V sekci
lze nastavit některé upřesňující parametry poštovního serveru.Převádět IP adresy vzdálených klientů a serverů, které se na Kerio MailServer připojují, na DNS jména. Tím dojde k zpřehlednění záznamů, ale činnost Kerio MailServeru se tím může zpomalit.
Zapněte tuto volbu, pokud má být utajena verze a jméno programu poštovního serveru, který doménu obsluhuje.
Aktivace nebo deaktivace této volby vyžaduje restart Kerio MailServeru.
Kerio MailServer bude skrývat lokální IP
adresu (ze skupiny IP adres nastavené v sekci v záložce Řízení přístupu)
v položce Received
v hlavičce zprávy.
Do této
položky zaznamenává každý SMTP server, přes nějž zpráva projde, od koho a kým
byla přijata. První záznam v položce Received
tedy
obsahuje e-mailovou adresu a IP adresu odesílatele. Je-li SMTP server umístěn
v privátní síti chráněné
firewallem, pak
se do této položky zaznamená privátní adresa klienta. To znamená, že
v odchozích e-mailových zprávách se de facto rozesílají informace o
privátní síti, která je jinak vůči Internetu skryta. Tyto informace by mohly
případnému hackerovi usnadnit napadení této sítě. Zapněte tedy tuto volbu,
jestliže je Kerio MailServer provozován v privátní
síti za firewallem (i v případě, že běží na tomtéž počítači jako
firewall).
Vazba na řízení přístupu je zde z toho důvodu, aby SMTP server rozpoznal lokální IP adresu. V řízení přístupu se zpravidla používá skupina lokálních IP adres, z nichž je možno odesílat poštu do libovolných domén (vizte kapitolu 12.2 SMTP server), což je výhodné i pro tento účel.
Nebude-li tedy zapnuto řízení přístupu nebo v něm nebude definována žádná skupina lokálních IP adres, bude tato volba neúčinná.
Volba
umožňuje dosadit do hlavičky lokálně doručované zprávy položku
X-Envelope-To:
(tj. adresu skutečného příjemce ze SMTP
obálky). Položku je vhodné využít zejména v případě, že je
v Kerio MailServeru zřízen doménový koš.
TNEF
(Transport Neutral Encapsulation Format) je proprietární formát firmy
Microsoft, který primárně slouží k zasílání zpráv
s rozšířeným formátováním z aplikace
MS Outlook. Součástí každé zprávy, která je odeslána
v tomto formátu, je příloha winmail.dat
. Tato příloha
obsahuje kopii celé zprávy ve formátu RTF a všechny případné přílohy zprávy.
Pokud tedy uživatel nepoužívá pro přístup k poště
MS Outlook a bude mu doručena zpráva s přílohou
v tomto formátu, potom se k příloze ve zprávě nedostane.
Dekodér TNEF zabudovaný do Kerio
MailServeru dekóduje TNEF zprávy na straně serveru do standardního
MIME formátu a odstraní tak uživatelům problémy se zprávami
s winmail.dat
přílohou.
Tuto volbu je výhodné využít zejména pokud uživatelé nepoužívají pro přístup k poště výhradně aplikaci MS Outlook.
Při problémech s dekódováním zpráv vám může pomoci záznam Debug, kde je třeba zapnout volbu Message decoding. Více najdete v kapitole 25.9 Debug.
Uuencode (Unix-to-Unix Encoding) je typ kódování využívaný pro odesílání souborů pomocí elektronické pošty. Kóduje binární data do textového formátu tak, že mohou být vložena přímo do těla zprávy. Problémem je, že ne každý poštovní klient obsahuje speciální dekodér, který umí zakódované soubory dekódovat do původního tvaru. Z toho důvodu obsahuje Kerio MailServer zabudovaný Dekodér Uudecode (Unix-to-Unix decoding). Zprávy jsou dekódovány již na straně serveru do standardního MIME formátu a odstraní tak uživatelům případné problémy s dekódováním takovýchto zpráv.
