Из предыдущих статей по групповым политикам вы узнали о назначении и использовании оснастки «Редактор объектов групповой политики» , об административных шаблонах, ознакомились с некоторыми локальными политиками безопасности. В этой статье вы узнаете еще об одном механизме управления конфигурацией безопасности - о шаблонах безопасности и их применении в производственной среде. Разумеется, при помощи локальных политик безопасности вы можете централизовано разворачивать практически все возможные настройки для пользователей и компьютеров, но иметь представление о настройке шаблонов безопасности просто необходимо, так как не во всех случаях у вас получится развернуть на предприятии нужные для вас настройки групповых политик.

Сам по себе шаблон безопасности - это заранее сохраненный текстовый файл с расширением inf, который содержит набор параметров конфигурации безопасности. Одним из основных преимуществ шаблонов безопасности является гибкость развертывания. Вы можете развернуть шаблоны безопасности как в домене при помощи объектов групповой политики Active Directory, так и в небольших офисах или домашнем окружении (Small Office Home Office - SOHO) при помощи оснастки «Анализ и настройка безопасности» или средствами утилиты командной строки Secedit.exe, о которых будет рассказано в последующих статьях. Еще одной из достопримечательностей данных шаблонов является то, что шаблоны безопасности - это обычные текстовые файлы, редактировать которые вы можете даже при помощи стандартной программы «Блокнот» . Также нельзя не отметить тот факт, что именно при помощи шаблонов безопасности вы можете провести анализ соответствия текущей конфигурации компьютера и настроек, содержащихся в созданных шаблонах безопасности.

При помощи шаблонов безопасности вы можете настраивать параметры политики, которые отвечают за следующие компоненты безопасности:

• Политики учетных записей . Вы можете настраивать уже известные вам по статье политики паролей, политики блокировки учетной записи, а также политики Kerberos;
• Локальные политики . Доступны настройке политики аудита, назначения прав пользователей, а также параметры безопасности, аналогичные параметрам политики оснастки ;
• Журналы событий . Вы можете изменять настройки журналов «Приложения» , «Система» и «Безопасность» , такие как политики создания файлов журналов, максимальный размер и прочее;
• Группы с ограниченным доступом . Настройки ограничений доступа пользователей, которые являются членами различных групп;
• Настройки системных служб> . Вы можете управлять типом запуска и разрешением доступа всех системных служб, которые можно найти в оснастке «Службы» ;
• Настройки системного реестра . Можно добавлять разрешения на доступ к разделам реестра;
• Настройки безопасности файловой системы . У вас есть возможность задавать разрешения доступа на файлы и папки.

Рекомендуется не вносить изменения в предустановленный шаблон Setup security.inf, так как при помощи этого шаблона у вас есть возможность восстановления параметров безопасности, используемых по умолчанию. Также, чтобы избежать многих проблем, желательно перед внедрением созданного шаблона в эксплуатацию, протестировать его на отдельном компьютере.

Использование оснастки «Шаблоны безопасности»

Откройте оснастку «Шаблоны безопасности» . Для этого выполните следующие действия:

1. Откройте «Консоль управления MMC» . Для этого нажмите на кнопку «Пуск» , в поле поиска введите mmc , а затем нажмите на кнопку «Enter» ;
2. Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M ;
3. В диалоге «Добавление и удаление оснасток» выберите оснастку «Шаблоны безопасности» и нажмите на кнопку «Добавить» ;
4. В диалоге «Добавление или удаление оснасток» нажмите на кнопку «ОК» .

При первом открытии данной оснастки, в папке Documents вашей учетной записи создается папка Security с вложенной папкой Templates. Именно в папке Templates и хранятся созданные вами шаблоны безопасности. На следующей иллюстрации отображена оснастка «Шаблоны безопасности», открытая впервые:

Рис. 1. Первое открытие оснастки «Шаблоны безопасности»

Создание нового шаблона безопасности

Для последующей работы с шаблонами безопасности создайте новый шаблон. Для этого вам предстоит выполнить действия, описанные в следующей процедуре:

1. В дереве консоли щелкните правой кнопкой мыши на узле, предоставляющем путь поиска шаблона. По умолчанию путь %Userprofile%\Documents\Security\Templates;
2. В появившемся контекстном меню выберите команду «Создать шаблон» ;
3. Введите название нового шаблона в текстовое поле «Имя шаблона» появившегося диалогового окна. В том случае, если вы создаете несколько различных шаблонов безопасности, я вам рекомендую добавлять подробное описание назначения шаблона в поле «Описание» . Например, на следующей иллюстрации вы можете увидеть диалог создания шаблона с названием «Конфигурация системных служб» . В связи с тем, что на пользовательских компьютерах могут быть установлены разные ОС, в описании указана версия операционной системы, для которой создается текущий шаблон.

Рис. 2. Диалог создания нового шаблона безопасности

При желании вы можете изменить путь для поиска шаблонов, созданный по умолчанию. Для этого, в дереве консоли, нажмите правой кнопкой мыши на узле «Шаблоны безопасности» и выберите команду «Найти путь для поиска шаблонов…» . В диалоговом окне «Обзор папок» выберите папку, в которой будут сохраняться новые шаблоны безопасности и нажмите на кнопку «ОК» .

Рис. 3. Изменение пути для поиска шаблонов

Изменение настроек шаблона безопасности

После создания нового шаблона, в оснастке вы увидите набор групповых политик, подобный тем, которые отображаются в оснастке «Редактор объектов групповых политик» . Не стоит также забывать, что оснастка шаблонов безопасности представляет собой только редактор набора групповых политик и не влияет на изменение текущей конфигурации. То есть, после полного изменения политик, предоставленных в данной оснастке, вам не стоит волноваться о том, что настройки на вашем рабочем месте будут изменены. Далее мы рассмотрим набор политик системных служб, добавление параметров реестра, а также редактирование групп с ограниченным доступом.

