0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Установка и настройка SMTP сервера на Windows Server 2016 / 2012 R2

Установка и настройка SMTP сервера на Windows Server 2016 / 2012 R2

Вы можете установить SMTP сервер с помощью встроенных средств во всех версиях Windows Server. Такой SMTP сервер внутри организации может работать в качестве почтового релея, который должен принимать и пересылать через себя SMTP сообщения от различных устройств (к примеру, сендеров, сканеров, устройств СКД и пр.) и приложений (веб приложения, SQL Reporting Services, SharePoint), которым необходимо иметь возможность отправлять почту через SMTP сервер. Такой релей может пересылать сообщения на полноценные Exchange сервер или на публичные почтовые сервисы в Интернет типа Gmail, Mail.ru, Office 365 и т.д (ведь не всегда целесообразно разворачивать полноценную внутреннюю почтовую инфраструктуру на базе Microsoft Exchange Server или других почтовых служб).

В этой статье мы покажем, как установить, настроить и протестировать работу SMTP сервера на Windows Server 2012 R2, 2016 и 2019, который будет функционировать в качестве mail релея. Такой SMTP сервер не хранит почтовые сообщения и на нем отсутствуют почтовые ящики, он сможет только отправлять или пересылать почту.

  • Установка службы SMTP на Windows Server 2016/2012 R2
  • Настройка SMTP сервера на Windows Server
  • Автозапуск службы SMTPSVC
  • Проверка работы SMTP сервера на Windows Server

Что вам понадобится для настройки Outlook

Перед тем, как мы начнём разбираться в том, как настроить почту Outlook, или почтовый клиент, убедитесь, что у вас есть:

  1. Доменное имя — primer.com
  2. Ваш адрес электронной почты — admin@primer.com
  3. Пароль электронной почты
  4. Конфигурация IMAP/POP и SMTP

Предположим, что у вас уже есть домен и электронная почта (пункты 1-3). Однако для доступа к электронной почте через почтовый клиент вам понадобятся данные серверов входящей (IMAP/POP) и исходящей (SMTP) почты.

Установка и настройка почтового агента Postfix

Для установки почтового агента введите следующую команду:

Во время автоматической настройки пакета Postfix выберите пункт «Интернет-сайт«:

Укажите имя домена, от которого будет отправляться почта.

После установки проверьте статус демона Postfix, для этого введите команду:

Результат работы команды проверки статуса должен быть похож на приведенный ниже:

Откройте для редактирования конфигурационный файл Postfix:

Если у вас не работает команда nano, установите редактор командой apt-get install nano или воспользуйтесь другим редактором.

В конфигурационном файле main.cf найдите строку:

Измените значение inet_interfaces на localhost

Параметр inet_interfaces указывает на каких сетевых интерфейсах postfix должен ожидать соединений. По умолчанию MTA Postfix слушает на всех активных сетевых интерфейсах. Вы можете переопределить значение inet_interfaces , указав IP адрес (либо доменное имя) нужного сетевого интерфейса.

*MTA — агент пересылки электронной почты (сервер электронной почты)

Внимание: при настройках из данной статьи не рекомендуется указывать значением ваш внешний IP адрес в inet_interfaces. Иначе ваш почтовый сервер может быть использован для массовой рассылки злоумышленниками.

Далее найдите следующие строки:

Измените их так, чтобы значение каждой из них соответствовало тому, которое приведено в следующем листинге:

На этом редактирование файла конфигурации Postfix завершено. Сохраните файл main.cf. Теперь необходимо перезапустить сервер Postfix:

Для корректной работы почты необходимо установить имя хоста в то, которое указано в настройках почтовой системы:

Для того, чтобы почта успешно доставлялась адресатам, необходимо, чтобы для домена отправки была задана корректная PTR запись. Обычно редактирование PTR-записей осуществляется службой поддержки компании, у которой вы приобретаете IP-адреса для сервера.

Общие сведения

В отличие от классического сценария раздельного туннелирования, в котором весь трафик Интернета отправляется нешифрованным, при разрешении доступа к локальной сети для VPN-клиентов, таким клиентам разрешается обмениваться нешифрованными данными только с устройствами из сети клиента. Например, клиент, которому разрешен локальный доступ к LAN при наличии подключения к устройству ASA из дома, может выполнять печать на собственном принтере, но не имеет доступа к Интернету без предварительной передачи трафика по туннелю.

