» Kerio Connect (ex Kerio MailServer)

phirit

Цитата:

Вопрос: как разрешить relay на сервере host1.local только для host2.local

В группах IP адресов делаешь новую группу с одним участником - host2.local, потом в сервере SMTP выбираешь эту группу для ретрансляции...

Как то так вроде...

Вообщем решил стать мужчиной...
И открыть пользователям почтового сервера smtp извне. Много мобильных пользователей и т.д, которым нужна отправка через офисный сервер.

Вопрос. Как это сделать безопасно, что-б не хакнули. Желательно пошагово

coder666
Думаю впн в данном случае единственно возможный вариант, или вэб морду пусть юзают, собсно она для этого и придумана.

coder666 кроме веб-интерфейса, причем только по https ничего в голову не приходит - у меня так и сделано.

coder666

Цитата:

И открыть пользователям почтового сервера smtp извне.

Открываешь для юзеров 465 порт, с настройкой блокировки учётки по не правильному паролю.

Ruza - тоже неплохой вариант

brassnet

Цитата:

Думаю впн в данном случае единственно возможный вариант, или вэб морду пусть юзают, собсно она для этого и придумана.

ВПН юзают и так... НО!
Есть и телефоны с планшетниками для которых ВПН-клиента нет и быть не может. Но прекрасно настраивается почта через IMAP? так вот там надо указать smtp

coder666
Ну тогда ни какой секурности, хотя вроде где-то были настройки, что-то типа разрешать SMTP только после POP авторизации...

но ведь работает же куча сервреров... тотже gmail
Протокол один и тотже, значит возможно его настроить безопасно?

coder666

Цитата:

Протокол один и тотже, значит возможно его настроить безопасно?

Безопасно полностью нельзя... Поэтому и предупреждают о "надёжных" паролях, используют SSL и т.п. Жаль нет бана IP адреса при "ошибках" пароля

Возможно, не к место - но недавно перестали прихдить сообщения с Gmail, приходит вот такое сообщение об ошибке:


Цитата:

Delivery to the following recipient failed permanently:

admin@komplektuem.by

Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the recipient domain. We recommend contacting the other email provider for further information about the cause of this error. The error that the other server returned was: 550 550 5.7.0 Your server IP address is in the SORBS DNSBL database, bye (state 14).

Руками вычистил наш IP в SORBS - были 2 записи мая 2009 г, но все равно - сообщения не проходят, с Яндекса все проходит на ура. Как победить - непонятно.

Yaromaxx

Цитата:

перестали прихдить сообщения с Gmail

Цитата:

550 550 5.7.0 Your server IP address is in the SORBS DNSBL database, bye (state 14).

Где то не стыкуется...

Ruza

Все стыкуется - именно с Gmail не проходит почта, ругается спам-лист SORBS, с Яндекса все прекрасно.

Разобрался - проблема была с нашей стороны - в Kerio был включен спам-фильтр SORBS, и почему-то мы в него попали - отключил SORBS - все заработало.

Yaromaxx То есть вы забвнили Гугл? Ай молодца!
Сервер после чистки рестартовать пробовали? Он мог закэшировать результат запроса SORBS.

vlary
Не я - есть хитрорукие кривоголовые пользователи, которые дают рабочую почту в Facebook и прочей ерунде. В спам-логе было вот такое:


Цитата:

[23/Feb/2012 11:13:40] Message detected as spam with score: 6.10, threshold 5.00, From: invite+kr4mgkmsgkgr@facebookmail.com, To: *******@senergy.by, Sender IP: 69.171.232.136, Subject: ************** ************** хочет подружиться с Вами на Facebook, Message size: 15215

Возможно, это и было причиной повышения нашего рейтинга SORBS и всех последующих проблем.

Yaromaxx

Цитата:

Разобрался - проблема была с нашей стороны - в Kerio был включен спам-фильтр SORBS, и почему-то мы в него попали - отключил SORBS - все заработало.

Хрень какая то... Твоё наличие в sorbs по идее никак не должно влиять на входящую почту...

Ruza
Оно же и писало:

Цитата:

Delivery to the following recipient failed permanently:

admin@komplektuem.by

Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the recipient domain. We recommend contacting the other email provider for further information about the cause of this error. The error that the other server returned was: 550 550 5.7.0 Your server IP address is in the SORBS DNSBL database, bye (state 14).

Т.е Gmail попробовал доставить, а приниматель отказался принимать - так что все в порядке.

