Издательский дом ООО "Гейм Лэнд"СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #75, ФЕВРАЛЬ 2007 г.

записки ремесленника

АЛЕКСАНДР ПРИХОДЬКО

Хакер, номер #075, стр. 094


(SANPRIH@MAIL.RU)

ДА ЗДРАВСТВУЕТ МЫЛО ДУШИСТОЕ! НАСТРОЙКА ПОЧТОВОГО СЕРВЕРА

В настоящее время без электронной почты не живет, пожалуй, ни одна организация. Мы с тобой подняли и настроили домен, подключили пользователей к Сети, и для счастья нам не хватает того самого душистого мыла. Перед установкой и настройкой почтового сервера нам необходимо обзавестись двумя вещами: реальным IP-адресом и доменным именем. Реальный адрес у тебя есть, вот с именем можно поступить двумя способами: либо купить у провайдера/хостера, либо безвозмездно, то есть даром, взять у ближайшего провайдера доменное имя третьего уровня. Предположим, что мы зарегистрировали свое доменное имя xakdomain.org, адрес у нас есть. Провайдер пропишет у себя в DNS-зоне запись MX, где укажет наше имя и адрес. В принципе, ты можешь поднять свой DNS-сервер и наполнить его необходимыми записями, затем настроить трансфер зоны на провайдера и самому отвечать за доступность сервера. Теперь подумаем, где, собственно, мы поместим наш почтовый сервер. Можно вынести его за пределы твоей сети прямо в интернет, установить на почтовике файрвол, антивирус и наблюдать за ним особо тщательно. Но тогда все твои обращения к нему - драгоценный трафик. Можно установить его во внутренней сети: тогда скорость работы корпоративной почты будет очень высока, и никакого лишнего трафика! На сервере ставишь две сетевые карты, одна смотрит в твою сеть, вторая - в мир. Ставишь файрвол, и все готово.

Лирическое отступление закончим выбором продукта. Не в целях рекламы, а ради познания истины мы рассмотрим почтовый сервер фирмы Kerio. По стоимости продукт доступен даже для небольшой конторы. Например, почтовик на 30 персон обойдется примерно в 700 убитых енотов. Попробовать почтовик можно, скачав с сервера триальную версию программы - www.kerio.com. Начинаем установку. Разработчики позаботились о носителях русского языка, что не может не радовать:

Жмем «ОК» и любуемся матросом с флагом (что имел в виду дизайнер инсталляшки, - остается загадкой). «Далее». Читаем, как много умеет версия 6.3 почтового сервера. «Далее». Принимаем лицензионное соглашение. «Далее». Приходим к виду установки.

Отмечаем «Выборочную установку», выбираем каталог для установки программы. Наконец добрались до самого выбора. Отключаем справку на чешском языке. «Далее». И, наконец, жмем «Установить». Пока прога устанавливается, набросай себе список пользователей и придумай пароли для подключения к почтовику. На определенном этапе установки визард предложит ввести доменное имя. Оставляем все по умолчанию и идем далее.

Заводим админскую учетную запись и придумываем длинный пароль.

Теперь следует выбрать каталог и диск, куда почтовик будет складывать всю почту. Прикинь, на какой электронный документооборот способна твоя контора. Если работники постоянно отсылают и принимают файлы и количество клиентов достаточно большое, то для хранилища имеет смысл завести отдельный диск, если оборот писем маленький - оставляем все по умолчанию.

И, наконец, нажимаем последний раз кнопку «Готово». Перезагружаем сервер и в трее видим кусочек красно-белого флага, которым размахивал матрос при установке, - это и есть наша почта. Запустим ее. Так как у нас сервер прикрыт файрволом фирмы Kerio, то выскакивает панель администрирования, в ней выбираем «мейл – сервер». При первом запуске нам предлагается зарегистрировать продукт.

Закрываем окно. Вот оно - наше мыло.