Читать еще:  Ошибка 8024200d Windows 7 при установке обновлений

Список доступа используется, чтобы разрешить доступ к локальной сети подобно тому, как в устройстве ASA настраивается раздельное туннелирование. Однако вместо определения сетей, которые должны шифроваться, в данном случае список доступа определяет сети, которые не должны шифроваться. Кроме того, в отличие от сценария раздельного туннелирования, в таком списке не требуется указывать действительные сети. Вместо этого устройство ASA предоставляет сеть по умолчанию 0.0.0.0/255.255.255.255, которая воспринимается как локальная сеть клиента.

Примечание. Когда клиент подключен и настроен для доступа к локальной сети, вы не можете выполнять печать или просмотр по имени в локальной сети. Однако имеется возможность просмотра или печати по IP-адресу. См. раздел Поиск и устранение неполадок этого документа для получения дополнительной информации, а также сведений о временных решениях для этой ситуации.

Первоначальная настройка Microsoft Exchange Server 2010

Теперь можно переходить к конфигурированию Microsoft Exchange Server 2010. Вообще, по этой теме можно писать целые книги – всевозможных настроек в данном продукте огромное множество. Однако мы ограничимся лишь необходимым минимумом. Нам важно, чтобы пользователи нашей небольшой компании могли работать с корпоративными почтовыми ящиками. Вся настройка осуществляется с помощью специальной консоли управления.

Итак, запускаем консоль управления и подключаемся к локальному серверу. В первую очередь необходимо настроить домен, который будет считаться почтовым. Дело в том, что по умолчанию Microsoft Exchange Server 2010 устанавливает в его качестве домен Active Directory, но так почти никогда не бывает. Поэтому открываем в консоли пункт «Конфигурация организации->Транспортный сервер-концентратор» и переходим на вкладку «Обслуживаемые домены». Выбираем в меню «Действие» пункт «Создать обслуживаемый домен». В открывшемся окне вводим имя и сам домен, после чего устанавливаем переключатель в положение «Уполномоченный домен».

Затем в том же окне переходим на вкладку «Политики адресов электронной почты» и создаем новую политику, которая разрешит создавать ящики с почтовым доменом, а не с доменом Active Directory. Для этого выбираем в меню «Действие» пункт «Создать политику адресов электронной почты». В открывшемся окне вводим название политики (проще всего указать имя домена), нажимаем на кнопку «Обзор» и выбираем контейнер Users. После этого дважды нажимаем на кнопку «Далее» и переходим на страницу определения правил автоматического формирования адресов электронной почты сотрудников компании. Нажимаем на кнопку «Добавить» и выбираем в открывшемся окне способ генерации первой части адреса (например, «Имя.Фамилия»), устанавливаем переключатель на пункт «Выберите принятый домен для адресов электронной почты» и выбираем с помощью кнопки «Обзор» наш почтовый домен. Все остальные шаги мы пропускаем с помощью кнопки «Далее», а в завершение нажимаем на кнопку «Создать».

В принципе, после проведения описанных шагов Microsoft Exchange Server 2010 можно считать настроенным и работающим. С его помощью можно отправлять и получать письма, но только в пределах своего почтового домена. То есть он позволяет сотрудникам обмениваться письмами друг с другом. Для того чтобы «научить» почтовый сервер отправлять почту в Интернет, нужно настроить так называемее коннекторы отправки. Это правила, определяющие действия сервера для писем, которые адресованы на «внешние» домены.

Итак, открываем в консоли пункт «Конфигурация организации->Транспортный сервер-концетратор» и переходим на вкладку «Соединители отправки». По умолчанию никаких элементов в нем нет. Выбираем в меню «Действие» пункт «Создать соединитель отправки». В открывшемся окне вводим имя нового коннектора, указываем наш почтовый домен и нажимаем на кнопку «Далее». На следующей странице надо ввести домены, для которых будет срабатывать данный коннектор. Понято, что в нашем случае письма должны уходить на любые адреса, а поэтому мы нажимаем на кнопку «Добавить» и в строке «Адресное пространство» вводим «звездочку». Переходим на следующую страницу и выбираем на ней пункт «Использовать MX-записи DNS для автоматической маршрутизации электронной почты». Все остальные шаги пропускаем с помощью кнопки «Далее» и для окончания создания настройки нажимаем на кнопку «Создать».

