12.2  SMTP server

Nastavení SMTP serveru chrání proti zneužití server na němž Kerio MailServer běží.

Ochrana SMTP serveru určuje, kdo a jakým způsobem smí tento server používat a zabraňuje tak jeho zneužití. Je-li SMTP server zpřístupněn do Internetu (což musí být vždy, pokud je na něj nasměrován alespoň jeden MX záznam a je zpřístupněn port 25), může se na něj připojit libovolný klient a poslat přes něj e-mail. Tímto způsobem lze server zneužít k rozesílání nevyžádaných zpráv (tzv. spamů). Příjemce takové zprávy pak v jeho zdrojovém textu vidí jako odesílající server váš SMTP server, a může si zablokovat příjem zpráv z tohoto serveru. Vaše firma tak může být považována za rozesílatele spamů, a v krajním případě může být váš server zaznamenán do databáze spam serverů.

Kerio MailServer obsahuje ochranu, která umožňuje definovat, kdo smí přes tento server odesílat zprávy a kam. V principu se může na SMTP server připojit kdokoliv, aby poslal zprávu do některé z lokálních domén. Odesílat zprávy do jiných domén naopak smějí pouze oprávnění (typicky lokální) uživatelé.

V této sekci lze také nastavit parametry pro doručování:

Záložka Řízení přístupu

V záložce Řízení přístupu je možno nastavit skupinu povolených IP adres a/nebo ověřování uživatelů na SMTP serveru.

Řízení přístupu

Obrázek 12.1. Řízení přístupu


Odesílat poštu mimo lokální domény smějí pouze

Tato volba zapíná režim ověřování odesílatelů dle IP adresy nebo jména a hesla (vizte dále). Obecně platí, že ověření odesílatelé smějí přes tento server odeslat zprávu do libovolné domény, zatímco neověření uživatelé pouze do lokálních domén.

Do této skupiny IP adres zařaďte také všechny důvěryhodné servery. Tyto servery nebudou kontrolovány SPF a Caller ID kontrolou (více vizte kapitolu 13.5  Kontrola email policy záznamů). Důvěryhodné servery nebudou standardně kontrolovány ani systémem SpamAssassin. Speciální volbou v sekci Filtr spamu v záložce Hodnocení spamu však tuto kontrolu lze explicitně povolit (více vizte kapitolu 13.1  Hodnocení spamu).

Uživatelé z této skupiny IP adres

Zde je možno nastavit skupinu IP adres, z nichž bude možno odeslat zprávu do libovolné domény. V poli Skupina IP adres se zobrazují skupiny definované v sekci Konfigurace → Definice → Skupiny IP adres. Tlačítkem Změnit je možno upravit vybranou skupinu nebo vytvořit novou (vizte kapitolu 19.1  Skupiny IP adres).

Uživatelé ověření na SMTP serveru

Právo odeslat zprávu do libovolné domény budou mít uživatelé, kteří budou na SMTP serveru ověřeni uživatelským jménem a heslem. Tuto možnost mají tedy všichni uživatelé, kteří mají v Kerio MailServeru vytvořen svůj uživatelský účet.

Uživatelé ověření přes POP3 z téže IP adresy

Volba umožňuje uživatelům ověřeným POP3 (uživatelské jméno a heslo), aby se při odesílání pošty nemuseli ověřovat po dobu zadanou v poli Povolit SMTP relay na ... minut po úspěšném přihlášení ke službě POP3 na SMTP server.

Ověřování podle IP adres a podle uživatelských jmen funguje nezávisle — uživatel tedy musí splnit alespoň jednu z těchto podmínek. Pokud jsou zapnuty volby Uživatelé z IP adres z této skupiny a Uživatelé ověření na SMTP serveru zároveň, pak v případě neúspěšného ověření na SMTP serveru Kerio MailServer nekontroluje, zda uživatel patří nebo nepatří do povolené skupiny IP adres.

Open relay

Je-li zvolen tento režim, pak SMTP server nekontroluje uživatele, kteří přes něj odesílají zprávy. Libovolný uživatel tedy může odeslat zprávu do libovolné domény.

