» Все о MDaemon (#4)

ipmanyak

Цитата:

Мой совет храни все учетки в USERLIST.DAT на всё остальное лучше забить.

Вот и я это понял после экспериментов год назад. Но я не понял что можно разделить учетки и адресную книгу. Ща попробую, а через пару неделек еще вас попытаю если не получится. Спасибо.

rivkin_max
Дабы не наступать на грабли по которым прошлись другие:
1) В принципе учетки хранить можно и в LDAP если сервер один, но на создание учетки и ее админку будет тратиться много времени И просто неприлично много, если попытаешься админить учетки с удаленного сервера.
2) Если уже игрался с LDAP сервером то лучше пересоздай. Для этого (если ты его создавал только под адресную книжку) потуши сервис LDAEMON, грохни содержимое диск:\MDaemon\LDaemon\DB, далее из папки диск:\MDaemon\LDaemon, последавательно запускаешь add-org.bat, add-root-contact.bat, add-root-user.bat, add-root-verify.bat. Стартуешь сервис.
3) Для выборочной чистки можно использовать редакторы LDAP, что нить типа Softerra LDAP Administrator и т д.
Удачи )

А какая есть посвежее версия ldaemon? У меня ld210_en.exe. Что-то я в нете не вижу более свежих...

по ходу она и есть самая свежая )

угу, другой версии тоже не видел.

Приветствую. Тема уже поднималась, но как-то вскользь и решения я не нашел.
Проблема с переадресацией исходящих сообщений в MDaemon 11.0.3
Задача: для пользователя с учетной записью user@domain.com сделать еще один адрес new@domain.com и настроить перенаправление входящих и исходящих сообщений на адрес user_1@domain.com.
Настроил алиас new@domain.com= user@domain.com
С входящими оказалось просто: в свойствах user@domain.com в forwrding прописал user_1@domain.com с сохранением локальной копии сообщений (поставил "галку" в "retain a local copy of forwarding mail"). Проблемы начинаются с исходящими. Что я делал.
1. В Content Filters настроил правило if HEADER new@domain.com, то COPY messeges на user_1@domain.com. Этот вариант не прокатил. Тогда
2. Создал группу пользователей и добавил в нее user@domain.com
3. Настроил другое правило: if SENDER , т.е new@domain.com, состоит в группе (которую я создал), то COPY messeges на user_1@domain.com
Это тоже не прошло. В связи с этим вопросы: возможно ли в принципе настроить перенаправление исходящих в случае с алиасом и если да то что я делаю не так?
Заранее всем спасибо.

07evg07 Зачем вам это надо? Алиас есть алиас.Письма, приходящие на разные алиасы, должны попадать на эккаунт, а отправляться с основного эккаунта.
Если же вам нужна возможность отправки с разными обратными адресами, проще сделать другой эккаунт, и использовать его в почтовом клиенте.

То что перенаправление можно организовать, создав другую учетку, это я знаю и более того опробовал. Сначала понадобился еще один адрес, а потом встал вопрос о форвардинге, вот тогда и озадачился, можно ли сделать это с алиасом.

07evg07 попробуй Header Translation, но сама затея странная.
p.s.
ip сеть или хост, с которого отправляешь, должны быть в трастах.

Фанатам OC c их проблемами по сбросу конфига.
Вышла новая OC 2.2.5
http://archive.altn.com/outlookconnector/Archive/2.2.5/RelNotes_ru.txt
интересная цитата имхо для вашего случая:
o [5232] исправлена ошибка, приводившая к сбросу конфигурации и повреждению
реестра при отображении всплывающего окна исходящего SMTP-подключения.
Так что стоит обновиться до 2.2.5

MD 10.1.2 Eng

Возникла потребность у некоторых пользователей работы с почтой с iphone с внешних динамических адресов.

1) Как это правильнее организовать? 110 порт открывать наружу не очень хочется.
2) Интерфейс WebClient не думаю, что будет удобен при работе с iphone. Как повлияет на безопасность открытие наружу 3000 порта для WebClient?

koyote76
Цитата:

110 порт открывать наружу не очень хочется.

Не знаю причин, чтобы не открывать. Ты знаешь?

