Kerio Connect. Kerio Technologies

Kerio Connect Pˇ ríruˇ cka administrátora

Kerio Technologies

 2011 Kerio Technologies s.r.o. Všechna práva vyhrazena. Tento manuál popisuje produkt: Kerio Connect ve verzi 7.1. Zmˇ eny vyhrazeny. Aktuální verzi produktu a manuál˚ u naleznete na WWW stránkách http://www.kerio.cz/cz/connect/download/.

Informace o registrovaných ochranných známkách a ochranných známkách jsou uvedeny v pˇ ríloze A.

Obsah

1

Úvod 1.1 1.2 1.3

.......................................................................... Novinky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Další materiály . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Rychlé nastavení . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

10 10 11 11

2

Instalace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1 Systémové požadavky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2 Konfliktní software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3 Nastavení firewallu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4 Instalace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.5 Pr˚ uvodce poˇ cáteˇ cní konfigurací . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.6 Upgrade a deinstalace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

13 13 14 14 15 23 25

3

Komponenty Kerio Connect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 3.1 Kerio Connect Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 3.2 Samostatné procesy serveru . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

4

Správa Kerio Connect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 4.1 Kerio Connect Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

5

Registrace produktu a licence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.1 Registrace produktu pˇ res WWW stránky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.2 Registrace produktu pomocí administraˇ cního rozhraní . . . . . . . . . . . . . . . . . . . . 5.3 Informace o licenci a import licenˇ cního klíˇ ce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.4 Licenˇ cní politika . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6

Služby . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 6.1 Nastavení parametr˚ u služeb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 ˇ 6.2 Rešení pˇ rípadných problém˚ u . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

7

Doména a její nastavení . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.1 Základní nastavení . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.2 Definice domény . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.2.1 Primární doména . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.3 Nastavení zápatí . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.4 Obnova smazaných položek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.5 Automatické mazání položek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.6 Doménový alias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.7 Ovˇ eˇ rování uživatel˚ u z domény . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.8 Pˇ rejmenování domény . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

36 36 36 40 42

51 52 53 53 54 55 56 59 60 63

7.9 7.10 7.11

Zrušení domény . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Firma s poboˇ ckou . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Nastavení záložního poštovního serveru . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

8

Uživatelské úˇ cty . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.1 Administrátorský úˇ cet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.2 Založení uživatelského úˇ ctu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.3 Úprava uživatelského úˇ ctu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.4 Hromadná zmˇ ena uživatelských úˇ ct˚ u ..................................... 8.5 Odstranˇ ení úˇ ctu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.6 Vyhledávání . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.7 Statistiky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8 Správa mobilních zaˇ rízení . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.9 Import uživatel˚ u ......................................................... 8.10 Export uživatel˚ u domény do CSV souboru . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.11 Šablony uživatelských úˇ ct˚ u ..............................................

9

Skupiny uživatel˚ u . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 9.1 Vytvoˇ rení skupiny uživatel˚ u . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 9.2 Export ˇ clen˚ u skupiny . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

10

Mapování uživatel˚ u z adresáˇ rových služeb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.1 Mapování úˇ ct˚ u z Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.1.1 Nastavení mapování v administraˇ cním rozhraní . . . . . . . . . . . . . . . . . . . 10.1.2 Kerio Active Directory Extension . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.2 Mapování úˇ ct˚ u z Apple Open Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.2.1 Nastavení v administraˇ cním rozhraní . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.2.2 Kerio Open Directory Extension . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

105 105 106 108 113 113 116

11

Distribuovaná doména . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.1 Doporuˇ cení . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2 Nastavení distribuované domény . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3 Odebrání serveru z distribuované domény . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.4 Uživatelské úˇ cty v distribuovaných doménách . . . . . . . . . . . . . . . . . . . . . . . . . . 11.5 Migrace uživatele v distribuované doménˇ e ..............................

118 118 119 120 121 121

12

Odesílání a pˇ ríjem pošty . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.1 Doruˇ cování pošty v síti Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.2 SMTP server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.3 Aliasy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.4 Vzdálené POP3 schránky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.5 Pˇ ríjem pošty pomocí pˇ ríkazu ETRN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.6 Internetové pˇ ripojení . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.7 Plánování . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.8 Upˇ resˇ nující nastavení . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

124 124 129 136 139 144 145 147 149

4

71 71 72 82 83 84 85 85 86 88 95 96

13

Antispamová kontrola SMTP serveru . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.1 Hodnocení spamu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.2 Zakázaní odesílatelé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.3 Vlastní pravidla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.4 SpamAssassin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.5 Kontrola email policy záznam˚ u ......................................... 13.6 Odrazování spammer˚ u ................................................. 13.7 Optimální nastavení spamových test˚ u .................................. 13.8 Sledování funkˇ cnosti a úˇ cinnosti spamového filtru . . . . . . . . . . . . . . . . . . . . . .

161 162 165 169 175 176 180 182 186

14

Antivirová kontrola a filtrování pˇ ríloh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14.1 Integrovaný Sophos Anti-Virus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14.2 Výbˇ er externího modulu pro spolupráci s antivirovým programem . . . . . . . 14.3 Nastavení externích antivirových modul˚ u ............................... 14.4 Chování serveru pˇ ri nalezení viru nebo poškozené/šifrované pˇ rílohy . . . . 14.5 Filtrování pˇ ríloh e-mail˚ u ............................................... 14.6 Statistika antivirové kontroly . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

188 189 190 191 191 192 194

15

Archivace a zálohování pošty . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15.1 Archivace pošty . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15.2 Zálohování poštovních schránek uživatel˚ u a základního nastavení serveru 15.3 Obnova dat ze zálohy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

195 195 198 203

16

Certifikáty serveru . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 16.1 Certifikát aplikace Kerio Connect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 16.2 Instalace certifikátu na klientské stanice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215

17

Parametry pro Kerio WebMail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17.1 Skiny . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17.2 Logo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17.2.1 Nastavení globálního loga . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17.2.2 Nastavení doménového loga . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17.3 Jazyk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17.4 Zabezpeˇ cení relace mezi aplikací Kerio Connect a Kerio WebMailem . . . . . 17.4.1 Nastavení zabezpeˇ cení relace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

219 219 219 219 221 222 224 224

18

Limity a kvóty . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18.1 Limity pro velikost zpráv . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18.1.1 Nastavení limitu pro zprávy doruˇ cované protokolem SMTP . . . . . . . . 18.1.2 Nastavení limitu pro odchozí zprávy konkrétního uživatele . . . . . . . 18.1.3 Nastavení limitu pro odchozí zprávy z domény . . . . . . . . . . . . . . . . . . . 18.1.4 Limit velikosti zprávy pro Kerio WebMail . . . . . . . . . . . . . . . . . . . . . . . . .

226 226 226 227 227 227

5

19

Nástroje . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19.1 Skupiny IP adres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ˇ 19.2 Casové intervaly . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19.3 Nastavení vzdálené správy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

229 229 230 233

20

LDAP 20.1 20.2 20.3

server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurace LDAP serveru . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Global Address (Contact) List . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nastavení poštovních klient˚ u ...........................................

234 234 234 236

21

E-mailové konference . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21.1 Klasifikace uživatel˚ u ................................................... 21.2 Vytvoˇ rení a nastavení konference . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21.3 Pravidla pro posílání zpráv . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21.4 Moderátoˇ ri a ˇ clenové . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21.5 Archivace konference . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21.6 Zprávy serveru . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21.7 Používání konference . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

240 241 241 245 248 253 254 254

22

Plánování zdroj˚ u . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256 22.1 Princip funkce plánování zdroj˚ u . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256 22.2 Založení nového zdroje . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258

23

Stavové informace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23.1 Fronta zpráv . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23.2 Zpracování fronty zpráv . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23.3 Aktivní spojení . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23.4 Otevˇ rené složky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23.5 Grafy pˇ renesených dat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23.6 Statistiky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

260 260 262 263 266 266 268

24

Záznamy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24.1 Nastavení záznam˚ u .................................................... 24.2 Config . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24.3 Mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24.4 Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24.5 Warning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24.6 Operations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24.7 Error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24.8 Spam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24.9 Debug . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24.10 Sledování výkonu (Windows) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

270 270 273 274 276 279 279 280 281 282 286

6

25

Správa složek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25.1 Veˇ rejné složky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25.1.1 Globální vs. doménové složky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25.1.2 Vytváˇ rení veˇ rejných složek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25.1.3 Pˇ ridˇ elení práv k veˇ rejným složkám . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25.2 Zobrazení veˇ rejných složek v jednotlivých typech úˇ ct˚ u ..................

288 288 289 289 290 290

26

Ovˇ eˇ rování pˇ res Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26.1 Kerio Connect na systému Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26.2 Kerio Connect na systému Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26.3 Kerio Connect na systému Mac OS X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26.4 Spuštˇ ení služby Open Directory a nastavení systému Kerberos . . . . . . . . . .

291 292 294 298 307

27

Nastavení NTLM ovˇ eˇ rování . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310 27.1 Nastavení NTLM v aplikaci MS Outlook s Kerio Outlook Connectorem . . . . 313

28

Nastavení poštovních klient˚ u a firewallu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28.1 Nastavení poštovních klient˚ u ........................................... 28.2 WWW prohlížeˇ ce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28.3 Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

315 315 317 317

29

Pˇ ríklady nastavení . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29.1 Trvalé pˇ ripojení k Internetu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29.2 Vytáˇ cená linka + doménový koš . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29.3 Vytáˇ cená linka + ETRN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

319 319 320 322

30

ˇ ešení možných problém˚ R u v Kerio Connect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324 30.1 Reindexace poštovních složek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324 30.2 Pˇ renos konfigurace a dat serveru na jiný poˇ cítaˇ c . . . . . . . . . . . . . . . . . . . . . . . . 325

31

Kerio Outlook Connector . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.1 Kerio Outlook Connector (Offline Edition) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.1.1 Ruˇ cní instalace na uživatelské stanici . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.1.2 Automatická instalace a nastavení profilu uživatel˚ u ............... 31.1.3 Poznámky k instalaci a upgradu na terminálovém serveru . . . . . . . . . 31.1.4 Automatická aktualizace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.1.5 Online/Offline režim . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.2 Kerio Outlook Connector . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.2.1 Instalace a konfigurace bez použití migraˇ cního nástroje . . . . . . . . . . . 31.2.2 Aktualizace nových verzí Kerio Outlook Connectoru . . . . . . . . . . . . . .

326 326 327 332 338 338 338 341 343 351

32

Podpora standardu iCalendar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.1 Internetové kalendáˇ re v MS Outlooku 2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.2 Windows Calendar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.3 Apple iCal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

352 352 353 353

7

33

Podpora protokolu CalDAV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33.1 Nastavení CalDAV úˇ ct˚ u ................................................ 33.2 CalDAV úˇ cet v Apple iCal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33.2.1 Automatické nastavení CalDAV úˇ ctu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

34

Podpora protokolu CardDAV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359 34.1 Automatické nastavení CardDAV úˇ ctu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359

35

Podpora pro ActiveSync . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35.1 Typy synchronizace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35.2 Podporované verze ActiveSync a mobilních zaˇ rízení . . . . . . . . . . . . . . . . . . . . . 35.3 RoadSync . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35.4 SSL šifrování . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35.5 Vzdálené vymazání obsahu zaˇ rízení . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35.6 Odstranˇ ení zaˇ rízení ze správce mobilních zaˇ rízení . . . . . . . . . . . . . . . . . . . . . . 35.7 Záznamy synchronizace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ˇ ešení pˇ rípadných problém˚ u ........................................... 35.8 R

36

Podpora pro zaˇ rízení BlackBerry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376 36.1 NotifySync . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376 36.2 AstraSync . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376

37

Kerio Connector for BlackBerry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37.1 Systémové požadavky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37.2 Instalace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37.2.1 Instalace modulu Kerio Connector for BlackBerry . . . . . . . . . . . . . . . . . 37.2.2 Instalace BlackBerry Enterprise Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37.3 Licence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37.4 Zaˇ cínáme s BlackBerry Enterprise Server (Express) . . . . . . . . . . . . . . . . . . . . . . . 37.4.1 Vytvoˇ rení uživatele na BES serveru . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37.4.2 Aktivace zaˇ rízení BlackBerry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37.5 Práce s BlackBerry Enterprise Sever . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37.5.1 Pˇ rístup k BlackBerry Administration Service . . . . . . . . . . . . . . . . . . . . . . 37.5.2 Pˇ rístup k BlackBerry Web Desktop Manager . . . . . . . . . . . . . . . . . . . . . . . 37.5.3 Kontrola Server Routing Protocol (SRP) a nastavení SRP ID . . . . . . . . . 37.5.4 Aktivace S/MIME zpráv . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37.5.5 Výbˇ er mailových složek pro synchronizaci se zaˇ rízením BlackBerry 37.5.6 Výbˇ er složek kontakt˚ u pro synchronizaci se zaˇ rízením BlackBerry . 37.5.7 Synchronizace smazaných zpráv ze zaˇ rízení na server . . . . . . . . . . . .

38

Podpora pro Microsoft Entourage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384 38.1 Automatická konfigurace Exchange úˇ ctu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385

8

356 356 357 357

361 361 364 365 366 369 371 371 373

377 377 378 379 379 380 380 380 381 381 381 382 382 382 383 383 383

39

Podpora pro Apple Address Book . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387

40

Kerio Sync Connector for Mac . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389 40.1 Instalace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390 ˇ ešení možných problém˚ 40.2 R u se synchronizací . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390

41

Podpora pro Apple Mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393

42

Podpora pro Apple iPhone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395 42.1 Apple iPhone OS 2.0 a vyšší . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396

43

Technická podpora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397 43.1 Kerio Connect Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397

A

Právní doložka . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402

B

Použité open-source knihovny . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404 Slovníˇ cek pojm˚ u . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408 Rejstˇ rík . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412

9

Kapitola 1

Úvod

Kerio Connect je následovníkem úspˇ ešné aplikace Kerio MailServer. Kerio Connect pˇ redstavuje multiplatformní moderní poštovní server, který podporuje širokou škálu komunikaˇ cních protokol˚ u. Tyto protokoly umožˇ nují využívat libovolné poštovní klienty vˇ cetnˇ e tˇ ech, které jsou souˇ cástí mobilních zaˇ rízení. Dále pˇ rináší možnost pˇ rímého pˇ rístupu k poštovní schránce pˇ res webové rozhraní. Kerio Connect ukládá do poštovních schránek r˚ uzné typy dat. Kromˇ e e-mailových zpráv lze do schránky uložit také kalendáˇ re, poznámky, kontakty a úkoly. S kalendáˇ ri a úkoly lze navíc dále pracovat díky možnosti plánování sch˚ uzek a úkol˚ u. Proto se Kerio Connect m˚ uže stát komplexním groupwarovým ˇ rešením pro vaši firmu.

1.1 Novinky Spoleˇ cnost Kerio Technologies pro vás ve verzi Kerio Connect 7.1 pˇ ripravila následující vlastnosti:

Sophos — nový integrovaný antivirový program Od verze 7.1 je v aplikaci Kerio Connect k dispozici nový integrovaný antivirový program Sophos. Více informací se o nastavení se dozvíte v kapitole 14

Kerio Connector for BlackBerry Spoleˇ cnost Kerio Technologies pro vás v aplikaci Kerio Connect od verze 7.1 pˇ ripravila speciální modul Kerio Connector for BlackBerry, který umožˇ nuje synchronizaci dat se zaˇ rízeními BlackBerry. Více informací se dozvíte v kapitole 37

Export uživatel˚ u do CSV souboru Potˇ rebujete rychle a snadno získat pˇ rehledný seznam uživatel˚ u domény nebo ˇ clen˚ u e-mailové konference ˇ ci jednotlivých skupin? V administraˇ cním rozhraní Kerio Connect Administration nyní m˚ užete jednoduše seznamy vyexportovat do souboru CSV. Více informací se dozvíte v pˇ ríslušných kapitolách (8.10, 21.4 nebo 9.2).

10

1.2 Další materiály

1.2 Další materiály Kromˇ e manuálu Kerio Connect 7, Pˇ ríruˇ cka administrátora, který právˇ e ˇ ctete, existuje k produktu Kerio Connect Kerio Connect 7, Krok za krokem (obsahuje informace o instalaci a základním nastavení serveru) a Kerio Connect 7, Pˇ ríruˇ cka uživatele (obsahuje podrobné informace o nastavení a používání klientských program˚ u a webového rozhraní, kterými se lze k serveru pˇ ripojit). Kromˇ e samotné dokumentace vám m˚ uže pˇ ri ˇ rešení problém˚ u pomoci následující: • Produktové fórum — zde se m˚ užete setkat s aktuálními problémy administrátor˚ u používajících produkt a možná mezi nimi bude i ˇ rešení vašeho problému. • Databáze znalostí — zde je umístˇ en soubor ˇ clánk˚ u, které ˇ reší konkrétní problémy.

1.3 Rychlé nastavení Kapitola popisuje krok za krokem zjednodušený postup, jak rychle nastavit Kerio Connect tak, aby mohl okamžitˇ e sloužit jako poštovní server pro vaši firmu. Požadovány jsou pouze základní znalosti TCP/IP a funkce internetových poštovních protokol˚ u. Druhým (a posledním) nutným požadavkem jsou informace od vašeho poskytovatele Internetu — typ pˇ ripojení a zp˚ usob doruˇ cování pošty pro vaši doménu. Nebudete-li si jisti nˇ ekterým nastavením v aplikaci Kerio Connect, jednoduše vyhledejte pˇ ríslušnou kapitolu v tomto manuálu. Pokud nevíte, jak a kam je doruˇ cována pošta pro vaši doménu, obrat’te se na vašeho poskytovatele Internetu. 1.

Nainstalujte Kerio Connect a proved’te požadovaná nastavení v konfiguraˇ cním pr˚ uvodci (vytvoˇ rení primární domény, jména a hesla administrátora). Pˇ rihlaste se ke správˇ e v programu Kerio Connect Administration. Kerio Connect se standardnˇ e instaluje do následujících adresáˇ ru ˚: • Mac OS X /usr/local/kerio/mailserver • Linux /opt/kerio/mailserver • MS Windows C:\Program Files\Kerio\MailServer

2.

Nastavte služby, které budete chtít využívat. Chcete-li napˇ r. provozovat na stejném poˇ cítaˇ ci WWW server, bude zˇ rejmˇ e nutno vypnout službu HTTP/Zabezpeˇ cený HTTP, zmˇ enit její port nebo pro standardní port služby vyhradit jednu IP adresu. Více v kapitole 6.1. 11

Úvod

3.

Vytvoˇ rte lokální domény. První vytvoˇ rená doména je vždy primární (konfiguraˇ cní pr˚ uvodce). Po vytvoˇ rení dalších domén je možno jako primární nastavit kteroukoliv z nich. Nevíte-li, kterou doménu zvolit jako primární, zvolte tu, která obsahuje nejvíc uživatel˚ u. Nezapomeˇ nte také vyplnit DNS jméno SMTP serveru. Více v kapitole 7.

4.

Vytvoˇ rte uživatelské úˇ cty v jednotlivých doménách. Názvy úˇ ct˚ u by mˇ ely korespondovat s primárními e-mailovými adresami uživatel˚ u. V názvech úˇ ct˚ u nepoužívejte národní znaky. Uživatele m˚ užete také importovat z externích zdroj˚ u. Více v kapitole 8.

5.

Vytvoˇ rte skupiny a zaˇ rad’te do nich uživatele, je-li to tˇ reba (napˇ r. pro vytváˇ rení skupinových adres). Více najdete v kapitole 9.

6.

Definujte aliasy pro uživatele a skupinové adresy, jsou-li potˇ reba. Více v kapitole 12.3.

7.

Nastavte typ internetového pˇ ripojení: Online pro pevnou linku nebo Offline pro vytáˇ cené pˇ ripojení. Více v kapitole 12.6.

8.

Je-li modem pˇ ripojen pˇ rímo k poˇ cítaˇ ci s aplikací Kerio Connect, vyberte také pˇ ríslušnou RAS linku (položku telefonického pˇ ripojení). Více opˇ et v kapitole 12.6.

9.

Je-li typ internetového pˇ ripojení Offline, nastavte plánování. V režimu Online nastavte plánování v pˇ rípadˇ e, jestliže budete chtít vybírat vzdálené POP3 schránky nebo pˇ rijímat poštu pomocí pˇ ríkazu ETRN. Více v kapitole 12.7.