Теперь начнем настраивать наше новое хозяйство. Заходим на закладку «Службы» и останавливаем ненужные службы. Вопрос о необходимости работы этих служб ты, кончено, решаешь сам, но для работы стандартного почтового сервера их можно и остановить. Для начала отключаем протокол IMAP. Вот тебе выдержка из википедии:

IMAP (Internet Message Access Protocol) — интернет-протокол прикладного уровня для доступа к электронной почте.

«IMAP предоставляет пользователю богатые возможности для работы с почтовыми ящиками, находящимися на центральном сервере. Почтовая программа, использующая этот протокол, получает доступ к хранилищу корреспонденции на сервере так, как будто эта корреспонденция расположена на компьютере получателя. Электронными письмами можно манипулировать с компьютера пользователя (клиента) без необходимости постоянной пересылки с сервера и обратно файлов с полным содержанием писем». Естественно, заодно пристреливаем и «Защищенный IMAP». Продолжаем использовать википедию:

«NNTP — основной и единственный протокол, по которому пользователи могут подключаться к news-серверам и участвовать в дискуссиях. По строению этот протокол сходен с протоколами приема и передачи электронной почты. News-сервер представляет собой постоянно подключенный к сети компьютер, на котором хранятся сообщения дискуссии. Основное отличие технологии NNTP от е-mail -

отсылаемые сообщения общедоступны. Сообщения сгруппированы по темам обсуждения.

Возможно отозвать посланное сообщение. Фактически, решения на технологии NNTP очень похожи на веб-форумы за исключением того, что копия базы данных сообщений хранится на компьютере пользователя (или хотя бы список тем сообщений). За NNTP закреплен TCP-порт 119. При подключении к NNTP-серверу по SSL (т.н. NNTPS) используется порт 563».

Нам для получения информации хватает и обычного интернета. Отключаем NNTP и «Защищенный NNTP». Разбираемся еще с одним протоколом. Это LDAP. Если ты не собираешься импортировать пользователей из Active Directory, то протокол можно отключить. Вот что у нас осталось:

Для настройки некоторых параметров нам необходимо создать группу IP-адресов нашей сети. Заходим на закладку «Определения»-> «Группы IP-адресов»-> «Добавить», дадим имя нашей группе «Lan», «Тип» - выбираем значение «Диапазон адресов», и в поля «От» и «До» вводим начальное и конечное значения адресов нашей сети.

Запомни процесс создания групп IP-адресов, - он нам еще пригодится. Теперь настроим параметры нашего «Сервера SMTP». Заходим на закладку «Конфигурация»-> «Сервер SMTP». На первой же закладке «Управление ретрансляцией» отмечаем галочкой «Пользователи из группы IP-адресов» и выбираем созданную нами группу IP-адресов «LAN». Таким образом, мы разрешаем своим пользователям пересылать чужие письма, но не позволяем использовать наш почтовый сервер для рассылки спама.

Переходим на закладку «Параметры безопасности». Отмечаем галочкой «Макс. число неизвестных получателей…», «Не применять эти ограничения для группы IP-адресов» - выбираем «LAN». Не забываем после каждого изменения нажимать кнопку «Применить». Ну и ограничим размер исходящих сообщений, например, пятью мегабайтами.

На закладке «Доставка SMTP» ничего не меняем и переходим на закладку «Параметры очереди». Здесь все тоже оставляем по умолчанию, разве что можно сменить язык отчетов на «Русский». Переходим к фильтру содержимого. Закладка «Фильтр содержимого»-> «Фильтр спама». На первой закладке «Оценка принадлежности сообщений к спаму» не трогаем ничего. Переходим на закладку «Черные списки». Вот теперь нам необходимо вернуться на закладку «Определения»-> «Группы IP-адресов»-> «Добавить» и включить сюда еще одну группу, которую назовем «Spam&Virus».

