Версия 6.3 |
|
| ||||||||||||||||||||
БезопасностьМой Сервер - открытый релей?Открытый релей - это SMTP (или SIP) сервер, позволяющий пересылать через себя сообщения неограниченному кругу лиц, а не только сообщения локальным Пользователям или от Пользователей. Если Вы просто получаете много писем непонятного происхождения, но они направляются локальным Пользователям, то это не значит, что Сервер является открытым релеем; открытым релеем он является тогда, когда письма принимаются от неизвестных внешних отправителей и пересылаются произвольным внешним получателям. C настройками по умолчанию CommuniGate Pro не является открытым релеем, он пересылает только сообщения от аутентифицировавшихся пользователей. Пересылка от не аутентифицировавшихся отправителей возможна, если сообщение принято с адреса из списка Сетевые Адреса Клиентов. Поэтому убедитесь, что там нет лишних адресов. В идеале этот список должен быть пустым, а все пользователи должны аутентифицироваться. Если Вы получаете все сообщения через шлюз - не вносите адрес шлюза в Сетевые Адреса Клиентов, а внесите его в Неблокируемые Адреса. В настройках Релеинг Сообщений убедитесь, что:
Взломали Пользователя, и мой Сервер используется для массовой рассылки. Что делать?Кто-то узнал (или угадал) пароль Пользователя, и использует его для рассылки спама. Это, однако, не имеет отношения к открытому релеингу. Откройте область "Наблюдение" в Веб Интерфейсе Администрирования, откройте раздел "Почта". Откройте страницу Очередь. Там увидите много сообщений одинакового размера и содержания.
Чтобы уменьшить вероятность взломов:
Чтобы уменьшить ущерб от потенциально возможного взлома, и сделать взломанных пользователей менее привлекательными для хакеров:
Веб Интерфейс АдминистратораЯ перенаправил Пользователя Postmaster и больше не могу войти как PostmasterCommuniGate Pro применяет правила маршрутизации не только к адресам во входящих сообщениях, но и ко всем адресам, которые он обрабатывает. Если вы перенаправили пользователя postmaster на некоторого пользователя abc, то все попытки войти как postmaster приведут к тому, что Сервер попытается отработать вход пользователя abc. Если вы ввели правильный пароль (то есть, пароль пользователя abc), то вы сможете войти, но получите права доступа, предоставленные пользователю abc, а не пользователю postmaster. Тем не менее у вас остаётся возможность войти именно как postmaster, даже если имя postmaster перенаправлено на абсолютно другой адрес. Используйте следующее имя вместо имени postmaster:abcd@postmaster.local Этот адрес всегда направляется на пользователя postmaster. Для этого имени вы должны использовать обычный пароль пользователя postmaster. Более подробно маршрутизация .local описана в разделе Модуль Местной Доставки. Я удалил Пользователя PostmasterЕсли вы удалили пользователя postmaster, остановите Сервер и запустите его снова.Если Сервер CommuniGate Pro не может найти пользователя postmaster во время старта, то он создаёт его заново. В файлах в директории пользователя postmaster содержится новый пароль пользователя postmaster - используйте его, аналогично тому, как вы это делали при установке Сервера CommuniGate Pro. Я создал дополнительный Домен и теперь не могу войти через Веб Интерфейс АдминистратораКогда вы соединяетесь с CommuniGate Pro через браузер, Сервер проверяет имя домена, указанное в URL браузера. Если это имя соответствует имени одного из Доменов, то будет открыт Веб Интерфейс Администратора этого Домена, а не Веб Интерфейс Администратора Сервера. Для того, чтобы открыть Веб Интерфейс Администратора Сервера, используйте в URL браузера Имя Главного Домена. Если это доменное имя не имеет А-записи в DNS или эта запись указывает на другой сервер, используйте IP адрес Сервера в URL браузера. Если все IP адреса Сервера была назначены дополнительным Доменам, то вы можете использовать ЛЮБОЕ имя домена, которое ссылается на Сервер CommuniGate Pro и не является именем его Дополнительного Домена. В случае, если все IP адреса Сервера были назначены дополнительным Доменам и все доменные имена в DNS, ссылающиеся на ваш сервер, также являются вашими Доменами (или Псевдонимами Доменов), то используйте следующий URL:http://sub.domain.com:8010/MainAdmin где sub.domain.com является любым именем, ссылающимся на ваш сервер или на любой из его IP адресов. https://sub.domain.com:9010/MainAdmin Когда я пытаюсь войти, я получаю сообщение об ошибке "access from your network is denied" ("доступ из вашей сети запрещен").