10. Budete-li chtít vybírat poštu ze vzdálených POP3 schránek nebo doménových koš˚ u, nastavte pˇ ríslušné úˇ cty v sekci Stahování POP3 schránek. Mají-li být zprávy ze schránek (typicky doménových koš˚ u) tˇ rídˇ eny do lokálních schránek, definujte také tˇ rídicí pravidla. Více v kapitole 12.4. 11. Má-li být pošta pro konkrétní domény pˇ rijímána ze sekundárního serveru pomocí pˇ ríkazu ETRN, definujte pˇ ríslušné úˇ cty v sekci Pˇ ríjem pomocí ETRN . Více v kapitole 12.5. 12. Nastavte antivirovou kontrolu: v sekci Antivirus vyberte modul (plug-in) pro antivirový program, který máte instalován. Nastavte akci, která se má provést pˇ ri nalezení infikované pˇ rílohy. M˚ užete také nastavit filtrování urˇ citých typ˚ u pˇ ríloh (napˇ r. spustitelných soubor˚ u). Více v kapitole 14. 13. Bˇ eží-li Kerio Connect v kapitole 28.3.

za firewallem, zpˇ rístupnˇ ete potˇ rebné porty. Více najdete

14. Je-li SMTP server pˇ rístupný z Internetu, nastavte antispamovou ochranu, aby nemohl být zneužit k rozesílání nevyžádaných e-mail˚ u. Zároveˇ n m˚ užete nastavit blokování pˇ ríjmu tˇ echto e-mail˚ u z jiných server˚ u. Více v kapitole 13. 15. Nastavte zálohování, archivaci poštovních složek a konfiguraˇ cních soubor˚ u. Více v kapitole 15.2. 16. Vytvoˇ rte certifikát serveru pro bezpeˇ cnou komunikaci, pˇ rípadnˇ e požádejte o jeho vytvoˇ rení nˇ ekterou komerˇ cní certifikaˇ cní autoritu. Více v kapitole 16. 12

Kapitola 2

Instalace

2.1 Systémové požadavky Minimální hardwarová konfigurace poˇ cítaˇ ce, na který má být Kerio Connect nainstalován (základní licence pro 20 uživatel˚ u): • CPU 1 GHz, • 512 MB operaˇ cní pamˇ eti RAM, • 50 MB diskového prostoru pro instalaci, • 40 GB diskového prostoru pro schránky uživatel˚ u a zálohy, • Z d˚ uvodu bezpeˇ cnosti nainstalovaného produktu (zejména jeho konfiguraˇ cních soubor˚ u) doporuˇ cujeme použít souborový systém NTFS. Doporuˇ cená hardwarová konfigurace poˇ cítaˇ ce, na který má být Kerio Connect nainstalován: Pro 20 — 100 aktivních uživatel˚ u • CPU 2 GHz, • 2 GB operaˇ cní pamˇ eti RAM, • 160 GB diskového prostoru pro schránky uživatel˚ u a zálohy. Pro 100 a více aktivních uživatel˚ u • CPU 2.8 GHz Dual (Quad) Core, • 4 GB operaˇ cní pamˇ eti RAM, • 200 GB a více diskového prostoru pro schránky uživatel˚ u a zálohy. Poznámka: • Aktivní uživatel je uživatel využívající služeb aplikace Kerio Connect nˇ ekolikrát dennˇ e (využívá poštovní služby, kalendáˇ re, úkoly atd.). • Tato doporuˇ cení jsou platná pouze v pˇ rípadˇ e, že poˇ cítaˇ c slouží jen jako poštovní server (Kerio Connect, antivirový program, antispam).

13

Instalace

2.2 Konfliktní software Kerio Connect bˇ eží výhradnˇ e na aplikaˇ cní úrovni a nevykazuje žádné nízkoúrovˇ nové konflikty s jinými programy, s výjimkou antivirového programu, který kontroluje otevírané soubory. Je-li pˇ rijat e-mail s infikovanou pˇ rílohou, poštovní server si jej uloží do doˇ casného souboru na disk. Antivirus jej pak m˚ uže poškodit. Tomu lze pˇ redejít tak, že v antivirovém programu zakážete kontrolu adresáˇ re, popˇ r. disku, ve kterém jsou uložena data aplikace Kerio Connect (více vizte kapitolu 14). Dalším rizikem m˚ uže být konflikt port˚ u (jsou-li v aplikaci Kerio Connect zapnuty všechny služby, jsou využívány následující TCP porty: 25, 80, 110, 119, 143, 443, 465, 563, 587, 993 a 995). Z tohoto d˚ uvodu se nedoporuˇ cuje provozovat na tomtéž poˇ cítaˇ ci souˇ casnˇ e jiný poštovní, LDAP nebo WWW server. V opaˇ cném pˇ rípadˇ e musí správce serveru zajistit, aby ke konflikt˚ um port˚ u nedošlo (napˇ r. pokud souˇ casnˇ e bˇ eží Kerio Connect a WWW server, je doporuˇ ceno zmˇ enit port služby HTTP nebo tuto službu zastavit a povolit pouze její zabezpeˇ cenou verzi — Zabezpeˇ cený HTTP). Další možností je vyhrazení jedné nebo více IP adres pro porty, na kterých služby aplikace Kerio Connect poslouchají. O službách a nastavení port˚ u se dozvíte více v kapitole 6.1. Bude-li Kerio Connect provozován na firewallu nebo v chránˇ ené lokální síti za ním, je tˇ reba si uvˇ edomit, že firewall do znaˇ cné míry ovlivní chování poštovního serveru, resp. komunikaci s ním (napˇ r. nedostupnost nˇ ekterých ˇ ci všech služeb). Pˇ ri konfiguraci firewallu je tˇ reba vzít v úvahu, které služby mají být zpˇ rístupnˇ eny do Internetu, pˇ ríp. do lokální sítˇ e, a povolit komunikaci na pˇ ríslušných portech (vizte výše nebo podrobnˇ eji v kapitolách 6 a 28.3).

2.3 Nastavení firewallu Kerio Connect je obvykle nainstalován v lokální síti chránˇ ené firewallem. Kromˇ e vlastní konfigurace poštovního serveru tedy musíme provést doplˇ nující nastavení firewallu. Má-li být poštovní server pˇ rístupný z Internetu, je tˇ reba ve firewallu otevˇ rít (tzv. mapovat) nˇ ekteré porty. Každý mapovaný port znamená potenciální problém se zabezpeˇ cením. Namapujeme tedy porty jen pro služby, které chceme zpˇ rístupnit z Internetu. Pokud bude server doruˇ covat poštu pˇ rímo pˇ res DNS MX záznamy, potom je tˇ reba namapovat port 25, což je standardní port pro službu SMTP. Toto nastavení je potˇ rebné vždy, když je na server nasmˇ erován MX záznam pro danou doménu. Na port SMTP serveru se m˚ uže legálnˇ e pˇ ripojit libovolný SMTP server v Internetu, chce-li odeslat e-mail do nˇ ekteré z jeho domén. Dále bude tˇ reba namapovat porty, na které se budou pˇ ripojovat uživatelé mimo lokální sít’. Protože se zde zvyšuje bezpeˇ cnostní riziko, doporuˇ cujeme mapovat pouze služby zabezpeˇ cené SSL/TLS šifrováním. Nastavení znázorˇ nuje tabulka 2.1.

14

2.4 Instalace

Služba (standardní port)

a

Odchozí spojení

Pˇ ríchozí spojení

SMTP (25)

povolit

povolit

SMTPS (465)

povolit

povolit

SMTP Submission (587) a

povolit

povolit

POP3 (110)

povolit

zakázat

POP3S (995)

povolit

povolit

IMAP (143)

povolit

zakázat

IMAPS (993)

povolit

povolit

NNTP (119)

povolit

zakázat

NNTPS (563)

povolit

povolit

LDAP (389)

povolit

zakázat

LDAPS (636)

povolit

povolit

HTTP (80)

povolit

zakázat

HTTPS (443)

povolit

povolit

Tuto službu je potˇ reba povolit v pˇ rípadˇ e, že vaše servery využívají distribuovanou doménu. Tabulka 2.1

Služby, které je tˇ reba povolit na firewallu

2.4 Instalace Kerio Connect m˚ uže být nainstalován na nˇ ekterém z následujících operaˇ cních systém˚ u: Microsoft Windows

Kerio Connect je možné instalovat na následující verze operaˇ cního systému Microsoft Windows: • Windows 2000 (SP4) • Windows XP (SP3 nebo SP2) • Windows Server 2003 (SP2) • Windows Server 2008 • Windows Server 2008 R2 • Windows Vista (Business, Enterprise nebo Ultimate edice) • Windows 7 Kerio Connect je tˇ reba instalovat pod uživatelem, který má nastavena uživatelská práva k administraci systému. 15

Instalace

Kerio Connect je instalován pomocí aplikace Windows Installer. Po spuštˇ ení instalaˇ cního programu se zobrazí pr˚ uvodce pro nastavení základních parametr˚ u serveru. Podrobný popis tohoto pr˚ uvodce najdete v kapitole 2.5. Kerio Connect je standardnˇ e instalován do adresáˇ re: C:\Program Files\Kerio\MailServer Toto standardní umístˇ ení lze v pr˚ ubˇ ehu instalace podle potˇ reby zmˇ enit (vizte dále). Pro pˇ rípad ˇ rešení nˇ ejakého problému je celý pr˚ ubˇ eh instalace Kerio Connect zaznamenáván do speciálního souboru kerio-connect.setup.log, který je umístˇ ený v adresáˇ ri %TEMP%. Zde lze najít pˇ ríˇ ciny problém˚ u nebo neúspˇ ešné instalace. Instalaci aplikace Kerio Connect proved’te následovnˇ e: 1.

Dvojitým kliknutím spust’te instalaˇ cní soubor Kerio Connect. Tento soubor lze získat na produktových stránkách spoleˇ cnosti Kerio Technologies (http://www.kerio.cz/cz/connect/download/).

2.

Instalátor se zeptá, v jaké lokalizaci chceme instalaci spustit. Nastavení lokalizace se týká pouze instalace. Lokalizaci rozhraní pro správu aplikace Kerio Connect si budete moci vybrat po instalaci.

3.

Po spuštˇ ení instalaˇ cního souboru se objeví uvítací stránka pr˚ uvodce, kde zatím není tˇ reba provádˇ et žádná nastavení. Pˇ ri spuštˇ ení uvítací stránky instalátor automaticky zjistí, zda je pro instalaci dostatek volného místa na disku. Pokud se opravdu chystáte Kerio Connect nainstalovat, stisknˇ ete tlaˇ cítko Další .

4.

Další krok pr˚ uvodce zobrazuje okno se všemi d˚ uležitými novinkami a zmˇ enami, které se v nové verzi aplikace Kerio Connect objevily od poslední verze. Po proˇ ctení novinek stisknˇ ete tlaˇ cítko Další .

5.

V dalším kroku je tˇ reba potvrdit licenˇ cní podmínky, jinak se produkt odmítne nainstalovat. Po odsouhlasení licenˇ cních podmínek staˇ cí kliknout na tlaˇ cítko Další .

6.

Následující dialog umožˇ nuje zvolit typ instalace: • Úplná — po výbˇ eru této možnosti se nainstalují všechny souˇ cásti aplikace Kerio Connect vˇ cetnˇ e manuálu ve dvou jazykových mutacích. Tuto volbu doporuˇ cujeme zejména tˇ em uživatel˚ um, kteˇ rí instalují Kerio Connect poprvé. • Vlastní — umožˇ nuje výbˇ er volitelných souˇ cástí aplikace.

7.

Další okno pr˚ uvodce se zobrazí pouze v pˇ rípadˇ e, pokud byla v pˇ redchozím kroku zvolena Vlastní instalace. Pokud jste zvolili Úplnou instalaci, tento krok pˇ reskoˇ cte. Vlastní instalace umožˇ nuje nainstalovat pouze nˇ ekteré komponenty aplikace Kerio Connect. 16

2.4 Instalace

Obrázek 2.1

Nastavení konkrétních ˇ cástí instalace

Souˇ cásti instalace: • Connect — vlastní výkonný program (Kerio Connect Engine), který realizuje všechny služby a funkce. Bˇ eží skrytˇ e na pozadí (ve Windows 2000, Windows XP a Windows Vista jako služba, v systémech typu Unix jako daemon). Ke Kerio Connect Engine doporuˇ cujeme nainstalovat ještˇ e následující dvˇ e souˇ cásti: • Engine Monitor — o této souˇ cásti se dozvíte více v kapitole 3.1. • Podpora pro Sledování výkonu — o této souˇ cásti se dozvíte více v kapitole 24.10. 8.

V dalším kroku zvolit adresáˇ r, kam bude Kerio Connect nainstalován. Standardnˇ e je server instalován do složky: C:\Program Files\Kerio\ Po výbˇ eru vhodného adresáˇ re opˇ et kliknˇ ete na tlaˇ cítko Další .

9.

Nyní se spustí vlastní pr˚ uvodce nastavením základních parametr˚ u serveru (vizte sekci 2.5). Pr˚ uvodce následujte a vyplˇ nte velmi peˇ clivˇ e.

10. Pˇ ri samotné instalaci je zobrazen také stav jejího pr˚ ubˇ ehu. Bud’te trpˇ eliví, instalace m˚ uže trvat i nˇ ekolik minut. 11. Po vyplnˇ ení konfiguraˇ cního pr˚ uvodce se zobrazí závˇ ereˇ cná stránka instalaˇ cního pr˚ uvodce. Celou instalaci ukonˇ cíte tlaˇ cítkem Dokonˇ cit. Dále je (volitelnˇ e ihned nebo po restartu) spuštˇ en Kerio Connect Engine (bˇ eží jako služba). 17

Instalace

Obrázek 2.2

Kerio Connect Monitor na Windows

Ochrana nainstalovaného produktu Pro zajištˇ ení plné bezpeˇ cnosti poštovního serveru je d˚ uležité, aby neoprávnˇ ené osoby nemˇ ely žádný pˇ rístup k soubor˚ um aplikace (zejména ke konfiguraˇ cním soubor˚ um). Je-li použit souborový systém NTFS, pak Kerio Connect pˇ ri prvním spuštˇ ení po instalaci nebo upgradu obnovuje nastavení pˇ rístupových práv k adresáˇ ri, ve kterém je nainstalován (vˇ cetnˇ e všech podadresáˇ ru ˚ — a to i v pˇ rípadˇ e, že cesta je zmˇ enˇ ena): pouze ˇ clen˚ um skupiny Administrators a lokálnímu systémovému úˇ ctu (SYSTEM ) je povolen pˇ rístup pro ˇ ctení i zápis, ostatní uživatelé nemají žádný pˇ rístup. Upozornˇ ení: Pˇ ri použití souborového systému FAT32 nelze soubory aplikace Kerio Connect výše popsaným zp˚ usobem zabezpeˇ cit. Z tohoto d˚ uvodu doporuˇ cujeme instalovat Kerio Connect výhradnˇ e na disk se souborovým systémem NTFS.

Linux — RPM Kerio Connect je možno instalovat na tyto distribuce: • Red Hat Enterprise Linux 4.8 a vyšší • openSUSE 11.0 — 11.2 a SUSE Linux Enterprise 10 a 11 • CentOS Linux 5.2, 5.3, 5.4 a 5.5 Upozornˇ ení: Kerio Connect používá pro instalace standardní program RPM. Všechny volby programu jsou funkˇ cní kromˇ e zmˇ eny umístˇ ení Kerio Connect. Instalaci je tˇ reba provádˇ et s právy superuživatele (root). Kerio Connect Engine se instaluje do adresáˇ re /opt/kerio/mailserver. Nová instalace Instalaci provedeme pˇ ríkazem: # rpm -i Napˇ r.: # rpm -i kerio-connect-7.1.0-1270.linux.rpm U novˇ ejších verzí distribucí se pˇ ri instalaci mohou vyskytnout problémy se závislostmi balíˇ ck˚ u. Pokud vaše distribuce odmítne Kerio Connect nainstalovat, stáhnˇ ete a nainstalujte balíˇ cek compat-libstdc++ 18

2.4 Instalace

Bezprostˇ rednˇ e po instalaci doporuˇ cujeme d˚ ukladnˇ e proˇ císt LINUX-README soubor, který najdete v adresáˇ ri: /opt/kerio/mailserver/doc Po instalaci je tˇ reba spustit konfiguraˇ cního pr˚ uvodce, kde lze nastavit doménu a administrátorský úˇ cet: cd /opt/kerio/mailserver ./cfgwizard Upozornˇ ení: Po dobu, kdy je spuštˇ en konfiguraˇ cní pr˚ uvodce, nesmí být spuštˇ en Kerio Connect Engine. Spouštˇ ení a zastavování serveru Po úspˇ ešném nastavení konfiguraˇ cního pr˚ uvodce je možno Kerio Connect spustit. V adresáˇ ri /etc/init.d se pˇ ri instalaci vytvoˇ rí skript kerio-connect, který zajistí automatické spouštˇ ení daemona (tj. Kerio Connect Engine) po startu systému. Tímto skriptem lze daemon také ruˇ cnˇ e spustit a zastavit: sudo /etc/init.d/kerio-connect start sudo /etc/init.d/kerio-connect stop sudo /etc/init.d/kerio-connect restart Kerio Connect musí být spuštˇ en pod uživatelem root. Administrace Kerio Connect je vybaven plnou webovou administrací. Do administraˇ cního rozhraní se ve vašem prohlížeˇ ci pˇ rihlásíte na adrese http://mail.firma.cz/admin (automaticky budete pˇ resmˇ erováni na zabezpeˇ cenou adresu na portu 4040).

Linux — DEB Kerio Connect je možno instalovat na tyto distribuce: • Debian 5.0 • Ubuntu 8.04 LTS a 10.04 LTS Vyžaduje: libstdc++5 Upozornˇ ení: Instalaci je tˇ reba provádˇ et s právy superuživatele (root). Kerio Connect Engine se instaluje do adresáˇ re /opt/kerio/mailserver.

19

Instalace

Nová instalace Instalaci obou balíˇ ck˚ u je možné spustit poklikáním na balíˇ cku nebo v terminálu napˇ ríklad pomocí pˇ ríkazu: # dpkg -i Napˇ r.: # dpkg -i kerio-connect-7.1.0-1270.linux.i386.deb Bezprostˇ rednˇ e po instalaci doporuˇ cujeme d˚ ukladnˇ e proˇ císt DEBIAN-README soubor, který najdete v adresáˇ ri: /opt/kerio/mailserver/doc Po instalaci je tˇ reba spustit konfiguraˇ cního pr˚ uvodce, kde je nutno nastavit doménu a administrátorský úˇ cet: cd /opt/kerio/mailserver ./cfgwizard Spouštˇ ení a zastavování serveru Po úspˇ ešném nastavení konfiguraˇ cního pr˚ uvodce je možno Kerio Connect spustit. V adresáˇ ri /etc/init.d se pˇ ri instalaci vytvoˇ rí skript kerio-connect, který zajistí automatické spouštˇ ení daemona (tj. Connect Engine) po startu systému. Tímto skriptem lze daemon také ruˇ cnˇ e spustit a zastavit: /etc/init.d/kerio-connect start /etc/init.d/kerio-connect stop /etc/init.d/kerio-connect restart Kerio Connect musí být spuštˇ en pod uživatelem root. Administrace Kerio Connect je vybaven plnou webovou administrací. Do administraˇ cního rozhraní se ve vašem prohlížeˇ ci pˇ rihlásíte na adrese http://mail.firma.cz/admin (automaticky budete pˇ resmˇ erováni na zabezpeˇ cenou adresu na portu 4040).

Mac OS X Kerio Connect podporuje systémy Mac OS X na procesorech PowerPC i Intel. Instalaˇ cní balík aplikace Kerio Connect má tvar univerzálnˇ e binárního souboru, který lze spustit na obou platformách. Instalaci je možno provést na tˇ echto systémech: • Mac OS X 10.4 Tiger • Mac OS X 10.5 Leopard • Mac OS X 10.6 Snow Leopard 20

2.4 Instalace

Doporuˇ ceno: G5, 2GB RAM; Mac Intel Solo nebo Duo, 2GB RAM kerio-connect-7.1.0-1270.mac.dmg 1.

Instalaˇ cní balík kerio-connect-7.1.0-1270.mac.dmg otevˇ reme dvojitým kliknutím na ikonku balíku.

2.

Otevˇ re se Finder, který instalaˇ cní balík otevˇ re jako disk a nabídne spustitelný instalaˇ cní soubor Kerio Connect Installer, který kliknutím spustíme (vizte obrázek 2.3).

Obrázek 2.3

3.

Kerio Connect Installer

Kerio Connect m˚ uže do systému instalovat pouze uživatel s právem administrace. Pˇ red instalací se automaticky otevˇ re okno pro zadání jména a hesla. Vyplníme jméno a heslo uživatele, kterému byla pˇ riznána práva k administraci systému. Pouze oprávnˇ ený uživatel (ˇ clen skupiny Admins) m˚ uže v systému instalovat aplikace. Tato práva m˚ uže administrátor pˇ ridat každému uživateli v System Preferences → Accounts.

4.

Po úspˇ ešném ovˇ eˇ rení se otevˇ re standardní pr˚ uvodce instalací.

5.

Pr˚ uvodce nejprve zobrazí licenˇ cní podmínky aplikace. Klikneme na tlaˇ cítko Continue a odsouhlasíme licenˇ cní podmínky tlaˇ cítkem Agree.

6.