Doporučujeme volbu Povolit konverzi zpráv kódovaných uuencode do MIME povolit zvláště tehdy, pokud uživatelé využívají pro přístup ke svým schránkám Kerio WebMail a MS Outlook s Kerio Outlook Connectorem.
Při problémech s dekódováním zpráv vám může pomoci záznam Debug, kde je třeba zapnout volbu Message decoding. Více najdete v kapitole 25.9 Debug.
Kerio MailServer umožňuje nastavení bezpečnostní politiky, tzn. minimální požadované úrovně bezpečnosti. Tato nastavení se provádějí v sekci v záložce Bezpečnostní politika (vizte obrázek 12.16 Bezpečnostní politika).
Menu v záhlaví stránky umožňuje výběr jedné ze tří politik:
K serveru se bude možno připojit bez jakéhokoliv omezení.
Kerio MailServer bude vždy vyžadovat bezpečné ověření uživatele. To znamená, že ověření musí být provedeno některou z následujících metod — CRAM-MD5, DIGEST-MD5, NTLM nebo musí uživatel použít SSL tunel — povolit SSL komunikaci ve svých poštovních klientech.
V případě, že uživatelé používají pro přístup ke své poště rozhraní Kerio WebMail, kde se nelze ověřit některou z ověřovacích metod, použije se automaticky protokol HTTP zabezpečený SSL.
Po nastavení bezpečného ověřování se zobrazí možnost povolení nezabezpečeného přihlášení ze zadané skupiny IP adres. Skupinu je možno vybrat buď z existujících nebo vytvořit novou. O možnostech nastavení skupin IP adres pojednává samostatná kapitola 19.1 Skupiny IP adres.
Neaplikujte tuto možnost, pokud mají uživatelé nastaveno ukládání hesel na serveru v SHA formátu.
Po zapnutí této volby se klientské aplikace budou moci připojit ke kterékoliv službě pouze šifrovaným spojením (komunikaci tedy nebude možno v žádném případě odposlouchávat).
Na všech klientských stanicích je nutno povolit všem protokolům komunikaci přes SSL. Při přihlášení k rozhraní Kerio WebMail se šifrované spojení nastaví automaticky.
Jediný protokol, na který se toto omezení nevztahuje, je SMTP. Vzhledem k množství SMTP serverů, které nepodporují SMTPS nebo STARTTLS, není možné tento protokol omezit pouze na zabezpečenou verzi. Aby se i přes to podařilo zajistit bezpečnost, vyžaduje server pro protokol SMTP po nastavení volby Vyžadovat šifrované spojení bezpečné ověřování hesla. Jméno a heslo se tedy odesílá pomocí některé z podporovaných bezpečných metod ověřování.
Po nastavení této bezpečnostní politiky lze z omezení vyjmout skupinu IP adres, z nichž nebude šifrované spojení vyžadováno. Skupinu je možno buď vybrat z existujících nebo vytvořit novou. O možnostech nastavení skupin IP adres pojednává kapitola 19.1 Skupiny IP adres.
Pokud využijete tuto možnost ochrany komunikace, je důležité, aby všichni uživatelé měli na svých klientských stanicích nainstalovaný platný ověřovací certifikát (více vizte kapitolu 16 Certifikáty serveru).
Podporované metody ověřování
Kerio MailServer podporuje několik metod ověřování uživatelských hesel:
CRAM-MD5 — metoda ověřování hesel (autentizace pomocí MD5 digestů). Tento způsob šifrování je obecně rozšířený, podporuje ho většina poštovních klientů.
DIGEST-MD5 — metoda ověřování hesel (autentizace pomocí MD5 digestů).
LOGIN — uživatelská hesla nejsou při přenosu po síti žádným způsobem chráněna. Budete-li využívat tento způsob přenosu hesla, důrazně doporučujeme zapnutí komunikace přes SSL tunel.
