12.6  Upřesňující nastavení

V sekci Konfigurace → Další volby lze nastavit některé upřesňující parametry poštovního serveru.

Různé

Různé

Obrázek 12.15. Různé


Zaznamenávat DNS jména vzdálených ...

Převádět IP adresy vzdálených klientů a serverů, které se na Kerio MailServer připojují, na DNS jména. Tím dojde k zpřehlednění záznamů, ale činnost Kerio MailServeru se tím může zpomalit.

Nezobrazovat v síťové komunikaci jméno a verzi serveru...

Zapněte tuto volbu, pokud má být utajena verze a jméno programu poštovního serveru, který doménu obsluhuje.

Upozornění

Aktivace nebo deaktivace této volby vyžaduje restart Kerio MailServeru.

Skrýt lokální IP adresu ...

Kerio MailServer bude skrývat lokální IP adresu (ze skupiny IP adres nastavené v sekci Konfigurace → SMTP server v záložce Řízení přístupu) v položce Received v hlavičce zprávy.

Do této položky zaznamenává každý SMTP server, přes nějž zpráva projde, od koho a kým byla přijata. První záznam v položce Received tedy obsahuje e-mailovou adresu a IP adresu odesílatele. Je-li SMTP server umístěn v privátní síti chráněné firewallem, pak se do této položky zaznamená privátní adresa klienta. To znamená, že v odchozích e-mailových zprávách se de facto rozesílají informace o privátní síti, která je jinak vůči Internetu skryta. Tyto informace by mohly případnému hackerovi usnadnit napadení této sítě. Zapněte tedy tuto volbu, jestliže je Kerio MailServer provozován v privátní síti za firewallem (i v případě, že běží na tomtéž počítači jako firewall).

Vazba na řízení přístupu je zde z toho důvodu, aby SMTP server rozpoznal lokální IP adresu. V řízení přístupu se zpravidla používá skupina lokálních IP adres, z nichž je možno odesílat poštu do libovolných domén (vizte kapitolu 12.2  SMTP server), což je výhodné i pro tento účel.

Poznámka

Nebude-li tedy zapnuto řízení přístupu nebo v něm nebude definována žádná skupina lokálních IP adres, bude tato volba neúčinná.

Vkládat hlavičku X-Envelope-To...

Volba umožňuje dosadit do hlavičky lokálně doručované zprávy položku X-Envelope-To: (tj. adresu skutečného příjemce ze SMTP obálky). Položku je vhodné využít zejména v případě, že je v Kerio MailServeru zřízen doménový koš.

Povolit dekódování zpráv TNEF

TNEF (Transport Neutral Encapsulation Format) je proprietární formát firmy Microsoft, který primárně slouží k zasílání zpráv s rozšířeným formátováním z aplikace MS Outlook. Součástí každé zprávy, která je odeslána v tomto formátu, je příloha winmail.dat. Tato příloha obsahuje kopii celé zprávy ve formátu RTF a všechny případné přílohy zprávy. Pokud tedy uživatel nepoužívá pro přístup k poště MS Outlook a bude mu doručena zpráva s přílohou v tomto formátu, potom se k příloze ve zprávě nedostane.

Dekodér TNEF zabudovaný do Kerio MailServeru dekóduje TNEF zprávy na straně serveru do standardního MIME formátu a odstraní tak uživatelům problémy se zprávami s winmail.dat přílohou.

Tuto volbu je výhodné využít zejména pokud uživatelé nepoužívají pro přístup k poště výhradně aplikaci MS Outlook.

Poznámka

Při problémech s dekódováním zpráv vám může pomoci záznam Debug, kde je třeba zapnout volbu Message decoding. Více najdete v kapitole 25.9  Debug.

Povolit konverzi zpráv kódovaných uuencode do MIME

Uuencode (Unix-to-Unix Encoding) je typ kódování využívaný pro odesílání souborů pomocí elektronické pošty. Kóduje binární data do textového formátu tak, že mohou být vložena přímo do těla zprávy. Problémem je, že ne každý poštovní klient obsahuje speciální dekodér, který umí zakódované soubory dekódovat do původního tvaru. Z toho důvodu obsahuje Kerio MailServer zabudovaný Dekodér Uudecode (Unix-to-Unix decoding). Zprávy jsou dekódovány již na straně serveru do standardního MIME formátu a odstraní tak uživatelům případné problémy s dekódováním takovýchto zpráv.