Po odsouhlasení licenˇ cních podmínek se otevˇ re dialog, kde m˚ užeme vybrat typ instalace: • Easy Install — pˇ rednastaveno, instalátor nainstaluje všechny ˇ cásti aplikace. • Custom Install — m˚ užeme si vybrat jednotlivé komponenty (Kerio Connect Engine a manuál Administrator’s Guide). • Uninstall — odinstaluje Kerio Connect ze systému. 21

Instalace

Vybereme vhodný typ instalace (nejjednodušším ˇ rešením je typ Easy Install, který instaluje všechny komponenty) a klikneme na tlaˇ cítko Install.

Obrázek 2.4

7.

Instalace-vlastní nastavení

Pr˚ uvodce spustí instalaci. Kerio Connect se standardnˇ e instaluje do adresáˇ re /usr/local/kerio/mailserver Podle informací v dialogovém oknˇ e bude nainstalována kompletní verze aplikace Kerio Connect, tedy Kerio Connect Engine a manuál Administrator’s Guide.

8.

Po ukonˇ cení instalace se automaticky otevˇ re pr˚ uvodce konfigurací, který nám pom˚ uže nastavit název primární domény a doplnit heslo administrátora, kterým se posléze ovˇ eˇ ríme pˇ ri pˇ rístupu k administraˇ cnímu rozhraní aplikace Kerio Connect (vizte kapitolu 2.5).

9.

Po vyplnˇ ení konfiguraˇ cního pr˚ uvodce se objeví závˇ ereˇ cný dialog instalátoru. Celou instalaci ukonˇ címe pomocí tlaˇ cítka Quit.

Po ukonˇ cení instalaˇ cního pr˚ uvodce se automaticky otevˇ re složka nazvaná Kerio Connect, která obsahuje pˇ ríruˇ cku administrátora (Administrator’s Guide) ve formátu PDF a Configuration Wizard (více vizte kapitolu 2.5). Služba Kerio Connect se spustí automaticky pˇ ri startu poˇ cítaˇ ce. Chcete-li službu zastavit nebo restartovat, musíte spustit Kerio Connect Monitor (System Preferences → Other → Kerio Connect Monitor). Pro zastavení nebo spuštˇ ení služby je nutné zadat uživatelské jméno (musí být souˇ cástí skupiny Admins) a heslo. Poté staˇ cí použít tlaˇ cítko Stop Kerio Connect (pro zastavení služby) nebo Start Kerio Connect (pro spuštˇ ení služby). Kerio Connect je možno ovládat také z terminálu nebo SSH klienta následujícími pˇ ríkazy (s právy uživatele root) uvedenými níže. Mac OS X 10.4 Tiger: Zastavení Kerio Connect Engine sudo launchctl stop com.kerio.mailserver

22

2.5 Pr˚ uvodce poˇ cáteˇ cní konfigurací

Spuštˇ ení Kerio Connect Engine sudo launchctl start com.kerio.mailserver Restart Kerio Connect Engine sudo launchctl restart com.kerio.mailserver Mac OS X 10.5 Leopard a Mac OS X 10.6 Snow Leopard: Zastavení Kerio Connect Engine sudo /usr/local/kerio/mailserver/KerioMailServer stop Spuštˇ ení Kerio Connect Engine sudo /usr/local/kerio/mailserver/KerioMailServer start Restart Kerio Connect Engine sudo /usr/local/kerio/mailserver/KerioMailServer restart Pokud je to možné, doporuˇ cujeme použít k zastavení/spustˇ ení služby tlaˇ cítko v System Preferences → Others → Kerio Connect Monitor (vizte obrázek 3.3).

2.5 Pr˚ uvodce poˇ cáteˇ cní konfigurací Instalaˇ cní program v systémech Windows a Mac OS X automaticky spouští pr˚ uvodce, který nám pom˚ uže nastavit základní parametry aplikace Kerio Connect a založí speciální soubory, kam se ukládá konfigurace serveru. Pokud nepoužijete konfiguraˇ cního pr˚ uvodce, nebude možné pˇ rihlásit se do administraˇ cního rozhraní Kerio Connect. V operaˇ cním systému Linux je tento pr˚ uvodce rovnˇ ež k dispozici. Po instalaci pˇ ríslušného balíku je uživatel informován o tom, že m˚ uže pr˚ uvodce použít. Tuto informaci zobrazí i samotná služba (daemon) pˇ ri svém spuštˇ ení, jestliže detekuje, že konfiguraˇ cní pr˚ uvodce nebyl dosud použit. Konfiguraˇ cní pr˚ uvodce je spuštˇ en pˇ ríkazem cd /opt/kerio/mailserver ./cfgwizard Upozornˇ ení: Bˇ ehem nastavování konfiguraˇ cního pr˚ uvodce nesmí být spuštˇ en Kerio Connect. Pˇ ri spuštˇ ení konfiguraˇ cního pr˚ uvodce budou vymazány stávající konfiguraˇ cní soubory.

Nastavení Pomocí pr˚ uvodce je tˇ reba nastavit následující: • Vytvoˇ rit jednu doménu — aby bylo možno v Kerio Connect vytváˇ ret uživatelské úˇ cty (pˇ ríp. skupiny atd.), je tˇ reba založit alespoˇ n jednu lokální doménu. Lokální doména, která byla založena jako první, je automaticky primární doménou. Od ostatních lokálních domén se liší pouze tím, že se uživatelé mohou pˇ rihlašovat

23

Instalace

svým uživatelským jménem (v ostatních doménách je nutno použít celou e-mailovou adresu). O funkci a využití domén se dozvíte více v kapitole 7. • Vytvoˇ rit administrátorský úˇ cet, pomocí kterého se potom pˇ rihlásíte do administraˇ cního rozhraní Kerio Connect — velmi d˚ uležitým krokem pro zajištˇ ení bezpeˇ cnosti vašeho serveru je nastavení administrátorského hesla. Heslo nesmí z˚ ustat nevyplnˇ eno a mˇ elo by obsahovat alespoˇ n 6 znak˚ u. • Dále nastaví DNS název poˇ cítaˇ ce, na kterém je Kerio Connect spuštˇ en — v položce Internet hostname by mˇ elo být uvedeno internetové DNS jméno poˇ cítaˇ ce, na nˇ emž je Kerio Connect spuštˇ en (typicky název poˇ cítaˇ ce doplnˇ ený názvem primární domény). Jméno serveru se používá pro identifikaci serveru pˇ ri navazování SMTP komunikace. Upozornˇ ení: Je-li Kerio Connect umístˇ en za NAT, je nutné do položky Internetové jméno serveru doplnit jméno, které je možné zpˇ etnˇ e pˇ revést na IP adresu odesílajícího serveru, tj. internetové jméno firewallu. • Vybrat datové úložištˇ e serveru — Kerio Connect za provozu ukládá pomˇ ernˇ e znaˇ cné množství dat na disk (e-mailové zprávy, informace o uživatelských složkách, záznamy...). V nˇ ekterých pˇ rípadech m˚ uže vzniknout požadavek ukládat data na jiný disk (napˇ r. jiný oddíl pevného disku, diskové pole RAID apod.). Adresáˇ r pro uložení dat je také možno zmˇ enit kdykoliv pozdˇ eji v administraˇ cním rozhraní (více najdete v kapitole 12.8), pak je ale potˇ reba pˇ resunout soubory, které jsou v nˇ em již uloženy (m˚ uže to být velmi zdlouhavá operace). To vyžaduje zastavení služby Kerio Connect Engine. Doporuˇ cujeme proto vybrat vhodný adresáˇ r pro uložení dat již pˇ ri instalaci. Konfiguraˇ cní soubory Pr˚ uvodce založil následující konfiguraˇ cní soubory: users.cfg users.cfg je XML soubor obsahující informace o uživatelských úˇ ctech, skupinách a aliasech. Do tohoto souboru bylo konfiguraˇ cním pr˚ uvodcem zapsáno administrátorské jméno a heslo. mailserver.cfg mailserver.cfg je XML soubor, který obsahuje všechny ostatní konfiguraˇ cní parametry aplikace Kerio Connect, jako jsou napˇ ríklad konfigurace domén, zálohování, antispamového filtru, antiviru atd. Do tohoto souboru byla konfiguraˇ cním pr˚ uvodcem zaznamenána právˇ e založená lokální primární doména, internetové jméno serveru a umístˇ ení úložištˇ e zpráv. Údaje v tˇ echto dvou souborech jsou uloženy ve formátu XML v kódování UTF-8. Zkušený uživatel je tedy m˚ uže pomˇ ernˇ e snadno ruˇ cnˇ e modifikovat, pˇ rípadnˇ e 24

2.6 Upgrade a deinstalace

automaticky generovat vlastní aplikací. Zálohu ˇ ci pˇ renos konfigurace lze provést pouhým zkopírováním tˇ echto soubor˚ u. Upozornˇ ení: Na systémech Mac OS X a Linux lze s konfiguraˇ cními soubory manipulovat, pouze pokud je uživatel pˇ rihlášen jako root.

2.6 Upgrade a deinstalace Operaˇ cní systém Windows Chcete-li provést upgrade (tj. instalovat novˇ ejší verzi produktu získanou napˇ r. z WWW stránek výrobce), staˇ cí spustit instalaˇ cní balík nové verze. Instalaˇ cní program automaticky rozpozná adresáˇ r, v nˇ emž je stávající verze nainstalována, zastaví spuštˇ ené komponenty (Kerio Connect Engine a Kerio Connect Monitor), a nahradí pˇ ríslušné soubory novými. Pˇ ritom z˚ ustanou zachována veškerá nastavení i uložené zprávy. V tomto pˇ rípadˇ e se nedoporuˇ cuje mˇ enit nabízený instalaˇ cní adresáˇ r! Pˇ ri upgradu na novou verzi Kerio Connect postupujte stejným zp˚ usobem jako pˇ ri poˇ cáteˇ cní instalaci Kerio Connect (vizte kapitolu 2.4). Po úspˇ ešném upgradu na novou verzi se do adresáˇ re, kam je Kerio Connect nainstalován (standardnˇ e C:\Program Files\Kerio), uloží záloha konfiguraˇ cních soubor˚ u pˇ redchozí verze Kerio Connect (adresáˇ r UpgradeBackups). Program lze odinstalovat pr˚ uvodcem Pˇ ridat nebo odebrat programy ve složce Ovládací panely: 1.

V Pˇ ridat nebo odebrat programy najdˇ ete položku Kerio Connect a stisknˇ ete tlaˇ cítko Odstranit.

2.

Spustí se instalaˇ cní pr˚ uvodce Microsoft Installer.

3.

První krok pr˚ uvodce zjišt’uje, zda chceme smazat Kerio Connect kompletnˇ e, tedy i s datovým adresáˇ rem a konfiguraˇ cními soubory (vizte obrázek 2.5): • Odstranit úložištˇ e zpráv — po zaškrtnutí této volby bude odstranˇ eno datové úložištˇ e aplikace Kerio Connect vˇ cetnˇ e úložištˇ e pro archivaci a zálohy. • Odstranit konfiguraˇ cní soubory — po zaškrtnuté této volby budou odstranˇ eny konfiguraˇ cní soubory (mailserver.cfg a users.cfg), soubor s licencí, SSL certifikáty, statistiky a záznamy. Po nastavení dialogu stisknˇ ete tlaˇ cítko Pokraˇ covat.

4.

Pˇ ri samotné deinstalaci je zobrazen také teplomˇ er se stavem jejího pr˚ ubˇ ehu. Bud’te trpˇ eliví, celý proces m˚ uže trvat i nˇ ekolik minut. 25

Instalace

Obrázek 2.5

Dialog pro odstranˇ ení datového adresáˇ re a konfiguraˇ cních soubor˚ u

Operaˇ cní systém Linux — RPM Upgrade na novˇ ejší verzi Upgrade provedeme pˇ ríkazem: # rpm -U Napˇ r.: # rpm -U kerio-connect-7.1.0-1270.linux.i386.rpm Oprava instalace stávající verze Opravu stávající instalace provedeme pˇ ríkazem: # rpm -U --force Napˇ r.: # rpm -U --force kerio-connect-7.1.0-1270.linux.i386.rpm Deinstalace Kerio Connect odinstalujeme tˇ emito pˇ ríkazy: # rpm -e Tj.: # rpm -e kerio-mailserver

26

2.6 Upgrade a deinstalace

Pˇ ri deinstalaci budou odstranˇ eny pouze soubory, které byly obsaženy v p˚ uvodním instalaˇ cním balíku a soubory, které nebyly zmˇ enˇ eny. Konfigurace, zprávy ve schránkách atd. z˚ ustanou zachovány. Tyto soubory je možno smazat ruˇ cnˇ e nebo je ponechat pro pˇ rípadnou další instalaci. Poznámka: Program RPM umožˇ nuje použití i dalších, rozšíˇ rených parametr˚ u. Popis a použití tˇ echto parametr˚ u lze najít na manuálové stránce programu RPM. Manuálovou stránku lze spustit následujícím pˇ ríkazem: man rpm

Operaˇ cní systém Linux — DEB Upgrade na novˇ ejší verzi Upgrade aplikace Kerio Connect provedeme stejnˇ e jako novou instalaci (vizte 2.4). Deinstalace Kerio Connect odinstalujeme pˇ ríkazem: # apt-get remove Tj.: # apt-get remove kerio-connect nebo pro kompletní odstranˇ ení aplikace Kerio Connect i všech konfiguraˇ cních soubor˚ u: # apt-get remove --purge kerio-connect

Operaˇ cní systém Mac OS X Upgrade Chcete-li provést upgrade (tj. instalovat novˇ ejší verzi produktu získanou napˇ r. z WWW stránek výrobce), staˇ cí spustit instalaˇ cní balík nové verze. Instalaˇ cní program automaticky rozpozná adresáˇ r, v nˇ emž je stávající verze nainstalována, zastaví spuštˇ ené komponenty (Kerio Connect Engine a Kerio Connect Monitor), a nahradí pˇ ríslušné soubory novými. Pˇ ritom z˚ ustanou zachována veškerá nastavení i uložené zprávy. V tomto pˇ rípadˇ e se nedoporuˇ cuje mˇ enit nabízený instalaˇ cní adresáˇ r! Deinstalace Aplikaci lze odinstalovat pomocí instalátoru aplikace Kerio Connect. To znamená, že staˇ cí kliknout na ikonu instalaˇ cního balíku Kerio Connect, který je momentálnˇ e nainstalován, spustit instalaci a v jejím pr˚ ubˇ ehu vybrat jako typ instalace položku Uninstall.

27

Kapitola 3

Komponenty Kerio Connect

Kerio Connect sestává z následujících souˇ cástí: Kerio Connect Engine Vlastní výkonný program, který realizuje všechny služby a funkce. Bˇ eží skrytˇ e na pozadí (na Windows jako služba, v systémech typu Unix jako daemon). Souˇ cástí Kerio Connect Engine jsou také samostatnˇ e spuštˇ ené procesy avserver a spamserver, které obsluhují antivirový plug-in a antispamový modul SpamAssassin (více vizte sekci 3.2). Kerio Connect Monitor Slouží k monitorování a zmˇ enˇ e stavu Engine (zastaven/spuštˇ en), nastavení spouštˇ ecích preferencí (tj. zda se má Engine a Monitor sám spouštˇ et automaticky pˇ ri startu systému) a snadnému otevˇ rení administraˇ cního rozhraní. Podrobnosti najdete v kapitole 3.1. Tento modul je k dispozici pouze v operaˇ cních systémech MS Windows a Mac OS X. Poznámka: Kerio Connect Monitor je aplikace zcela nezávislá na Kerio Connect Engine (který je spuštˇ en skrytˇ e, pˇ ríp. jako služba). Performance Monitor Modul (plug-in) do systémové aplikace Performance pro sledování výkonu (resp. zatížení) jednotlivých komponent aplikace Kerio Connect. Detaily naleznete v kapitole 24.10. Tento modul je k dispozici pouze v operaˇ cním systému MS Windows.

3.1 Kerio Connect Monitor Kerio Connect Monitor je utilita, která slouží k ovládání a monitorování stavu Connect Engine. Tato komponenta je dostupná pouze v operaˇ cních systémech Windows a Mac OS X.

Operaˇ cní systém Windows V operaˇ cním systému Windows se zobrazuje jako ikona v oznamovací oblasti na nástrojové lištˇ e.

Obrázek 3.1

Kerio Connect Monitor

28

3.1 Kerio Connect Monitor

Je-li Kerio Connect Engine zastaven, objeví se na ikonce zákaz. Spouštˇ ení ˇ ci zastavování Kerio Connect Engine m˚ uže za r˚ uzných okolností trvat až nˇ ekolik sekund. Po tuto dobu ikona zešedne a je neaktivní, tzn. nereaguje na kurzor. Dvojitým kliknutím levým tlaˇ cítkem na tuto ikonu lze spustit pˇ rihlašovací stránku ke Kerio Connect Administration (vizte dále). Po kliknutí pravým tlaˇ cítkem se zobrazí menu, v nˇ emž je možno zvolit následující funkce:

Obrázek 3.2

Kerio Connect Monitor — menu

Startup Preferences Volby pro automatické spouštˇ ení Kerio Connect a Kerio Connect Monitoru pˇ ri startu systému. Výchozí nastavení (po instalaci) je obˇ e volby zapnuty. Administration Tato volba spouští program Kerio Connect Administration (totéž lze provést dvojitým kliknutím levým tlaˇ cítkem na ikonu Kerio Connect Monitoru). Start/Stop Kerio Connect Spuštˇ ení nebo zastavení Connect Engine (text se mˇ ení v závislosti na jeho stavu). Exit Engine Monitor Ukonˇ cení programu Kerio Connect Monitor. Tato volba nezastavuje Connect Engine, na což je uživatel upozornˇ en varovným hlášením. Operaˇ cní systém Mac OS X Kerio Connect Monitor v operaˇ cním systému Mac OS X se zobrazuje ve speciálním oknˇ e (vizte obrázek 3.3), které lze otevˇ rít v System Preferences v sekci Other. Okno obsahuje následující možnosti: • About Kerio Connect — tlaˇ cítko otevˇ re dialog About, který obsahuje základní informace o produktu a jeho verzi. • Stop/Start Server — tlaˇ cítko umožˇ nuje spustit nebo zastavit Kerio Connect Engine. Pro zastavení nebo spuštˇ ení služby je nutné zadat uživatelské jméno (musí být souˇ cástí skupiny Admins) a heslo. • Configure Server — tlaˇ cítko umožˇ nuje spuštˇ ení Kerio Connect Administration. Kerio Connect Monitor je možno ovládat také z terminálu nebo SSH klienta následujícími pˇ ríkazy (s právy uživatele root): 29

Komponenty Kerio Connect

Obrázek 3.3

Kerio Connect Monitor

Mac OS X 10.4 Tiger: Zastavení Kerio Connect Engine sudo SystemStarter stop KerioMailServer Spuštˇ ení Kerio Connect Engine sudo SystemStarter start KerioMailServer Restart Kerio Connect Engine sudo SystemStarter restart KerioMailServer Mac OS X 10.5 Leopard a Mac OS X 10.6 Snow Leopard: Zastavení Kerio Connect Engine sudo /usr/local/kerio/mailserver/KerioMailServer stop Spuštˇ ení Kerio Connect Engine sudo /usr/local/kerio/mailserver/KerioMailServer start Restart Kerio Connect Engine sudo /usr/local/kerio/mailserver/KerioMailServer restart Pokud je to možné, doporuˇ cujeme použít k zastavení/spustˇ ení služby tlaˇ cítko v System Preferences → Others → Kerio Connect Monitor (vizte obrázek 3.3).

30

3.2 Samostatné procesy serveru

Linux Instalaˇ cní balíˇ cky pro linuxové distribuce neobsahují Kerio Connect Monitor. Kerio Connect Engine je možné spustit nebo zastavit následujícím pˇ ríkazem: sudo /etc/init.d/kerio-connect [start | stop]

3.2 Samostatné procesy serveru Kromˇ e hlavního procesu mailserver.exe, pracují v Kerio Connect ještˇ e dva další samostatné procesy avserver.exe (antivirové plug-iny) a spamserver.exe (SpamAssassin), které obsluhují aplikace vytvoˇ rené mimo spoleˇ cnost Kerio Technologies. Proces mailserver.exe najdete v adresáˇ ri, kam byl Kerio Connect nainstalován (Kerio\MailServer\mailserver.exe nebo Kerio/mailserver/mailserver.exe). Oba dva zbylé procesy jsou umístˇ eny v podobˇ e spustitelných soubor˚ u v adresáˇ ri, kam byl Kerio Connect nainstalován (\Kerio\MailServer\plugins v pˇ rípadˇ e Windows, /Kerio/mailserver/plugins v pˇ rípadˇ e platforem založených na unixové bázi). V pˇ rípadˇ e problému s nˇ ekterým z plug-in˚ u (napˇ ríklad pˇ ri špatném ukonˇ cení spojení nebo takzvaném „vytuhnutí“ spojení) proces provede automatický restart. Po restartu aplikace se také vytvoˇ rí a uloží záznam pamˇ eti, který by mohl s velkou pravdˇ epodobností odhalit pˇ ríˇ cinu problému. Po pˇ rihlášení správce Kerio Connect se objeví dialog aplikace Kerio Assist, který se bude dotazovat, zda má být záznam pamˇ eti odeslán do spoleˇ cnosti Kerio Technologies k analýze. Upozornˇ ení: Veškeré informace uložené ve výpisu budou použity pouze k odstranˇ ení problém˚ u spojených s používáním produkt˚ u spoleˇ cnosti Kerio Technologies. Údaje ani elektronická adresa odesílatele nebudou žádným zp˚ usobem zneužity.