Откройте область Настройки в Веб Интерфейсе Администрирования, откройте раздел Сеть. Если опция Вход с не-Клиентских Адресов имеет значение Запрещено, то в этом случае вы можете соединяться с Сервером только с адресов, перечисленных в поле Сетевые Адреса Клиентов (на этой же странице). У вас остаётся возможность соединиться с сервером, даже если поле Сетевые Адреса Клиентов было оставлено незаполненным. Для этого необходимо запустить браузер непосредственно на том компьютере, на котором работает Сервер, и соединиться с Сервером локально, введя URL http://127.0.0.1:8010. Если вы ничего не вводили в поле Сетевые Адреса Клиентов, или вы не можете соединиться с IP адресов, перечисленных в этом поле, и вы не можете соединиться с Сервером локально, введя URL http://127.0.0.1:8010, то:
Получение почты по SMTPМой Сервер не принимает почту от Веб-скрипта/аплетаКогда SMTP модуль получает сообщение, он пытается применить правила маршрутизации к адресу, указанному в команде Mail From: (адрес, указанный в 'Return-Path' сообщения). Если имя домена в этом адресе является именем локального Домена Сервера и указанный Пользователь (или другой Объект) не найден в этом Домене, то Маршрутизатор возвращает код ошибки и SMTP модуль отказывается принять сообщение. Вы должны перенастроить ваш скрипт/аплет на использование или пустого Return-Path (<>) для создаваемых сообщений, или на использование адреса электронной почты какого-либо существующего Пользователя. Если скрипт/аплет не может быть перенастроен, вы можете создать Псевдоним для существующего Пользователя. Если, например, ваш скрипт/аплет отправляет сообщения на сервер с Return-Path адресом <webform@mydomain.com>, а у вас нет Пользователя webform в Домене mydomain.com, то вы можете создать псевдоним webform для Пользователя postmaster. Если отправка сообщения не удастся, сообщение об ошибке будет послано Пользователю postmaster. Отправка по SMTPМой Сервер не может отправлять почту на некоторый хост с использованием SSL/TLSКогда SMTP модуль CommuniGate Pro соединяется с почтовым хостом/ретранслятором и пытается установить безопасное (SSL/TLS) соединение, он получает от хоста Сертификат и проверяет в нём имя. Это имя должно совпадать либо с именем домена, на который должна быть отправлена почта, либо с именем MX-записи в DNS для этого домена. Когда удалённый сервер обслуживает несколько доменов на одном IP адресе, он всегда отправляет только один сертификат, так как сервер не может заранее знать, для какого именно домена будут предназначены входящие сообщения. Следовательно, сервер не может представить Сертификат, соответствующий этому домену. В результате ваш (отправляющий почту) сервер может отказаться продолжать работу. Если сервер mainhost.com обслуживает домены client1.com и client2.com, а MX-записи для всех трёх доменов указывают на одно имя и один IP адрес на сервере, то сервер всегда будет предоставлять только один Сертификат - как правило, Сертификат с именем mainhost.com. Для того, чтобы сервер CommuniGate Pro отправлял почту через безопасное соединение в домены client1.com и client2.com, вы должны создать в Маршрутизаторе две записи уровня домена:client1.com = client1.com@mainhost.com.via
client2.com = client1.com@mainhost.com.via Эти записи направят всю почту для доменов client1.com и client2.com в SMTP очередь для mailhost.com. Вы должны поместить имя mailhost.com в список Посылать Зашифрованным (SSL/TLS) в SMTP модуле; тогда сервер будет соединяться с сервером mailhost.com, проверять его сертификат (в котором должно содержаться или имя mailhost.com или имя релея, с которым соединился SMTP модуль), затем SMTP модуль установит безопасное (SSL/TLS) соединение с этим сервером и отправит всю почту получателям в доменах client1.com и client2.com через безопасное соединение. ДоступВ Веб Интерфейсе Пользователя появляется розовая страница "we do not provide Web Access to this domain" ("Мы не предоставляем Веб Доступ к этому домену"Важно понимать, что доменные имена something.com и mail.something.com являются абсолютно разными. Если главным доменом вашего Сервера CommuniGate Pro является mycompany.dom и вы пытаетесь соединиться с ним, набрав в вашем браузере http://mail.mycompany.com:8100, вы получите страницу с уведомлением, что Сервер CommuniGate Pro не предоставляет доступ к домену mail.mycompany.com. В большинстве случаев доменные имена mail.mycompany.com, webmail.mycompany.com и т.