Читать еще:  Установка Windows на макбук

Следующий этап настройки необходим для того, чтобы Microsoft Exchange Server 2010 смогу получать почту из Интернета, то есть от внешних почтовых адресов. Для его осуществления открываем в консоли пункт «Настройка серверов->Транспортный сервер-концентратор». По умолчанию при установке сервера создается два соединителя получения с именами Client и Default. Первый из них предназначен для получения почты от клиентов Outlook Express. И поскольку такая возможность вряд ли используется, его можно отключить.

Соединитель же Default требует дополнительной настройки. Дело в том, что по умолчанию в Microsoft Exchange Server 2010 запрещен прием почты от анонимных серверов, то есть от серверов, не прошедших аутентификацию. К этой категории относятся все сервера в Интернете, именно поэтому почта с них и не поступает. Для исправления данной проблемы дважды кликаем мышкой по коннектору. При этом открывается окно его свойств. На вкладке «Общие» меняем доменное имя на реальное. После этого переходим на вкладку «Группы разрешений» и активируем чекбокс «Анонимные пользователи». Далее открываем вкладку «Проверка подлинности» и отключаем на ней чекбокс «Проверка подлинности Exchange Server».

Собственно говоря, на этом минимальную настройку Microsoft Exchange Server 2010 можно считать завершенной. Сервер может принимать и отправлять корреспонденцию как внутри обслуживаемого домена, так и на внешние почтовые ящики.

Откройте раздел Учетные записи пользователей и нажмите Добавить пользователя:

Заполните все поля и нажмите Добавить:

После создания учетных записей на стороне сервера – распространите TrueConf ID и пароли среди пользователей, которые будут использовать видеоконференцсвязь в локальной сети.

В бесплатной версии TrueConf Server Free можно создать 10 учетных записей.

Настройка отправки через различные аккаунты.

Итак, в моём примере есть учётная запись через которую отправляется вся почта по умолчанию — testo.testovitch@yandex.ru и аккаунт на gmail ( testo.testovitch@gmail.com) для отправки писем от учётной записи secretar@cmp.local. Всего же учётных записей в примере нам хватит трёх. user — обычный пользователь, отправка почту через аккаунт по умолчанию, secretar обычный пользователь отправка почты через gmail, director отправка почты через аккаунт по умолчанию.

Для создания учётной записи переходим по адресу https://ip-нашего-iredmail/iredadmin и вводим логин postmaster@cmp.local, напоминаю что cmp.local это домен в моём примере, у вас может быть что-то другое, и пароль который мы указывали для учетной записи postmaster во время установки.


Жмём +add и выбираем user

В этом окне заполняем поля mail address, password жмём кнопку add, аналогично создаём оставшихся пользователей. Для вашего удобства есть поле в котором уже сгенерирован пароль, можно его скопировать и вставить для пользователя, не забыть правда потом записать

Проверим как проходит внутренняя почта, на этом этапе уже должно всё работать, зайти в почтовый ящик можно по адресу https://ip-нашего-iredmail/

Чтобы посмотреть лог набираем в терминале

как видим всё в порядке

Настройка пересылки

Для пересылки почты через аккаунты других почтовых серверов надо использовать параметр relayhost = в main.cf. Информацию о том как это сделать я нашёл здесь и здесь.

Итак, снова терминал, нам необходим для начала отредактировать main.cf

начиная со строки relayhost = добавляем следующее содержимое

relayhost = [smtp.yandex.ru]:587 smtp_use_tls = yes smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/saslpass smtp_sasl_security_options = noanonymous smtp_sender_dependent_authentication = yes sender_dependent_relayhost_maps = hash:/etc/postfix/relayhost_map

Выглядит это примерно так


[smtp.yandex.ru]:587 это адрес smtp сервера по умолчанию и порт, как вы наверное уже сами догадались, остальные параметры отвечают за подключение с помощью starttls

теперь нам необходим создать и отредактировать ещё пару файлов это/etc/postfix/saslpass и /etc/postfix/relayhost_map в первом хранятся логины и пароли к аккаунтам, а во втором карта пересылки.

добавляем примерно следующее (для сохранения файла используем сочетание Ctrl+O, для закрытия Ctrl+X)

[smtp.yandex.ru]:587 testo.testovitch:passW08rd — здесь мы указываем дефолтную учётную запись для отправки, опять-таки указывается сервер, порт, логин и пароль.

secretar@cmp.local testo.testovitch@gmail.com:passW0!rd — здесь мы указываем что для отправки почты с адреса secretrar@cmp.local надо использовать другие логин и пароль (те что используются для gmail)

Читать еще:  Suspend to ram что это в БИОСе?