На следующей иллюстрации отображен новый шаблон безопасности:

Рис. 4. Новый шаблон безопасности

Настройка системных служб

Узел «Системные службы» предназначен для последующего изменения конфигурации системных служб средствами групповых политик при развертывании. Содержимое этого узла сильно напоминает оснастку «Службы» , однако между ними есть одна существенная разница. При помощи оснастки «Службы» вы настраиваете тип запуска служб на локальном компьютере, а используя шаблоны безопасности, вы можете распространить указанные настройки системных служб одновременно на несколько компьютеров. Рассмотрим подробно применение содержимого данного узла на простом примере:

На компьютерах вашего малого офиса, в котором нет домена, никогда не будут использоваться планшетные ПК, устройства BlueTooth и смарт-карты. Допустим, вы опасаетесь вторжения на компьютеры недоброжелателей, поэтому хотите отключить возможность удаленного управления системного реестра, службы удаленных рабочих столов, а также вашим пользователям нельзя на рабочих местах использовать Windows Media Center. По этой же причине необходимо полностью отключить на компьютерах вашей сети все эти службы. Чтобы развернуть эти настройки служб на всех компьютерах, выполните следующие действия:

Настройка системного реестра

После подробного изучения параметров групповых политик, вы можете обнаружить, что, несмотря на использование групповых политик и шаблонов безопасности, пользователи умудряются изменять некоторые системные параметры при помощи реестра. Вы знаете раздел системного реестра, отвечающий за определенную настройку, но хотите дать возможность вносить изменения в этот раздел только указанной группе пользователей. Допустим, вам нужно дать полный доступ на изменение параметров раздела реестра, отвечающего за компонент «Дата и время» только для групп «Система» и «Администраторы» , причем пользователям, которые являются членами группы «Пользователи» нужно запретить даже просмотр данного раздела. Для этого выполните следующие действия:

Настройка групп с ограниченным доступом

При помощи групп с ограниченным доступом вы можете указывать пользователей, которые будут принадлежать к определенной группе. Политики, применяемые с шаблонами безопасности, будут распространяться на всех пользователей, которые входят в группы с ограниченным доступом. Для того чтобы указать членов группы с ограниченным доступом, выполните следующие действия:

По окончании изменения шаблона безопасности, вам нужно его сохранить для дальнейшего использования. Для сохранения шаблона безопасности нажмите правой кнопкой мыши на наименовании узла шаблона безопасности и выберите команду «Сохранить» или «Сохранить как» из контекстного меню. Шаблон будет сохранен с расширением *.inf .

Заключение

В этой статье был рассмотрен очередной механизме управления конфигурацией безопасности - шаблоны безопасности и их применении в производственной среде. Зачастую данный механизм применяют на небольших предприятиях без доменной сети. Вы узнали о том, как можно открыть данную оснастку, а также настроить новый шаблон безопасности, который является текстовым файлом, с расширением *.inf .

Широко известный и хорошо зарекомендовавший себя почтовый сервер Kerio Connect соответствует потребностям малых и средних компаний. Почтовый сервер обладает непревзойденной гибкостью развертывания и обеспечивает поддержку широкого ряда мобильных устройств. Пользователи могут продолжать использовать свои любимые почтовые клиенты, а также Kerio Connect Client.

Kerio Connect - стабильный продукт, так что вы сможете сосредоточиться на выполнении своих задач, а не бороться с неожиданными простоями и не заниматься восстановлением данных. Простота развертывания и администрирования была одной из основных задач при разработке системы. Требующий меньших затрат на лицензирование, обслуживание и оборудование, почтовый сервер Kerio Connect экономически более эффективен по сравнению с другими предложениями на рынке.

BYOD - просто принеси свое устройство

Сотрудники компаний приносят свои устройства на рабочее место, и с этим ничего не поделаешь. Kerio Connect - вот решение проблемы! Наша программа поддерживает мобильные телефоны iPhone, а также мобильные телефоны и планшеты на базе ОС Android. В список поддерживаемых устройств входят практически все современные мобильные устройства. Kerio Connect - настолько простая в использовании система что пользователи могут самостоятельно настроить свои устройства без необходимости обращаться в отдел IT.

Гибкая, кроссплатформенная поддержка клиентов

Пользователям не интересны почтовые серверы. Пользователей интересует насколько хорошо работает их почта, насколько она гибка и надежна. Используя Kerio Connect Client, доступный в качестве приложения для Windows и Mac, или с помощью веб-браузера, пользователи могут видеть коллег, которые находятся онлайн, писать сообщения в режиме реального времени, организовывать встречи и безопасно отправлять письма.

Kerio Connect также предоставляет полную поддержку для Outlook (Windows & Mac) и многих других IMAP или POP почтовых клиентов. Пользователи iOS могут настроить аккаунт в популярном приложении Spark by Readdle, используя интегрированный профиль Kerio Connect.

Безопасная и защищенная электронная почта

Мы создали мощный механизм защиты в Kerio Connect. Ваша почта защищена от взлома и атак при помощи шифрования SSL, S/MIME, анти-спам фильтров, антивирусов и многого другого. Автоматическое резервное копирование с возможностью частичного восстановления из резервной копии позволяют быстро и просто восстановить данные после любых критических сбоев. Архивирование данных на уровне сервера предотвращает возможность их потери и помогает компаниям выполнять нормативные требования в отношении хранения электронной переписки.

Непревзойденная простота

Kerio Connect обладает функциями полноценного решения для совместной работы и обмена сообщениями, при этом прост в использовании и не требует высоких затрат.
Веб-администрирование очень понятное и простое и возможно даже с помощью планшета. При помощи централизованного веб-интерфейса вы можете управлять всеми своими устройствами Kerio Connect.

Обновление с помощью одного щелчка мыши удостоверит вас в том, что вы используете последнюю версию, а управление пользователями вам покажется простым. Благодаря лучшему и гибкому решению для совместной работы и обмена сообщениями на рынке мы сможем выполнить все ваши требования.

Гибкость развертывания

Kerio Connect поддерживает три различных варианта развертывания. Это дает пользователю возможность выбрать наилучший подход, основываясь на существующих IT-процессах, инфраструктуре и организации. Вне зависимости от выбранного варианта, Kerio Connect обеспечивает одинаково эффективное взаимодействие с пользователем, беспрецедентный уровень безопасности и простоту администрирования.

Kerio Connect Single-Server - Просто установите Kerio Connect на имеющемся оборудовании с любой операционной системой или виртуальной машиной. Мы поддерживаем большинство версий Windows Server, Linux и даже Mac OS X. Либо выберите виртуальный модуль VMware и легко работайте с Kerio Connect на том же оборудовании, что и другие бизнес-приложения, не беспокоясь о совместимости операционных систем.