В эту группу ты сможешь заносить особо надоедливые адреса по рассылке спама и вирей. В свойствах выбираешь «Тип»-> «Хост», записываешь адрес первого попавшегося спамера (например, 61.216.119.248), в описании пишешь «SPAM». Возвращаемся на закладку «Фильтр содержимого»-> «Черные списки». Отмечаешь галочкой перечисленные в таблице «Черные списки сети Интернет» ресурсы и в «Пользовательском черном списке IP-адресов распространителей спама» в «Группе IP-адресов» выбираешь созданную тобой группу IP-адресов «Spam&Virus». Не забывай давить «Применить».

Теперь ты готов воевать со спамерами самостоятельно. Из любого входящего спамерского письма ты вытаскиваешь IP-адрес машины, пославшей это письмо, и заносишь его в свою группу «Span&Virus». И все, почтовик сбрасывает эти письма и тебя не трогает. Если твоя контора не общается с адресатами из-за границы, то можно отрезать целые страны. Например, адрес, который мы первым занесли в список, принадлежит Тайваню. Методика поиска такова: записал адрес спам-машины, залез в интернет на поисковик, например www.whoisinform.ru, выбрал из списка «Поиск информации об IP-адресе», ввел в поле адрес и нажал «Найти». В ответ получил инфу о том, какой сети принадлежит данная машина, и инфу о размере сети. В нашем случае это адреса в диапазоне 61.216.0.0 – 61.219.255.255. Никто тебе не мешает отрезать всю эту сеть. В списке IP-адресов создаешь запись типа «Диапазон адресов» - и прощай переписка с Тайванем. Теперь переходим сразу на закладку «Средство защиты от спама». Отмечаем галочкой «Задержать приветствие SMTP на 25 сек.», выбираем в поле «Не применять задержку для соединений от» «LAN».

Данное действие позволит отбить некоторое количество спама. Принцип действия такой: в момент установки соединения и обмена информацией между SMTP-серверами, существует тайм-аут на ответ сервера на приветствие. Что-то около 30 секунд. Спамерские программы не могут ждать так долго, ведь им нужно отсылать сотни тысяч сообщений и тайм-аут ожидания ответа у них очень маленький. Таким образом, выставляя значение задержки приветствия, мы этих торопыг отсекаем. Единственная трудность, тайм-айт задержки приветствия не должен быть сильно большим, дабы не отсечь и нормальные сервера.

Со спамом разобрались, переходим на закладку «Фильтр содержимого»-> «Антивирус».

Если ты приобрел почтовый сервер со встроенным антивирусом, то на этой закладке ты настраиваешь сам антивирус и его действия с зараженным письмом. Все можно оставить по умолчанию, за одним исключением. Тебе необходимо создать админский почтовый ящик, на который будут сыпаться все письма, доставленные и не доставленные твоим юзерам. Придумай себе такой ящик. Теперь в поле «Если в сообщении обнаружен вирус» в дополнение к отмеченному галочкой полю «Удалить сообщение» отметь еще и «Переадресовать исходное сообщение администратору» и введи сюда свой админский ящик. Бывает, что некоторые сообщения антивирус не может проверить, принимает их за незнакомый вирус и удаляет. Вот если такое произошло, а письмо на самом деле было нужным, то почтовый сервер отправит пользователю сообщение об удаленном письме, а само письмо придет на твой админский ящик, и ты всегда сможешь вернуть его юзеру. Единственный недостаток всего этого - письма с вирями будут приходить на твой админский ящик не вылеченными. Так что защищайся!

Все то же самое проделай и на закладке «Фильтр содержимого»-> «Фильтр вложений». Здесь отмечаешь галочкой «Включить фильтр вложений», просматриваешь предлагаемый тебе список вложений, оставляешь в нем необходимые для контроля и перенаправляешь сообщения с вложениями на свой админский ящик. Теперь, если пользователю придет письмо с недопустимым вложением, почтовик это вложение вырежет и отправит юзеру предупреждение, а тебе на админский ящик придет это же письмо с нетронутым вложением. Если оно будет необходимо, ты всегда вернешь его юзеру.

В следующий раз мы продолжим ковырять наше мыло.

Содержание