Upozornění

Nedoporučujeme používat tento režim, jestliže je Kerio MailServer dostupný z Internetu (tzn. má veřejnou IP adresu a port 25 není blokován firewallem). V takovém případě je totiž téměř jisté, že bude dříve nebo později zneužit k rozesílání nevyžádaných reklamních zpráv (tzv. spamů), čímž zahltí vaší internetovou linku. Může se také dostat do veřejných databází nežádoucích SMTP serverů (vizte dále).

Záložka Bezpečnostní volby

Kromě úplného blokování určitých odesílatelů umožňuje Kerio MailServer nastavit také obecná omezení, která nebrání v odesílání pošty, ale zamezují např. zahlcení serveru dávkovým odesíláním velkého počtu zpráv či navázáním velkého počtu spojení (tzv. DoS útok). Tato nastavení se provádějí v záložce Bezpečnostní volby.

Bezpečnostní volby — Omezení dle IP adres

Obrázek 12.2. Bezpečnostní volby — Omezení dle IP adres


Max. počet zpráv za hodinu ...

Maximální počet zpráv, který smí být odeslán z jedné IP adresy během jedné hodiny. Takto se server brání zaplnění diskového prostoru velkým počtem zpráv (zpravidla identických a nežádoucích).

Poznámka

Maximální počet zpráv za hodinu z jedné IP adresy se kontroluje vždy za poslední hodinu, tedy zpětně. Pokud nastavíte toto omezení, zahodí se okamžitě každá nová zpráva, která byla odeslána z IP adresy, ze které byl za poslední hodinu překročen limit.

Max. počet současných připojení k SMTP ...

Maximální počet současných TCP spojení na port SMTP serveru z jedné IP adresy. Toto je ochrana proti tzv. DoS útoku (Denial of Service — velké množství současně navázaných spojení vyčerpá systémové prostředky a ostatní klienti již nemohou spojení se serverem navázat).

Max. počet neznámých příjemců

Directory harvest je typ spamového útoku, kdy se na váš SMTP server napojí aplikace generující pomocí slovníků pravděpodobná uživatelská jména a zjišťuje tak platné adresy uživatelů serveru. Nastavením tohoto typu ochrany lze zajistit, aby server, který posílá zprávy na neznámého příjemce byl na jednu hodinu zablokován.

Tato omezení neplatí pro tuto skupinu IP adres

Skupina IP adres, na niž se výše uvedená omezení nevztahují. Zpravidla to bývá skupina lokálních uživatelů (vizte záložka Kontrola přístupu). Tito uživatelé odesílají přes Kerio MailServer veškerou svou odchozí poštu — počet zpráv odeslaných na tento server je proto výrazně vyšší než v případě vnějších uživatelů (serverů), kteří jej používají pouze pro odeslání pošty do některé z lokálních domén.

Dále doporučujeme do skupiny povolených IP adres zařadit sekundární SMTP server, protože v určitých případech může vykazovat známky chování útočícího serveru.

Bezpečnostní volby — Doplňující volby

Obrázek 12.3. Bezpečnostní volby — Doplňující volby


Blokovat, jestliže pro doménu odesílatele...

Při přijetí zprávy Kerio MailServer zkontroluje, zda pro doménu odesílatele existuje záznam v DNS, a pokud ne, zprávu odmítne. Toto je ochrana proti smyšleným adresám odesílatelů.

Poznámka

Zapnutí této volby může zpomalovat činnost Kerio MailServeru (doby odezvy DNS serverů mohou být i několik sekund).

Max. počet příjemců ve zprávě

Maximální akceptovatelný počet adresátů v e-mailové zprávě (tj. počet příkazů RCPT v SMTP obálce).

Max. počet chybných příkazů ...

Spamy jsou často rozesílány speciální aplikací, která se připojí na SMTP server a nebere ohled na chybová hlášení serveru. Po nastavení této volby Kerio MailServer automaticky ukončí SMTP spojení, jestliže klient již vyslal daný počet chybných příkazů.

Omezit maximální velikost příchozí SMTP zprávy na

Maximální velikost zprávy, kterou SMTP server akceptuje. Toto slouží jako ochrana před zahlcením serveru objemnými zprávami, které jednak zabírají místo na disku, a jednak zatěžují internetovou linku. Proto doporučujeme tuto položku nastavit. Hodnota 0 (nula) znamená, že není nastaveno žádné omezení. Pro pohodlné zadání číselného údaje je možno přepínat jednotky: kilobyty (KB) nebo megabyty (MB).

Maximální počet položek (serverů) v hlavičce Received

Nastavení tohoto parametru slouží především k zablokování zprávy, která se „zacyklila“ mezi několika SMTP servery.

SMTP doručování

V této sekci lze také nastavit parametry pro doručování:

SMTP doručování

Obrázek 12.4. SMTP doručování


Doručovat přímo dle DNS MX záznamů

Pošta bude doručována přímo do cílových domén na základě MX záznamů.

Použít nadřazený SMTP server

Veškerá odchozí pošta bude odesílána přes jiný (nadřazený) SMTP server.

SMTP server

DNS jméno nebo IP adresa nadřazeného SMTP serveru.

Port SMTP serveru

Port, na němž nadřazený SMTP server běží. V naprosté většině případů běží SMTP server na standardním portu 25 (tuto hodnotu rovněž dosazuje tlačítko Výchozí).

Nadřazený server vyžaduje ověření

Nastavte tuto volbu, jestliže nadřazený server vyžaduje ověření odesílatele (tj. Kerio MailServeru) uživatelským jménem a heslem. Do položek Uživatel a Heslo zadejte příslušné jméno a heslo.

Ověřování

Způsob ověření na nadřazeném serveru: Příkaz SMTP AUTH nebo POP3 před SMTP.

Uživatel se nejprve přihlásí k POP3 schránce na tomto serveru, tím je ověřen a může poslat poštu přes SMTP server. Pro přihlášení ke schránce se použije zde uvedené jméno a heslo a ze schránky se nevybírají žádné zprávy. K tomuto účelu tedy není třeba definovat schránku v sekci Konfigurace → Stahování POP3 schránek.

Použít SSL, je-li podporováno...

SMTP server se při odesílání každé zprávy pokusí navázat nejprve šifrované spojení (SSL), a teprve pokud zjistí, že jej vzdálený server nepodporuje, naváže nešifrované spojení. Tak je zajištěna maximální možná bezpečnost odesílaných zpráv.

Volby pro frontu zpráv

Záložka umožňuje nastavení fronty zpráv, která se zobrazuje v sekci Stav → Fronta zpráv.

Volby pro frontu zpráv

Obrázek 12.5. Volby pro frontu zpráv


Maximální počet doručujících vláken

Maximální počet současně vytvořených procesů, které budou odesílat zprávy z odchozí fronty (jinými slovy maximální počet současně odesílaných zpráv). Nastavená hodnota by měla zohledňovat výkon procesoru, ale zejména rychlost internetové linky.

Interval opakování odeslání

Doba, po které se server pokusí zopakovat odeslání e-mailu, jestliže byl při předchozím pokusu neúspěšný (tj. žádný ze serverů cílové domény nebyl dostupný).

Informovat odesílatele o nedoručitelnosti zprávy, ...

Jestliže se nepodaří zprávu doručit po této době, bude zpráva zahozena a její hlavička spolu s DSN bude doručena odesílateli. Zároveň bude zpráva vyřazena z fronty a v pokusech o její odeslání již server nebude pokračovat.

Pro pohodlné zadání časového údaje je možno přepínat jednotky: minuty, hodiny a dny.

Tři výše uvedené časy nemají smysl, jestliže se odchozí zprávy odesílají na nadřazený SMTP server.

Poslat varování odesílateli...

Jestliže se nepodařilo zprávu doručit po této době, pošle se varovná zpráva odesílateli (a bude se nadále pokračovat v pokusech o odeslání).

Jazyk upozornění

Jazyk, v němž budou zasílána chybová, varovná a informativní hlášení serveru (např. informace o nedoručitelnosti zprávy, o nalezeném viru, přihlášení a odhlášení z e-mailové konference atd.).

Poznámka

Hlášení serveru jsou uložena v podadresáři reports adresáře, kde je Kerio MailServer nainstalován (soubory používají kódování znaků UTF-8). Zkušený správce tak může jednotlivá hlášení modifikovat, případně vytvořit vlastní jazykovou variantu.