31

Kapitola 4

Správa Kerio Connect

Kerio Connect nabízí moderní webové rozhraní, jehož hlavní výhodou je možnost spravovat Kerio Connect odkudkoliv, kde je k dispozici internetové pˇ ripojení, bez nutnosti instalace aplikace.

4.1 Kerio Connect Administration WWW prohlížeˇ ce Pro pˇ rístup k rozhraní Kerio Connect Administration lze použít nové verze všech bˇ ežných prohlížeˇ cu ˚ podporující JavaScript a kaskádové styly (CSS). Podporované jsou prohlížeˇ ce: • Internet Explorer 7 a 8 • Firefox 3 a vyšší • Safari 4 Chcete-li využívat zabezpeˇ cený pˇ rístup k rozhraní Kerio Connect Administration (protokolem HTTPS), musí prohlížeˇ c podporovat zabezpeˇ cení SSL. Je-li možno jej konfigurovat (napˇ r. v prohlížeˇ ci Microsoft Internet Explorer), doporuˇ cuje se povolit podporu verzí SSL 3.0 a TLS 1.0.

Pˇ rihlášení uživatele Pro pˇ rístup ke službˇ e HTTP je tˇ reba do WWW prohlížeˇ ce jako URL zadat adresu poˇ cítaˇ ce, na nˇ emž Kerio Connect bˇ eží, nebo jeho jméno, je-li zaneseno v DNS. V URL musí být rovnˇ ež specifikován protokol HTTPS pro pˇ rístup zabezpeˇ cený SSL. Kerio Connect Administration bˇ eží na portu 4040. URL tedy bude mít tvar napˇ r.: https://192.168.1.1:4040/admin nebo https://mail.firma.cz:4040/admin. Poznámka: Pokud zadáte do prohlížeˇ ce adresu bez HTTPS a portu 4040, Kerio Connect se na zabezpeˇ cený protokol a port 4040 automaticky nasmˇ eruje. Je-li URL zadáno správnˇ e, zobrazí se v prohlížeˇ ci pˇ rihlašovací stránka. Zde je tˇ reba zadat uživatelské jméno (pokud uživatel nepatˇ rí do primární domény, musí zadat uživatelské jméno vˇ cetnˇ e domény ve tvaru jmeno@domena) a heslo.

32

4.1 Kerio Connect Administration

Obrázek 4.1

Pˇ rihlášení k webové správˇ e

Odhlášení uživatele Po ukonˇ cení práce ve Web Administration doporuˇ cujeme odhlásit se. K odhlášení slouží tlaˇ cítko Odhlásit umístˇ ené v pravém horním rohu okna. Odhlášení zvyšuje bezpeˇ cnost dat uložených na serveru, protože pˇ rerušuje spojení s aplikací Kerio Connect. Toto opatˇ rení snižuje možnost zneužití spojení. Pokud s Kerio Connect Administration nebudete 40 minut pracovat, automaticky se z bezpeˇ cnostních d˚ uvod˚ u odpojí.

Pˇ rístupová práva k webovému rozhraní

Jak již bylo ˇ reˇ ceno v úvodu, pˇ rístup do Kerio Connect Administration je ošetˇ ren speciálními pˇ rístupovými právy. Tato práva vytváˇ rejí dvˇ e základní role, pod nimiž lze k serveru pˇ ristupovat: • Správce domény — který m˚ uže spravovat úˇ cty, skupiny, aliasy, e-mailové konference a zdroje ve vlastní doménˇ e. Tento pˇ rístup je výhodný zejména pro vˇ etší spoleˇ cnosti 33

Správa Kerio Connect

nebo poskytovatele internetu, protože umožˇ nují správci serveru delegovat základní správu domén na jejich vlastníky (vizte obrázek 4.2). • Správce serveru — má pˇ rístup ke správˇ e všech domén a veškerému nastavení serveru.

Obrázek 4.2

Možnosti správc˚ u serveru (vlevo) a domény

Pˇ rístupová práva pro pˇ rístup ke Kerio Connect Administration lze nastavit takto: 1.

Pˇ rihlaste se do administraˇ cního rozhraní jménem a heslem primárního administrátora (jméno a heslo, které jste vyplˇ novali pˇ ri instalaci aplikace Kerio Connect).

2.

V administraˇ cním rozhraní se pˇ repneme do sekce Úˇ cty → Uživatelé.

3.

Vybereme a myší oznaˇ címe uživatele, kterému chceme práva pˇ ridˇ elit.

4.

Stiskneme tlaˇ cítko Zmˇ enit. Otevˇ re se dialog Zmˇ enit uživatele, kde se pˇ repneme do záložky Práva.

5.

V záložce zaškrtneme položku úˇ cty pro doménového administrátora (vizte obrázek 4.3) nebo Celý server pro ˇ ctení a zápis pro správce serveru.

6.

Nastavení odsouhlasíme tlaˇ cítkem OK.

34


Obrázek 4.3

rístupových práv ke Kerio Connect Administration Nastavení pˇ

35

Kapitola 5

Registrace produktu a licence

Zakoupený produkt Kerio Connect je tˇ reba zaregistrovat. Registraci produktu Kerio Connect lze provést v administraˇ cním rozhraní (kapitola 5.2), pˇ rípadnˇ e na WWW stránkách firmy Kerio Technologies (kapitola 5.1). Pokud nebude Kerio Connect ˇ rádnˇ e zaregistrován, bude se chovat jako zkušební verze. Zkušební verze aplikace Kerio Connect není nikterak funkˇ cnˇ e omezena, je omezena pouze ˇ casovˇ e. Po 30 dnech provozu pˇ restane fungovat Kerio Connect Engine. Z výše uvedeného zároveˇ n vyplývá, že rozdíl mezi zkušební a plnou verzí Kerio Connect je pouze v tom, zda si jí zaregistrujete ˇ ci nikoliv. Každý zákazník má tedy možnost si produkt ve tˇ riceti denní lh˚ utˇ e vyzkoušet v konkrétních podmínkách. Po registraci již není tˇ reba Kerio Connect znovu instalovat a nastavovat.

5.1 Registrace produktu pˇ res WWW stránky Registrace pˇ res web je umožnˇ ena na produktových stránkách spoleˇ cnosti Kerio Technologies usob registrace (https://secure.kerio.com/reg) v menu Podpora → Registrace licencí . Tento zp˚ využijete zejména v pˇ rípadˇ e, že Kerio Connect nemá pˇ rístup k Internetu. Registrací získáte licenˇ cní klíˇ c (soubor s certifikátem license.key), který je tˇ reba importovat do Kerio Connect. Import licenˇ cního klíˇ ce popisuje kapitola 5.3. Poznámka: Pˇ res web nelze zaregistrovat zkušební verzi produktu Kerio Connect.

5.2 Registrace produktu pomocí administraˇ cního rozhraní V rozhraní Kerio Connect Administration je možno produkt zaregistrovat na hlavní stránce rednˇ e Kerio Connect (vizte obrázek 5.5). Hlavní stránka Kerio Connect se zobrazí vždy bezprostˇ po pˇ rihlášení ke správˇ e. Kdykoli pozdˇ eji je možno ji zobrazit kliknutím na položku Kerio Connect v levém stromu sekcí (kapitola 4.1). Upozornˇ ení: Je-li Kerio Connect chránˇ en firewallem, potom je tˇ reba povolit na tomto firewallu odchozí HTTPS komunikaci pro Kerio Connect na standardním portu 443. Pokud nebude HTTPS komunikace povolena, Kerio Connect se nebude moci pˇ res zmínˇ ený port pˇ ripojit k registraˇ cnímu serveru firmy Kerio Technologies. Bezprostˇ rednˇ e po instalaci lze produkt zaregistrovat bud’ jako zkušební nebo jako plnou verzi: 36

5.2 Registrace produktu pomocí administraˇ cního rozhraní

Proˇ c registrovat zkušební verzi produktu Trial (zkušební) verze produktu slouží k seznámení se s konfigurací a funkˇ cností produktu. Pokud se rozhodnete zkušební verzi zaregistrovat, budete mít nárok na plnou technickou podporu spoleˇ cnosti Kerio Technologies po celou dobu její platnosti (30 dní). Bezprostˇ rednˇ e po pˇ rihlášení do Kerio Connect Administration se otevˇ re dialog informující správce o možnosti koupˇ e nebo registrace plné i zkušební verze (vizte obrázek 5.1). Zkušební verzi produktu lze zaregistrovat odkazem Stát se registrovaným uživatelem zkušební verze Kerio Connect zde nebo na hlavní stránce produktu (více vizte obrázek 5.5). Pro registraci vyplˇ nte registraˇ cního pr˚ uvodce.

Obrázek 5.1

Úvodní obrazovka produktu

Doporuˇ cujeme vˇ enovat pozornost pátému kroku, kde vám bude vygenerován speciální identifikaˇ cní kód Trial ID, kterým bude tˇ reba se identifikovat technické podpoˇ re pˇ ri zadávání dotaz˚ u. Trial ID se po úspˇ ešné registraci zobrazí v administraˇ cním rozhraní v oknˇ e s informacemi o licenci. Poznámka: Chcete-li Kerio Connect v zaregistrované zkušební verzi pˇ reinstalovat nebo pˇ renést na jiný poˇ cítaˇ c, doporuˇ cujeme nejprve zazálohovat soubor s konfigurací mailserver.cfg, který obsahuje mimo jiné i vaše Trial ID. Probˇ ehla-li registrace úspˇ ešnˇ e, bude vám na váš e-mail vyplnˇ ený v registraˇ cním pr˚ uvodci doruˇ ceno potvrzení o registraci.

37


Registrace plné verze produktu Registrace plné verze produktu se spouští kliknutím na odkaz Zaregistrovat produkt na hlavní stránce (vizte obrázek 5.5) administraˇ cního rozhraní: • Základní produkt — V prvním kroku pr˚ uvodce je tˇ reba vyplnit licenˇ cní ˇ císlo získané pˇ ri zakoupení produktu (Licenˇ cní ˇ císlo).

Obrázek 5.2

Licenˇ cní ˇ císlo

Licenˇ cní ˇ císlo Zadejte licenˇ cní ˇ císlo produktu. Bezpeˇ cnostní kód Do pole opište kód z obrázku. Tento kód slouží jako ochrana proti automatickým generátor˚ um licenˇ cních ˇ císel. Pˇ ri zápisu se nerozlišují velká a malá písmena. Po stisknutí tlaˇ cítka Další naváže Kerio Connect spojení s registraˇ cním serverem a zkontroluje platnost zadaného ˇ císla. Je-li ˇ císlo neplatné, v registraci nelze pokraˇ covat. • Pˇ redplatné — Druhý krok pr˚ uvodce umožˇ nuje zadat ˇ císla add-on licencí a pˇ redplatného. Pokud máte zakoupenu pouze základní licenci (typicky pˇ ri první registraci produktu), pak tento krok pˇ reskoˇ cte. Systém pˇ redplatného a add-on licencí je podrobnˇ e popsán na produktových stránkách spoleˇ cnosti Kerio Technologies http://www.kerio.cz/cz/support/subscription-policy/.

38

5.2 Registrace produktu pomocí administraˇ cního rozhraní

Obrázek 5.3

ˇ Císla pˇ redplatného a add-on licencí

Do pole lze pˇ ridat jedno nebo více licenˇ cních ˇ císel získaných pˇ ri koupi pˇ redplatného nebo add-on licence. Pˇ ridaná ˇ císla lze dle potˇ reby opravit nebo odstranit. Všechna ˇ císla budou zaregistrována najednou po stisknutí tlaˇ cítka Další . • Podrobnosti — Ve tˇ retím kroku jsou požadovány registraˇ cní informace o organizaci, na kterou je produkt registrován.

Obrázek 5.4

Registraˇ cní formuláˇ r

39


ˇ Cervenˇ e oznaˇ cené položky s hvˇ ezdiˇ ckou jsou povinné, tzn. musejí být vyplnˇ eny. Ostatní jsou volitelné. • Shrnutí — Poslední krok pr˚ uvodce registrací slouží ke kontrole údaj˚ u zadaných v pˇ redchozích krocích. Správce je informován o datu a ˇ case vypršení pˇ redplatného (tj. nároku na bezplatné aktualizace produktu). Kerio Connect naváže spojení s registraˇ cním serverem, ovˇ eˇ rí správnost zadaných údaj˚ u a automaticky stáhne licenˇ cní klíˇ c (digitální certifikát). Stisknutím tlaˇ cítka Dokonˇ cit se pr˚ uvodce uzavˇ re.

5.3 Informace o licenci a import licenˇ cního klíˇ ce Informace o licenci se zobrazují na hlavní stránce Kerio Connect. Hlavní stránka Kerio Connect se zobrazí vždy bezprostˇ rednˇ e po spuštˇ ení Kerio Connect Administration. Kdykoli pozdˇ eji je možno ji zobrazit kliknutím na Kerio Connect v levém seznamu sekcí uspoˇ rádaném do stromové struktury (kapitola 4.1).

Obrázek 5.5

Zobrazení informací o licenci

40

5.3 Informace o licenci a import licenˇ cního klíˇ ce

Plná verze produktu Kerio Connect musí obsahovat tzv. licenˇ cní klíˇ c. Licenˇ cní klíˇ c je speciální soubor, který je tˇ reba do produktu importovat. Licenˇ cní klíˇ c lze získat tˇ remi r˚ uznými zp˚ usoby (záleží na typu registrace produktu a na tom, zda provedete registraci vˇ cas): • Import licenˇ cního klíˇ ce se provede automaticky bˇ ehem registrace produktu v administraˇ cním rozhraní (kapitola 5.2). • Import pomocí odkazu na hlavní stránce — kliknutím na odkaz Nainstalovat licenci (vizte obrázek 5.5). Poté se zobrazí standardní dialog otevˇ rení souboru pro naˇ ctení licenˇ cního klíˇ ce. Je-li import úspˇ ešný, zobrazí se na hlavní stránce informace o nové licenci. Pokud novou licencí rozšiˇ rujete poˇ cet uživatel˚ u, musí být po importu proveden restart Kerio Connect Engine. • Ruˇ cní zkopírování souboru do adresáˇ re license — soubor license.key lze ruˇ cnˇ e zkopírovat do podadresáˇ re license v adresáˇ ri, kde je Kerio Connect nainstalován. Je-li potˇ reba importovat soubor ruˇ cnˇ e, pak je pˇ red importem vždy nutné nejprve zastavit Kerio Connect Engine. ID licence Licenˇ cní ˇ císlo produktu. Datum vypršení pˇ redplatného Datum skonˇ cení nároku na bezplatný upgrade. Datum skonˇ cení funkˇ cnosti produktu Datum skonˇ cení funkˇ cnosti produktu (pouze u demoverze nebo speciálních licencí). Poˇ cet uživatel˚ u povolený licencí Poˇ cet uživatel˚ u, který povoluje licence. V závorce je uveden poˇ cet všech e-mailových schránek využívajících Kerio Connect. Patˇ rí sem jak uživatelské schránky založené lokálnˇ e, tak schránky mapované z adresáˇ rové služby. Je-li poˇ cet aktivních schránek vyšší než poˇ cet povolených uživatelských licencí, ˇ rádek Poˇ cet aktivních e-mailových schránek se zabarví upozorˇ nující ˇ cervenou barvou. Poˇ cet aktivních schránek Poˇ cet uživatel˚ u, kteˇ rí se pˇ rihlásili v dobˇ e od posledního restartu aplikace Kerio Connect. Jsou sem zapoˇ cítáni všichni lokální uživatelé, všechny e-mailové konference (1 konference = 1 licence) a všichni uživatelé mapovaní z adresáˇ rové služby. V pˇ rípadˇ e, že poˇ cet uživatel˚ u pˇ rekroˇ cí poˇ cet povolených licencí, se další uživatelé nebudou moci pˇ rihlásit ke své poštˇ e. Spoleˇ cnost Název spoleˇ cnosti (pˇ ríp. osoby), na niž je produkt registrován.

41


Operaˇ cní systém Název a verze operaˇ cního systému, na kterém je Kerio Connect nainstalován.

5.4 Licenˇ cní politika Poˇ cet uživatel˚ u znamená poˇ cet e-mailových schránek/úˇ ct˚ u vytvoˇ rených v Kerio Connect nebo importovaných z domény. Poˇ cet e-mailových konferencí, zdroj˚ u, alias˚ u a domén není omezen. Pokud jsou uživatelé mapováni z LDAP databáze adresáˇ rové služby, poˇ cítají se jako licence všichni uživatelé založení v této databázi (všichni aktivní uživatelé). V pˇ rípadˇ e, že poˇ cet uživatel˚ u pˇ rekroˇ cí poˇ cet povolených licencí, se další uživatelé nebudou moci pˇ rihlásit ke své poštˇ e.

Pˇ redplatné Systém pˇ redplatného a add-on licencí je podrobnˇ e popsán na produktových stránkách spoleˇ cnosti Kerio Technologies http://www.kerio.cz/cz/support/subscription-policy/

42

Kapitola 6

Služby

V sekci Konfigurace → Služby je možno nastavit parametry jednotlivých služeb Kerio Connect. Tlaˇ cítky Spustit, Zastavit nebo Restartovat umístˇ enými pod tabulkou lze službu spustit, zastavit nebo restartovat. Jedná se o následující služby:

Obrázek 6.1

Služby

SMTP Server protokolu SMTP (Simple Mail Transfer Protocol) umožˇ nující otevˇ rené (nešifrované) i SSL zabezpeˇ cené spojení. SMTP server se používá pro odesílání odchozích zpráv (server odchozí pošty), pro zpracování pˇ ríchozích zpráv (je-li primárním ˇ ci záložním serverem pro danou doménu) a pro zprávy doruˇ cované e-mailovými konferencemi založenými v Kerio Connect. Secure SMTP je SMTP server, jehož komunikace je šifrována SSL. Standardní port pro komunikaci je 465. SMTP komunikace m˚ uže být šifrována dvˇ ema zp˚ usoby. Šifrování m˚ uže probíhat bud’ pˇ res SMTPS na portu 465 nebo pˇ res SMTP na portu 25 (STARTTLS, pokud je šifrování TLS 1 podporováno). Rozdíly mezi obˇ ema zp˚ usoby zabezpeˇ cené komunikace jsou následující:

43

Služby

• SMTP na portu 25 se STARTTLS — komunikace na portu 25 zaˇ cíná nešifrovanˇ e. TLS je spuštˇ eno pˇ res STARTTLS, pokud obˇ e strany TLS podporují. Pokud jej nepodporují, komunikace i nadále probíhá nešifrovanˇ e. • SMTP s SSL/TLS na portu 465 — komunikace je od poˇ cátku navázána jako šifrovaná. Upozornˇ ení: Pokud komunikace mezi aplikací Kerio Connect a poštovním klientem probíhá na portu 25, m˚ uže nastat problém s odesíláním pošty. Veˇ rejné WiFi sítˇ e ˇ casto nepodporují komunikaci na nešifrovaných verzích protokol˚ u, takže SMTP na portu 25 m˚ uže být blokován. Uživatelé v takovém pˇ rípadˇ e nemohou ze sítˇ e odesílat svou poštu. SMTPS na portu 465 však obvykle bývá otevˇ reno. Z toho d˚ uvodu doporuˇ cujeme nevypínat SMTPS spojení, aby se uživatelé s notebooky nebo zaˇ rízeními Apple iPhone mohli pˇ res tento port pˇ ripojit k serveru. Zároveˇ n je tˇ reba uživatel˚ um správnˇ e nastavit jejich poštovní klienty (šifrování pomocí SMTPS a port pro komunikaci). SMTP Submission pˇ redstavuje speciální typ SMTP komunikace, který zajišt’uje, že pošta, je-li odeslána ovˇ eˇ reným uživatelem, je doruˇ cena okamžitˇ e a bez antispamové kontroly. SMTP Submission se používá pro pˇ reposílání pošty mezi servery umístˇ enými v distribuované doménˇ e. Z toho vyplývá, že je tˇ reba ponechat službu spuštˇ enou napˇ ríklad tehdy, pokud používáte distribuovanou doménu (více vizte kapitolu 11). POP3 Server protokolu POP3 (Post Office Protocol). Tento server umožˇ nuje uživatel˚ um — klient˚ um vybírat (stahovat) zprávy ze svých schránek. Též bývá oznaˇ cován jako server pˇ ríchozí pošty. Secure POP3 je POP3 server, jehož komunikace je šifrována SSL. Šifrování komunikace znemožˇ nuje její odposlech. IMAP Server protokolu IMAP (Internet Message Access Protocol). Rovnˇ ež zprostˇ redkovává uživatel˚ um pˇ rístup k jejich zprávám, ty však z˚ ustávají uloženy ve složkách na serveru a m˚ uže k nim tak být pˇ ristupováno z více míst souˇ casnˇ e. Secure IMAP je IMAP server, jehož komunikace je šifrována SSL. NNTP Server protokolu NNTP (News Network Transfer Protocol) — pˇ renosový protokol pro sít’ové diskusní skupiny v Internetu. Služba umožˇ nuje uživatel˚ um používat zprávy typu news a zobrazit pomocí tohoto protokolu veˇ rejné složky. Veˇ rejnou složku lze pˇ res protokol NNTP zobrazit pouze tehdy, pokud její název neobsahuje mezeru nebo znak . (teˇ cka). Secure NNTP je verze NNTP serveru, jehož komunikace je šifrována SSL.

