Пошаговая (step-by-step) настройка Kerio MailServer на работу через mx-записи

Лирическое отступление. Всяким гуру и профи эта статья ни к чему, ну да они с kerio и не работают. Думаю она пригодится новичкам в системном администрировании, пошаговых мануалов всегда не хватает. Ну и еще мне хотелось показать, как настроить Kerio Mailserver в качестве полноценного почтового сервера, с работой через  mx-записи, с использованием пользователей из Active Directory, подключением Outlook по MAPI и т.п., ведь очень часто KMS используется как простой POP3/SMTP сервер, когда на самом деле он вполне может составить конкуренцию Exchange в небольших компаниях.

Задача: установить в организации почтовый сервер на базе Kerio MailServer (KMS), обеспечить прием и отправку почты в организации, доступ сотрудников к почте внутри и снаружи организации.

Что необходимо до установки почтового сервера:

1. Наличие зарегистрированного доменного имени второго (ну или третьего хотя бы 🙂 ) уровня, в нашем случае это testcompany.ru.
2. В случае работы через MX-записи нужен будет собственно доступ к редактированию этих записей. Обычно хостер или регистратор имен предоставляет такую услугу.
3. Собственно сервер, удовлетворяющий требованиям: http://www.kerio.com/mailserver/requirements.

Установка Kerio MailServer

Итак, у нас есть домен Active Directory, скажем testcompany.local, есть контроллер домена dc01, есть отдельный сервер для KMS, с установленной Windows Server 2003 (или 2008), имя сервера mail. Если домена нет, в принципе все будет похоже, только немного проще, так как не нужно будет настраивать подключение к AD.

Запускаем установку Kerio MailServer, на первых шагах везде Next, Next и т.п.  Я обычно выбираю английский язык (потому как перевод хромает, если честно) и тип установки Custom, но это необязательно.

В шаге установки Administrative Account указываем имя учетной записи администратора почтового сервера и, так как она будет создана в локальной базе KMS, советую дать ей имя, отличное от имени администратора домена, например kmsadmin. Это позволит администратору домена иметь нормальную полноценную почту. В случае совпадения имен это не получится.

Следующий шаг, (Email Domain) очень важный, там мы указываем имя нашего почтового домена (testcompany.ru):

На шаге Internet Hostname указываем внешнее имя почтового сервера (то, которое фигурирует в mx-записях, см. ниже), в нашем случае mail.testcompany.ru (под этим именем наш сервер будет идентифицироваться при установлении SMTP-сессий). Можете потом это проверить с помощью команд HELO/EHLO например.

Далее, на шаге установки Store Directory указываем путь к хранилищу почты, есть смысл разместить его на отдельном физическом диске/массиве, для увеличения быстродействия. Если пользователей много и они интенсивно работают с почтой, то очень желательно, чтобы массив этот был на SAS/SCSI дисках.

Далее собственно установка, заканчиваем ее и запускаем KMS, вводим лицензию и активируем его.

В результате при входе в консоль KMS > Configuration > Domains мы получаем что-то похожее на вот это:

Все, установка закончена, Kerio MailServer готов к работе. Но есть один важный момент, про который я должен вас предупредить. В Configuration > SMTP Server > вкладка Relay Control по умолчанию выбран селектор Allow Relay only for и  установлена галка Users authenticated through SMTP server for outgoing mail. Также там есть еще пункт Users from IP address group и возникает большое желание его использовать и разрешить релей из вашей локальной сети. Этого делать не стоит, потому что если вы поставите эту галку, то наличие или отсутствие галки во втором пункте, Users authenticated through SMTP server for outgoing mail, уже не будет иметь никакого значения, как ни странно, видимо так задумано разработчиками KMS. И после этого любой неаутентифицированный клиент из вашей сети (в том числе вирусы и сетевые черви) без проблем смогут рассылать спам из вашей сети и ваш сервер очень быстро окажется в блеклистах. Поэтому я очень советую галку в пункте Users from IP address group не ставить и оставить настройки по умолчанию:

Тут стоит упомянуть, что если вы используете в локальной сети клиентов, использующих SMTP-протокол для отправки почты, в них нужно будет обязательно ставить галку «SMTP-серверу требуется проверка подлинности», иначе отправить почту они не смогут.