Kerio Connect Multi-Server - Разверните модульное многосерверное решение для улучшения масштабируемости и производительности в крупных организациях и организациях со множеством офисов, либо на площадке партнёров Kerio Cloud.

Облачное размещение Kerio Cloud - Не хотите обслуживать собственный сервер? Выберите простое решение .

Работа с почтой в нашей небольшой компании (около 30 человек) долгое время была построена из рук вон плохо. Каждый пользователь работал со своим почтовым ящиком на сервере провайдера, а специфика бизнеса предполагала пересылку файлов большого размера по почте между сотрудниками, что приводила к существенным расходам на трафик. Руководством компании была поставлена задача – настроить внутренний обмен почтой между пользователями локальной сети, желательно иметь возможность совместной работы с общими контактами и планами. Выбор стоял между MDaemon и Kerio MailServer. У MDaemon оказалась серьезная проблема – поддержка только антивируса Касперского, тогда как MailServer от Kerio имеет встроенный антивирус McAfee, который является стандартом для нашей компании в настоящий момент. Кроме того, если мы решим сменить антивирусного вендора, то с Kerio проблем не возникнет – MailServer поддерживает работу с внешними антивирусами от шести вендоров. Кроме того, ценовая политика Kerio более прозрачна и общая цена решения, отвечающего нашим требованиям, для MailServer’а ниже. Итак, в качестве решения был выбран почтовый сервер Kerio MailServer. На форуме сайта www.winroute.ru, посвященного продуктам Kerio, я нашел инструкцию по быстрой установке и запуску почтового сервера в локальной сети. Далее я постараюсь пошагово описать все мои действия по установке и базовой настройке сервера.

Установка продукта
Kerio MailServer не требователен к ресурсам машины. Минимальные требования – второй пентиум начального уровня, память 128 мегабайт, Windows 2000, XP или 2003. Установка проходит без проблем, стандартный мастер. Автоматически стартующий визард настроек игнорируем, отвечая на все вопросы нажатием клавиши Next. По завершению инсталляции запускается служба Kerio MailServer, статус работы которой отображается иконкой в трее. Правым кликом по иконке открываем меню и выбираем консоль управления. Логинимся под именем admin без пароля (это настройки по-умолчанию), сразу меняем пароль на более подходящий. Переходим к следующему этапу – собственно, к настройке продукта.

Базовые настройки
Открываем раздел Configuration / Services. Здесь можно выбрать, какие службы будут работать на нашем сервере, какие порты они будут использовать, а также кто может иметь к ним доступ (отдельные машины, диапазоны адресов или подсети).

Из всех включенных по умолчанию (см. на картинке) я оставил работать только SMTP, POP3 и HTTP в обычном и защищенном вариантах. Остальные службы в моей сети просто пока не используются.
Кстати, если на той же машине крутится web-сервер, то порт для службы HTTP надо назначить другой, отличный от 80, тем самым разруливая доступ пользователей к почтовым ящикам через web-клиента. Но у нас, к счастью, мухи отдельно, котлеты отдельно…

Создание доменов
Это одна из важнейших операций. Необходимо определить домены, почта для которых будет обрабатываться сервером. Если у вас есть свой Интернет-домен, рекомендую под таким же именем и создать свой локальный почтовый домен, это снимет определенное количество головной боли в дальнейшем. Если нет, то это тоже не беда, просто создайте домен с именем своей компании в разделе Configuration / Domains. Если сервер будет обслуживать несколько доменов, то забейте их все, но только один будет основным, primary, его надо создавать первым.
В этом же диалоговом окне можно посмотреть и при необходимости настроить параметры на остальных вкладках для алиасов, авторизации, добавления стандартного текста под всеми сообщениями, но это оставим за кадром.

Добавление пользователей
Итак, домен у нас есть, теперь займемся пользователями. Тут есть варианты: можно импортировать пользователей из Windows-домена, из Active Directory или из Novell eDirectory. Но мы не ищем легких путей, будем создавать пользователей руками. Жмем кнопку Add и смотрим на открывшееся окно.

Это достаточно удобный визард с очевидными настройками. Проходим пошагово экраны с основными настройками учетной записи, почтовыми адресами, пересылками, группами, правами, дисковыми квотами, не забывая заполнять все поля по вкусу, и, наконец, публикуем пользователя в глобальном публичном списке адресов, завершая визард.
Повторяем данные шаги N раз, где N равняется количеству наших пользователей.

Создание адресных групп
У нас есть почтовые адреса, сообщения с которых должны получать несколько пользователей одновременно. Пример такого адреса – sale@... Самый простой и правильный способ решения проблемы – создание группы. Идем в раздел Domain Settings / Groups, создаем новую группу Sales, присваиваем ей соответствующий адрес и добавляем в группу нужных нам пользователей. Все. Письмо, отправленное на адрес группы, попадет ко всем пользователям, входящим в данную группу.

Добавляем алиасы
Отдельные наши пользователи используют более одного почтового адреса. Нет проблем, создаем алиасы для почтовых ящиков в разделе Domain Settings / Aliases. Теперь письма, отправленные на все желаемые адреса, попадают в нужный нам ящик.

Определение типа подключения
MailServer поддерживает работу не только в сетях с постоянным подключением, но также и с диалапом. Переходим в раздел Configuration / Internet Connection и выбираем тип Интернет-соединения. Мы работаем по выделенной линии, так что настраивать RAS нет необходимости.

Получение почты с внешних POP3-ящиков
Пользователи пока получают служебную почту на внешние ящики (кто у провайдера, кто на бесплатных серверах). Предоставим решение этой задачи нашему почтовому серверу. Открываем раздел Configuration / POP3 Download и создаем учетные записи для этих ящиков, настраивая одновременно параметры сортировки почты по локальным почтовым ящикам, либо просто переадресовывая всю почту с внешнего ящика (однопользовательского) на внутренний.