п. должны просто быть другими именами (псевдонимами) домена mycompany.com в CommuniGate Pro. Для того, чтобы выполнить эти настройки, откройте страницу Установки Домена mycompany.com и найдите поле Доменные псевдонимы. В пустом поле введите имя mail.mycompany.com и нажмите кнопку Модифицировать. Теперь Сервер CommuniGate Pro будет знать, что домен mail.mycompany.com - это просто другое имя для обслуживаемого им домена mycompany.com. Запросы на соединения с доменом mail.mycompany.com приведут к установке соединения с доменом mycompany.com, и сообщения, отправленные на адрес username@mail.mycompany.com будут доставляться пользователю username в домене mycompany.com. Обратите внимание: Если имя, указанное в URL браузера, не является одним из имен Доменов в CommuniGate Pro, то будет открыт Веб Интерфейс Администратора Сервера. Поэтому соединения через порт Веб Интерфейса Администратора (8010) будут работать, хотя соединения через порт Веб Интерфейса Пользователя (8100) вернут "розовую страницу". Сессия работы через Веб Интерфейс Пользователя прекращается почти сразу же после входаКогда пользователь работает через "распределённый HTTP прокси-сервер" (используемый обычно крупными интернет-провайдерами, такими как AOL), TCP соединения приходят на CommuniGate Pro с нескольких разных IP адресов этих прокси-серверов. Если в Веб Интерфейсе Пользователя включена опция Защита по Фиксированному Адресу в настройках Пользователя, то соединение через браузер пользователя может быть отвергнуто. Отключите опцию Защита по Фиксированному Адресу для тех пользователей, которые соединяются через "распределённый HTTP прокси". Если большинство ваших пользователей соединяется через такие прокси-сервера, вы можете отключить эту настройку в Умолчаниях для Пользователя Домена или в Общесерверных Умолчаниях для Пользователя. Что означает ошибка "unassigned local network address" ("не задан локальный адрес сети")?Компьютер, на котором установлен ваш сервер CommuniGate Pro, имеет один или несколько IP (сетевых) адресов. Эти адреса могут быть назначены Доменам, обслуживаемым CommuniGate Pro. Страница Домены, доступная через Веб Интерфейс Администратора, показывает все домены с IP адресами, закрепленными за ними. Обычно настройка Присвоенные Сетевые Адреса установлена в значение "Все незанятые", так что все IP адреса, не назначенные дополнительным доменам, автоматически назначаются Главному Домену. Если ни один из ваших Доменов не имеет настройки Присвоенные Сетевые Адреса в значении "Все незанятые", тогда некоторые из IP адресов вашего Сервера могут быть вообще не назначены Доменам. Когда пользователь соединяется с сервером через POP или IMAP клиент и указывает там только имя пользователя без имени домена или при установлении безопасного соединения (SSL/TLS) Сервер CommuniGate Pro использует локальный IP адрес, на который установлено соединение и пытается найти Домен, которому этот адрес назначен. Если этот IP адрес не назначен ни для какого Домена в CommuniGate Pro, то тогда возникает ошибка "unassigned local network address" ("не задан локальный адрес сети"). Откройте в Веб Интерфейсе Администратора страницу Установки->Общее для того, чтобы увидеть все Сетевые Адреса Сервера. Возможно, потребуется нажать кнопку Обновить для того, чтобы увидеть все адреса. Неназначенные адреса будет отмечены красным цветом. СправочникПользователи Microsoft LDAP (Outlook и Outlook Express) не могут найти записи в СправочникеБольшинство LDAP клиентов (включая Microsoft Outlook) имеют настройку, задающую поддерево Справочника, в котором должны осуществляться операции поиска. В Outlook Express эта настройка находится в Cвойствах Службы Каталога, на вкладке Дополнительно. Она называется Основа Поиска (Search Base) и должна содержать DN для домена пользователя (по умолчанию, DN равен cn=domainname). Если это поле оставить пустым, то продукты семейства Outlook будут без предупреждения заменять его на строку c=country_code и операция поиска закончится неудачно (за исключением случаев, когда ваш Справочник имеет поддерево c=country_code. Если вам необходимо осуществлять поиск во всем Справочнике, введите слово top в поле Основа Поиска. Попытки обновить Настройки Пользователя приводят к ошибке directory record with the specified DN is not found ("записи в справочнике с указанным DN не найдены").Эта ошибка появляется, когда включена интеграция домена с Центральным Справочником. В этом режиме Сервер CommuniGate Pro должен обновлять записи о Пользователе в Центральном Справочнике всякий раз, когда изменяются Настройки Пользователя. Если Справочник не содержит записей об этом Пользователе, возвращается сообщение об ошибке. Записи о Пользователе могут отсутствовать в Справочнике если Пользователи создавались во время, когда опция интеграции с Центральным Справочником была отключена. Для того, чтобы исправить эту ошибку, откройте Установки Домена и найдите панель Центральный Справочник. Нажмите кнопку Стереть Все Записи. Эта операция удалит все объекты Домена из Справочника. Затем нажмите на кнопку Создать Все Записи. Сервер CommuniGate Pro создаст запись в Справочнике для Домена, а затем создаст записи в Справочнике для всех Объектов Домена (Пользователи, Группы, Списки Рассылки). Обратите Внимание: если Домен содержит больше 100,000 Пользователей, то выполнение операции Создать Все Записи может занять несколько минут. Дата и ВремяОтметки времени в посланных или полученных CommuniGate Pro сообщениях отличаются на несколько часовЭта проблема вызвана неверными настройками Часового Пояса на сервере и/или на машинах клиента. Для того, чтобы проверить установленное значение Часового Пояса на компьютере Сервера, откройте через Веб Интерфейс Администратора CommuniGate Pro страницу Общее в разделе Установки. Поле Время Сервера должно содержать корректные значения Даты и Времени и Часового пояса: -0800 означает 'отставание на 8 часов от GMT', +0800 означает '8 часов впереди GMT'. Если значение Часового Пояса установлено неверно, исправьте соответствующую настройку Операционной Системы и откройте заново страницу Общее, чтобы убедиться, что значение Часового Пояса установлено правильно. Системные ЖурналыКаждый раз, когда я использую Веб Интерфейс Администратора, в Системном журнале появляется запись ROUTER с информацией о СбоеВеб Интерфейс Администратора добавляет строку LoginPage@ к имени домена, которые вы указали в URL браузера и пытается применить правила маршрутизации к получившемуся адресу (как и к любому другому адресу). Если маршрутизация заканчивается неуспешно, то Веб Интерфейс Администратора по умолчанию открывает Веб Интерфейс Администратора Сервера главного домена, но в Журнале Маршрутизатора появляется запись о сбое:ROUTER failed to route 'LoginPage@mail' Обычно это происходит если вы используете неполное доменное имя (например, mail) вместо полного доменного имени (mail.mydomain.com). Вы должны или указывать полное доменное имя в URL браузера, или должны добавить Псевдоним Домена mail для Домена CommuniGate Pro mail.mycompany.com. Что означают записи DNR-16538(xxx.xx.x.xx.rss.mail-abuse.org) A:host name is unknown ?Когда SMTP модуль использует Блокирующие DNS-Сервера (RBL) для проверки IP адреса сервера, пытающегося послать какую-нибудь почту на ваш сервер, он преобразует IP адрес того сервера aa.bb.cc.dd в доменное имя dd.cc.bb.aa.rbl-server-name, и пытается определить адрес этого имени в DNS. Если отсылающий сервер не является известным "нарушителем", и его адрес не включён в базу данных RBL, это созданное доменное имя НЕ существует в DNS и DNR модуль будет эту фиксировать Проблему записью в Системном Журнале. Если вы используете Блокирующие DNS-Сервера (RBL), то вы можете установить Уровень Журнала на запись событий только типа Основное. РазноеКакой нестандартный порт UDP Сервер CommuniGate Pro открывает в моей системе?Это сокет DNR (DNS Клиент). Номер этого порта задаётся Операционной Системой; он может измениться, если вы перезапустите Сервер CommuniGate Pro. Этот сокет используется для отправки запросов (UDP пакетов) на DNS сервера и для получения ответов от этих серверов. Другие приложения (сервера, браузеры и тому подобное) используют сокет такого же типа для определения адресов доменных имён, но обычно они быстро открывают и закрывают этот UDP сокет, так что вы можете не заметить его в выводе netstat. CommuniGate Pro открывает UDP сокет DNS Клиента при запуске, использует этот сокет для всех DNR запросов и закрывает сокет только при выключении Сервера. Как я могу настроить CGI-скрипт типа formmail на работу с CommuniGate Pro?Formail и ему подобные CGI-скрипты используются для отправки сообщений электронной почты из обычных HTML форм на Веб Сервере. Реализованные в форме Perl-скрипта, эти CGI-скрипты используют существующую программу sendmail для отправки созданных сообщений. На большинстве платформ установщик CommuniGate Pro не замещает существующую программу sendmail, хотя в установочный пакет замена для программы sendmail включена. Для того чтобы использовать эту программу, вы должны модифицировать ваш Perl-скрипт: вы должны найти все cсылки на программу sendmail (обычно используется путь по умолчанию/usr/sbin/sendmail), и заменить их на ссылки {директория программ}/sendmail. Например, если CommuniGate Pro и ваш CGI установлены на системе MacOS X, директория программ CommuniGate Pro - /usr/sbin/CommuniGatePro/, а CGI-скрипт /usr/sbin/sendmail, то это строки должны быть заменены на /usr/sbin/CommuniGatePro/sendmail. |