Цитата:

Интерфейс WebClient не думаю, что будет удобен при работе с iphone

Вчера смотрел китайский аналог яблофона, за 3 тыр рублей, который корешу привезли из Китая, я б наеверно тоже взял за такие деньги, но смотреть почту в такой экран мне как-то не катит, мелковато для меня. В Mdaemon 11.0 есть мобильная тема WorldClient-а Mobile, которая использует CSS-переходы в стиле iPhone, что делает работу с системой электронной почты для владельцев этих аппаратов более привычной.

Цитата:

Как повлияет на безопасность открытие наружу 3000 порта для WebClient?

хз как, на этот вопрос только хакеры могут ответить, у меня он открыт, боссы иногда юзают в командировках, не везде почта доступна по 25 и 110 порту и по vpn коннекту.

koyote76
На протяжение многих лет начиная с 8 версии открыты наружу и 25 и 110 и world клиент и мингер. Может Бог милует а может программеры хорошие даймон пишут. Суть не в том что порт наружу смотрит,а в том что на нем крутится и на сколько взаимодействует с остальной системой, а именно кто обрабатывает команды поступающие с порта и действия этих команд.
так вот за 110 и 25 не переживайте, а world клиент в теории представляет мнимую угрозу. Но на то и волк что бы пастух не спал. В принципе от вас требуется не доверять пользователям самим придумывать себе пароли а тем более давать им их менять. Если это не приемлемо то обязательно включить требование сложных паролей!
Я с дуру один только раз сделал одной БЛОНДИНКО пароль 123321 ( На следующей день мой сервер был во всех каких только можно black листах, но это уже после того как через него ушло несколько сот тысяч писем спама )
А вот еще, не ставьте галку "...принимает команды VRFY" иначе все ваши почтовые адреса перестанут быть тайной )

кто подскажет как можно указать правило, заменить заголовки все кроме определённого ?
а иначе приходиться искать что нужно заменить и в итоге можно что-то да упустить.

Почему не хочу открывать 110 порт наружу:
1) Пароли на ящики у меня простые довольно-таки. Придется поменять около 300-т паролей, половину из которых админам в филиалы скинуть. Муторно немного.
2) Возможно, как-то брутфорсом ломанут или, возможно, в MD какие-нить уязвимости есть на 110-м порту. Терминальный сервер(порт 3389), ведь не советуют же наружу выставлять, даже при наличии сложных паролей.
Pop3 у меня открыт только для IP адресов филиалов и внутренней подсети. По smtp и pop3 так настроено, что MD отправляет/принимает почту от *@mydomain.ru только с указанных филиальных IP'шников и внутренней подсети.
Не возникнет ли проблем с приемом почты у "законных" пользователей, если при этом на их ящики будут периодические попытки подключиться с неправильными паролями каких-нить хакеров-шмакеров?

3) Давать доступ с динамических IP адресов хочется не всем, а только определенным пользователям. Иначе, каждый пользователь, знающий пароль на ящик, сможет настроить прием/отправку почты откуда угодно. Многие увольняются, но информация об этом приходит с большим опозданием. Кто-то выкачает pop3 из дома, не поставив в клиенте галочку "сохранять данные на сервере", потом придет на работу и скажет:"я ничо не знаю, где мои письма?"
Неохота на все это время тратить.

PS галку ...honors vrfy снял. Хотя, странно, вроде раньше ее снимал. Может после обновления MD настройки автоматом поменялись.

koyote76 А ИМАП использовать не пробовал? Либо доступ через веб-морду?

Цитата:

Приветствую. Тема уже поднималась, но как-то вскользь и решения я не нашел.
Проблема с переадресацией исходящих сообщений в MDaemon 11.0.3
Задача: для пользователя с учетной записью user@domain.com сделать еще один адрес new@domain.com и настроить перенаправление входящих и исходящих сообщений на адрес user_1@domain.com.
Настроил алиас new@domain.com= user@domain.com
С входящими оказалось просто: в свойствах user@domain.com в forwrding прописал user_1@domain.com с сохранением локальной копии сообщений (поставил "галку" в "retain a local copy of forwarding mail"). Проблемы начинаются с исходящими. Что я делал.
1. В Content Filters настроил правило if HEADER new@domain.com, то COPY messeges на user_1@domain.com. Этот вариант не прокатил. Тогда
2. Создал группу пользователей и добавил в нее user@domain.com
3. Настроил другое правило: if SENDER , т.е new@domain.com, состоит в группе (которую я создал), то COPY messeges на user_1@domain.com
Это тоже не прошло. В связи с этим вопросы: возможно ли в принципе настроить перенаправление исходящих в случае с алиасом и если да то что я делаю не так?
Заранее всем спасибо.