1

TLS je následovník protokolu SSL, de facto SSL verze 3.1

44

6.1 Nastavení parametr˚ u služeb

LDAP Jednoduchý LDAP server umožˇ nující pˇ rístup k uživatelským a veˇ rejným adresáˇ ru ˚m kontakt˚ u. LDAP server umožˇ nuje pouze ˇ ctení, neumožˇ nuje zápis nových ani editaci existujících informací. Secure LDAP je LDAP server, jehož komunikace je šifrována SSL. Pokud je Kerio Connect nainstalován na serveru, který funguje jako doménový ˇ radiˇ c (v Active Directory), potom je tˇ reba služby LDAP i LDAPS spustit na nestandardním portu nebo je zakázat. HTTP Protokol HTTP se používá: pro pˇ rístup k uživatelským schránkám pˇ res rozhraní Kerio WebMail, pro pˇ rístup k poštˇ e klientem Microsoft Entourage (kapitola 38), pro pˇ rístup k Free/Busy serveru, pˇ ri automatických upgradech nových verzí Kerio Outlook Connectoru a Kerio Outlook Connectoru (Offline Edition). • pˇ ri synchronizaci pˇ res protokol ActiveSync. • pˇ ri synchronizaci BlackBerry pˇ res NotifyLink. • pˇ ri publikaci kalendáˇ ru ˚ ve formátu iCal. Secure HTTP je šifrovaná verze tohoto protokolu (protokol HTTPS — SSL nebo TLS šifrování). HTTPS se pˇ redevším používá: • • • •

• pro pˇ rístup ke správˇ e uživatel˚ u pˇ res webové rozhraní Kerio Connect Administration (více vizte kapitolu 4.1). Služba se automaticky pˇ resmˇ eruje na port 4040. • pro zabezpeˇ cený pˇ rístup k aplikaci WebMail. Bezprostˇ rednˇ e po prvním spuštˇ ení aplikace Kerio Connect jsou všechny výše zmínˇ ené služby spuštˇ eny na standardních portech. Poznámka: V pˇ rípadˇ e, že urˇ citˇ e nebudete nˇ ekteré služby používat, doporuˇ cujeme je z d˚ uvodu vyšší bezpeˇ cnosti zastavit. V pˇ rípadˇ e, že na serveru již bˇ eží nˇ ekterá ze služeb, kterou poskytuje také Kerio Connect, potom je tˇ reba jedné ze služeb zmˇ enit port pro komunikaci. Pokud budete chtít zmˇ enit port služby v Kerio Connect, pak postupujte podle návodu v sekci 6.1.

6.1 Nastavení parametr˚ u služeb Seznam služeb (vizte obrázek 6.1) obsahuje následující údaje: • Služba — zobrazuje název protokolu a ikonku, která zobrazuje, zda je služba spuštˇ ena ˇ ci zastavena. • Stav (zastavena/spuštˇ ena) — zobrazuje informaci o tom, zda je služba spuštˇ ena nebo zastavena. • Spouštˇ ení (ruˇ cnˇ e/automaticky) — zobrazuje informaci o tom, zda je službˇ e nastaveno automatické nebo ruˇ cní spouštˇ ení po restartu aplikace Kerio Connect. 45

Služby

• IP adresy — zobrazuje všechny IP adresy a porty, na kterých daná služba aplikace Kerio Connect komunikuje. • Omezení pˇ rístupu — Kerio Connect umožˇ nuje nastavení omezení pˇ rístupu na urˇ citou skupinu IP adres, z nichž je možné danou službu využívat (typicky omezení nezabezpeˇ cených služeb pouze pro pˇ rístup z lokální sítˇ e). Vybrané službˇ e lze zmˇ enit její parametry. K tomu slouží tlaˇ cítko Zmˇ enit umístˇ ené pod seznamem služeb. Po jeho použití se otevˇ re dialog Služba (vizte obrázek 6.2). Dialog obsahuje dvˇ e záložky:

Vlastnosti V této záložce lze nastavit typ spouštˇ ení služby po restartu aplikace Kerio Connect a TCP port pro komunikaci.

Obrázek 6.2

Parametry služby

Jméno Typ služby. Spouštˇ ení Kerio Connect umožˇ nuje dva typy spouštˇ ení: • Automaticky — automatické spouštˇ ení znamená, že služba bude spuštˇ ena ihned po startu aplikace Kerio Connect. • Ruˇ cnˇ e — služba je po restartu serveru zastavena, musí být ruˇ cnˇ e spuštˇ ena správcem.

46

6.1 Nastavení parametr˚ u služeb

IP adresy a porty Kerio Connect standardnˇ e poslouchá na všech IP adresách poˇ cítaˇ ce na výchozích portech. ˇ Cást dialogu nazvaná IP adresy a porty umožˇ nuje pˇ riˇ radit konkrétní IP adresu k portu, na kterém je služba spuštˇ ena. Pˇ riˇ razení IP adresy ke standardnímu portu nˇ ekteré ze služeb spuštˇ ených v Kerio Connect m˚ uže pomoci v pˇ rípadˇ e, že je na stejném poˇ cítaˇ ci nainstalován Kerio Connect a jiná aplikace poskytující stejné služby (napˇ ríklad další LDAP server, webserver nebo poštovní server), potom je možné vyhradit aplikaci Kerio Connect pouze jednu IP adresu pro každou službu, aby nedocházelo ke kolizím port˚ u. V praxi to znamená, že na dvou r˚ uzných IP adresách m˚ užou komunikovat dva r˚ uzné WWW servery na standardním portu 80. 2 Upozornˇ ení: Pˇ riˇ razování IP adres port˚ um nedoporuˇ cujeme provádˇ et v pˇ rípadˇ e, že jsou adresy pˇ ridˇ elovány dynamicky, napˇ ríklad pˇ res DHCP. Tlaˇ cítkem Pˇ ridat m˚ užete svázat adresu s portem.

Obrázek 6.3

Zmˇ ena portu

Vˇ etšina služeb využívá standardní porty, a nedoporuˇ cuje se je mˇ enit, pokud to není nezbytné (napˇ r. v pˇ rípadˇ e kolize s jinou aplikací téhož druhu). Výchozí nastavení lze obnovit tlaˇ cítkem Výchozí .

Pˇ rístup Záložka Pˇ rístup umožˇ nuje nastavení omezení pˇ rístupu k vybrané službˇ e. V záložce lze nastavit následující: Povolit pˇ rístup jen z vybrané skupiny IP adres Omezení pˇ rístupu k této službˇ e pouze z urˇ citých IP adres (definovaných ve vybrané skupinˇ e). Skupinu IP adres lze definovat v sekci Konfigurace → Definice → Skupiny IP adres nebo pˇ rímo v tomto dialogu tlaˇ cítkem Zmˇ enit. Omezení pˇ rístupu ke službˇ e SMTP je možno podrobnˇ eji nastavit v sekci Konfigurace → SMTP server.

2

Samozˇ rejmˇ e je nutné stejné službˇ e v jiné aplikaci také vyhradit IP adresu, kterou Kerio Connect nepoužívá.

47

Služby

Obrázek 6.4

Omezení pˇ rístupu ke službˇ e

Povolit anonymní pˇ rístup Volba se vztahuje pouze na službu NNTP(S), proto dialogy pˇ ríslušející ostatním službám tuto volbu neobsahují. Volba umožˇ nuje neovˇ eˇ rený pˇ rístup na NNTP server. V praxi to znamená, že ke konferenci, kam je povolen anonymní pˇ rístup, se m˚ uže pˇ rihlásit kdokoli. Maximální poˇ cet souˇ casných pˇ ripojení Volba umožˇ nuje omezit poˇ cet souˇ casných pˇ ripojení na vybranou službu. Pˇ ríliš mnoho souˇ casných pˇ ripojení m˚ uže pˇ retížit server, což m˚ uže vést až k jeho zastavení. Na tomto principu je založen DoS (Denial of Service) útok. Omezení poˇ ctu pˇ ripojení proto napomáhá k zamezení DoS útoku na váš server. Upozornˇ ení: Pˇ ri omezování poˇ ctu pˇ ripojení vždy berte ohled na poˇ cet uživatel˚ u využívajících server. Pro neomezený poˇ cet pˇ ripojení nastavte hodnotu na 0.

ˇešení pˇ 6.2 R rípadných problém˚ u Pˇ ri ˇ rešení pˇ rípadných problém˚ u se službami m˚ uže pomoci záznam komunikace mezi serverem a klienty. Zaznamenávání informací lze spustit zapnutím pˇ ríslušné volby v sekci Záznamy → Debug, kterou obsahuje Kerio Connect Administration: 1.

Otevˇ reme v Kerio Connect Administration sekci Záznamy a vybereme záznam Debug.

2.

V oknˇ e záznamu pravým tlaˇ cítkem myši otevˇ reme kontextové menu a vybereme položku Zprávy.

3.

Otevˇ re se okno Zaznamenávané informace, kde vždy zapneme záznam pro pˇ ríslušnou službu (vizte obrázek 6.5). 48

ˇešení pˇ 6.2 R rípadných problém˚ u

Obrázek 6.5

4.

Dialog pro nastavení záznamu Debug

Zmˇ enu potvrdíme tlaˇ cítkem OK.

K následujícím typ˚ um služeb patˇ rí tyto volby záznamu Debug: SMTP Pokud se v komunikaci mezi SMTP serverem a klientem objevují problémy, lze použít volby SMTP Server a SMTP Client. POP3 Pˇ ri ˇ rešení pˇ rípadných problém˚ u na stranˇ e POP3 serveru m˚ uže pomoci zaškrtnutí volby POP3 Server. IMAP Pˇ ri ˇ rešení pˇ rípadných problém˚ u na stranˇ e IMAP serveru m˚ uže pomoci záznam IMAP Server. NNTP Pˇ ri ˇ rešení pˇ rípadných problém˚ u na stranˇ e NNTP serveru m˚ uže pomoci záznam, který lze spustit volbou NNTP Server. LDAP Pˇ ri ˇ rešení pˇ rípadných problém˚ u na stranˇ e LDAP serveru m˚ uže pomoci záznam, který lze spustit volbou LDAP Server. HTTP • HTTP Server — spustí záznam HTTP komunikace na stranˇ e serveru. • WebDAV Server Request — spustí záznam dotaz˚ u ze strany WebDAV serveru. Lze využít v pˇ rípadˇ e problém˚ u s Exchange úˇ cty v MS Entourage nebo v Apple Mail. • PHP Engine Messages — spustí záznam, který m˚ uže napomoci pˇ ri ˇ rešení problém˚ u s webovým rozhraním Kerio WebMail.

49

Služby

Po vyˇ rešení problému doporuˇ cujeme logování opˇ et vypnout. O záznamu Debug a jeho volbách se dozvíte více v kapitole 24.9.

50

Kapitola 7

Doména a její nastavení

Doménou nazýváme jednoznaˇ cný identifikátor pro poˇ cítaˇ c nebo poˇ cítaˇ covou sít’. Poštovní doména je jednoznaˇ cným doménovým identifikátorem podle kterého lze poznat, na jaký server má být pošta doruˇ cena. U e-mailových adres se doménová ˇ cást vyskytuje vždy za znakem @. Poštovní doména nemusí být, a ˇ casto ani není, shodná se jménem serveru, na kterém je nainstalován a spuštˇ en Kerio Connect. Pˇ ríkladem názvu serveru je napˇ ríklad mail.firma.cz a poštovní doména se m˚ uže jmenovat firma.cz. Uživatelé z této domény budou mít e-mailové adresy ve tvaru [email protected].

Obrázek 7.1

Domény

V poštovním serveru Kerio Connect nemusí být založena pouze jedna poštovní doména, naopak jich lze založit libovolné množství (vizte obrázek 7.1). Pro každou doménu a tudíž i pro její uživatele lze definovat r˚ uzné parametry. Pouze musí být jedna z domén oznaˇ cena jako primární. Jak primární doménu nastavit a k ˇ cemu slouží se dozvíte v sekci 7.2.1. Upozornˇ ení: Uživatelské úˇ cty se definují v každé doménˇ e zvlášt’. Domény tedy musí být definovány dˇ ríve, než budou vytváˇ reny úˇ cty.

51


7.1 Základní nastavení Veškerá základní nastavení, která se týkají poštovních domén, najdete v administraˇ cním rozhraní Kerio Connect v sekci Konfigurace → Domény (vizte obrázek 7.1): Nastavení internetového jména serveru Aby bylo možné doruˇ cit poštovním doménám poštu, je tˇ reba v Kerio Connect uvést internetové DNS jméno poˇ cítaˇ ce, kde je server spuštˇ en (typicky je to název poˇ cítaˇ ce doplnˇ ený názvem primární domény — takto je jméno serveru automaticky vytvoˇ reno instalaˇ cním pr˚ uvodcem). Definice domén se provádí v sekci Konfigurace → Domény. Jméno serveru se používá pro identifikaci serveru pˇ ri navazování SMTP komunikace. Pˇ ri navazování SMTP komunikace se používá pˇ ríkaz EHLO pro zjištˇ ení reverzního DNS záznamu. Server, který komunikuje s aplikací Kerio Connect m˚ uže reverzní DNS záznam kontrolovat. Upozornˇ ení: Je-li Kerio Connect umístˇ en za NAT, je nutné do položky Internetové jméno serveru doplnit jméno, které je možné zpˇ etnˇ e pˇ revést na IP adresu odesílajícího serveru, tj. internetové jméno firewallu. Internetové jméno serveru doplníme takto: 1. 2.

V administraˇ cním rozhraní se pˇ repnˇ ete do sekce Konfigurace → Domény. Tlaˇ cítkem Internetové jméno serveru otevˇ reme dialog, kam doplníme DNS název poˇ cítaˇ ce.

Sdílení veˇ rejných složek mezi doménami K základnímu nastavení doménového systému v aplikaci Kerio Connect patˇ rí také nastavení, 3 renými doménami nebo zda chcete mít zda chceme veˇ rejné složky sdílet mezi všemi vytvoˇ veˇ rejné složky vytváˇ reny pro každou doménu zvlášt’. Toto nastavení lze provést v sekci Konfigurace → Domény pomocí tlaˇ cítka Veˇ rejné složky (vizte obrázek 7.2).

Obrázek 7.2 3

Upˇ resˇ nující nastavení pro domény

Veˇ rejné složky jsou složky, které mají k dispozici pro ˇ ctení všichni uživatelé z domény nebo všichni uživatelé Kerio Connect. Vytváˇ rí a spravuje je osoba s právy spravovat veˇ rejné složky. Veˇ rejné složky mohou být užiteˇ cné napˇ ríklad tehdy, chcete-li ve vaší spoleˇ cnosti sdílet kontakty nebo kalendáˇ r s celofiremními akcemi, a podobnˇ e.

52

7.2 Definice domény

Chcete-li se o veˇ rejných složkách a o jejich nastavení dozvˇ edˇ et více, pˇ reˇ ctˇ ete si kapitolu 25.

7.2 Definice domény Vytváˇ rení domén v aplikaci Kerio Connect je velmi jednoduché: 1.

Kliknˇ ete na tlaˇ cítko Pˇ ridat v sekci Konfigurace → Domény.

2.

Otevˇ re se dialog Doména, kam do záložky Obecné doplníme název domény a popis (doplnit popis doporuˇ cujeme zejména pokud budete vytváˇ ret domén více).

3.

Doporuˇ cení pro ISP: V záložce Obecné nastavte limit pro poˇ cet uživatel˚ u v doménˇ e, aby nedošlo k problém˚ um s pˇ rekroˇ ceným poˇ ctem licencí (vizte obrázek 7.3). . Nastavení limitu zaruˇ cí, že nezávisle na poˇ ctu definovaných uživatel˚ u se bude moci k aplikaci Kerio Connect pˇ rihlásit vždy maximálnˇ e tento poˇ cet uživatel˚ u. Poznámka: Pro lepší orientaci bude poˇ cet uživatel˚ u pˇ ri pˇ rekroˇ cení limitu oznaˇ cen ˇ cervenou barvou.

Obrázek 7.3

Nastavení domény — jméno a popis domény

7.2.1 Primární doména Kromˇ e definice názvu domény lze doménu oznaˇ cit jako primární nebo sekundární. Primární je vždy pouze jedna doména, sekundárními jsou automaticky nazvány všechny ostatní domény. V Kerio Connect je vždy jedna doména oznaˇ cena jako primární — Lokální (primární), a to ta, která je vytvoˇ rena jako první. Pozdˇ eji, po vytvoˇ rení dalších domén lze jako primární nastavit libovolnou jinou doménu. Primární doména má tu vlastnost, že uživatelé v ní definovaní používají pro pˇ rihlášení pouze své uživatelské jméno, zatímco uživatelé v ostatních doménách musí zapsat uživatelské jméno i s celou poštovní doménou. Ukažme si to na pˇ ríkladu: Jako primární je definována doména firma.cz. V obou doménách je definován uživatel uzivatel. Uživatel v doménˇ e firma.cz se bude ke své schránce pˇ rihlašovat jménem uzivatel, zatímco uživatel v doménˇ e jinafirma.cz jménem [email protected].

53


Poznámka: Pˇ rihlášení celou e-mailovou adresou je možné i do primární domény. Z výše uvedeného vyplývá, že pokud není žádný závažný d˚ uvod k nastavení jedné konkrétní domény jako primární, mˇ ela by být nastavena jako primární ta doména, která obsahuje nejvˇ etší poˇ cet uživatel˚ u. Takto bude mít velký poˇ cet uživatel˚ u zjednodušeno zadávání svého uživatelského jména pˇ ri pˇ rihlašování k serveru.

Nastavení primární domény Zmˇ enit primární doménu lze takto: 1. 2. 3.

V administraˇ cním rozhraní se pˇ repnˇ ete do sekce Konfigurace → Domény. Vyberte kurzorem doménu, kterou chcete nastavit jako primární. Stisknˇ ete tlaˇ cítko Nastavit jako primární umístˇ ené v pravém dolním rohu okna.

7.3 Nastavení zápatí Kerio Connect poskytuje možnost pˇ ripojit k e-mailovým zprávám z dané domény standardní zápatí (zápatí bude pˇ ripojeno ke každé zprávˇ e, kde adresa odesílatele obsahuje tuto doménu). Zápatí ke zprávám odesílaným z domény lze nastavit v sekci Konfigurace → Domény v nastavení domény. K tomuto nastavení slouží speciální záložka Zápatí (vizte obrázek 7.4).

Obrázek 7.4

Nastavení domény — zápatí

54

7.4 Obnova smazaných položek

Poznámka: Pro text zápatí nelze využít HTML formát. Zápatí zobrazuje pouze prostý text. Pˇ ripojení zápatí ke zprávám, které jsou doruˇ covány v rámci Kerio Connect bývá ˇ casto zbyteˇ cné. Z toho d˚ uvodu je možné pˇ ripojovat zápatí pouze ke zprávám, které nejsou doruˇ covány lokálnˇ e. Toto nastavení lze provést zaškrtnutím volby Nepˇ ridávat zápatí ke zprávám adresovaným interním pˇ ríjemc˚ um.

7.4 Obnova smazaných položek Obnova smazaných položek nabízí komfortní obnovu všech položek v poštovní schránce, které si uživatel omylem vymazal. Jedná se o e-mailové zprávy, události, kontakty, poznámky a úkoly. Obnova smazaných položek funguje tak, že uchovává po urˇ citou dobu smazané položky každého uživatele dané domény. V pˇ rípadˇ e potˇ reby m˚ užete konkrétnímu uživateli obnovit všechny položky, které jsou urˇ ceny k uchování (všechny, které jsou mladší nastaveného data). Smazané položky jsou ve schránce obnoveny do složky Odstranˇ ená pošta. Nastavení obnovy smazaných položek platí automaticky pro všechny uživatele z domény, pro kterou tuto vlastnost povolujete.

Nastavení obnovy smazaných položek Nastavení obnovy smazaných položek je velmi jednoduché a provádí se v nastavení domény v sekci Konfigurace → Domény: 1. 2. 3.