Расписание
Переходим в раздел Configuration / Scheduling. Здесь можно настроить график соединения MailServer’а с внешним миром, если используется диалап, а также расписание получения почты с внешних POP3-ящиков. Вот это-то нам и надо. Создаем задачу на проверку внешних ящиков каждые пятнадцать минут в рабочее время.
Рабочее время определяем как будние дни с 10 утра до 8 вечера
Настраиваем антивирус
Как я уже отмечал в начале статьи, Kerio MailServer имеет встроенный антивирус McAfee. Его мы и будем использовать. Проблем с настройками никаких – периодичность обновлений, блокируемые типа аттачментов, адрес администратора, если есть желание отправлять ему уведомления о блокировке (фильтром или антивирусом) запрещенных вложений.
Если вы по какой-то причине не хотите использовать антивирус McAfee, то на выбор еще шесть вариантов:

При выборе внешнего антивируса Вам необходимо самому позаботиться о наличии лицензии на этот антивирус.

Настраиваем антиспам
MailServer содержит встроенный механизм SpamEliminator для борьбы со спамом. Для начала достаточно его просто включить. выставить порог реакции повыше и оставить единственное действие – помечать соответствующие письма в заголовке. В дальнейшем по мере работы порог можно изменять, а также создавать свои правила обработки сообщений, что помогает гибко настроить продукт под нужды любой компании.

Для того, чтобы запретить использование нашего сервера в качестве платформы рассылки спама, настраиваем антирелей (SMTP Server / Relay Control). Разрешаем отправку писем на внешние домены только для нашего диапазона IP-адресов, и при этом требуем авторизацию. Сами мы будем отправлять письма напрямую клиентам с использованием разрешения адресов через DNS.

Kerio Connect - новая версия хорошо знакомого Kerio Mail Server недавно выпущена компанией «Kerio Technologies». Смена названия, по всей видимости, связана с существенным обновлением функционала продукта и смещения акцентов от простой обработки электронной почты в сферу средств для организации совместной работы.

В настоящем обзоре мы постараемся кратко рассмотреть основные возможности продукта, оценить удобство администрирования и возможности применения «Kerio Connect» в работе компаний малого и среднего бизнеса.

Основные возможности сервера:

• Работа с электронной почтой по протоколам SMTP, POP3, IMAP, HTTP и их защищенных реализаций с приставкой «s».
• Совместная работа с контактами и синхронизация адресных книг по протоколу CardDav
• Совместная работа с календарями и синхронизация по протоколу CalDav
• синхронизация почты, календарей, контактов и задач с мобильными устройствами
• Защита от спама и вирусов
• Автоматическая архивация почты
• Организация распределенных доменов
• Интеграция с Microsoft Active Directory и Apple Open Directory
• Администрирование через Web интерфейс

Отличительной особенностью «Kerio Connect» является его мультиплатформенность. Существуют дистрибутивы для ОС Linux, Windows и даже Mac OS X. Также существует версия в виде виртуальной машины (Virtual Appliance) для гипервизоров VmWare. Подробнее о системных требованиях можно посмотреть .

Установка

Установка продукта крайне проста и отдельного описания не заслуживает. Если под Windows - это стандартный мастер, спрашивающий папку установки, язык и набор компонентов, то под Linux это просто установка rpm или deb пакета, с последующей настройкой через консольный мастер.

Управление

Управление «Kerio Connect» можно осуществлять при помощи входящей в комплект консоли управления или же через Web интерфейс. Последний заслуживает отдельного упоминания. Web интерфейс чрезвычайно удобен и по своему функционалу практически полностью аналогичен консоли управления. Т.е. все административные действия, доступные через консоль управления, можно проводить через Web почти без потери функциональных возможностей и удобства. Это несомненный плюс продукта.

Тем не менее, управление через консоль все-таки более удобно за счет скорости работы интерфейса, поэтому все остальные действия мы будем производить именно в ней. Хотя, повторюсь еще раз, с функциональной точки зрения это не имеет никакого значения. Интерфейс полностью аналогичен.

Управление сервером разбито на четыре больших раздела:

• Конфигурация - здесь задаются общие настройки сервера, его служб, параметров безопасности, а также обслуживаемых сервером доменов.
• Настройка домена - управление пользователями, группами и другими ресурсами.
• Состояние - текущее состояние работы сервера, очереди сообщений, статистика.
• Протоколы - журналы работы «Kerio Connect».

Вообще, надо сказать, что настройка сервера достаточно проста, понятна и, в общем-то, стандартна для такого рода продуктов. Дабы не раздувать материал, мы будем стараться останавливаться только на моментах заслуживающих особого внимания.

Конфигурация

Раздел «Конфигурация -> Службы» показывает список и состояние служб сервера. Как видно из рисунка, это в основном стандартный набор протоколов, за исключением «SMTP Submission».

«SMTP Submission» - это специальный тип коммуникаций между серверами входящими в распределенный домен (об этом читайте ниже) при котором сообщения от аутентифицированных пользователей передаются минуя спам-фильтр.

Также отметим значение службы HTTP(s). Она используется не только для организации доступа к Web интерфейсу сервера. Данная служба должна быть обязательно включена, если мы соединяемся с ним из Outlook с установленным «Kerio Outlook Connector».

Для каждой службы можно назначить тип запуска (ручной или автоматический), назначить порт и адрес на котором работает служба, ограничить соединение с определенных ip адресов.

Раздел «Конфигурация -> Домены» служит для управления почтовыми доменами, обслуживаемыми данным сервером. Каждый домен имеет довольно гибкие настройки - ограничения на размер сообщений, автоматическое удаление старых элементов с возможностью восстановления удаленных, переадресация и т.п.

Любой созданный почтовый домен может быть интегрирован с доменом Microsoft Active Directory или Apple Open Directory.

Для интеграции с Active Directory (AD) необходимо задать имя или ip адрес контроллера домена (возможно также резервного контроллера), а также имя и пароль доменного пользователя, с правами которого будет осуществляться обращение к AD. Имя домена AD вполне может не совпадать с именем почтового домена. Для этого предусмотрена специальная опция.

Для успешной работы интеграции с Active Directory на сервер являющийся хозяином схемы в обязательном порядке должен быть установлен пакет расширения Kerio. Этот пакет вносит изменения в схему AD, а также добавляет собственные настройки в инструмент управления пользователями.

Теперь при создании пользователя в домене Active Directory мы можем сразу же создать ему почтовый ящик Kerio, а также выполнить ряд настроек - почтовые псевдонимы, настройки переадресации, ограничения на размер почтового ящика, права на администрирование «Kerio Connect».