Разобрался. Дело в приоритете обработки фильтров. Всем спасибо

Друзья!

Подскажите как вычислить учётные записи которыми не пользуются?
Отдел кадров не всегда извещает об увольнении сотрудников, устал уже с ними бороться.
Папка демона уже около 140 гигов, квоты используем.
Хочу почистить почту.

IMAP, Mdaemon 9.6.5

asd777 Меню наверху Queue - Queue and Statistics Manager - вкладка User pages - жмакнуть для сортировки на заголовок поля Last Access, для сохранения отчета в формате TXT внизу справа есть кнопа Save, отчет потом открыть в Excel.

ipmanyak
Спасибо! То что надо!

koyote76
mail.ru вам в руки.
Почта это инструмент и чем меньше ограничений на инструмент тем инструмент эффективнее. Так уж получается что современный офис превращается в место где люди встречаются кофе выпить. Многие работают удаленно и почта для таких сотрудников вещь необходимая. Своими действиями единственное чего вы добьетесь это того что сотрудники будут заводить (а скорее всего уже завели) почту на внешних хостингах, тем самым в некоторой степени бросая тень на имя фирмы и квалификацию ее IT отдела. Если вы админ то должны понимать что ЗП вы получаете не за ограничение прав пользователей а за упрощение их жизни что в свою очередь направлено на увеличение производительности труда. Простите за нотацию, все это конечно же ИМХО. Просто я искренне не понимаю целесообразности подобных кастрированных решений. Если вы не можете предложить чего то лучшего по сравнению с популярными хостинг провайдерами, то для чего поднимать домен у себя? Еще раз простите за это лирическое отступление. А если добавить по делу, то в случаи если вы хотите еще более осложнить жизнь пользователям, но таки дать им возможность доступа к почте из вне VPN спасет отца русской демократии. Настраиваете PPTP или L2TP, доступ с защищенным паролем, обязательно включив шифрование. И за брут и прочию фигню можете не переживать. Но конечно и тут есть НО! Пресловутые порты надо таки открывать, так что наверно не выйдет не чего, придется видимо нанимать штат курьеров...
asd777
Настройка домена. Раздел "очистка"

с числа 16го перестала пииходить почта с некоторых адресов раблера
оказалось они поменяли адрес сервера пересылки на mx-out-wr-1.rambler.ru
и он попал под правила которые я утащил изх шапки много лет назад типа *-*-*-1*

Добавлено:
PAPIruss


Цитата:

Если вы админ то должны понимать что ЗП вы получаете не за ограничение прав пользователей а за упрощение их жизни что в свою очередь направлено на увеличение производительности труда.

спорно. тут вопрос не в ограничении прав пользователей а в балансе удобство\безопасность. Если в конторе один два внешних пользователя - на сто человек работников сугубо внутреннего офиса, да плюс паранойя у начальства по поводу безопаности, то этим двум пользователям действительно резоннее завести ящик где нить на гмаиле (маил.ру вообще спам-помойка), остальных же держать в ежовых рукавицах.

Цитата:

mail.ru вам в руки.
1) Так уж получается что современный офис превращается в место где люди встречаются кофе выпить. Многие работают удаленно и почта для таких сотрудников вещь необходимая. Своими действиями единственное чего вы добьетесь это того что сотрудники будут заводить (а скорее всего уже завели) почту на внешних хостингах, тем самым в некоторой степени бросая тень на имя фирмы и квалификацию ее IT отдела.
2)...А если добавить по делу, то в случаи если вы хотите еще более осложнить жизнь пользователям, но таки дать им возможность доступа к почте из вне VPN спасет отца русской демократии. Настраиваете PPTP или L2TP, доступ с защищенным паролем, обязательно включив шифрование. И за брут и прочию фигню можете не переживать. Но конечно и тут есть НО! Пресловутые порты надо таки открывать, так что наверно не выйдет не чего, придется видимо нанимать штат курьеров...