Otevˇ rete nastavení domény, ve které chcete obnovu smazaných položek zapnout. Na záložce Zprávy zaškrtnˇ ete volbu Uchovávat smazané položky po dobu. Nastavte, jak dlouho se smazané položky mají uchovávat na disku. Délka uchování je zcela individuální a závisí na velikosti volného místa na disku. Maximální doba obnovy je 365 dní. Je-li nastaven vyšší poˇ cet dn˚ u, nastavení domény nebude možné uložit.

Obnovení smazaných položek uživateli Obnovení smazaných položek provedeme takto: 1. 2. 3.

V administraˇ cním rozhraní se pˇ repneme do sekce Úˇ cty → Uživatelé. Kurzorem oznaˇ címe uživatele, který potˇ rebuje smazané položky obnovit. Stiskneme tlaˇ cítko Další akce → Obnovit smazané položky.

Není-li tlaˇ cítko Obnovit smazané položky aktivní, není pro tuto doménu nastavena obnova smazaných položek. V takovém pˇ rípadˇ e lze vyhledat smazanou zprávu v archivu, pokud využíváte archivaci.

55


7.5 Automatické mazání položek Kerio Connect obsahuje možnost nastavit na všechny poštovní schránky z vybrané domény speciální pravidlo, aby se položky starší nastaveného poˇ ctu dní automaticky mazaly. Toto pravidlo je výhodné nastavit zejména tehdy, pokud uživatelé nejsou dostateˇ cnˇ e disciplinovaní a nepromazávají pravidelnˇ e svou schránku. TIP: Pravidlo doporuˇ cujeme zkombinovat s nastavením kvóty na velikost schránek a obnovou smazaných položek (vizte sekci 7.4). Uživatel˚ um se tak bude zobrazovat v rozhraní Kerio WebMail nebo v MS Outlooku, kolik prostoru mohou ještˇ e využít. Navíc, pokud se nedopatˇ rením stane, že by nˇ ekdo pˇ rišel o d˚ uležitou zprávu, která se náhodou ocitla v nˇ ekteré ze složek urˇ cené k automatickému mazání, lze smazané zprávy ještˇ e po další nastavené dobˇ e jednoduše obnovit (díky možnosti obnovy smazaných položek). Automatické promazávání lze aplikovat na: • • • •

složku Odstranˇ ená pošta, složku Nevyžádaná pošta, složku Odeslaná pošta, Všechny složky kromˇ e kontakt˚ u a poznámek.

Kontrola, zda složky obsahují zprávy vhodné k automatickému promazání, se spouští pˇ ribližnˇ e každých 6 hodin (závisí na velikosti adresáˇ re store). Ve složkách se budou mazat takové položky, kde nebylo zmˇ enˇ eno datum vytvoˇ rení položky posledních X nastavených dní/rok˚ u. Datum vytvoˇ rení položky se mˇ ení v tˇ echto pˇ rípadech: • Zpráva je doruˇ cena do složky Doruˇ cená pošta nebo Odstranˇ ená pošta. • Položka je pˇ resunuta do složky Doruˇ cená pošta nebo Odstranˇ ená pošta. Aby nedocházelo k nadmˇ erné zátˇ eži serveru, smaže se pˇ ri jedné kontrole nejvýše 1000 položek z každé složky. Nevyžádaná pošta, Odstranˇ ená pošta, Odeslaná pošta Existují-li podsložky složek Nevyžádaná pošta a Odstranˇ ená pošta, budou se položky v nich mazat podle nastaveného ˇ casového limitu. Pokud je podsložka prázdná, automaticky se smaže (ˇ casový limit pro ni neplatí). Všechny složky kromˇ e kontakt˚ u a poznámek Promazávání celého datového adresáˇ re m˚ užeme nastavit v ˇ rádu let. Dobu pro promazávání lze nastavit od 1 roku do 50 let. Promazávat se budou tyto složky a jejich podložky: • Doruˇ cená pošta, Odstranˇ ená pošta, Nevyžádaná pošta, Koncepty, Odeslaná pošta; • Kalendáˇ r , Úkoly; 56

7.5 Automatické mazání položek

• Veˇ rejné složky, archiv e-mailových konferencí; • obsah všech uživatelem utvoˇ rených složek. Mazat se nebudou: • složka s kontakty, • složka s veˇ rejnými kontakty, • složka s poznámkami, • nesplnˇ ené úkoly, • neukonˇ cené události nebo události, které se neomezenˇ e opakují, • prázdné podsložky. Máte-li veˇ rejné složky nastaveny jako spoleˇ cné pro všechny domény, pro jejich promazávání se vybere nejmírnˇ ejší nastavení: • Doména1 je nastavena na 3 roky, doména2 je nastavena na 5 let — promazávání globálních veˇ rejných složek se nastaví na 5 let. • Doména1 má promazávání celého datového adresáˇ re vypnuté, doména2 je nastavená na 2 roky — promazávání globálních veˇ rejných složek bude vypnuté. Více se o veˇ rejných složkách dozvíte v kapitole 25. Poznámka: Je-li pro doménu nastaveno Povolit obnovování smazaných položek (vizte kapitolu 7.4), bude možné po zadanou dobu obnovit i položky smazané z celého datového adresáˇ re, kromˇ e složek Veˇ rejné složky a archivy e-mailových konferencí. Promazání položek lze nastavit bud’ všem uživatel˚ um z domény, nebo pouze konkrétním uživatel˚ um.

Nastavení automatického promazávání položek v doménˇ e Automatické mazání položek pro všechny uživatele z domény m˚ užete nastavit v sekci Konfigurace → Domény: 1. 2. 3.

Otevˇ rete dialog pro nastavení domény, kde chcete automatické mazání zpráv spustit. Pˇ repnˇ ete se do záložky Zprávy. V Promazávaní položek vyberte, které složky chcete nechat automaticky promazávat a nastavte jim lh˚ utu pro mazání. Volba Všechny složky kromˇ e kontakt˚ u a poznámek vyžaduje potvrzení.

57


Obrázek 7.5

Nastavení domény — Zprávy

Nastavení automatického promazávání zpráv uživateli Automatické mazání zpráv konkrétnímu uživateli m˚ užete nastavit v sekci Úˇ cty → Uživatelé: 1. 2. 3.

Otevˇ rete dialog pro nastavení uživatele, kterému chcete automatické mazání položek spustit. Pˇ repnˇ ete se do záložky Zprávy (vizte obrázek 7.6). Vyberte v rámeˇ cku Promazávání položek, které složky chcete nechat automaticky promazávat a nastavte jim lh˚ utu pro mazání. Volba Všechny složky kromˇ e kontakt˚ u a poznámek vyžaduje potvrzení.

58

7.6 Doménový alias

Obrázek 7.6

Nastavení automatického promazávání zpráv uživateli

7.6 Doménový alias Každá poštovní doména m˚ uže mít libovolný poˇ cet alias˚ u (tzv. virtuálních domén). Virtuální domény jsou alternativní jména (aliasy) pro jednu a tutéž doménu. Názvy virtuálních domén lze zadat do záložky Aliasy. E-mailové adresy ve virtuálních doménách jsou identické (doruˇ cují se do stejných schránek). Použití volby pouze umožˇ nuje, aby jednotlivé uživatelské úˇ cty byly souˇ cástí více domén. Využití doménových alias˚ u lze nejlépe vysvˇ etlit na jednoduchém pˇ ríkladu: Firma využívá dvˇ e domény s názvy firma.cz a firma.com. Jako poštovní doménu nastavil administrátor v aplikaci Kerio Connect doménu firma.cz. E-mailová adresa pro uživatele bude tedy vypadat následovnˇ e: [email protected]. Vytvoˇ ríme-li pro doménu firma.cz doménový alias firma.com, m˚ uže adresa téhož uživatele vypadat také [email protected]. Odesílatel tedy m˚ uže použít bud’ adresu [email protected] nebo [email protected]. V obou pˇ rípadech bude pošta doruˇ cena stejnému uživateli.

59


Upozornˇ ení: Pokud se nejedná pouze o lokální alias (fiktivní doménu), musí být pro každou z tˇ echto domén definovány pˇ ríslušné MX záznamy v DNS. Prostá definice domény jako aliasu jiné domény nezajistí její existenci v Internetu. Doménové aliasy je možno využít pouze pro pˇ ríjem pošty. Uživatelé ji nemohou využívat pro pˇ rihlašování do Kerio Connect a nemohou ji využívat ani pro zobrazení Free/Busy serveru. Doménový alias nemá žádný význam pro správu. Nastavení doménového aliasu Doménový alias v Kerio Connect lze nastavit následujícím zp˚ usobem:

Obrázek 7.7 Nastavení domény — ekvivalentní domény

1.

Otevˇ rete administraˇ cní rozhraní a zvolte sekci Konfigurace → Domény.

2.

Otevˇ rete nastavení domény, kde chcete alias nastavit a zvolte záložku Aliasy.

3.

K nastavení nového aliasu slouží tlaˇ cítko Pˇ ridat (vizte obrázek 7.7).

7.7 Ovˇ eˇ rování uživatel˚ u z domény Ovˇ eˇ rování uživatel˚ u z dané domény lze nastavit v administraˇ cním rozhraní v sekci Domény. V záložce Upˇ resnˇ ení v nastavení domény je možno nastavit parametry ovˇ eˇ rování uživatel˚ u. Pˇ ri definici každého uživatele lze zvolit, jakým zp˚ usobem bude ovˇ eˇ rován (vizte kapitolu 8.2). V jedné e-mailové doménˇ e tedy mohou být r˚ uzní uživatelé ovˇ eˇ rováni r˚ uznými metodami. Linux PAM Tato volba je k dispozici pouze v instalaci pro operaˇ cní systémy Linux. PAM (Pluggable Authentication Modules) jsou autentizaˇ cní moduly, které umí ovˇ eˇ rit uživatele z domény (napˇ r. firma.cz) proti linuxovému serveru, na kterém je Kerio Connect spuštˇ en. Do této položky se zadává jméno PAM služby (konfiguraˇ cního souboru), 60

7.7 Ovˇ eˇ rování uživatel˚ u z domény

Obrázek 7.8

Nastavení domény — parametry pro ovˇ eˇ rování uživatel˚ u

která bude pro ovˇ eˇ rování uživatel˚ u v této doménˇ e použita. Souˇ cástí instalace Kerio Connect je konfiguraˇ cní soubor pro PAM službu keriomail (najdete ho v adresáˇ ri /etc/pam.d/keriomail), který doporuˇ cujeme používat. Podrobnosti o konfiguraci PAM najdete v dokumentaci k vaší distribuci Linuxu. Kerberos 5 Kerberos je protokol pro autorizaci a autentizaci (více najdete na stránkách: http://web.mit.edu/Kerberos/). Kerio Connect využívá tento protokol pro autentizaci uživatel˚ u proti Kerberos serveru (napˇ r. v Active Directory). Do položky v dialogu se zadává název oblasti (domény) systému Kerberos (Kerberos realm), v níž mají být uživatelé ovˇ eˇ rováni. V Kerio Connect se jméno Kerberos oblasti automaticky zadává velkými písmeny. Jsou-li uživatelské úˇ cty fyzicky uloženy v Active Directory nebo Open Directory (vizte záložku Adresáˇ rová služba), je tˇ reba do této položky zadat jméno Active Directory pˇ rípadnˇ e Open Directory domény. Pˇ ri konfiguraci Active Directory nebo Open Directory

61


v záložce Adresáˇ rová služba bude tato položka automaticky vyplnˇ ena. Upozornˇ ení: Pokud používáte Open Directory nebo samostatný Kerberos server, d˚ ukladnˇ e zkontrolujte, zda Kerberos realm doplnˇ ený v záložce Upˇ resnˇ ení je shodný s názvem Kerberos oblasti, který je uveden v souboru /Library/Preferences/edu.mit.Kerberos Konkrétnˇ e musí souhlasit s hodnotou default_realm v tomto souboru. Pˇ ríslušný ˇ rádek tedy m˚ uže vypadat napˇ ríklad takto default_realm = FIRMA.CZ Nastavení ovˇ eˇ rování na jednotlivých platformách je popsáno v kapitole 26. Doména Windows NT NT doména, v níž budou uživatelé ovˇ eˇ rováni. Poˇ cítaˇ c, na nˇ emž Kerio Connect bˇ eží, musí být pˇ ridán do této domény. Pˇ ríklad: Pro doménu firma.cz je NT doménou FIRMA. Svázat tuto doménu s IP adresou Každý uživatel se ke Kerio Connect m˚ uže pˇ ripojit pˇ res libovolné rozhraní. Avšak každou doménu lze svázat s jednou IP adresou. Svázání IP adresy s doménou pˇ rinese ten efekt, že uživatelé z domény, kteˇ rí se pˇ ripojí pˇ res IP adresu svázanou s touto doménou, nemusejí pˇ ri pˇ rihlašování uvádˇ et uživatelské jméno vˇ cetnˇ e domény (napˇ ríklad [email protected]), ale staˇ cí jej uvést samostatnˇ e (napˇ ríklad jnovak), jako by se pˇ rihlašovali k primární doménˇ e. Správnou funkˇ cnost svazování domén s IP adresou podmiˇ nuje požadavek navázat nejvýše jednu doménu na každou IP adresu. V opaˇ cném pˇ rípadˇ e server nepozná, do které domény uživatelské jméno bez domény patˇ rí. Pˇ ríklad: Poˇ cítaˇ c, na nˇ emž Kerio Connect bˇ eží, má dvˇ e rozhraní: 192.168.1.10 zapojené do sítˇ e firmy Firma a 192.168.2.10 do sítˇ e firmy JinaFirma. V lokální doménˇ e jinafirma.cz (nejedná se o primární doménu) je vytvoˇ ren uživatelský úˇ cet novak. Doména jinafirma.cz je svázána s IP adresou 192.168.2.10. Uživatelé z domény jinafirma.cz se mohou z firmy pˇ rihlašovat ke službám Kerio Connect uživatelským jménem bez uvedení domény. Poznámka: Budou-li se pˇ res toto rozhraní pˇ ripojovat uživatelé z primární domény, budou se muset pˇ rihlašovat celou e-mailovou adresou. ˇešení pˇ R rípadných problém˚ u externího ovˇ eˇ rování Pokud nastane s nˇ ekterou z ovˇ eˇ rovacích metod problém, lze v aplikaci Kerio Connect nastavit záznam externího ovˇ eˇ rování uživatel˚ u: 1.

Pˇ repneme se do sekce Záznamy a vybereme záznam Debug.

2.

V oknˇ e záznamu pravým tlaˇ cítkem myši otevˇ reme kontextové menu a vybereme položku Zprávy. 62

7.8 Pˇ rejmenování domény

3.

Otevˇ re se okno Zaznamenávané informace, kde zaškrtneme volbu User Authentication.

4.


Po vyˇ rešení problému doporuˇ cujeme logování opˇ et vypnout.

7.8 Pˇ rejmenování domény Kerio Connect vám v pˇ rípadˇ e potˇ reby umožní jednoduše pˇ rejmenovat doménu. Upozornˇ ení: Ujistˇ ete se, že máte od poskytovatele zakoupenou novou doménu a její jméno je zanesené v DNS záznamech. Než zaˇ cnete, novou doménu vyzkoušejte. Pˇ red zaˇ cátkem i po ukonˇ cení procesu pˇ rejmenování doporuˇ cujeme udˇ elat plnou zálohu vašeho úložištˇ e (jak spustit plnou zálohu mimo zálohovací plán najdete v kapitole 15.2). Pˇ rejmenování domény se projeví až po restartu serveru. Do té doby budou veškeré ˇ cinnosti probíhat pod jménem p˚ uvodním. Všechna doménová nastavení z˚ ustanou po pˇ rejmenování nezmˇ enˇ ena. Bˇ ehem restartu serveru se v konfiguraˇ cních souborech automaticky pˇ repíše p˚ uvodní jméno domény na nové a z p˚ uvodního jména se stane alias (vizte tabulku 7.1). P˚ uvodní

Restart serveru

jméno domény stara_domena.cz nova_domena.cz jména alias˚ u

alias.cz

stara_domena.cz alias.cz

Tabulka 7.1 Pˇ rejmenování domény

Upozornˇ ení: Veškeré události, které uživatel založil pˇ red pˇ rejmenováním, nebude moci dále upravovat ani je mazat.

Nastavení Doménu m˚ užeme pˇ rejmenovat v sekci Konfigurace → Domény. 1.

Vybereme doménu, kterou chceme pˇ rejmenovat. Tlaˇ cítkem Zmˇ enit zobrazíme dialogové okno.

2.

Na první záložce Obecné klikneme na tlaˇ cítko Pˇ rejmenovat a potvrdíme. 63


3.

Do pole Doména zadáme nové jméno domény a potvrdíme tlaˇ cítkem OK (vizte obrázek 7.9).

4.

V seznamu domén se objeví informace o pˇ rejmenování (vizte obrázek 7.10).

5.

Restartujeme server.

Obrázek 7.9

Obrázek 7.10

Pˇ rejmenování domény

Pˇ rejmenovaná doména

Poznámka: • Má-li uživatel vytvoˇ ren seznam filtrovacích pravidel a obsahuje-li e-mailové adresy uživatel˚ u z pˇ rejmenované domény, musí si uživatel pravidla zmˇ enit. • Pokud chcete pˇ rejmenování domény zrušit, m˚ užete tak pˇ red restartem serveru uˇ cinit v dialogu Konfigurace → Domény → Zmˇ enit. Tlaˇ cítkem Zrušit pˇ rejmenování proces zrušíte. • Chcete-li pˇ rejmenovat distribuovanou doménu, je nutné nejprve všechny servery odpojit, domény jednotlivˇ e pˇ rejmenovat a poté je znovu propojit do distribuované domény. 64

7.9 Zrušení domény

7.9 Zrušení domény Tlaˇ cítkem Odebrat v sekci Konfigurace → Domény lze smazat vybranou doménu (lokální i distribuovanou). Doménu není možné odstranit, jestliže: • jsou v ní již definovány uživatelské úˇ cty nebo skupiny. Nejdˇ ríve musí být všechny úˇ cty smazány (podrobnosti vizte kapitolu 8.5). • jsou v ní definovány aliasy. Nejdˇ ríve musí být všechny aliasy smazány (podrobnosti vizte kapitolu 12.3). • se jedná o primární doménu. Je však možné vytvoˇ rit jinou doménu, tuto nastavit jako primární, a poté p˚ uvodní doménu odstranit.

7.10 Firma s poboˇ ckou Nastavení firmy s poboˇ ckou doporuˇ cujeme zamˇ enit za nastavení distribuované domény (více vizte samostatnou kapitolu 11).

Informace a požadavky Firma má jednu doménu firma.cz. Centrála firmy sídlí v Praze a poboˇ cka v Plzni. V centrále i na poboˇ cce je nainstalován Kerio Connect (dvˇ e samostatné licence). Server v centrále firmy má DNS jméno mail.firma.cz, server poboˇ cky jméno mail-pl.firma.cz. Základním požadavkem je, aby pošta posílaná mezi lokálními uživateli na poboˇ cce byla doruˇ cována lokálnˇ e, zatímco pošta urˇ cená uživatel˚ um v centrále byla správnˇ e odesílána na centrálu. Stejná funkˇ cnost musí být zajištˇ ena i v opaˇ cném smˇ eru — tedy zpráva odeslaná z centrály na poboˇ cku musí být doruˇ cena na server poboˇ cky.

65


Obrázek 7.11

Firma s poboˇ ckou

Poznámka: Pro jednoduchost a vˇ etší názornost pˇ redpokládejme, že v centrále budou pracovat uživatelé sef a asistentka a na poboˇ cce uživatelé technik a programator. Následující popis se zabývá pouze kroky nutnými pro splnˇ ení tˇ echto požadavk˚ u — není zde tedy popsáno detailní nastavení parametr˚ u SMTP serveru, vzdálené správy apod.

Realizace Centrála (nastavení na primárním serveru mail.firma.cz) 1.

V aplikaci Kerio Connect v centrále firmy (tedy na primárním serveru mail.firma.cz) definujeme doménu firma.cz jako lokální primární.

2.

V této doménˇ e definujeme úˇ cty lokálním uživatel˚ um (tj. tˇ em, kteˇ rí pracují v centrále).

3.

Je-li Kerio Connect chránˇ en firewallem, je tˇ reba zpˇ rístupnit port 25 pro službu SMTP.

4.

Vytvoˇ ríme doménu pl.firma.cz, kde nebudou definováni uživatelé ani aliasy. Nastavením záložky Pˇ reposílání v sekci Domény zajistíme, aby pošta pro doménu pl.firma.cz byla pˇ reposílána na server poboˇ cky mail-pl.firma.cz (vizte obrázek 7.12).

66

7.10 Firma s poboˇ ckou

Obrázek 7.12

5.

Nastavení pˇ reposílání

Dále nastavíme aliasy pro všechny uživatele na poboˇ cce (Úˇ cty → Aliasy), v našem pˇ rípadˇ e uživatele technik a programator. Tyto aliasy zajistí, aby pošta pro pˇ ríslušné uživatele byla doruˇ cována do domény pl.firma.cz.