Следует заметить, что интерфейс расширения Active Directory только английский.

Одной из важнейших особенностей «Kerio Connect» является возможность создания распределенных доменов.

Если ваша организация имеет несколько офисов, при этом в каждом офисе установлен свой сервер «Kerio Connect», и вы желаете использовать единый почтовый домен для всех офисов, то функция создания распределенных доменов - это то, что вам нужно.

Пользователи в распределенном домене могут быть только импортированы из сервера каталогов. Работа с локальными пользователями не поддерживается.

Пользователи в распределенном домене могут:

• Быть членами произвольных групп
• Пользоваться общим списком контактов
• Резервировать общие ресурсы (см. в разделе управление пользователями и группами)
• Создавать в календаре события, общие для всех пользователей в распределенном домене

Распределенный домен не поддерживает:

• Балансировку нагрузки
• Использование общих папок
• Использование локальных пользователей

Сервера в распределенном домене работают по схеме Master (основной сервер) - Slave (дополнительный сервер).

Основной сервер только один. Он выполняет следующие функции:

• Принимает из внешнего мира и распределяет почту по дополнительным серверам
• Отправляет письма полученные от дополнительных серверов
• Имеет MX запись в DNS зоне и, таким образом, получает всю внешнюю почту
• Осуществляет антивирусную и антиспам проверку почты

Почтовые ящики пользователей могут находиться на любом из серверов членов распределенного домена. В любой момент времени ящики могут быть перенесены на другой сервер.

При создании распределенного домена нужно указать основной сервер и реквизиты администратора.

Затем нужно выбрать имя домена для создания. Копии этого домена будут созданы на всех дополнительных серверах.

Раздел «Конфигурация -> сервер SMTP» управляет параметрами безопасности SMTP сервера, конфигурацией ретрансляции (relay), параметрами доставки и очередью сообщений. Все достаточно стандартно.

Защита от вирусов и спама

Для фильтрации спама и вирусов в консоли управления выделен отдельный раздел - «Фильтр содержимого».

Фильтрация спама осуществляется на основе баллов. Входящие сообщения проходят ряд проверок, в том числе с использованием черных списков, свободно распространяемого модуля SpamAssassin и пользовательских правил. Каждая проверка может добавлять спам-баллы к сообщению.

Пользователь может установить пороги маркировки и блокировки сообщений в зависимости от набранных баллов. Если в первом случае сообщение просто маркируется соответствующим префиксом в теме, то во втором случае сообщение полностью блокируется.

Баллы могут добавляться несколькими модулями:

• Черные списки
• Пользовательские правила
• SpamAssasin
• Caller ID

На последних двух остановимся чуть более подробно.

«Caller ID» - технология компании Microsoft призванная гарантировать, что посылающая сторона является той за кого она себя выдает и уполномочена отправлять почту для соответствующего домена. В своей работе технология опирается на инфраструктуру DNS . Для соответствующего домена, например «it-dynamics.ru», в зоне DNS должны содержаться TXT записи, содержащие ip адреса всех серверов, которые могут осуществлять отправку от имени этого домена.

При получении сообщения «Kerio Connect» сравнивает ip адрес отправителя, с содержимым TXT записей в DNS. Если ip адрес отправителя входит во множество адресов содержащихся в DNS, значит сообщение гарантировано отправлено авторизованным отправителем. Если же нет... То такое сообщение можно заблокировать или добавить дополнительные SPAM баллы.

SPF - является open source эквивалентом технологии «Caller ID».

Не смотря на то, что данные технологии могли бы существенно облегчить борьбу со спамом, на данный момент они являются малораспространенными. Для большинства почтовых доменов в интернет, соответствующие TXT записи в DNS отсутствуют. Это значит, что практического применения, по крайней мере, на сегодняшний день, эта особенность «Kerio Connect» не найдет. И уж точно не стоит блокировать сообщения на том основании, что они не прошли проверку «Caller ID» или «SPF». Вы просто потеряете основную массу вашей корреспонденции.

Проверить имеются ли для того или иного домена соответствующие записи в DNS вы можете по адресу - http://www.kerio.com/callerid/ . Так например, на рисунке ниже приведены результаты запроса для домена «microsoft.com».

А вот для домена «it-dynamics.ru» к нашему стыду ничего нет.

Контролировать эффективность работы антиспам защиты можно в разделе «Статистика»

Для борьбы с вирусами в «Kerio Connect» интегрирован модуль антивирусной защиты «McAfee» (требует приобретения лицензии). Тем не менее, существует возможность использования внешних антивирусных программ: AVG, Clam Antivirus, ESET NOD32, Sophos Antivirus.

Встроенный антивирус может использоваться одновременно с внешними модулями.

Настройка антивирусной проверки достаточно проста. Зараженные сообщения можно удалять или лечить. Копии таких сообщений могут быть отправлены на адрес администратора или любой другой выделенный адрес.

Дополняет механизмы защиты «Kerio Connect» фильтр вложений. При помощи него мы можем ограничить пересылку файлов определенных типов. Например, видео или исполняемых файлов.

Архивирование и резервное копирование

Все проходящие через почтовый сервер сообщения могут быть автоматически заархивированы. Это может пригодиться как для последующего анализа, так и для защиты информации, содержащейся в сообщениях, от потерь.

Администратор может выбрать сообщения какого типа необходимо архивировать:

• локальные сообщения
• входящие сообщения
• исходящие сообщения
• ретранслированные сообщения

К сожалению, отсутствует возможность архивировать сообщения для определенных получателей или отправителей.

Сообщения могут архивироваться как в локальную папку, так и перенаправляться на другой e-mail адрес.

Просматривать папки с архивом сообщений по умолчанию может только администратор. Эта возможность доступна через Web интерфейс или в Outlook с установленным пакетом интеграции «Kerio Outlook Connector».

Резервное копирование позволяет защитить от сбоев следующую информацию:

• почтовые ящики пользователей;
• списки рассылки;
• общие папки;
• конфигурацию сервера (файлы users.cfg и mailserver.cfg);
• лицензии;
• SSL сертификаты;
• базу SpamAssassin.

Резервное копирование выполняется по расписанию и может быть полным и дифференцированным (копируются только изменения).