Doporučujeme volbu Povolit konverzi zpráv kódovaných uuencode do MIME povolit zvláště tehdy, pokud uživatelé využívají pro přístup ke svým schránkám Kerio WebMail a MS OutlookKerio Outlook Connectorem.

Poznámka

Při problémech s dekódováním zpráv vám může pomoci záznam Debug, kde je třeba zapnout volbu Message decoding. Více najdete v kapitole 25.9  Debug.

Bezpečnostní politika

Kerio MailServer umožňuje nastavení bezpečnostní politiky, tzn. minimální požadované úrovně bezpečnosti. Tato nastavení se provádějí v sekci Konfigurace → Další volby v záložce Bezpečnostní politika (vizte obrázek 12.16  Bezpečnostní politika).

Bezpečnostní politika

Obrázek 12.16. Bezpečnostní politika


Menu v záhlaví stránky umožňuje výběr jedné ze tří politik:

Žádná omezení

K serveru se bude možno připojit bez jakéhokoliv omezení.

Vyžadovat bezpečné ověřování

Kerio MailServer bude vždy vyžadovat bezpečné ověření uživatele. To znamená, že ověření musí být provedeno některou z následujících metod — CRAM-MD5, DIGEST-MD5, NTLM nebo musí uživatel použít SSL tunel — povolit SSL komunikaci ve svých poštovních klientech.

V případě, že uživatelé používají pro přístup ke své poště rozhraní Kerio WebMail, kde se nelze ověřit některou z ověřovacích metod, použije se automaticky protokol HTTP zabezpečený SSL.

Po nastavení bezpečného ověřování se zobrazí možnost povolení nezabezpečeného přihlášení ze zadané skupiny IP adres. Skupinu je možno vybrat buď z existujících nebo vytvořit novou. O možnostech nastavení skupin IP adres pojednává samostatná kapitola 19.1  Skupiny IP adres.

Upozornění

Neaplikujte tuto možnost, pokud mají uživatelé nastaveno ukládání hesel na serveru v SHA formátu.

Vyžadovat šifrované spojení

Po zapnutí této volby se klientské aplikace budou moci připojit ke kterékoliv službě pouze šifrovaným spojením (komunikaci tedy nebude možno v žádném případě odposlouchávat).

Na všech klientských stanicích je nutno povolit všem protokolům komunikaci přes SSL. Při přihlášení k rozhraní Kerio WebMail se šifrované spojení nastaví automaticky.

Jediný protokol, na který se toto omezení nevztahuje, je SMTP. Vzhledem k množství SMTP serverů, které nepodporují SMTPS nebo STARTTLS, není možné tento protokol omezit pouze na zabezpečenou verzi. Aby se i přes to podařilo zajistit bezpečnost, vyžaduje server pro protokol SMTP po nastavení volby Vyžadovat šifrované spojení bezpečné ověřování hesla. Jméno a heslo se tedy odesílá pomocí některé z podporovaných bezpečných metod ověřování.

Po nastavení této bezpečnostní politiky lze z omezení vyjmout skupinu IP adres, z nichž nebude šifrované spojení vyžadováno. Skupinu je možno buď vybrat z existujících nebo vytvořit novou. O možnostech nastavení skupin IP adres pojednává kapitola 19.1  Skupiny IP adres.

Pokud využijete tuto možnost ochrany komunikace, je důležité, aby všichni uživatelé měli na svých klientských stanicích nainstalovaný platný ověřovací certifikát (více vizte kapitolu 16  Certifikáty serveru).

Podporované metody ověřování

Kerio MailServer podporuje několik metod ověřování uživatelských hesel:

  • CRAM-MD5 — metoda ověřování hesel (autentizace pomocí MD5 digestů). Tento způsob šifrování je obecně rozšířený, podporuje ho většina poštovních klientů.

  • DIGEST-MD5 — metoda ověřování hesel (autentizace pomocí MD5 digestů).

  • LOGIN — uživatelská hesla nejsou při přenosu po síti žádným způsobem chráněna. Budete-li využívat tento způsob přenosu hesla, důrazně doporučujeme zapnutí komunikace přes SSL tunel.

  • NTLM — tuto ověřovací metodu je možno využít pouze v případě, že se uživatelé ověřují proti Active Directory doméně. To znamená, že lze takto ověřovat pouze účty, které jsou buď mapovány nebo importovány z Active Directory. Nastavení NTLM ověřování popisuje samostatná kapitola 28  Nastavení NTLM ověřování.