Все настройки в других пунктах по умолчанию вполне работоспособны и менять их стоит, только отдавая себе отчет в том, что вы делаете.

Создание пользователей

В Kerio MailServer создать пользователей можно тремя способами:

1. В локальной базе Kerio MailServer.
2. Подключить пользователей из Active Directory (так называемый mapping).
3. Импортировать пользователей из Active Directory.

Первый способ обычно используется, если у вас нет домена, в этом случае других вариантов, кроме как использовать локальную (Internal) базу KMS, у вас нет.

Второй способ логично использовать, если у вас существует доменная структура.

При третьем способе, происходит импорт учетных записей из домена Active Directory и создание на их основе пользователей в локальной базе KMS (как в первом варианте).

Создание пользователей в локальной базе Kerio MailServer

Чтобы завести пользователя при использовании локальной базы, нужно просто зайти в консоли KMS в Domain Setting > Users и добавить пользователя, нажав на кнопку Add… > Create local user.

Второй способ сложнее, для него нужно настроить автоматический mapping пользователей из AD.

Mapping пользователей из Active Directory

Чтобы настроить KMS на работу с пользователями Active Directory, нужно сначала на контроллер домена установить Kerio Active Directory Extensions. Eсли контроллеров несколько, то на все устанавливать необязательно, только на те, к которым будет подключаться Kerio MailServer (собственно в KMS возможно только два максимум указать). После их установки заходим на вкладку KMS > Configuration > Domains > Directory Service и вводим там необходимые нам данные:

где,

Hostname — имя контроллера домена (как раз того, на который установили Kerio Active Directory Extensions).

Username — имя пользователя домена для подключения к базе AD (достаточно прав обычного пользователя, но… если вы хотите добавлять пользователей из консоли KMS, придется добавить эту учетную запись в группу Account Operator как минимум). Я рекомендую создать специльного пользователся для подключения, (например, kms_service) и поставить ему галки «Password never expires» и «User cannot change password», чтобы в один прекрасный момент у вас не отвалилось подключение к Active Directory.

Password — пароль этого пользователя.

Secondary (backup) directory server — резервный контроллер домена прописываем здесь, если он есть конечно. Не забудьте на него тоже установить  Kerio Active Directory Extensions.

Active Directory Domain Name — в этом пункте ставим галку и пишем имя локального домена, testcompany.local в нашем случае, так как имя нашего почтового домена отличается от домена Active Directory.

Нажимаем кнопку Test Connection и убеждаемся, что все ОК. Если нет, значит что-то неправильно ввели, проверьте все еще раз.

Чтобы проверить, что все нормально функционирует, на контроллере домена заходим в оснастку Active Directory, выбираем какого-нибудь пользователя (созданного до установки KMS), щелкаем правой кнопкой мыши на нем, выбираем Kerio MailServer Tasks и создаем почтовый ящик:

Заходим обратно в KMS > Domain Setting > Users и убеждаемся, что в консоли присутствует наш вновь созданный пользователь.

Вообще создавать пользователя стоит сразу с почтовым ящиком, если же он не был создан сразу по каким-то причинам, можно его создать как из Active Directory с помощью Kerio MailServer Tasks, или, если учетная запись kms_service включена в группу Account Operators или Domain Admins в AD, то это можно сделать прямо из консоли KMS. KMS > Domain Setting > Users > Add… > Activate Active Directory user. Аналогично можно присвоить email-адрес и группам.

Практический совет, создайте сразу группу рассылки, в которую будут входить все пользователи компании, удобно использовать для рассылки каких-либо объявлений для всех сотрудников компании.