Резервные копии хранятся в zip архивах и могут располагаться как на локальном диске так и в сети. Если «Kerio Connect» установлен на системе Windows, то мы можем задать учетные данные для подключения сетевого диска. На Linux и MacOS лучше первоначально подмонтировать сетевой диск средствами операционной системы.

Восстановление данных можно выполнить только из командной строки утилитой «kmsrecover».

Сервер на момент выполнения операции восстановления должен быть остановлен.

Удобным является возможность выбрать элементы подлежащие восстановлению. Отдельно можно восстанавливать хранилище почтовых ящиков, списки рассылки, лицензии и т.п. (см. список выше). Также можно восстановить данные для определенного пользователя или домена.

Доставка сообщений

Сообщения могут попадать на «Kerio Mail Server» не только по протоколу SMTP, но и по протоколу POP3 путем загрузки с внешних почтовых ящиков.

Настройка этой возможности происходит в разделе «Доставка».

При доставке сообщений по протоколу POP3 можно задать как однозначное соответствие «удаленный почтовый ящик - локальный почтовый ящик», так и включить сортировку на основе правил. В качестве локального почтового ящика может быть использован e-mail адрес группы. В таком случае сообщение будет доставлено всем членам группы.

При использовании правил мы должны выбрать заголовок письма, на основе которого будет производиться обработка -« X-Envelope-To», «Received», «Delivered-To».

Если указанного заголовка не будет найдено, то будут использованы последовательно следующие заголовки - «Resent-To», «Resent-Cc», «To» и «Cc».

Правила сортировки состоят из двух частей:

• адреса, поиск которого будет осуществляться в указанных выше заголовках;
• адреса доставки.

В адресах не могут быть использованы знаки подстановки «*» и «?», за исключением двух случаев:

• «* -> bad- main@ my- test- domain. ru » -все сообщения не удовлетворяющие ни одному правилу будут направлены на указанный адрес;
• «*@ my- test- domain. ru -> *@ it- dynamics. ru » - перенаправление сообщений из одного домена в другой.

Последний вариант можно использовать для получения почты из MultiBox почтового ящика провайдера и доставки её локальным пользователям.

Для этого правило должно быть записано в виде - «*@ my- test- domain. ru -> *@ my- test- domain. ru».

Функционал «Kerio Connect» позволяет использовать его в условиях не постоянного соединения с Интернет. В этом случае сервер по расписанию может связываться с внешними серверами и забирать с них посту по протоколу POP3 или SMTP с использованием команды ETRN.

Метод подключение задается в разделе «Соединение с сетью интернет». В случае, если мы выбрали непостоянное соединение, мы должны задать расписание по которому будут устанавливаться сеансы связи.

При определении времени мы оперируем с определениями - предварительно заданными интервалами. О них мы поговорим позже.

Для работы по защищенным протоколам используются сертификаты SSL. Этот раздел очень важен.

Мы можем как создать собственный сертификат, так и сгенерировать запрос, который можно будет отправить поставщикам доверенных сертификатов.

В первом случае обязательно внесите сгенерированный вами активный сертификат на компьютеры с установленным Outlook и расширением «Kerio Outlook Connector» в доверенные корневые центры сертификации. Делается это при помощи консоли «MMC» в оснастке «Сертификаты».

Это позволит вам избежать проблем при синхронизации расписания в Outlook, а также избавит от предупреждений об ошибке сертификата при подключении через Web интерфейс.

В дополнительных параметрах производится дополнительная тонкая настройка сервера. В частности, мы можем настроить типы аутентификации (CRAM-MD5, PLAIN и т.п.), сделать обязательным использование шифрованных соединений, установить блокировку учетных записей при превышение количества попыток входа.

Здесь же можно установить папку хранения почтовых сообщений и ограничения для нее на размер.

Во вкладке «Средство проверки обновлений» можно установить расписание по которому будет производиться поиск новых версий. Вот только устанавливать их придется все равно вручную.

Для упрощения работы с часто используемыми объектами в «Kerio Connect» предусмотрена система определений. Существует 3 вида определений:

• Интервалы времени
• Группы ip адресов
• Шаблоны пользователей

Интервалы времени могут состоять их нескольких временных промежутков, которые, в свою очередь, определяются временем начала, конца, днем недели, а также возможность повторения.

Аналогичным образом группы ip адресов состоят из совокупности хостов, сетей, диапазонов адресов и других ip групп.

Шаблоны пользователей используются для создания пользователей с набором одинаковых характеристик. Остановимся на этом ниже при рассмотрении функционала работы с пользователями.

Управление пользователями и группами

В этом разделе происходит вся основная работа с пользователями, группами, списками рассылок и ресурсами.

Пользователи могут создаваться как локальными (аутентификация происходит из локальной базы данных), так и интегрированными со службой каталогов.

В последнем случае вам будет выведен список доступных в службе каталогов пользователей, для которых еще не создан почтовый ящик.

Пользователи могут создаваться на основе шаблонов. Шаблон содержит типовой набор свойств пользователя, включая:

• домен
• тип аутентификации
• общие адреса электронной почты
• переадресацию
• Группы
• права пользователя
• квота на ящик
• ограничения по работе с сообщениями

Точно такие же свойства задаются вручную при создании пользователя без шаблона, за исключением логина, полного имени пользователя и пароля.

Список пользователей также может быть импортирован из CSV файла, отформатированного по определенным правилам.

Подобно пользователям, группы также могут быть как локальными, так и импортированными из сервера каталогов.

Группа обладает собственными e-mail адресом, сообщения с которого получают все члены группы.

Интересной особенностью является возможность ограничения на отправку и получение сообщений из внешних доменов. Это позволяет создавать группы пользователей осуществляющих только локальную переписку.

Для организации обмена сообщениями внутри какой-то определенных групп пользователей служат списки рассылки.

• Администраторы - создают и меняют параметры списка рассылки
• Модераторы - управляют подпиской пользователей на список и одобряют публикации
• Члены - обычные пользователи списка рассылки с возможностью чтения и создания публикаций

Подписка на список рассылки осуществляется отсылкой сообщения на адрес вида -subscribe@domain> . После этого пользователь получит сообщение подтверждения подписки. При ответе на него подписка будет оформлена. В зависимости от настроек списка рассылки для осуществления подписки может потребоваться утверждение модератора.