  • PLAIN — uživatelská hesla nejsou při přenosu po síti žádným způsobem chráněna. Budete-li využívat tento způsob přenosu hesla, důrazně doporučujeme zapnutí komunikace přes SSL tunel.

  • APOP — ověřovací metoda se v seznamu nezobrazuje, Kerio MailServer ji automaticky používá ke stahování POP3 účtů.

Server standardně nabízí všechny metody ověřování. Nabízí je klientovi postupně tak, jak jsou seřazeny v seznamu (začíná metodou CRAM-MD5). Pokud klient danou metodu podporuje, další v pořadí již nebudou použity. Toto chování může způsobit problém, pokud je heslo na serveru uloženo v bezpečném formátu (SHA1). S SHA šifrou nelze využívat jiné metody přenášení hesla než LOGIN a PLAIN. Poštovní klient, pokud budou povoleny bezpečné metody CRAM-MD5 a DIGEST-MD5, vybere samozřejmě některou z bezpečných metod pro ověření hesla a nebude se moci do Kerio MailServeru přihlásit. Nelze-li tedy přímo v poštovních klientech nastavit použitou metodu, je nutno v případě ukládání hesel ve formátu SHA vypnout všechny metody kromě LOGIN a PLAIN.

Operační systém Ověřování proti Active Directory Uživatelské schránky jsou uloženy lokálně a hesla jsou zabezpečena DES šifrováním Uživatelské schránky jsou uloženy lokálně a hesla jsou zabezpečena SHA šifrováním
MS Windows

NTLM

LOGIN

PLAIN

CRAM-MD5

DIGEST-MD5

LOGIN

PLAIN

LOGIN

PLAIN

LINUX

LOGIN

PLAIN

CRAM-MD5

DIGEST-MD5

LOGIN

PLAIN

LOGIN

PLAIN

Mac OS X

LOGIN

PLAIN

CRAM-MD5

DIGEST-MD5

LOGIN

PLAIN

LOGIN

PLAIN

Tabulka 12.3. Použití metod ověřování


Doporučení:

  • Selže-li ověřovací metoda pro klienta, je nejlépe ji v Kerio MailServeru vypnout (odškrtnout v seznamu Povolené metody ověřování).

  • Nezávisle na použití typu ověřovací metody doporučujeme nastavit na poštovních klientech přihlašování k serveru přes SSL.

Zaškrtnutí volby Povolit NTLM ověřování pro uživatele, kteří jsou ověřováni systémem Kerberos umožňuje uživatelům z Active Directory domény ověřovat se při přihlášení ke Kerio MailServeru. Aby bylo NTLM ověřování funkční, je nutné, aby počítač i uživatelský účet byly součástí domény, proti které se uživatel ověřuje. Další nutnou podmínkou pro správnou funkci tohoto typu ověřování je povolení NTLM (SPA) ověřování v poštovních klientech uživatelů.

Co vše je potřeba v Kerio MailServeru nastavit, aby bylo NTLM ověřování uživatelů funkční, najdete v samostatné kapitole 28  Nastavení NTLM ověřování.

Oddíl Blokování účtů umožňuje nastavit tyto parametry (vizte obrázek 12.17  Blokování účtů):

Blokování účtů

Obrázek 12.17. Blokování účtů


Povolit blokování účtů

Po zaškrtnutí této volby se budou uživatelské účty blokovat podle níže nastavitelných pravidel. Tato nastavení slouží k větší bezpečnosti uživatelských účtů, chrání je před průlomem hesel a následným zneužitím účtu.

Zablokovat uživatelský účet...

Počet neúspěšných pokusů uživatele o přihlášení k uživatelskému účtu z jedné IP adresy.

Zablokované účty se budou automaticky...

Doba (v minutách), po které se uživatelský účet automaticky odblokuje.

Použitím tlačítka Odblokovat všechny účty odblokujete všechny účty, které byly dosud blokovány.

Upozornění

Blokování účtů závisející na neúspěšných pokusech o přihlášení nijak nesouvisí s blokací v nastavení uživatelských účtů (vizte sekci 8.2  Založení uživatelského účtu).