Кому интересно - вот такие сервисы оставил рабочими для безопасной (насколько это возможно) работы сервера с доступом на отправку извне



Добавлено:
пользователям везде прописал авторизацию на устройствах. Проверил работает ли отправка без нее- не работает

coder666
если отправка будет локальная она всё равно без авторизации сработает ))

нет. Если не выставлена группа локальных ай-пи которые работают без авторизации - то ничего не будет. Снимаем галочку и порядок. Наблюдаю в соединениях локальные адреса - везде безопасное подключение пишется. Ну кроме оутлук-коннектор. Он заведомо работает по https

coder666
да ты попробуй сделать следующее, подключись для отправки письма на любой адрес твоего почтового домена и вуаля сможешь отправить его без авторизации, такого требует RFC просто.

чуть не понял как это сделать?
пошагово можно?

Цитата:

Ruza
Оно же и писало:

Цитата:
Delivery to the following recipient failed permanently:
 
    admin@komplektuem.by
 
Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the recipient domain. We recommend contacting the other email provider for further information about the cause of this error. The error that the other server returned was: 550 550 5.7.0 Your server IP address is in the SORBS DNSBL database, bye (state 14).
 

 
Т.е Gmail попробовал доставить, а приниматель отказался принимать - так что все в порядке.

А не наоборот разве?... The error that the other server returned was - сервер получателя сказал, что твой сервер, т.е. Gmail в SORBS DNSBL database.

Отключение проверки SORBS DNSBL просто исключает проверку IP отправителя в SORBS DNSBL и как результат увеличивает кол-во спама.

svmix Нет, не наоборот. Мой домен в данном случае - komplektuem.by, он же - домен получателя, и - еще раз -
Цитата:

Google tried to deliver your message, but it was rejected by the recipient domain.

Цитата:

Нет, не наоборот. Мой домен в данном случае - komplektuem.by, он же - домен получателя, и - еще раз -
Цитата:
Google tried to deliver your message, but it was rejected by the recipient domain.

И что - перевести сложно - Google пробовал доставить ваше сообщение, но был отвергнут доменом получателя.


Т.к. IP с которого производилась отправка содержится в SORBS DNSBL.

Ты включи временно проверку на mail.komplektuem.by и просмотри логи, найдя подобный rejected пробей IP отправителя в SORBS DNSBL - думаю вопросы отпадут, а IP mail.komplektuem.by отсутствует в SORBS DNSBL.

Также, как-то не логично получается, принимающий почтовик ответил отправителю, что мол он (получающий/принимающий/mail.komplektuem.by) в SORBS DNSBL и не может принять почту от отправителя. Защита от спама - это защита от отправителей спама, а по твоей логике получается, тебе шлют спам, а ты в ответ - я в SORBS DNSBL - почту не прийму.

Уважаемые, подскажите ламеру кто может!
В логах MAIL просто постоянно повторяются одни и те же сообщения
что они значат и как их убрать с глаз долой???

Sent: Queue-ID: 4f41ec76-0000001c, Recipient: <news@primexpo.ru>, Result: delayed, Status: 4.1.1 450 4.7.1 Client host rejected: cannot find your hostname, [мой внешний IP.хх.хх.хх]
Sent: Queue-ID: 4f41fcd3-00000023, Recipient: <support@firstamsandiego.com>, Result: delayed, Status: 4.4.2 No greeting from remote host

он на эти неизвестные мне адреса письма отправить пытается?!

Стоит Керио 7.3.1, настроен только на ПОЛУЧЕНИЕ почты с внешних ящиков и передачи на внутренние
Настройки SMTP отключены, службы SMTP отключены!!!

Enot24
По моему твой сервант шлет письма, скорее всего через тебя релей работает, или в сети зверек завелся, который пытается рассылатся через твой хост.

Enot24
кроме варианта brassnet - в настройках спам-фильтра стоит возврат письма, не прошедшего фильтр, отправителю.
судя по логу - служба smtp всё-же поднята.

Люди у меня задача, счас стоит керио на 2003 винде переезжаем на новое железо и будем ставить 2008 как лучше и надежнее перенести все настройки и хранилища почты на новое железо?

kot488
Никаких проблем - делаем бэкап конфигов, mail storage/archive/backup, на старой машине, на новой машине ставим Kerio Connect, останавливаем его, копируем сохраненные конфиги, переносим куда надо mail storage/archive/backup, стартуем KC, прописываем пути, рестартуем KC - все должно работать.