Одной из полезных особенностей «Kerio Connect», которая переводит его из разряда обычного почтового сервера в разряд средств совместной работы, является возможность планировать использование общих ресурсов в организации.

Общими ресурсами могут быть помещения для проведения презентаций, совместно используемое оборудование (к примеру проекторы) и т.п.

Суть управления сводится к тому, чтобы исключить конфликтные ситуации по использованию одного и того же ресурса в одно и тоже время разными пользователями.

По большому счету ресурс представляет собой обычный почтовый ящик со своим адресом и привязанным к нему календарем.

Ресурсы в «Kerio Connec t» могут быть двух видов:

• помещение;
• оборудование.

При назначении встречи на определенное время пользователь может выбрать из списка мест нужное помещение. При сохранении встречи в календаре, привязанном к помещению, будет установлен флаг занятости на назначенное время.

Другие пользователи при планировании своих событий будет видеть занятость помещения и смогут перенести встречу на другое время или другое помещение.

Для ресурса могут быть назначены пользователи или группы, которые могут его использовать.

Для разрешения конфликтных ситуаций по использованию ресурсов назначается специальный пользователь - диспетчер резервирования. По умолчанию это администратор. Он может произвольным образом редактировать расписание ресурса.

Статистика

Возможности просмотра статистики в «Kerio Connect» позволяют смотреть:

• Очереди сообщений
• Графически диаграммы трафика по различным протоколам
• Статистику по количеству сообщений
• Статистику работы спам фильтра
• Статистику работы антивирусного фильтра
• Активные соединения
• Открытые папки

Все организовано достаточно удобно. Огорчает только отсутствие возможности получения статистики по работе отдельных пользователей и доменов.

Протоколы

Дополнительным средством для контроля за работой сервера, а также для выявления возможных ошибок служат протоколы работы.

Протоколы классифицированы в несколько разделов:

• Config - здесь сохраняется протокол действий администратора и все изменения в конфигурации сервера
• Debug - отладочная информация (подробнее ниже)
• Error - сюда попадают только ошибки
• Mail - информация о всех проходящих сообщениях
• Operations - содержит информацию об удалении или перемещении элементов внутри почтовых ящиков пользователей
• Security - события ошибок аутентификации, обнаружения спама, вирусов, невозможности доставки сообщений и т.п.
• Spam - информация обо всех сообщениях с обнаруженным спамом
• Warnings - не критические предупреждения

В протоколе можно осуществлять поиск. По желанию администратора протокол может быть очищен или сохранен в файл.

Полезной возможностью является создание выделений. Для создания выделения мы можем задать подстроку или регулярное выражение. Строки протокола, содержащие его, будут выделены цветом.

Для каждого протокола может быть задано имя файла, в котором он хранится. Также можно задать ограничения на размер и политику перезаписи протокола (каждый час, день, неделю, месяц).

Кроме того, протокол можно перенаправить на внешний Syslog сервер.

Отдельно остановимся на протоколе «Debug». Данный протокол способен собирать достаточно большое количество разнообразной информации, используемой, как правило, для решения каких-либо проблем. Для того чтобы не замедлять работу сервера, а также для удобства анализа в протоколе «Debug» существует возможность выбора от каких подсистем «Kerio Connect» будет собираться информация.

На этом описанное настройки «Kerio Connect» закончено. Остановимся кратко на пользовательском интерфейсе.

Пользовательский интерфейс

Как уже отмечалось в начале статьи, взаимодействие пользователей с сервером может осуществляться как с использованием почтовых клиентов (в частности Outlook) так и через Web интерфейс.

Web интерфейс

Web интерфейс доступен по протоколу HTTP или HTTPS.

И так, введя логин и пароль, мы начинаем работу с электронной почтой.

Интерфейс достаточно стандартный. Есть работа непосредственно с почтой, календарем, контактами, задачами. Также доступны общие папки. Другими словами, вы получаете практически полный функционал Outlook, но только через Web.

Реализовано все достаточно добротно, хоть и не так красиво как в «Outlook Web Access» от «Microsoft Exchage».

Да, если на этапе ввода имени пользователя и пароля установить переключатель «WebMail Mini», то мы попадем в облегченную версию интерфейса.

В ней есть только возможности работы с электронной почтой и контактами.

Версия «mini» предназначена для браузеров, которые не поддерживают «JavaScript» и «CSS», для медленных каналов и для мобильных устройств.

Интересное наблюдение. При заходе браузером «Opera» принудительно используется интерфейс «mini». Однако, если в настройке «Opera» выставить «представляться как FireFox», то все замечательно работает.

Использование Outlook

При использовании Outlook для задействования всех возможностей по организации совместной работы необходима установка специального дополнения «Kerio Outlook Connector (Offline Edition)».

Загрузить этот компонент можно с Web узла «Kerio Connect» по ссылке «Интеграция с Windows» на странице запроса пароля на доступ к web интерфейсу.

После установки необходимо создать новый профиль в Outlook. Строго говоря, это не обязательно. Вполне можно использовать уже созданный у вас профиль по умолчанию. Однако, если в вашем профиле уже настроено использование каких-то других почтовых ящиков, то лучше все же создать новый профиль. Как показала практика, совместное использование ранее созданных почтовых ящиков и учетной записи «Kerio Connect» не всегда работает гладко. В частности, это проявляется в том, что при создании встреч, по умолчанию всегда используется первая созданная в Outlook учетная запись.

Профиль может быть создан автоматически. При выборе ссылки автоматической настройки нам будет предложено ввести имя нашего пользователя и пароль, после чего на наш компьютер будет загружен командный файл «KOC_Profile_Config.cmd». Выполнение этого файла создаст соответствующий профиль в Outlook и настроит учтенную запись.

Настроить учетную запись и вручную. Делается это стандартными средствами Outlook. Только на этапе выбора службы электронной почты мы должны выбрать специальный тип учетной записи - «KOC Offline Edition».

Затем необходимо задать реквизиты пользователя для доступа к почтовому ящику.

Здесь у нас есть возможность использовать технологию единого входа (Single Sign On) - пункт «Безопасная аутентификация по паролю». В этом случае наш пользователь единожды авторизовавшись домене Active Directory получает доступ ко всем остальным ресурсам (в том числе и к почтовому ящику) без повторного вода своих реквизитов.