Datový adresář

V záložce Datový adresář je možno nastavit adresář pro ukládání zpráv, kontaktů, událostí atd. (uživatelské a veřejné složky). Do datového adresáře se ukládají zprávy v uživatelských a veřejných složkách, záznamy, zprávy k odeslání a soubory, které se právě kontrolují antivirovým programem.

Cesta do datového adresáře

Úplná cesta k datovému adresáři (dle konvence operačního systému, na kterém Kerio MailServer běží). Z technických důvodů je třeba datový adresář umístit lokálně (na serveru kde je Kerio MailServer spuštěn).

Pokud je třeba cestu do datového adresáře změnit, potom proveďte následující:

  1. Založíme nový adresář pro úložiště.

  2. Kerio Administration Console (Konfigurace → Další volby → Datový adresář) změníme cestu k datovému adresáři.

  3. Zastavíme Kerio MailServer.

  4. Přesuneme všechny soubory datového adresáře do nového úložiště.

  5. Spustíme Kerio MailServer.

Upozornění

Do pole Cesta do datového adresáře nelze zadat UNC cestu.

Limit pro varování

Po dosažení nastavené hodnoty zobrazí Kerio MailServer varovné hlášení při každém přihlášení do administrační konzole. Po dosažení limitu se provede zápis do záznamu Error (bližší informace vizte kapitolu 25.7  Error).

Kritická mez

Limit, po jehož zaplnění se Kerio MailServer Engine a Kerio MailServer Monitor zastaví. Kerio Administration Console lze spustit. Bezprostředně po přihlášení se zobrazí varovné hlášení o dosažení kritické meze. Zápis o přeplnění diskového prostoru se ukládá do záznamu Error (bližší informace vizte kapitolu 25.7  Error).

Datový adresář

Obrázek 12.18. Datový adresář


Upozornění

Pokud nastavíte limit nebo kritickou mez na hodnotu 0, zobrazí se varovná zpráva, resp. chybové hlášení s každým přijatým e-mailem.

Změny těchto nastavení se projeví až po restartu MailServer Engine. Neprovádíte-li tyto změny bezprostředně po instalaci Kerio MailServeru, bude třeba po zastavení Engine přesunout všechny soubory ze starého umístění do nového a teprve pak službu opět spustit.

Master ověřování

Heslo pro master ověřování je speciální typ univerzálního hesla. Heslo je určeno aplikacím, které potřebují hromadný přístup k poštovním schránkám v Kerio MailServeru bez nutnosti znát hesla k jednotlivým uživatelským účtům.

Upozornění

  1. Heslo Master Password nelze použít pro přístup k uživatelským účtům z poštovních klientů nebo přes rozhraní Kerio WebMail. Není to univerzální administrátorské heslo (nelze se jím přihlásit do Administration Console).

Nastavení Master ověřování se provádí ve stejnojmenné záložce sekce Další volby:

Master ověřování

Obrázek 12.19. Master ověřování


Povolit Master ověřování na tento server

Tato volba zapíná/vypíná Master ověřování v Kerio MailServeru. Doporučujeme zapínat Master ověřování pouze v případě, že bude skutečně účelně využita.

Povolit Master ověřování pouze z této skupiny IP adres

V tomto poli je třeba vybrat nebo založit skupinu IP adres, z níž má být Master ověřování povoleno. Z bezpečnostních důvodů není možné povolit Master ověřování z libovolné IP adresy. Skupinu IP adres můžete založit buď přímo v sekci Konfigurace → Definice → Skupiny IP adres nebo klikněte na tlačítko Změnit a skupinu zde vytvořte.

Heslo Master Password

Do tohoto pole zadejte heslo, které bude použito pro přístup ke všem schránkám. Toto heslo by měl znát naprosto minimální počet osob. Získá-li heslo Master Password neoprávněná osoba, může dojít k narušení soukromí všech uživatelů, kteří mají na daném serveru schránky!

Potvrzení hesla

Heslo musí být potvrzeno z důvodu eliminace překlepů při zadávání.

HTTP Proxy

Pokud je Kerio MailServer nainstalován na počítač umístěný za firewallem, může se pomocí proxy serveru připojit k Internetu. Této vlastnosti lze využít například pro aktualizaci a zjišťování nových verzí Kerio MailServeru nebo antiviru.

HTTP proxy

Obrázek 12.20. HTTP proxy


Použít HTTP proxy server pro ...

Pro správnou funkci musí být vyplněna adresa proxy serveru a port, na němž služba běží.