NTLM — tuto ověřovací metodu je možno využít pouze v případě, že se uživatelé ověřují proti Active Directory doméně. To znamená, že lze takto ověřovat pouze účty, které jsou buď mapovány nebo importovány z Active Directory. Nastavení NTLM ověřování popisuje samostatná kapitola 28 Nastavení NTLM ověřování.
PLAIN — uživatelská hesla nejsou při přenosu po síti žádným způsobem chráněna. Budete-li využívat tento způsob přenosu hesla, důrazně doporučujeme zapnutí komunikace přes SSL tunel.
APOP — ověřovací metoda se v seznamu nezobrazuje, Kerio MailServer ji automaticky používá ke stahování POP3 účtů.
Server standardně nabízí všechny metody ověřování. Nabízí je klientovi postupně tak, jak jsou seřazeny v seznamu (začíná metodou CRAM-MD5). Pokud klient danou metodu podporuje, další v pořadí již nebudou použity. Toto chování může způsobit problém, pokud je heslo na serveru uloženo v bezpečném formátu (SHA1). S SHA šifrou nelze využívat jiné metody přenášení hesla než LOGIN a PLAIN. Poštovní klient, pokud budou povoleny bezpečné metody CRAM-MD5 a DIGEST-MD5, vybere samozřejmě některou z bezpečných metod pro ověření hesla a nebude se moci do Kerio MailServeru přihlásit. Nelze-li tedy přímo v poštovních klientech nastavit použitou metodu, je nutno v případě ukládání hesel ve formátu SHA vypnout všechny metody kromě LOGIN a PLAIN.
Operační systém | Ověřování proti Active Directory | Uživatelské schránky jsou uloženy lokálně a hesla jsou zabezpečena DES šifrováním | Uživatelské schránky jsou uloženy lokálně a hesla jsou zabezpečena SHA šifrováním |
---|---|---|---|
MS Windows | NTLM LOGIN PLAIN | CRAM-MD5 DIGEST-MD5 LOGIN PLAIN | LOGIN PLAIN |
LINUX | LOGIN PLAIN | CRAM-MD5 DIGEST-MD5 LOGIN PLAIN | LOGIN PLAIN |
Mac OS X | LOGIN PLAIN | CRAM-MD5 DIGEST-MD5 LOGIN PLAIN | LOGIN PLAIN |
Tabulka 12.3. Použití metod ověřování
Doporučení:
Selže-li ověřovací metoda pro klienta, je nejlépe ji v Kerio MailServeru vypnout (odškrtnout v seznamu Povolené metody ověřování).
Nezávisle na použití typu ověřovací metody doporučujeme nastavit na poštovních klientech přihlašování k serveru přes SSL.
Zaškrtnutí volby Povolit NTLM ověřování pro uživatele, kteří jsou ověřováni systémem Kerberos umožňuje uživatelům z Active Directory domény ověřovat se při přihlášení ke Kerio MailServeru. Aby bylo NTLM ověřování funkční, je nutné, aby počítač i uživatelský účet byly součástí domény, proti které se uživatel ověřuje. Další nutnou podmínkou pro správnou funkci tohoto typu ověřování je povolení NTLM (SPA) ověřování v poštovních klientech uživatelů.
Co vše je potřeba v Kerio MailServeru nastavit, aby bylo NTLM ověřování uživatelů funkční, najdete v samostatné kapitole 28 Nastavení NTLM ověřování.
Oddíl Blokování účtů umožňuje nastavit tyto parametry (vizte obrázek 12.17 Blokování účtů):
Po zaškrtnutí této volby se budou uživatelské účty blokovat podle níže nastavitelných pravidel. Tato nastavení slouží k větší bezpečnosti uživatelských účtů, chrání je před průlomem hesel a následným zneužitím účtu.
Počet neúspěšných pokusů uživatele o přihlášení k uživatelskému účtu z jedné IP adresy.
Doba (v minutách), po které se uživatelský účet automaticky odblokuje.
Použitím tlačítka
odblokujete všechny účty, které byly dosud blokovány.Blokování účtů závisející na neúspěšných pokusech o přihlášení nijak nesouvisí s blokací v nastavení uživatelských účtů (vizte sekci 8.2 Založení uživatelského účtu).