1) В нашей конторе все люди работают в офисе. Удаленно работают филиалы и они имеют необходимый доступ со статических IP адресов. Устойчивость и стабильность работы MTA в конкретной организации крайне важна. С динамических IP необходим доступ для 1-2человек. Доступ к бесплатным почтовым системам в обход MD зактрыт.
2) Вариант с VPN, кстати, встречал у одной крупной компании с западным капиталом. Что в нем плохого?



2_vlary:
А чем открытие наружу IMAP(он во внутренней подсети тоже используется) будет в моей ситуации принципиально отличаться от открытия POP3? Если под названием Вебморда имеется ввиду World Client, то про это уже выше писали.

koyote76 Вебморда - любой веб-интерфейс к почтовому серверу, который высовывается наружу через 80 или 443 порт, их существует масса.
ИМАП я привел потому, что для доступа вне рабочего компа он ИМХО предпочтительней.
Кроме 110 и 25 портов (25 кстати, не собираетесь закрыть из опасения что ломанут? ), существует еще куча портов:
Secure SMTP (SSMTP) - port 465
Secure IMAP (IMAP4-SSL) - port 585
IMAP4 over SSL (IMAPS) - port 993
Secure POP3 (SSL-POP) - port 995
В конце концов, можно настроить вместо 110 порта что либо экзотическое, типа 45678, и сообщать его по секрету желающим работать извне.
В варианте с VPN ничего плохого нет, более того, это наиболее грамотное и безопасное решение.

koyote76

Цитата:

2) Вариант с VPN, кстати, встречал у одной крупной компании с западным капиталом. Что в нем плохого?

Ни разу в нем не чего плохого нет! Просто для его реализации требуется открывать порты, что конечно же является потенциальной уязвимостью и если не предпринять хотя бы элементарных мер предосторожности, вреда от портов VPN будет куда больше чем от 110 и 25. Ну и как бы опять же при неграмотной настройки соединения есть вероятность что через вас к VPN клиенту пойдет трафик не только вашей сети, но и интернет трафик, что в случаи с лимитированным трафиком чревато повышенными расходами. Вам все же надо взвешено подойти к своим потребностям и выбрать наиболее подходящий для вас способ...
У меня к примеру долгое время на каждом из филиалов был поднят свой сервер который забирал почту для сотрудников филиала, с центрального сервера. Такая схема поддерживалась несколько лет. Теперь же я перевел все филиалы на разделение доменов и каждый из серверов обрел независимость. Опять же за счет этого повысилась избыточность и надежность хождения почты. Если вы так боитесь за открытые порты, поднимите изолированный сервер, не входящий в вашу внутреннею сеть.

Всем, привет.


Насколько чревата галка #2 при получении почты ?
Или это очень даже хоршо, а то MDaemon выбрасывает окошко с предупреждением, аж страшно стало. ?
Я конечно понимаю как это работает и единственно в чем вижу проблему это в проблеме с DNS или отсутсвием записи.
Если записи нету идут все лесом за записью, если проблема с DNS, то тут и в правду можно отвалить хорошую почту.
У кого кк настроенно ?

Спасибо.

slech
Настоятельно рекомендуется к применению. Хотя конечно некоторые письма доходить не будут, что в свою очередь должно побуждать админов серверов отправителей придерживаться требований RFC.
Компенсацией за отброшенные письма будет уменьшение в РАЗЫ, количества спама.

а с Mail и EHLO/HELO как лучше поступить ?

Ну каждый решает сам. По мне так у меня "вторые галки" в соответствующих разделах не стоят, ибо с ними процент отвергнутой почты уже через чур велик.

slech по PTR банить всех и вся ибо пусть выполняют RFC! С helo/ehlo тут нужен особый подход, я баню adsl-щиков pppoе-щиков и др. В шапке есть скрининг хостов, каждый подстраивает его сам под себя.