMPLE.LAN
    dns_lookup_realm = false
    dns_lookup_kdc = false
[realms]
    SAMPLE.LAN = {
        kdc = <IP БРАНДМАУЭРА>:88
        admin_server = <IP БРАНДМАУЭРА>:749
        default_domain = sample.lan
    }
[default_realm]
        .sample.lan = SAMPLE.LAN
        sample.lan = SAMPLE.LAN

ADKix
http://kb.kerio.com/product/kerio-connect/server-configuration/ldap-and-directory-services/kerberos-authentication-with-osx-107-against-an-opendirectory-server-911.html

ipmanyak
Спасибо!
Правда здесь про OSX и OpenDirectory, но суть та же.
Вот тут про мой случай: http://kb.kerio.com/product/kerio-connect/virtual-appliance-linux/joining-kerio-connect-running-on-linux-to-open-directory-or-active-directory-308.html#krb5steps

Самое интересное, что я это раньше читал, но не найдя файла /etc/krb5.conf пошёл искать решение дальше, а оказалось, что его НУЖНО СОЗДАТЬ!

В итоге, для моего случая содержание получилось следующим:

Код: [libdefaults]
    default_realm = SAMPLE.LAN
    dns_lookup_realm = false
    dns_lookup_kdc = false
[realms]
    SAMPLE.LAN = {
        kdc = <IP БРАНДМАУЭРА>:88
        admin_server = <IP БРАНДМАУЭРА>:749
        default_domain = sample.lan
    }
[default_realm]
        .sample.lan = SAMPLE.LAN
        sample.lan = SAMPLE.LAN

есть проблемма с керио
в логе вот так при проверке настройки почты в оутлуке

IP address 37.17.13.24 found in DNS blacklist SpamHaus SBL-XBL, mail from <testuser@domain.ru> to <testuser@domain.ru> rejected

получается пользовательский IP 37.17.13.24 находится в спам листах
и иза этого получает rejected на отправку почты


получается пользователь залогинился а отправить почту не может так как его ip в спам листах
где настройка чтобы отключить проверку на DNS blacklist только для пользовательских подключений

garbals Занеси IP в белый список тут:
http://kb.kerio.com/product/kerio-connect/server-configuration/antispam/blocking-messages-from-certain-servers-1172.html
но сейчас этот IP в блэклистах отсутствует.
Поищи сам еще, возможно есть настройка для исключения из блэклиста аутенфицированных юзеров.

garbals
пусть пользователь вместо 25 порта использует 587 для SMTP отправки, вообще домашние сети часто в спамхаус попадают

Всем ДВС!
Толи утро, толи старость, помогите пжл разобраться.
Имеем контрол и коннект. На контроле два интернет интерфейса, на одном интерфейсе сидит офис со всяким доступом туда/обратно и на нём https используется для remoteappp, на втором сделан проброс на Connect всех протоколов, которые он использует. Собственно отправка/приём всё работает, что из вне, что изнутри. Вопрос в webmail, подключается всё замечательно, хочешь по http, хочешь по https, а как сделать, чтобы пользователи набирая (вне нашей локалки) в адресной строке браузера адрес типа mail.mydomain.ru попадали на почтовик не по http, а по защищенному соединению, то есть https? Если руками прописывать https://mail.mydomain.ru, то всё норм. Пробовал делать на Control-е маппинг с почтового интерфейса (внешний интерфейс на control-е)по http на почтовик с портом 443 - не прокатило, браузер выдает егор 403. И следом вопрос, взяв Сертификат Thawte123 на nic.ru при подключении к моему почтовику не будет вопросов о ненадежном сертификате? Заранее благодарю за ответы.

zhenyamaslov

Цитата:

как сделать, чтобы пользователи набирая (вне нашей локалки) в адресной строке
браузера адрес типа mail.mydomain.ru попадали на почтовик не по http,
а по защищенному соединению, то есть https?

Ну так пробрось 80 порт на какой-нибудь http сервер в локалке, а там сделай страничку с редиректом на
https://mail.mydomain.ru

Цитата:

Ну так пробрось 80 порт на какой-нибудь http сервер в локалке, а там сделай страничку с редиректом на https://mail.mydomain.ru

Что то какой то странный путь решения вопроса. Не рациональный я бы сказал, наверняка есть другие пути.

Цитата:

Вопрос в webmail, подключается всё замечательно, хочешь по http, хочешь по https, а как сделать, чтобы пользователи набирая (вне нашей локалки) в адресной строке браузера адрес типа mail.mydomain.ru попадали на почтовик не по http, а по защищенному соединению, то есть https

На control включите "reverse proxy" и в правиле для connect установите галку "защищенное соединение".
Будет автоматический редирект.

Цитата:

На control включите "reverse proxy" и в правиле для connect установите галку "защищенное соединение". Будет автоматический редирект.

Не сработало, ничего не поменялось. Включил обратный прокси, создал правило имя общедоступного сервера mail.mydomain.com, внутренний сервер mail.domain.local, поставил галку. А обратный прокси разве не служит для внутренней сети?

Цитата:

внутренний сервер mail.domain.local

ip пропишите
И инструкцию изучите

Цитата:

А обратный прокси разве не служит для внутренней сети?

Нет

Цитата:

Обратный прокси-сервер.
Встроенный обратный прокси-сервер позволяет размещать за межсетевым экраном (файрволлом) Kerio Control несколько веб-узлов и веб-серверов одновременно, и при этом использовать единый маршрутизируемый IP-адрес. IPS (система предотвращения вторжений) и система фильтрации антивирусной программы работают с обратным прокси-сервером.

Цитата:

как сделать, чтобы пользователи набирая (вне нашей локалки) в адресной строке браузера адрес типа mail.mydomain.ru попадали на почтовик не по http, а по защищенному соединению, то есть https?

Безопасность-политика безопасности- выбери требуется безопасная аутентификация.
И будет он тебе с http на https перебрасывать.