Obrázek 7.13

Nastavení aliasu

Poboˇ cka (nastavení na serveru mail-pl.firma.cz) 1.

Vytvoˇ ríme lokální primární doménu firma.cz, která bude mít alias pl.firma.cz.

2.

V lokální primární doménˇ e vytvoˇ ríme úˇ cty všem uživatel˚ um z této poboˇ cky (tzn. tˇ em, kteˇ rí mají mít na poboˇ cce lokální schránku).

67


3.

Nastavíme, aby pošta pro doménu firma.cz byla pˇ reposílána na server centrály mail.firma.cz, pˇ riˇ cemž nastavíme, že zprávy s doménovým aliasem v adrese pˇ ríjemce se nemají pˇ reposílat. Tato volba umožˇ nuje zachytit zprávy, které nemají v adrese pˇ ríjemce správnˇ e uvedeno uživatelské jméno nebo jeho alias.

Obrázek 7.14 Nastavení ochrany proti zacyklení zpráv

Poznámky: • Na poboˇ ckový server nastavte sekundární DNS MX záznam, ˇ címž vyˇ rešíte pˇ rípadný výpadek centrály (primárního serveru). • Na poboˇ ckových serverech nesmí být použit hvˇ ezdiˇ ckový alias, jinak se pošta pro centrálu nebude pˇ reposílat. • Budou-li uživatelé chtít pˇ ristupovat k poštˇ e vzdálenˇ e (napˇ r. pomocí rozhraní Kerio WebMail), budou vždy pˇ ristupovat na ten server, kde mají vytvoˇ reny své lokální schránky (tj. uživatelé z centrály na server mail.firma.cz a uživatelé z poboˇ cky na server mail-pl.firma.cz). • Free/Busy kalendáˇ r bude zobrazovat pouze informace o lokálních uživatelích daného serveru.

7.11 Nastavení záložního poštovního serveru Informace a požadavky 1.

Firma má vlastní doménu firma.cz, primární MX záznam je nasmˇ erován na poˇ cítaˇ c, kde je nainstalován primární poštovní server. Ten má v DNS pˇ riˇ razeno jméno mail1.firma.cz.

2.

K primárnímu poštovnímu serveru je tˇ reba vytvoˇ rit a nastavit záložní (ten bude mít v DNS pˇ riˇ razeno jméno mail2.firma.cz). K tˇ emto úˇ cel˚ um použijeme základní verzi Kerio Connect, protože zde není nutné vytváˇ ret žádné uživatelské úˇ cty.

Realizace 1.

V DNS je nutno poštovní doménˇ e firma.cz vytvoˇ rit sekundární MX záznam (s nižší prioritou) pro jméno záložního serveru (mail2.firma.cz).

2.

Po instalaci záložní aplikace Kerio Connect vytvoˇ ríme v konfiguraˇ cním pr˚ uvodci primární doménu a nazveme ji stejnˇ e jako na primárním poštovním serveru, tedy firma.cz. 68

7.11 Nastavení záložního poštovního serveru

3.

Této doménˇ e nenastavujeme žádné uživatelské úˇ cty.

4.

V administraˇ cním rozhraní Kerio Connect v sekci Konfigurace → Domény je nutno nastavit pˇ reposílání pošty na primární poštovní server mail1.firma.cz (vizte obrázek 7.15). Pˇ reposílání pošty je možno provádˇ et nˇ ekolika zp˚ usoby: • Doporuˇ ceným zp˚ usobem, jak nastavit pˇ reposílání pošty ze záložního serveru je nastavení primárního serveru tak, aby se pravidelnˇ e dotazoval na sekundární server pˇ ríkazem ETRN. Tato varianta nezatˇ ežuje servery zbyteˇ cným pˇ ripojováním k nedostupnému primárnímu serveru. Jedinou podmínkou je, aby primární server podporoval pˇ ríjem pošty pomocí pˇ ríkazu ETRN. Kerio Connect podporuje pˇ ríkaz ETRN pro vyžádání pošty (vizte kapitolu 12.5), takže pokud používáte Kerio Connect jako primární poštovní server, d˚ uraznˇ e doporuˇ cujeme tuto variantu nastavení. Kerio Connect navíc vysílá ETRN pˇ ríkaz na nastavené servery pˇ ri každém spuštˇ ení serveru, ˇ címž je zajištˇ eno, že se pošta na server dostane v nejkratší možné dobˇ e po výpadku. Chcete-li využít tuto metodu pˇ reposílání pošty, pak na záložním serveru staˇ cí v administraˇ cním rozhraní (Konfigurace → Domény) povolit pro doménu firma.cz volbu Offline doruˇ cování — zprávy se odešlou po pˇ rijetí pˇ ríkazu ETRN ze vzdáleného serveru (vizte obrázek 7.15).

ríkaz ETRN Obrázek 7.15 Nastavení záložního serveru — pˇ

Na primárním poštovním serveru je samozˇ rejmˇ e nutné nastavit používání pˇ ríkazu ETRN (vizte kapitolu 12.5) a plánování vysílání pˇ ríkazu ETRN (vizte kapitolu 12.7). • Ménˇ e výhodnou možností je nastavení pravidel pro odchozí frontu zpráv (vizte kapitolu 12.2). Negativem tohoto nastavení je, že v pˇ rípadˇ e nedostupnosti primárního serveru se bude server v nastavených intervalech snažit opakovanˇ e doruˇ covat poštu, dokud nebude primární server opˇ et dostupný, což m˚ uže v nˇ ekterých pˇ rípadech zp˚ usobit i zahlcení primárního serveru. Preferujete-li i pˇ res výše zmínˇ ený nedostatek tento zp˚ usob nastavení sekundárního SMTP serveru, doporuˇ cujeme prodloužení intervalu opakování odesílání zpráv. Nastavení lze provést v sekci Konfigurace → SMTP Server v záložce Volby pro frontu zpráv.

69


Obrázek 7.16 Nastavení záložního serveru —doruˇ cování pošty je ˇ rízeno pravidly pro odchozí frontu zpráv

V oknˇ e pro konfiguraci domény je nutné nastavit jméno nebo adresu primárního serveru, port pro komunikaci a volbu Online doruˇ cování — zprávy jsou odesílány okamžitˇ e (vizte obrázek 7.16). • Tˇ retí ˇ rešení je pouze obmˇ enou pˇ redcházejícího. Server pro odesílání pošty použije, stejnˇ e jako v pˇ redchozím pˇ rípadˇ e, pravidla pro odchozí frontu zpráv, ale interval opakování doruˇ cování pošty bude definován pomocí plánovaˇ ce. Výhodou tohoto ˇ rešení je možnost vytvoˇ rit podrobný plán odesílání pošty. Pro tento zp˚ usob doruˇ cování pošty musí být povolena v sekci Konfigurace → Domény možnost Offline doruˇ cování — odesílání zpráv je ˇ rízeno plánovaˇ cem (vizte obrázek 7.17) a zároveˇ n je nutno správnˇ e nastavit plánovaˇ c (nastavení plánovaˇ ce popisuje kapitola 12.7).

Obrázek 7.17

Nastavení záložního serveru

cování pošty je ˇ rízeno plánovaˇ cem — doruˇ

5.

Je-li jako primární poštovní server používán Kerio Connect, doporuˇ cujeme v sekci Konfigurace → SMTP server v záložce Bezpeˇ cnostní volby pˇ ridat adresu sekundárního SMTP serveru do seznamu, pro který neplatí omezení nastavená v této záložce (více vizte kapitolu 12.2).

70

Kapitola 8

Uživatelské úˇ cty

Uživatelské úˇ cty v Kerio Connect reprezentují fyzické e-mailové schránky. Uživatelské jméno a heslo tedy slouží jako ovˇ eˇ rení pˇ rístupu k této schránce. Protože Kerio Connect m˚ uže obsluhovat více nezávislých domén, nemají uživatelské úˇ cty globální platnost, ale patˇ rí vždy do konkrétní domény. Z toho vyplývá, že domény musí být definovány dˇ ríve, než budou vytváˇ reny uživatelské úˇ cty (podrobnosti vizte kapitolu 7). Uživatelské úˇ cty mohou být umístˇ eny: 1.

lokálnˇ e — uživatelské schránky jsou umístˇ eny pˇ rímo v Kerio Connect a i veškerá správa úˇ ct˚ u se provádí v aplikaci Kerio Connect (kapitola 8.2),

2.

v LDAP databázi — úˇ cty jsou do Kerio Connect pouze mapovány. Mapování úˇ ct˚ u je možné z Active Directory a Apple Open Directory (kapitola 10).

V každé doménˇ e mohou existovat jak lokální úˇ cty, tak i úˇ cty uložené v adresáˇ rové službˇ e (napˇ r. Microsoft Active Directory). V seznamu uživatel˚ u dané domény se zobrazují úˇ cty obou typ˚ u. Pˇ ridávat lze však pouze lokální úˇ cty (úˇ cty v pˇ ríslušné adresáˇ rové službˇ e musejí být vytváˇ reny nástrojem pro její správu — napˇ r. Active Directory Users and Computers). Úˇ ct˚ um v adresáˇ rové službˇ e je možno mˇ enit nˇ ekteré jejich vlastnosti. Uživatelské úˇ cty je možné do Kerio Connect jednoduše importovat z jiné databáze uživatel˚ u: • import z Novell eDirectory (kapitola 8.9), • import z NT domény (kapitola 8.9), • import z Active Directory domény (kapitola 8.9), • importovány z textového souboru.

8.1 Administrátorský úˇ cet Kromˇ e pˇ rístupu ke své e-mailové schránce m˚ uže být uživatelský úˇ cet použit také pro pˇ rístup ke správˇ e aplikace Kerio Connect, má-li k tomu pˇ ríslušná práva. Základní administrátorský úˇ cet se vytváˇ rí pˇ rímo pˇ ri instalaci. Tento úˇ cet se niˇ cím neliší od ostatních uživatelských úˇ ct˚ ua m˚ uže být i odstranˇ en, pokud jsou alespoˇ n jednomu dalšímu uživateli udˇ elena plná práva pro pˇ rístup ke správˇ e.

71


Základní administrátorský úˇ cet má povoleno vytváˇ ret a spravovat: • veˇ rejné složky — podrobnˇ ejší informace o chování a úˇ celu tˇ echto složek najdete v sekci 25.1; • archivní složky — podrobnˇ ejší informace o chování a úˇ celu tˇ echto složek najdete v sekci 15.1. Základní administrátorský úˇ cet standardnˇ e spravuje také archivní složky (pokud je povolena archivace — vizte kapitolu 15.2). V archivní složce je možné dohledat jakoukoli zprávu, která prošla aplikací Kerio Connect. Administrátor m˚ uže archivní složku nasdílet jiným uživatel˚ um. Je tˇ reba si uvˇ edomit, že do tˇ echto složek se zálohují zprávy všech uživatel˚ u, a proto by k nim mˇ el mít pˇ rístup pouze d˚ uvˇ eryhodný správce (nanejvýš malá skupina osob). Upozornˇ ení: Hesla k uživatelským úˇ ct˚ um, která mají plný pˇ rístup ke správˇ e, by mˇ ela být d˚ uslednˇ e uchovávána v tajnosti, aby nemohlo dojít k jejich zneužití neoprávnˇ enou osobou.

8.2 Založení uživatelského úˇ ctu Definici lokálních uživatelských úˇ ct˚ u m˚ užete provést v sekci Úˇ cty → Uživatelé:

Obrázek 8.1


72

8.2 Založení uživatelského úˇ ctu

Nejprve je nutno v poli Doména vybrat lokální doménu, v níž mají být úˇ cty definovány. V každé doménˇ e mohou existovat jak lokální úˇ cty, tak i úˇ cty uložené v adresáˇ rové službˇ e (napˇ r. Microsoft Active Directory). V seznamu uživatel˚ u dané domény se zobrazují úˇ cty obou typ˚ u. Pˇ ridávat lze však pouze lokální úˇ cty (úˇ cty v pˇ ríslušné adresáˇ rové službˇ e musejí být vytváˇ reny nástrojem pro její správu — napˇ r. Active Directory Users and Computers). Úˇ ct˚ um v adresáˇ rové službˇ e je možno mˇ enit nˇ ekteré jejich vlastnosti. Upozornˇ ení: Je-li smazán v administraˇ cním rozhraní úˇ cet namapovaný z adresáˇ rové služby, úˇ cet v Kerio Connect se deaktivuje. Význam jednotlivých sloupc˚ u tohoto okna bude zˇ rejmý z následujícího popisu jednotlivých položek v definici uživatelského úˇ ctu. Jedinou výjimkou je sloupec Zdroj dat, který zobrazuje, o jaký typ úˇ ctu se jedná: • Interní — úˇ cet je uložen v interní databázi uživatel˚ u. • LDAP — úˇ cet je uložen v adresáˇ rové službˇ e (Active Directory, Apple Open Directory). Pro vytvoˇ rení nového uživatelského úˇ ctu je tˇ reba stisknout tlaˇ cítko Pˇ ridat. Šablona V pˇ rípadˇ e, že je vytvoˇ rena alespoˇ n jedna šablona pro vytváˇ rení nových úˇ ct˚ u, vybereme, zda chceme pˇ ridat lokálního uživatele nebo použít vytvoˇ renou šablonu. Šablonu pro založení nových uživatelských schránek lze vytvoˇ rit v sekci Konfigurace → Definice → Šablony uživatel˚ u. Šablonu je dobré použít zejména v pˇ rípadˇ e, že zakládáme najednou více uživatelských úˇ ct˚ u, které mají nˇ ekteré parametry shodné (napˇ ríklad nastavení typu ovˇ eˇ rování, kvóty atd.). Založením šablony a vyplnˇ ením tˇ echto shodných parametr˚ u pˇ rímo do ní se vyhneme zbyteˇ cné práci navíc.

Obrázek 8.2

Založení uživatele — šablona

73


Založení nové šablony je popsáno v samostatné kapitole 8.11.

Základní údaje Pˇ rihlašovací jméno Pˇ rihlašovací jméno (pozor: nejedná-li se o lokální primární doménu, pak se uživatel musí pˇ rihlašovat celou svou e-mailovou adresou, tedy napˇ r. [email protected], nikoliv pouze uzivatel). Ve jménu uživatele se nerozlišují malá a velká písmena.

Obrázek 8.3

Založení uživatele — základní údaje

Pˇ rihlašovací jméno nesmí obsahovat národní a nˇ ekteré speciální znaky, proto je není možné do pole zadat. Celé jméno Plné jméno (typicky jméno a pˇ ríjmení daného uživatele). Položku je nutné vyplnit v pˇ rípadˇ e, že uživatelské údaje z tohoto úˇ ctu budou exportovány do veˇ rejné složky s kontakty. Popis Textový popis uživatele (napˇ r. funkce). Položka Popis má pouze informativní charakter. M˚ uže obsahovat libovolné informace nebo nemusí být vyplnˇ ena v˚ ubec. Ovˇ eˇ rování Zp˚ usob ovˇ eˇ rování uživatele lze zvolit v menu: • Interní databáze uživatel˚ u Uživatel je ovˇ eˇ rován pouze v rámci Kerio Connect. V tomto pˇ rípadˇ e je potˇ reba zadat heslo do položek Heslo a Potvrzení hesla (své heslo pak m˚ uže uživatel sám zmˇ enit pomocí rozhraní Kerio WebMail).

74


Upozornˇ ení: Heslo m˚ uže obsahovat pouze tisknutelné znaky (písmena, ˇ císlice, interpunkˇ cní znaménka). V hesle se rozlišují malá a velká písmena. • Doména Windows NT Uživatel bude ovˇ eˇ rován v doménˇ e Windows NT. Název NT domény je tˇ reba zadat ve vlastnostech e-mailové domény (záložka Upˇ resnˇ ení , položka Doména Windows NT ). Tento zp˚ usob ovˇ eˇ rování lze použít, pouze bˇ eží-li Kerio Connect na operaˇ cním systému Windows 2000/XP a 2003. Podrobnosti vizte kapitolu 7.7. • Kerberos 5 Ovˇ eˇ rení se provede pomocí ovˇ eˇ rovacího systému Kerberos verze 5. • PAM služba Ovˇ eˇ rování službou PAM (Pluggable Authentication Modules — možno pouze na operaˇ cním systému Linux). • Apple Open Directory Ovˇ eˇ rování v databázi Apple Open Directory (pouze pro Mac OS X ). Volbu lze nastavit pouze v pˇ rípadˇ e, že je uživatel namapován z Apple Open Directory. Heslo a Potvrzení hesla Heslo uživatele lze zadat nebo zmˇ enit pouze lokálním uživatel˚ um. Každý uživatel by mˇ el bezprostˇ rednˇ e po založení úˇ ctu heslo zmˇ enit. Bude-li heslo obsahovat speciální (národní) znaky, uživatelé se nebudou moci z nˇ ekterých poštovních klient˚ u pˇ ripojit ke Kerio Connect. Pro zadávání hesel uživatel˚ u proto doporuˇ cujeme používat pouze ASCII znaky. Úˇ cet je povolen Odšktnutím této položky m˚ užete doˇ casnˇ e zrušit úˇ cet bez nutnosti jej odstraˇ novat. Tato položka nijak nesouvisí s blokováním úˇ ct˚ u, které se nastavuje v sekci Konfigurace → Další volby, v záložce Bezpeˇ cnostní politika (vizte sekci 12.8). Pokud uživatel pˇ ri pˇ rihlášení zadá omylem nˇ ekolikrát za sebou neplatné heslo a pˇ rekroˇ cí tak limit nastavený v záložce Bezpeˇ cnostní politika, pak se úˇ cet automaticky zablokuje. Tuto blokaci je tˇ reba zrušit taktéž v záložce Bezpeˇ cnostní politika tlaˇ cítkem Odblokovat všechny úˇ cty. Povolit implicitní pravidlo, ... Zaškrtnutím volby se pˇ ri zakládání uživatelského úˇ ctu vytvoˇ rí pravidlo pro nevyžádanou poštu. Všechny pˇ ríchozí zprávy, které byly antispamovou kontrolou oznaˇ ceny jako nevyžádané, budou automaticky pˇ resunuty do složky Nevyžádaná pošta. Pravidlo je možno v nastavení úˇ ctu vytvoˇ rit pouze pˇ ri jeho zakládání. Filtr a pravidla pro pˇ ríchozí

75


poštu blíže popisuje manuál Kerio Connect, Pˇ ríruˇ cka uživatele. Upozornˇ ení: Nedoporuˇ cujeme vytvoˇ rení tohoto pravidla, pokud uživatel ke své poštˇ e pˇ ristupuje pˇ res protokol POP3. V takovém pˇ rípadˇ e se na lokální klientskou stanici stáhne pouze složka Doruˇ cená pošta a uživatel nemá možnost provést kontrolu, zda je pošta zaˇ razená do složky Nevyžádaná pošta opravdu nevyžádaná. Publikovat v globálním adresáˇ ri Celé jméno a adresa uživatele budou propagovány do veˇ rejné složky Kontakty, která slouží jako zdroj firemních kontakt˚ u (celá jména a e-mailové adresy uživatel˚ u). Kontakt bude do veˇ rejné složky pˇ ridán pouze v pˇ rípadˇ e, že je vyplnˇ ena položka Celé jméno. V pˇ rípadˇ e, že jsou uživatelé mapováni z Active Directory nebo Apple Open Directory, synchronizuje se celá LDAP databáze automaticky každou hodinu. Pokud nechcete nˇ ekterého uživatele synchronizovat do veˇ rejných kontakt˚ u, odškrtnˇ ete tuto volbu. Uložit heslo ve vysoce zabezpeˇ ceném formátu SHA Heslo uživatele je standardnˇ e šifrováno symetrickým klíˇ cem (DES). Volba Uložit heslo v bezpeˇ cnˇ ejším formátu umožˇ nuje použití bezpeˇ cnˇ ejší, nesymetrické šifry (SHA ˇ retˇ ezec). Nevýhodou SHA šifrování je, že není možné využít nˇ ekteré metody ovˇ eˇ rování pro pˇ rístup na Kerio Connect, konkrétnˇ e jsou to metody APOP, CRAM-MD5 a Digest-MD5. Pro ovˇ eˇ rování pˇ rístupu lze tedy využít pouze metody LOGIN a PLAIN (d˚ uraznˇ e doporuˇ cujeme používat pro pˇ rihlašování pouze SSL spojení). Po zaškrtnutí volby je nutné zmˇ enit heslo uživatele. To m˚ uže udˇ elat bud’ administrátor nebo uživatel (napˇ r. pˇ res rozhraní Kerio WebMail).