Proxy server vyžaduje ověření uživatele

Pokud proxy server vyžaduje ověření, musí být vyplněno uživatelské jméno a heslo.

Uživatelské jméno

Do položky je třeba zadat uživatelské jméno pro přihlášení k příslušnému proxy serveru.

Heslo

Do položky je třeba zadat heslo pro přihlášení k proxy serveru.

Aktualizace

Záložka spravuje aktualizaci nových verzí Kerio MailServeru a automatickou aktualizaci Kerio Outlook Connectoru a Kerio Outlook Connectoru (Offline Edition):

Aktualizace

Obrázek 12.21. Aktualizace


Od poslední kontroly nové verze ...

Čas uplynulý od poslední kontroly. Nové verze produktu se kontrolují každých 24 hodin.

Tlačítko Zkontrolovat nyní spustí kontrolu nové verze. V případě nalezení nové verze je tato nabídnuta ke stažení a instalaci, jinak je uživatel informován, že k dispozici nová verze není.

Automaticky kontrolovat nové verze...

Povoluje automatickou kontrolu, zda je na serveru společnosti Kerio Technologies k dispozici nová verze Kerio MailServeru.

Byla-li společností Kerio Technologies uvolněna nová verze aplikace, zobrazí se v záložce Aktualizace odkaz na WWW stránku, odkud je možno novou verzi produktu stáhnout.

Nabízet ke stažení také betaverze

Volba umožňuje zapnout také upozorňování na betaverze Kerio MailServeru.

Upozornění

Pokud se chcete podílet na testování betaverzí, zaškrtněte volbu Nabízet ke stažení také betaverze. V případě, že je Kerio MailServer nasazen v ostrém provozu, nedoporučujeme betaverze instalovat — volbu nezapínejte.

Součástí instalačního balíku jsou také automatické instalace Kerio Outlook Connectoru, Kerio Outlook Connectoru (Offline Edition) a Kerio Sync Connectoru for Mac.

Pole Dostupné aktuální verze modulů pro klienty informuje o aktuálně používaných verzích modulů (včetně čísla buildu).

  • Kerio Outlook Connector — balík je všem uživatelům aktualizován automaticky ihned po aktualizaci serveru.

  • Kerio Outlook Connector (Offline Edition) — balík je všem uživatelům aktualizován automaticky ihned po aktualizaci serveru.

  • Kerio Sync Connector for Mac — uživatelům na klientských stanicích se zobrazí informace o možnosti aktualizace Kerio Sync Connectoru. Po odsouhlasení dialogu program aktualizuje.

Kerio MailServer provádí automatickou kontrolu verzí Kerio Outlook Connectoru a Kerio Outlook Connectoru (Offline Edition). Tato kontrola zamezuje problémům způsobeným špatnou komunikací staršího serveru a novější verze plug-inu, nebo naopak novějšího serveru a starší verze plug-inu. V praxi kontrola verzí znamená, že v případě zjištěné nekonzistence se uživateli zobrazí upozornění, že by měl být proveden upgrade/downgrade plug-inu. Po odsouhlasení upozornění se nainstaluje správná verze. V případě, že uživatel nechce nainstalovat novou verzi, záleží, zda se verze serveru liší pouze v čísle buildu nebo v čísle verze:

  1. Liší se číslem buildu — plug-in se normálně spustí spolu s aplikací MS Outlook. Před každým novým spuštěním aplikace MS Outlook se ovšem znovu objeví upozornění, že je třeba plug-in aktualizovat.

  2. Liší se číslem verze — plug-in se k serveru odmítne připojit, dokud nebude aktualizován.

Nové verze Kerio Outlook Connectoru, Kerio Outlook Connectoru (Offline Edition) a Kerio Sync Connectorujsou ukládány do adresáře

Kerio\MailServer\webmail\download

Upozornění

Pro aktualizaci všech plug-inů musí být spuštěna služba HTTP nebo její zabezpečená verze HTTPS.

Certifikát serveru lze vytvořit přímo v administrační konzoli Kerio MailServeru. Přesný návod obsahuje kapitola 16  Certifikáty serveru.

Poznámka

Pokud se v souvislosti s aktualizací vyskytnou nějaké problémy, zapněte v záznamu Debug volbu Update Checker Activity (kde a jak tuto volbu zapnout najdete v kapitole 25.9  Debug). Informace ze záznamu vám mohou pomoci k úspěšnému řešení problému.