Импорт пользователей

Если вам по каким-то причинам необходимо импортировать пользователей AD в локальную базу KMS, то делается это таким образом — заходите в KMS > Domain Setting > Users > кнопка Import > Import from directore service:

Имя домена, контроллера, пользователя для подключения к AD указываем такие же, как в предыдушем пункте при маппинге пользователей из Active Directory. В результате KMS нам предлагает выбрать  пользователей для импорта, выбираем нужных и нажимаем кнопку ОК:

Все, пользователи созданы. В результате в  KMS > Domain Setting > Users получается примерно такая картина:

где,

e.popova и kmsadmin — пользователи, созданные в локальной базе KMS

i.petrov, p.ivanov и v.pupkin — пользователи, подключенные из Active Directory

n.sidorova — пользователь, импортированный из AD

Обратите внимание, что в свойствах пользователей, импортированных из AD, по умолчанию устанавливается аутентификация через Kerberos 5, т.е. с пользователь при входе в свой почтовый ящик аутентифицируется с помощью AD.  Естественно, можно поменять метод аутентификации на другой — Internal или  Windows NT domain (в связи с тем, что Windows NT сильно устарела, в этой статье этот метод не рассматривается). Для пользователей, подключенных вторым способом, этого сделать нельзя.

Настройка mx-записей

Что это за записи? MX-запись — это особая запись на DNS-серверах, которая для данного домена (testcompany.ru в нашем случае) указывает почтовый сервер, на который нужно отправлять электронную почту, предназначенную для адресов в этом домене.

Доступ к редактированию этих записей находится там, где вы собственно приобрели это имя, у хостера скорее всего или скажем у регистратора имен, например nic.ru.

Заходим в панель управления зоной testcompany.ru. Если у вас там уже был например веб-сайт компании, то вы увидите, что там уже есть A-записи, который указывают на IP-адрес этого сайта. Нам тоже нужно создать A-запись, которая будет указывать на наш сервер. Собственно нужна будет эта запись для того, чтобы использовать ее в MX-записи и чтобы она указывала на веб-интерфейс нашего сервера.

Поэтому вводим новую запись:

mail.testcompany.ru    тип A    IP-адрес 88.88.yyy.xxx

где 88.88.yyy.xxx — ваш внешний IP-адрес, выданный вам провайдером. Часто полностью mail.testcompany.ru вводить не надо, достаточно просто mail.

Далее MX-запись, аналогично, только дополнительно нужно приоритет указать:

@    тип MX    mail.testcompany.ru.    приоритет 10

@ означает сам домен testcompany.ru. У разных регистраторов имен эти записи вводятся немного по-разному, но смысл такой, для домена testcompany.ru мы создаем mx-запись, указывающую на A-запись mail.testcompany.ru. Всё, записи созданы, через некоторое время (до двух суток, обычно меньше) они реплицируются на все DNS-серверы в интернете и будут доступны. Поэтому этот пункт желательно сделать в первую очередь, хоть он у меня и идет четвертым по счету.

Проверяем с помощью nslookup (как пользоваться этой командой — http://support.microsoft.com/kb/200525/ ), должно быть что-то типа того:

C:\Documents and Settings\Admin>nslookup
Default Server: dc01.testcompany.local
Address: 192.168.1.10

> set q=a
> mail.testcompany.ru
Server: dc01.testcompany.local
Address: 192.168.1.10

Non-authoritative answer:
Name: mail.testcompany.ru
Address: 88.88.yyy.xxx

> set q=mx
> testcompany.ru
Server: dc01.testcompany.local
Address: 192.168.1.10

Non-authoritative answer:
testcompany.ru MX preference = 10, mail exchanger = mail.testcompany.ru

testcompany.ru nameserver = ns2.zzz.ru
testcompany.ru nameserver = ns1.zzz.ru
mail.testcompany.ru internet address = 88.88.yyy.xxx
>

где 192.168.1.10 — адрес контроллера домена dc01.

Также понадобится создать PTR-запись для вашего внешнего IP-адреса. Она нужна для того, чтобы письма с вашего сервера не считались спамом (на многих почтовых серверах есть проверка PTR). PTR-записи обычно создаются у провайдера, который предоставляет вам статический IP-адрес, доступа к редактированию PTR записей обычно нет. Поэтому пишем письмо провайдеру следующего содержания:

Прошу для адреса 88.88.yyy.xxx создать PTR-запись, соответствующую домену mail.testcompany.ru

Проверить, создалась запись или нет, можно опять же через nslookup, примерно таким образом:

C:\Documents and Settings\Admin>nslookup
Default Server: dc01.testcompany.local
Address: 192.168.1.10

> set q=ptr
> 88.88.yyy.xxx
Server: dc01.testcompany.local
Address: 192.168.1.10

Non-authoritative answer:
xxx.yyy.88.88.in-addr.arpa name = mail.testcompany.ru
>

Все, с записями все отлично, теперь нужно сделать маппинг (или публикацию) портов SMTP и HTTP (а так же HTTPS, POP3, IMAP и т.п., если вы собираетесь давать доступ снаружи к этим сервисам) на вашем корпоративном фаерволе. А также с сервера mail нужно открыть порт SMTP наружу. Например, в Kerio Winroute Firewall это будет выглядеть так:

где 192.168.1.12 — IP-адрес почтового сервера.

Для быстрой проверки снаружи используйте telnet:

telnet mail.testcompany.ru 25

который должен выдать:

220 mail.testcompany.ru Kerio MailServer 6.7.3 ESMTP ready

Если выдал, значит на фаерволе порт опубликован нормально, mx-записи введены коррректно и сам KMS тоже функционирует нормально.

Настройка клиентов:

Проверяем веб-интерфейс, на какой-нибудь рабочей станции в локальной сети или на самом сервере в строке браузера набираем имя нашего почтового сервера:

http://mail/ (или http://mail.testcompany.ru/ , если пробуете снаружи)

Мы должны попасть на страницу входа в веб-интерфейс KMS:

Дальше все стандартно, вводим имя и пароль пользователя с существующим ящиком, входим и удивляемся, что все работает 🙂 Так же можно попробовать зайти по HTTPS, по умолчанию KMS при установке сам создает сертификат, так что и в этом случае все должно работать.

Далее нужно настроить Microsoft Outlook. В этой статье рассматривается настройка MS Outlook 2007, для Outlook 2003 отличия будут минимальны.

Сначала нужно установить на рабочую станцию Kerio Outlook Connector (with offline caching). Можно сделать это вручную, можно установить MSI-пакет через групповые политики.

После установки Kerio Outlook Connector запускаем Outlook, если учетных записей это этого не было, то запустится мастер, если были, то нужно будет запустить его вручную из меню Сервис > Настройка учетных записей > Создать…

На странице Настройка учетной записи нажимаем Да, естественно, далее, на странице Автоматическая настройка учетной записи ставим галку «Настроить вручную параметры сервера или дополнительные типы серверов»  (так как у нас не Exchange 🙂 ).  Далее на странице Выбор службы электронной почты выбираем Другая и Kerio Mailserver (KOC Offline Edition):

Далее, в окне Конфигурация на вкладке Учетная запись вводим:

Имя  сервера — mail.testcompany.local

Имя учетной записи — p.ivanov

Пароль — пароль этой учетной записи в AD и ставим галку Сохранить пароль.

Нажимаем кнопку Обнаружить, должна отобразиться корректная информация о пользователе. Далее ОК, ОК, Готово и заходим в Outlook. На этом первоначальная настройка Outlook закончена, пользователь может отправлять и принимать почту.

Для проверки отправьте несколько тестовых писем внутри организации и на какие-нибудь внешние адреса, а также обратно 🙂 Если все сделали правильно, то почта должна функционировать без проблем.

Исправления и дополнения принимаются.