V záložce Datový adresář je možno nastavit adresář pro ukládání zpráv, kontaktů, událostí atd. (uživatelské a veřejné složky). Do datového adresáře se ukládají zprávy v uživatelských a veřejných složkách, záznamy, zprávy k odeslání a soubory, které se právě kontrolují antivirovým programem.
Úplná cesta k datovému adresáři (dle konvence operačního systému, na kterém Kerio MailServer běží). Z technických důvodů je třeba datový adresář umístit lokálně (na serveru kde je Kerio MailServer spuštěn).
Pokud je třeba cestu do datového adresáře změnit, potom proveďte následující:
Založíme nový adresář pro úložiště.
V Kerio Administration Console ( ) změníme cestu k datovému adresáři.
Zastavíme Kerio MailServer.
Přesuneme všechny soubory datového adresáře do nového úložiště.
Spustíme Kerio MailServer.
Do pole Cesta do datového adresáře nelze zadat UNC cestu.
Po dosažení nastavené hodnoty zobrazí Kerio MailServer varovné hlášení při každém přihlášení do administrační konzole. Po dosažení limitu se provede zápis do záznamu Error (bližší informace vizte kapitolu 25.7 Error).
Limit, po jehož zaplnění se Kerio MailServer Engine a Kerio MailServer Monitor zastaví. Kerio Administration Console lze spustit. Bezprostředně po přihlášení se zobrazí varovné hlášení o dosažení kritické meze. Zápis o přeplnění diskového prostoru se ukládá do záznamu Error (bližší informace vizte kapitolu 25.7 Error).
Pokud nastavíte limit nebo kritickou mez na hodnotu
0
, zobrazí se varovná zpráva, resp. chybové hlášení
s každým přijatým e-mailem.
Změny těchto nastavení se projeví až po restartu MailServer Engine. Neprovádíte-li tyto změny bezprostředně po instalaci Kerio MailServeru, bude třeba po zastavení Engine přesunout všechny soubory ze starého umístění do nového a teprve pak službu opět spustit.
Heslo pro master ověřování je speciální typ univerzálního hesla. Heslo je určeno aplikacím, které potřebují hromadný přístup k poštovním schránkám v Kerio MailServeru bez nutnosti znát hesla k jednotlivým uživatelským účtům.
Heslo Master Password nelze použít pro přístup k uživatelským účtům z poštovních klientů nebo přes rozhraní Kerio WebMail. Není to univerzální administrátorské heslo (nelze se jím přihlásit do Administration Console).
Nastavení Master ověřování se provádí ve stejnojmenné záložce sekce Další volby:
Tato volba zapíná/vypíná Master ověřování v Kerio MailServeru. Doporučujeme zapínat Master ověřování pouze v případě, že bude skutečně účelně využita.
V tomto poli je třeba vybrat nebo založit skupinu IP adres, z níž má být Master ověřování povoleno. Z bezpečnostních důvodů není možné povolit Master ověřování z libovolné IP adresy. Skupinu IP adres můžete založit buď přímo v sekci
nebo klikněte na tlačítko a skupinu zde vytvořte.Do tohoto pole zadejte heslo, které bude použito pro přístup ke všem schránkám. Toto heslo by měl znát naprosto minimální počet osob. Získá-li heslo Master Password neoprávněná osoba, může dojít k narušení soukromí všech uživatelů, kteří mají na daném serveru schránky!
Heslo musí být potvrzeno z důvodu eliminace překlepů při zadávání.
Pokud je Kerio MailServer nainstalován na počítač umístěný za firewallem, může se pomocí proxy serveru připojit k Internetu. Této vlastnosti lze využít například pro aktualizaci a zjišťování nových verzí Kerio MailServeru nebo antiviru.
Pro správnou funkci musí být vyplněna adresa proxy serveru a port, na němž služba běží.