E-mailové adresy V tomto kroku pr˚ uvodce je možno zadat všechny požadované e-mailové adresy daného uživatele. Primární adresa uživatele (kterou nelze zrušit) je tvoˇ rena jeho uživatelským jménem a doménou, v níž se úˇ cet nachází. Ostatní adresy jsou tzv. aliasy. Aliasy lze zadávat pˇ rímo v definici uživatele, nebo v sekci Úˇ cty → Aliasy. Doporuˇ cujeme však zadávat aliasy pˇ rímo v definici uživatele — je to jednodušší a navíc jsou aliasy pˇ rístupné v Active Directory doménˇ e. Jsou-li uživatelské úˇ cty udržovány v Active Directory (vizte kapitolu 10.1), pak je možné zadávat jejich aliasy pˇ rímo v panelu Active Directory Users and Computers. Globální aliasy (tj. v sekci Úˇ cty → Aliasy) takto zadávat nelze.

76


Obrázek 8.4

ridˇ elení e-mailových adres Založení uživatele — pˇ

Pˇ reposílání zpráv na jiné adresy Zprávy pro uživatele mohou být volitelnˇ e pˇ reposílány na další e-mailové adresy. Volba Doruˇ covat zprávy... zajistí, že zpráva bude uložena do lokální schránky a zároveˇ n pˇ reposlána na uvedené adresy (jinak bude pouze pˇ reposlána a do lokální schránky se neuloží).

77


Obrázek 8.5

reposílání zpráv Založení uživatele — pˇ

Poznámka: Toto lze rovnˇ ež ˇ rešit pomocí alias˚ u, nastavení v definici uživatele je však jednodušší a pˇ rehlednˇ ejší.

Skupiny V tomto dialogu je možno (tlaˇ cítky Pˇ ridat a Odebrat) pˇ ridat nebo odebrat skupinu, do níž má být uživatel zaˇ razen. Skupiny je nutno nejprve vytvoˇ rit v sekci Úˇ cty → Skupiny. Pˇ ri definici skupin je ale možno stejným zp˚ usobem do skupin pˇ ridávat uživatele, a proto nezáleží na tom, zda budou nejprve vytvoˇ reny skupiny nebo uživatelé.

78


Obrázek 8.6

ridˇ elení uživatele do skupiny Založení uživatele — pˇ

Nastavení pˇ rístupových práv Každý uživatel musí mít nastavenu jednu ze tˇ rí úrovní pˇ rístupových práv. Žádná práva Uživateli nebudou pˇ ridˇ elena žádná práva administrátora úˇ cty Uživatel bude mít administrátorská práva k nastavení uživatelských úˇ ct˚ u, skupin, alias˚ u, konferencí a zdroj˚ u ve stejné doménˇ e, ve které má sám úˇ cet. Více se dozvíte v sekci 4.1. Celý server pouze pro ˇ ctení Uživatel bude mít pˇ rístup k úˇ ct˚ um z celého serveru, nebude však moci úˇ cty mˇ enit. Celý server pro ˇ ctení a zápis Uživatel bude mít administrátorský pˇ rístup ke všem úˇ ct˚ um zˇ rízeným v Kerio Connect Dále m˚ užeme nezávisle na právech ke správˇ e serveru zaškrtnutím patˇ riˇ cné volby nastavit práva ke spravování Veˇ rejných složek a Složek pro archivaci.

Nastavení uživatelské kvóty Uživateli lze nastavit urˇ citá omezení na jeho poštovní schránku. Omezit diskový prostor Nastavení maximálního prostoru ve schránce. Pro pohodlné zadání ˇ císelného údaje je možno pˇ repínat jednotky: kilobyty (kB), megabyty (MB) a gigabyty (GB). 79


Obrázek 8.7

Založení uživatele — nastavení kvóty

Omezit poˇ cet položek Maximální poˇ cet zpráv ve schránce. Každou z tˇ echto položek lze nastavit na hodnotu 0 (nula), což znamená, že se na schránku žádné omezení nevztahuje. Uživatelská kvóta slouží pˇ redevším k ochranˇ e serveru proti zaplnˇ ení diskového prostoru. Bude-li splnˇ ena alespoˇ n jedna z tˇ echto podmínek, budou další zprávy adresované tomuto uživateli serverem odmítány. Po naplnˇ ení kvóty bude uživateli zaslána varovná zpráva s doporuˇ cením na snížení poˇ ctu ˇ zpráv ve schránce. Zároveˇ n nezáleží na tom, zda byl pˇ rekroˇ cen poˇ cet zpráv ci vyhrazená velikost diskového prostoru. Kvóta je naplnˇ ena ve chvíli, kdy byla uložena do složky zpráva (událost, kontakt nebo úkol), která pˇ rekroˇ cila jeden nebo druhý nastavený limit. Prahem pro odeslání upozornˇ ení je 90% nastavené hodnoty v kvótˇ e (90% nastaveného poˇ ctu položek nebo 90% nastavené velikosti diskového prostoru). Tuto hodnotu lze ruˇ cnˇ e zmˇ enit v konfiguraˇ cním souboru aplikace Kerio Connect: 1.

Zastavíme Kerio Connect Engine.

2.

V adresáˇ ri, kam je nainstalován Kerio Connect najdeme soubor mailserver.cfg Pokud soubor editujeme na platformách Mac OS X nebo Linux, potom se nejprve do systému pˇ rihlásíme jako root (speciální uživatel s plnými pˇ rístupovými právy do systému).

3.

Otevˇ reme soubor mailserver.cfg a najdeme promˇ ennou QuotaWarningThreshold. Celý ˇ rádek bude vypadat takto: 90

4.

Zmˇ eníme hodnotu promˇ enné na vyhovující a soubor uložíme.

5.

Spustíme Kerio Connect.

Varovná zpráva je serverem odesílána maximálnˇ e jednou za 24 hodin, ne ˇ castˇ eji. I v pˇ rípadˇ e, že uživatel vymaže nˇ ekteré zprávy a dostane se pod hranici nastavené kvóty, a poté ji ještˇ e ten den znovu pˇ rekroˇ cí, další zpráva bude doruˇ cena 24 hodin od pˇ redchozího upozornˇ ení. 80


Poznámka: Pokud se v souvislosti s nastavením kvóty objevily nˇ ejaké potíže, mohou vám pˇ ri jejich ˇ rešení pomoci informace zaznamenané v Debug logu. Záznam Debug je umístˇ en v administraˇ cním rozhraní v sekci Záznamy → Debug. Aby se do záznamu vypisovaly informace o chování kvóty, je tˇ reba zapnout volbu Quota and Login Statistics (více vizte kapitolu 24.9). Zprávy Tento uživatel m˚ uže odesílat/pˇ rijímat... Volba umožˇ nuje správci aplikace Kerio Connect omezit komunikaci uživatele pouze na lokální úroveˇ n. To m˚ uže být v mnoha spoleˇ cnostech užiteˇ cné napˇ ríklad pˇ ri ˇ rešení interní komunikace. Zaškrtnutím této volby docílíme, že daný uživatel nebude moci odesílat ani pˇ rijímat zprávy z externích domén.

Obrázek 8.8

Založení uživatele — další nastavení ovlivˇ nující uživatelský úˇ cet

Maximální velikost zprávy Nastavení limitu pro maximální velikost odchozích zpráv. Každý uživatel m˚ uže mít bud’ nastaven rozdílný limit, nebo je možné nastavit limit shodný pro celou doménu (kapitola 7.1). Doporuˇ cujeme tuto volbu nastavit, zejména pokud není žádný limit nastaven pro celou doménu. Zadáním tohoto limitu lze jednoduše zabránit uživatel˚ um, aby zahltili internetovou linku odesíláním zpráv s pˇ ríliš velkými pˇ rílohami. Jsou-li oba limity nastaveny na 0, chová se Kerio Connect stejnˇ e, jako by žádný limit nastaven nebyl. Limit nastavený uživateli má vyšší prioritu než limit nastavený celé doménˇ e. 81


Promazávání položek Kerio Connect obsahuje možnost nastavit na poštovní schránku (nebo pro celou doménu v nastavení domény) speciální pravidlo, aby se položky starší nastaveného poˇ ctu dní automaticky mazaly. Pravidlo se týká složek Nevyžádaná pošta, Odstranˇ ená pošta, Odeslaná pošta a Všechny složky kromˇ e kontakt˚ u a poznámek. Více informací o této vlastnosti najdete v sekci 7.5.

8.3 Úprava uživatelského úˇ ctu Tlaˇ cítko Zmˇ enit otevírá dialog pro zmˇ enu parametr˚ u uživatelského úˇ ctu.

Obrázek 8.9

Úprava uživatelského úˇ ctu

Tento dialog obsahuje stejné výše popsané ˇ cásti. V záložce Kvóta se také zobrazuje aktuální využití této kvóty. Pokud kvóta není nastavena, resp. není omezena, nezobrazuje se procentuální zaplnˇ ení kvóty.

Obrázek 8.10

Kvóta není nastavena

82

8.4 Hromadná zmˇ ena uživatelských úˇ ct˚ u

Obrázek 8.11

Kvóta je nastavena

8.4 Hromadná zmˇ ena uživatelských úˇ ct˚ u Kerio Connect umožˇ nuje provádˇ et hromadnou zmˇ enu uživatelských úˇ ct˚ u. Staˇ cí potˇ rebné úˇ cty oznaˇ cit kurzorem a použít tlaˇ cítko Zmˇ enit. Dialogové okno pro hromadnou úpravu úˇ ct˚ u obsahuje ˇ ctyˇ ri záložky, kterými je možno zmˇ enit u vybraných úˇ ct˚ u parametry týkající se kvóty, práv uživatel˚ u, obecného nastavení (popis úˇ ctu, nastavení typu ovˇ eˇ rování, nastavení bezpeˇ cnˇ ejšího formátu hesla, zablokování úˇ ct˚ u) a omezení uživatelských úˇ ct˚ u.

Obrázek 8.12

Hromadná zmˇ ena úˇ ct˚ u

Pˇ ri práci s tímto dialogovým oknem platí, že se mˇ ení pouze položka nebo položky, které mají být hromadnˇ e pˇ renastaveny ve všech vybraných úˇ ctech. Volby Uložit heslo ve vysoce zabezpeˇ ceném formátu SHA a Úˇ cet je zablokován v záložce Obecné mají tˇ ri stavy, které se mˇ ení kliknutím na zaškrtávací okénko: • Nezmˇ enˇ eno — v každém z vybraných úˇ ct˚ u bude zachováno p˚ uvodní nastavení, • Ano — položka se ve všech vybraných úˇ ctech zaškrtne, • Ne —položka se ve všech vybraných úˇ ctech odškrtne. Záložky Práva, Kvóta a Omezení se nastavují stejným zp˚ usobem jako pˇ ri editaci jednoho úˇ ctu. 83


Pˇ ríklad: Typickým pˇ ríkladem použití hromadného nastavení úˇ ct˚ u je omezení maximální velikosti zpráv uživatel˚ u. Správce Kerio Connect nastavil omezení velikosti odchozích zpráv pro doménu firma.cz na 20 MB. Nˇ ekolik uživatel˚ u z této domény ovšem potˇ rebuje odesílat zprávy s pˇ rílohami vˇ etšími, než je nastavený limit. Kerio Connect umožˇ nuje oznaˇ cit pomocí kurzoru a klávesy Ctrl úˇ cty všech uživatel˚ u z domény firma.cz, kteˇ rí mají s nastaveným limitem potíže a v dialogu pro hromadnou úpravu uživatelských úˇ ct˚ u v záložce Omezení limit bud’ zvýšit nebo jej úplnˇ e zrušit.

8.5 Odstranˇ ení úˇ ctu Odstranit uživatelský úˇ cet lze pomocí tlaˇ cítka Odebrat. Kerio Connect umožˇ nuje provádˇ et r˚ uzné akce s p˚ uvodní schránkou uživatele. K tomuto úˇ celu slouží dialog, který se otevˇ re bezprostˇ rednˇ e po stisknutí tlaˇ cítka Odebrat. Dialog umožˇ nuje nastavit, zda má být schránka vymazána nebo pˇ resunuta jinému uživateli, nebo zda má prostˇ e z˚ ustat v adresáˇ ri store.

Obrázek 8.13

Dialog pro odebrání uživatele

Pˇ resunout složku zpráv uživatele do schránky... Celá uživatelská složka bude pˇ resunuta jako podsložka koˇ renové složky vybraného uživatelského úˇ ctu. Název složky bude ve tvaru Deleted mailbox — uzivatelske_jmeno@domena. Tato složka bude obsahovat všechny p˚ uvodní složky smazané schránky. Tato volba je užiteˇ cná zejména v pˇ rípadˇ e, že jiný uživatel potˇ rebuje se zprávami, událostmi a úkoly z této složky dále pracovat.

84

8.6 Vyhledávání

Poznámka: Nastane-li pˇ ri pˇ resunu uživatelské schránky problém, potom se podrobnosti o nˇ em zaznamenají do Warning logu (více vizte kapitolu 24.5). Neodstraˇ novat složku se zprávami uživatele Uživatelská složka z˚ ustane v úložišti, aby byla v pˇ rípadˇ e potˇ reby k dispozici. Odstranit složku se zprávami uživatele Volbu lze využít hlavnˇ e v pˇ rípadˇ e, že uživatelská složka neobsahuje žádné, nebo žádné d˚ uležité položky. Poznámka: Nelze odebrat následující úˇ cty: • sv˚ uj vlastní úˇ cet, • uživatele s vyššími právy ke správˇ e aplikace Kerio Connect, • uživatelské úˇ cty mapované z adresáˇ rové služby (tyto úˇ cty m˚ uže odstranit pouze uživatel s plnými právy ke správˇ e).

8.6 Vyhledávání Pole Hledat napomáhá pˇ ri hledání konkrétních položek v seznamu uživatel˚ u. Do pole Hledat je možno zadat ˇ retˇ ezec a v tabulce se automaticky objeví pouze položky, které daný ˇ retˇ ezec obsahují.

8.7 Statistiky Uživatelské statistiky jsou mˇ eˇ reny od zaˇ cátku provozu (tj. od instalace) aplikace Kerio Connect. Aby byly zachovány i pˇ ri vypnutí serveru, jsou údaje pro každého uživatele ukládány do souboru stats.usr v jeho domovském adresáˇ ri. Použitím tlaˇ cítka Další akce → Statistiky uživatele ve složce Úˇ cty → Uživatelé se otevˇ re statistická tabulka obsahující vybrané uživatelské úˇ cty, služby, pro nˇ ež jsou statistiky mˇ eˇ reny, poslední pˇ rihlášení (datum a ˇ cas posledního pˇ rihlášení uživatele ke službˇ e) a poˇ cet pˇ rihlášení (celkový poˇ cet pˇ rihlášení uživatele ke službˇ e). Správce aplikace Kerio Connect má možnost upravit si zp˚ usob zobrazení informací v jednotlivých sekcích dle vlastní potˇ reby. V oknˇ e Statistiky se po kliknutí na šipku vpravo od názvu sloupce zobrazí menu, kde v položce sloupce m˚ užete nastavit, které sloupce mají být zobrazeny, a které mají z˚ ustat skryty. Pro další zpracování uživatelských statistik je lze exportovat do dvou formát˚ u: XML a CSV (jednotlivé položky jsou oddˇ eleny ˇ cárkami). Tlaˇ cítko pro export je umístˇ eno pod statistikou. Poznámka: Pokud pro zobrazení a další zpracovávání statistik používáte MS Excel, mohou nastat problémy s oddˇ elovaˇ cem textu. CSV formát používá jako oddˇ elovaˇ c standardnˇ eˇ cárku. Aplikace MS Outlook však vyžaduje v nˇ ekterých lokalizacích stˇ redník (napˇ r. ˇ ceská lokalizace MS Office). Abychom pˇ redešli problém˚ um se správným zobrazením statistiky v tabulce, provedeme následující: 1. Vybereme data pro statistiku a stiskneme tlaˇ cítko Exportovat → Exportovat do CSV . 2. Ve standardním oknˇ e pro uložení souboru pojmenujeme soubor a uložíme do vybraného adresáˇ re. 85


3. 4. 5. 6. 7. 8. 9.

Otevˇ reme MS Excel. V menu Data klikneme na položku Importovat externí data → Importovat data. Otevˇ re se okno Vybrat zdroj dat, pomocí kterého najdeme a otevˇ reme soubor se statistikou. Otevˇ re se Pr˚ uvodce importem textu, kde pˇ repneme nastavení textu na Oddˇ elovaˇ c (pokud to neudˇ eláme, nebudou jednotlivé položky statistiky oddˇ eleny do sloupc˚ u). Klikneme na tlaˇ cítko Další . V následujícím dialogu vybereme jako typ oddˇ elovaˇ ce ˇ cárku. Klikneme na tlaˇ cítko Dokonˇ cit.

8.8 Správa mobilních zaˇ rízení Uživatelé se ke Kerio Connect mohou pˇ ripojovat pomocí r˚ uzných mobilních zaˇ rízení (PDA nebo takzvaných „chytrých“ telefon˚ u). Spojení mobilního zaˇ rízení a Kerio Connect umožˇ nuje podpora protokolu ActiveSync (tento protokol a jeho využití blíže popisuje samostatná kapitola 35). Administraˇ cní rozhraní obsahuje nástroj pro správu mobilních zaˇ rízení, aby mˇ el správce aplikace Kerio Connect pˇ rehled o aktuálnˇ e používaných zaˇ rízeních jednotlivými uživateli.

Obrázek 8.14

Kontextové menu uživatele — Mobilní zaˇ rízení

Správce mobilních zaˇ rízení obsahuje sekce Úˇ cty → Uživatelé. V této sekci staˇ cí vybrat uživatele, který používá mobilní zaˇ rízení a pˇ ripojuje se s ním k serveru. Klikneme na tlaˇ cítko re Další akce a v jeho menu vybereme položku Mobilní zaˇ rízení (vizte obrázek 8.14). Otevˇ se okno Mobilní zaˇ rízení , které zobrazuje všechna zaˇ rízení, kterými se uživatel pˇ ripojuje k serveru. Pod seznamem zaˇ rízení je k dispozici nˇ ekolik tlaˇ cítek: • Odebrat — vymaže zaˇ rízení ze seznamu. Používá se hlavnˇ e v pˇ rípadˇ e, že uživatel již zaˇ rízení nepoužívá (tuto funkci podrobnˇ e popisuje kapitola 35.6). • Vyˇ cistit — toto tlaˇ cítko umožˇ nuje vzdálené vymazání uživatelských dat ze zaˇ rízení 86

8.8 Správa mobilních zaˇ rízení

(tuto funkci podrobnˇ e popisuje kapitola 35.5). • Obnovit — tlaˇ cítko umožˇ nuje aktualizovat stav pˇ ripojených zaˇ rízení. • Podrobnosti — tlaˇ cítko slouží k zobrazení dalších údaj˚ u o vybraném zaˇ rízení. Po stisknutí tohoto tlaˇ cítka se pod seznamem objeví druhá ˇ cást okna, která obsahuje podrobnosti jednak o pˇ ripojeném zaˇ rízení a jednak o synchronizaci. Podrobnosti se dˇ elí na dvˇ e ˇ cásti (vizte obrázek 8.15). První ˇ cást se nazývá pˇ rímo Podrobnosti a obsahuje údaje o pˇ ripojeném zaˇ rízení a synchronizaci:

Obrázek 8.15

Mobilní zaˇ rízení — podrobnosti

Operaˇ cní systém zaˇ rízení a jeho typ V prvním ˇ rádku se zobrazuje ikona zaˇ rízení (ikona reflektuje skuteˇ cnou podobu mobilního zaˇ rízení). Vedle ikony je tuˇ cnˇ e zobrazen typ systému, který zaˇ rízení obsahuje a také zda se jedná o PDA ˇ ci Smartphone. Verze protokolu Verze protokolu ActiveSync. ID zaˇ rízení Sériové ˇ císlo zaˇ rízení.

87


Zaˇ rízení registrováno Datum, kdy uživatel zadal údaje o serveru do aplikace ActiveSync a poprvé se pˇ ripojil. Poslední synchronizace Datum a ˇ cas poslední synchronizace. Stav Stav pr˚ ubˇ ehu synchronizace. V této položce lze zjistit, zda pˇ ri synchronizaci nenastal problém, a zda byla dokonˇ cena úspˇ ešnˇ e. Vzdálený poˇ cítaˇ c IP adresa, která byla pˇ ridˇ elena sít’ovému adaptéru zaˇ rízení. Druhá ˇ cást se jmenuje Synchronizované složky a zobrazuje seznam všech složek, které jsou synchronizovány. Starší typy zaˇ rízení obvykle podporují pouze synchronizaci pošty, kalendáˇ re a kontakt˚ u, novˇ ejší typy zaˇ rízení navíc podporují úkoly. Pod oknem, kde jsou zobrazeny složky je obsažena informace o nastavení ˇ rešení kolizí synchronizace. Kolize nastane vždy, když se v dobˇ e od poslední synchronizace zmˇ ení stejná data jak na serveru, tak v zaˇ rízení. • Vítˇ ezí server — v pˇ rípadˇ e kolize data uložená na serveru pˇ repíší data v zaˇ rízení. • Vítˇ ezí klient — v pˇ rípadