Требуемые действия при смене почтового сервера (tutorial)

Обсуждение вопросов связанных с шлюзом безопасности Ideco UTM. Технические вопросы пользователей, новости от разработчиков, анонсы, обсуждения недокументированных особенностей.

Модератор: administrator

Требуемые действия при смене почтового сервера (tutorial)

Сообщение Азиз Абдуназаров » 17 ноя 2018, 09:55

Доброго времени суток! Хотел бы посоветоваться с Вами, дабы не упустить чего-то важного в поставленной перед мной задаче по смене почтового сервера с хостинг площадки на встроенный в Ideco UTM.

Прошу совета в правильности предпринимаемых действий:
1) Настраиваю на маршрутизаторе проброс TCP портов 143, 110, 995 до внешнего интерфейса Ideco UTM (UTM подключается через маршрутизатор);
2) Настраиваю почтовые адреса для пользователей в интерфейсе Ideco UTM;
3) Настраиваю DNS у хостинг-провайдера (там используется Plesk):
– меняю IP адреса вида mail.site.ru. на внешний IP адрес Ideco UTM;
– меняю IP адреса вида webmail.site.ru. на внешний IP адрес Ideco UTM (для доступа к веб-интерфейсу из сети Интернет);
Уже имеющиеся записи «site.ru. - MX (10) - mail.site.ru.», «site.ru. - TXT - v=spf1 +a +mx -all», «*.webmail.site.ru. – CNAME - site.ru.» не трогаю.
4) Включаю службу «Почтовый сервер» в интерфейсе Ideco UTM;
5) Обращаюсь к Интернет провайдеру доступа к сети Интернет для указания PTR-записи для внешнего IP адреса Ideco UTM;
6) Настраиваю DKIM-подпись в веб-интерфейсе Ideco UTM в соответствии с рекомендацией (https://doc.ideco.ru/pages/viewpage.act ... Id=4982660);
7) Распространяю SSL-сертификат Ideco UTM на клиентские рабочие станции;
8) Настраиваю почтовые клиенты на клиентских рабочих станциях, где указываю сервер входящей и исходящей почты mail.site.ru.
9) Жду обновления DNS у серверов в сети Интернет.

Насколько правильная последовательность и предпринимаемые шаги?

И пока не до конца понял пару вопросов:
1) На клиентах указываю сервер входящей и исходящей почты mail.site.ru даже не смотря на то, что Ideco UTM не включён в состав домена? Нет ли необходимости что-то прописывать на контролёре домена?
2) Имеется необходимость проверки нескольких почтовых ящиков с одного ПК. В Ideco UTM нет ли привязки доступа к почтовому ящику исходя из его IP?

P.S. Прошу извинить за "много слов", но в подобных вопросах не имею достаточного опыта и от этого прошу Вашей помощи и советов.
Азиз Абдуназаров
Пользователь
 
Сообщения: 39
Зарегистрирован: 26 окт 2018, 10:07

Re: Требуемые действия при смене почтового сервера (tutorial

Сообщение ideco.dmitriy » 20 ноя 2018, 11:47

Добрый день!
1. Нужно пробросить еще 25 и 587 TCP порты для SMTP
2. ок
3. Нужно поменять IP-адреса в A-записях, на которые ссылается MX-запись.
4. Нужно включить и настроить службу. Проверить настройку советую с помощью сервиса https://www.mail-tester.com/. Должно выдавать оценку 10 из 10.
5. Ок.
6. Ок.
7. Да, только именно корневой сертификат Ideco UTM.
8. При таком указании получится что трафик будет ходить через внешний маршрутизатор. С ним могут возникнуть проблемы, т.к. вернуться к клиентам он может напрямую (если они в одном ethernet-сегменте с Ideco UTM). Возможно проще будет указывать локальный IP-адрес Ideco UTM.

По последним вопросам.
1. Контроллер домена здесь непричем. Проблемы могут быть в другом, см. пункт 8.
2. Нет, на одном ПК можно использовать сколько угодно почтовых ящиках. Или использовать один почтовый ящик на нескольких ПК, тоже без проблем.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 1858
Зарегистрирован: 11 мар 2014, 08:43

Re: Требуемые действия при смене почтового сервера (tutorial

Сообщение Азиз Абдуназаров » 21 ноя 2018, 14:57

Спасибо за развёрнутый ответ и пояснения! В ближайшее время постараюсь всё это реализовать.
Азиз Абдуназаров
Пользователь
 
Сообщения: 39
Зарегистрирован: 26 окт 2018, 10:07

Re: Требуемые действия при смене почтового сервера (tutorial

Сообщение ideco.dmitriy » 21 ноя 2018, 15:48

Пожалуйста.
PTR запись еще обязательно нужно настроить заранее, без нее большинство почтовых серверов откажутся принимать почту.
DKIM уже в процессе можно настроить, без него почта будет работать нормально, но рейтинг в антиспамах будет не самый высокий.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 1858
Зарегистрирован: 11 мар 2014, 08:43

Re: Требуемые действия при смене почтового сервера (tutorial

Сообщение Азиз Абдуназаров » 26 ноя 2018, 11:04

Если разрешите, есть ещё пару вопросов:

1) Настройка почтового сервера, подраздел "Безопасность" , пункт "Принимать почту от других SMTP-серверов
по шифрованному соединению" в случае использования корневого сертификата генерированного самим Ideco UTM при инсталляции указать "По возможности"? Или он не может считаться доверенным и будет правильнее указать "Никогда"?

2) На на DNS-сервере (у держателя доменной зоны) сейчас имеется запись «*.webmail.site.ru. – CNAME - site.ru.» и «webmail.site.ru. - A - 111.111.111.111». Пользователи из сети Интернет сейчас имеют доступ к Web-почте по webmail.site.ru. Теперь, в случае доступа к Web-почте на новом почтовом сервере Ideco UTM из сети Интернет, правильно ли я понимаю, что А запись для webmail.site.ru. необходимо указать на внешний интерфейс Ideco UTM, чтобы пользователи также получали по этому адресу доступ к Web-почте?
Смущает что в документации указано https://66.77.88.99/mail, т.е. не поддомен как в приведенных выше записях.
Азиз Абдуназаров
Пользователь
 
Сообщения: 39
Зарегистрирован: 26 окт 2018, 10:07

Re: Требуемые действия при смене почтового сервера (tutorial

Сообщение ideco.dmitriy » 26 ноя 2018, 13:03

1. Нужно указать "По возможности", самоподписанного сертификата будет достаточно. Почта между серверами будет ходить по шифрованному соединению.

2. Да, можно будет ходить и по доменному имени. Нужно только будет указать его.
Сервисы - Обратный прокси - Интерфейс встроенной веб-почты - Путь до адреса, добавить webmail.site.ru
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 1858
Зарегистрирован: 11 мар 2014, 08:43

Re: Требуемые действия при смене почтового сервера (tutorial

Сообщение Азиз Абдуназаров » 26 ноя 2018, 19:09

Спасибо за помощь! Но к сожалению, при миграции вопросы всё равно появляются:

1) Как я понял, работа MS Outlook 2013 по протоколу POP3 невозможная, только IMAP? (сообщается о невозможности работы с данным типом шифрования).

2) При подключении по IMAP к почтовому ящику через Outlook 2013 сообщается о невозможности проверить сертификат. Однако, скачанный со страницы входа в UTM SSL-сертификат через ГПО распространил. В IE он появился в Корневых центрах сертификации. В чём может быть причина?

3) В MS Outlook 2013 "странный" вид папок: "Входящие" и внутри - Draft, Sent, Trash, Spam. Можно ли сделать так, чтобы отображение папок было как при работе по протоколу POP3?

4) Правильно ли я понимаю, что по протоколу IMAP вся почта хранится на сервере, а Outlook лишь отображает содержимое папок без скачивания? Возможно ли сделать так, чтобы вся почта хранилась локально, т.к. объём переписки у ряда сотрудников значительный и установленный лимит на сервере довольно легко можно исчерпать.
Вложения
Снимок5.png
Снимок5.png (14.05 КБ) Просмотров: 116
SSL.png
SSL.png (72.83 КБ) Просмотров: 116
cert_outlook.png
cert_outlook.png (26.43 КБ) Просмотров: 116
Азиз Абдуназаров
Пользователь
 
Сообщения: 39
Зарегистрирован: 26 окт 2018, 10:07

Re: Требуемые действия при смене почтового сервера (tutorial

Сообщение ideco.dmitriy » 27 ноя 2018, 08:22

1. По POP3 работа должна быть возможна, нужно использовать шифрование SSL/TLS, т.к. STARTTLS Outlook не поддерживает.
2. А по какому имени вы обращаетесь на почтовый сервер, доменному или IP-адресу?
3. К сожалению по таким настройкам почтового клиента проконсультировать не могу.
4. Да, IMAP используется только для просмотра писем на сервере, использовать его аналогично POP3 не получиться.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 1858
Зарегистрирован: 11 мар 2014, 08:43

Re: Требуемые действия при смене почтового сервера (tutorial

Сообщение Азиз Абдуназаров » 27 ноя 2018, 09:53

1. Проблема решена. Опытным путём выяснилось, что для Outlook из локальной сети сервер входящей почты работает на 995 TCP порту (РОР3) с включённым шифрованием (SSL), сервер исходящей почты работает на 587 порту TCP с шифрованием TLS. Было бы желательно подправить документацию по используемому порту (https://doc.ideco.ru/pages/viewpage.act ... Id=4982579), там говорится о 110 TCP порте.

2. Пробовал и по локальному IP-адресу Ideco UTMи, и по доменному (FQDN). В обоих случаях ошибка "Главное конечное имя неверно". При просмотре сертификата, он выдан для SITE.RU.

3. Проблема решена. "Загуглил", оказывается в случае, если все служебные IMAP папки вложены в папку "входящие" и их необходимо выстроить все в один уровень, то в дополнительных свойствах учётной записи, в поле "Root folder path" ввести INBOX.

4. Проблема решена. Понял.

По "итогу", пока остаётся только одна проблема - запрос сертификата в почтовом клиенте.
Вложения
imap.png
Требуемые настройки по IMAP для одноуровневных папок
imap.png (26.6 КБ) Просмотров: 97
ssl_tls_outlook.png
Работающие настройки POP3 в Outlook из локальной сети.
ssl_tls_outlook.png (39.2 КБ) Просмотров: 97
Азиз Абдуназаров
Пользователь
 
Сообщения: 39
Зарегистрирован: 26 окт 2018, 10:07

Re: Требуемые действия при смене почтового сервера (tutorial

Сообщение ideco.dmitriy » 27 ноя 2018, 14:22

Спасибо, документацию поправил.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 1858
Зарегистрирован: 11 мар 2014, 08:43

След.

Вернуться в Шлюз безопасности Ideco UTM 7.x

Кто сейчас на конференции

Сейчас этот форум просматривают: Bing [Bot] и гости: 1