Pokud proxy server vyžaduje ověření, musí být vyplněno uživatelské jméno a heslo.
Do položky je třeba zadat uživatelské jméno pro přihlášení k příslušnému proxy serveru.
Do položky je třeba zadat heslo pro přihlášení k proxy serveru.
Záložka spravuje aktualizaci nových verzí Kerio MailServeru a automatickou aktualizaci Kerio Outlook Connectoru a Kerio Outlook Connectoru (Offline Edition):
Čas uplynulý od poslední kontroly. Nové verze produktu se kontrolují každých 24 hodin.
Tlačítko
spustí kontrolu nové verze. V případě nalezení nové verze je tato nabídnuta ke stažení a instalaci, jinak je uživatel informován, že k dispozici nová verze není.Povoluje automatickou kontrolu, zda je na serveru společnosti Kerio Technologies k dispozici nová verze Kerio MailServeru.
Byla-li společností Kerio Technologies uvolněna nová verze aplikace, zobrazí se v záložce Aktualizace odkaz na WWW stránku, odkud je možno novou verzi produktu stáhnout.
Volba umožňuje zapnout také upozorňování na betaverze Kerio MailServeru.
Pokud se chcete podílet na testování betaverzí, zaškrtněte volbu Nabízet ke stažení také betaverze. V případě, že je Kerio MailServer nasazen v ostrém provozu, nedoporučujeme betaverze instalovat — volbu nezapínejte.
Součástí instalačního balíku jsou také automatické instalace Kerio Outlook Connectoru, Kerio Outlook Connectoru (Offline Edition) a Kerio Sync Connectoru for Mac.
Pole Dostupné aktuální verze modulů pro klienty informuje o aktuálně používaných verzích modulů (včetně čísla buildu).
Kerio Outlook Connector — balík je všem uživatelům aktualizován automaticky ihned po aktualizaci serveru.
Kerio Outlook Connector (Offline Edition) — balík je všem uživatelům aktualizován automaticky ihned po aktualizaci serveru.
Kerio Sync Connector for Mac — uživatelům na klientských stanicích se zobrazí informace o možnosti aktualizace Kerio Sync Connectoru. Po odsouhlasení dialogu program aktualizuje.
Kerio MailServer provádí automatickou kontrolu verzí Kerio Outlook Connectoru a Kerio Outlook Connectoru (Offline Edition). Tato kontrola zamezuje problémům způsobeným špatnou komunikací staršího serveru a novější verze plug-inu, nebo naopak novějšího serveru a starší verze plug-inu. V praxi kontrola verzí znamená, že v případě zjištěné nekonzistence se uživateli zobrazí upozornění, že by měl být proveden upgrade/downgrade plug-inu. Po odsouhlasení upozornění se nainstaluje správná verze. V případě, že uživatel nechce nainstalovat novou verzi, záleží, zda se verze serveru liší pouze v čísle buildu nebo v čísle verze:
Liší se číslem buildu — plug-in se normálně spustí spolu s aplikací MS Outlook. Před každým novým spuštěním aplikace MS Outlook se ovšem znovu objeví upozornění, že je třeba plug-in aktualizovat.
Liší se číslem verze — plug-in se k serveru odmítne připojit, dokud nebude aktualizován.
Nové verze Kerio Outlook Connectoru, Kerio Outlook Connectoru (Offline Edition) a Kerio Sync Connectorujsou ukládány do adresáře
Kerio\MailServer\webmail\download
Pro aktualizaci všech plug-inů musí být spuštěna služba HTTP nebo její zabezpečená verze HTTPS.
Certifikát serveru lze vytvořit přímo v administrační konzoli Kerio MailServeru. Přesný návod obsahuje kapitola 16 Certifikáty serveru.
Pokud se v souvislosti s aktualizací vyskytnou nějaké problémy, zapněte v záznamu Debug volbu Update Checker Activity (kde a jak tuto volbu zapnout najdete v kapitole 25.9 Debug). Informace ze záznamu vám mohou pomoci k úspěšnému řešení problému.