После того как мы внесли изменения в /etc/postfix/saslpass из него надо сделать файл db который понимает postfix

Переходим к редактированию /etc/postfix/relayhost_map

как вы наверное уже поняли, в этом файле указывается что для юзера secretar@cmp.local необходимо использовать smtp сервер smtp.gmail.com и порт 587.

повторяем процедуру postmap

делаем reload для postfix

Нюансы и отладка

Пробуем отправить письмо наружу, из веб интерфейса письмо уходит, но до адресата не доходит смотрим лог

добавляем следующую строчку (я добавлял сразу после sender_dependent_relayhost_maps = hash:/etc/postfix/relayhost_map)

создаём сам файл

и вписываем в него

сторочка @cmp.local testo.testovitch@yandex.ru говорит что все адреса @cmp.local поле from будет подменяться на testo.testovitch@yandex.ru
а secretar@cmp.local testo.testovitch@gmail.com означает что письма отправленные от secretar@cmp.local будут отправляться от testo.testovitch@gmail.com
Не забываем postmap и reload

Пробуем отправить письмо. Всё отправляется видим что адреса меняются.

Amavis

Пробуем отправить письмо на внутренний ящик и … оно не доходит, смотрим лог.


и понимаем что при использовании в postfix параметра smtp_generic_maps подмена поля from происходит и для локальных (внутренних) адресов, более того postfix после этого пытается письмо отправить непонятно куда. Это очень странно потому что в документации к postfix явно указано что этот параметр применяется только для писем отправляемых за пределы почтового сервера.

Поиск в интернете даёт подсказку что проблема связана с amavis, но решение которое при этом предлагается мне не очень понравилось. Дальнейший поиск подсказывает что можно изменять адрес после контентной фильтрации, подсказку нашёл здесь.

Итак для того что бы письма внутри домена нормально ходили, а у исходящих за пределы домена подменялось поле From и при этом работала проверка на вирусы по всем письмам надо добавить в секцию amavis в файле master.cf строчку -o smtp_generic_maps=, делаем

выглядит файл после изменений примерно так

Сохраняем файл, делаем обновление параметров.

Проверяем, всё работает. Переходим к последнему пункту.

Так же есть нюанс при работе с gmail

1. Сделайте DMZ действительно отдельным сегментом сети

Основная идея, лежащая в основе DMZ, состоит в том, что она должна быть действительно отделена от остальной LAN. Поэтому вам необходимо включить отличающиеся между собой политики IP-маршрутизации и безопасности для DMZ и остальной части вашей внутренней сети. Это на порядок усложнит жизнь нападающим на вас киберпреступникам, ведь даже если они разберутся с вашей DMZ, эти знания они не смогут использовать для атаки на вашу LAN.

Обратная связь

Используя форму обратной связи, вы можете оставить пожелания по улучшению работы управления информатизации.

Мы также будем благодарны вам за вопросы и предложения по работе компьютерного оборудования, локальной сети, телефонии, программного обеспечения, систем дистанционного обучения, веб-конференций и другим сервисам, имеющим отношение к информационно-технологической среде университета.

Если при этом вы укажете свой электронный адрес или телефон, мы известим вас о принятом решении по вашему вопросу в течение трех рабочих дней с момента получения обращения.

Вы также можете отправить заявку в службу технической поддержки, используя мессенджер WhatsApp: +79213104866 (номер используется только для приёма письменных сообщений, ответ оператора в рабочее время с 9:00 до 17:45. Заявки, поступившие позже указанного времени, будут приняты в работу на следующий рабочий день).

  • Укажите ваше ФИО.
  • Укажите корпус и номер аудитории.
  • Кратко опишите проблему.
  • Дополнительно Вы можете отправить оператору фотографию, снятую на смартфон, с демонстрацией проблемы или ошибки в работе компьютерного или мультимедийного оборудования.
  • Оператор технической поддержки решит ваш вопрос в режиме реального времени или проконсультирует вас о действиях, которые необходимо предпринять для его устранения.
  • В случае серьёзной проблемы, которая не может быть устранена удаленно, оператор примет заявку в работу, сообщит номер заявки и направит к вам инженера.

Если у вас останутся вопросы или пожелания к работе инженера или вам потребуется информация о состоянии выполнения вашей заявки, сообщите её номер оператору при последующем обращении в службу технической поддержки.

Ссылка на основную публикацию
Статьи c упоминанием слов:

Adblock
detector