Однако, данная возможно работает лишь только в том случае если «Kerio Connect» установлен на платформе Windows. На всех других платформах это работать не будет, несмотря на то, что в сети имеется контроллер домена Active Directory.

С установленным «Kerio Outlook Connector» в интерфейсе Outlook происходят некоторые изменения.

Появляется панель Kerio c кнопками пометки сообщений как спам, а также управлением доступностью пользователя.

Если пользователя нет на рабочем месте, то можно задать автоматическую отправку сообщения на входящие письма.

В параметрах Outlook появляется вкладка «Kerio Connect»

Среди прочего здесь можно задать правила фильтрации входящих сообщений. Эти правила сохраняются на сервере и соответственно применяются глобально вне зависимости от того работаем мы с почтовым ящиком через Outlook или через Web интерфейс.

В остальном же работа в Outlook стандартна. Вы можете назначать встречи, ставить задачи, делать общими папки.

Синхронизация с мобильными устройствами

«Kerrio Connect» поддерживает синхронизацию практически с любыми мобильными устройствами, поддерживающими «Active Sync». Это все устройства на базе «Windows Mobile», устройства на базе «Symbian», «Apple iPhone», «Blackberry» и даже коммуникаторы на базе «Android».

Для устройств на базе «Symbian» не поддерживается синхронизация задач.

Информационный обмен между «Kerio Connect» и мобильными устройствами может защищаться при помощи SSL. Если используется самоподписанный сертификат SSL, он должен быть обязательно установлен на мобильные устройства.

В отличие от настольного ПК, для мобильных устройств нет необходимости устанавливать какие-либо дополнения. Все работает на встроенном функционале.

Нужно только задать адрес сервера, реквизиты авторизации и элементы, которые должны синхронизироваться.

Документация и техническая поддержка

В ходе тестирования «Kerio Connect» нам неоднократно приходилось обращаться в службу технической поддержки. Поддержка осуществляется на сайте «support.kerio.com».

Там размещена база знаний, в которой в первую очередь следует искать решение своих проблем, а также форумы пользователей. База знаний и форумы только на английском языке.

Если не удалось найти решение проблемы в базе данных, можно разместить запрос в службу технической поддержки. Запрос можно писать на русском языке.

Поддержка работает достаточно оперативно. Все заданные вопросы были решены.

Однако, прежде чем обращаться к базе знаний и размещать запрос в поддержку, настоятельно рекомендуем внимательно прочитать документацию. К нашему стыду, ответы на многие вопросы, заданные в службу технической поддержки, потом были успешно обнаружены в руководстве администратора и руководстве пользователя. Это основные документы для изучения. Качество материала очень высокое. К сожалению, они доступны только на английском языке.

Заключение

«Kerio Connect» произвел весьма приятное впечатление. Функциональные возможности продукта выходят за рамки обычного сервера электронной почты. С помощью него организации малого и среднего бизнеса с легкостью могут организовать систему совместной работы для своих сотрудников.

Возможность организации распределенного домена позволяет использовать «Kerio Connect» на предприятиях с разветвленной сетью филиалов.

Мультиплатформенность - еще один козырь, расширяющий сферу применения данного продукта.

Благодаря удобному интерфейсу администрирования внедрение и эксплуатация сервера не составит труда.

К недостаткам мы бы отнесли отсутствие русифицированной документации, а также некоторые шероховатости в работе «Kerio Outlook Connector».

Намаялся настраивать почту в своём офисе, поэтому решил написать эту статью. Вся офисная почта принималась ранее провайдером, далее через почтовый сервер Kerio Mail Server раздавалась по локальной сети клиентам.

Много лет всё работало нормально, с недавнего времени тех.поддержка провайдера решила сэкономить свои ресурсы и всю почту перекинули на Яндекс.Почту. Причём, даже не сообщили об изменениях: не официальным письмом и не было звонка по телефону. После чего начались "грабли" в работе офиса, входящая и исходящая почта перестала, соответственно, работать. Однако, быстро удалось настроить работу входящей почты на Kerio Mail Server, но с исходящей пришлось помучаться.

Входящая почта в офисе через Kerio Mail Server с Яндекс.Почта

В настройках Kerio Mail Server: Меню Конфигурация - Загрузка POP3 редактируем строку справа. По кнопке "Редактировать" откроется окно "Учётная запись POP3".

1. В поле "Сервер POP3:" вписываем pop.yandex.ru.
2. В поле "Имя пользователя POP3:" вписываем старый почтовый адрес вашего офиса, тот же E-mail, что используем на почте Яндекса.
3. Пароль Ваш провайдер сохраняет, поэтому можете указать старый пароль. Если желаете его поменять, вначале необходимо это сделать в настройках Яндекс.Почта (ссылка Настройка, путь Почта > Настройка > Безопасность).

Входящая почта должна приниматься на компьютерах в локальной сети. Настройки учетной записи на локальном компьютере остаются прежними в программе, которая ранее принимала почту.

Исходящая почта в офисе через Kerio Mail Server на Яндекс.Почта

Настройка исходящей почты в Kerio MailServer делаем по аналогии входящей почты. В Kerio Mail Server: Меню Конфигурация - Сервер SMTP редактируем в окне справа, закладка "Доставка SMTP". Флажок ставим "Использовать сервер ретрансляции SMTP". Скорее всего, флажок у Вас так и стоял..

1. В поле "Имя сервера ретрансляции:" smtp.yandex.ru
2. В поле "Порт сервера ретрансляции:" указываем номер порт 25
3. В поле "Пользователь:" вписываем старый почтовый адрес вашего офиса и ниже пароль.

В случае использования протокола SSL ставим галочку внизу, порт изменится на 465. В общих настройках Яндекса сказано: В случае, если вы не можете воспользоваться безопасным соединением, вы можете подключиться к SMTP-серверу по портам 25 или 587 .

4. А теперь важный момент: в почтовой программе, в настройках учетной записи на локальном компьютере изменяем поле "Электронная почта" на E-mail почтового ящика, который у вас расположен на Яндекс.Почта. Этот же E-mail вписывали в Kerio MailServer, в поле "Имя пользователя POP3:" и в настройках SMTP поле "Пользователь". Остальные настройки в почтовой программе на локальном компьютере оставляем прежними.

Можете оставить свои комментарии ниже: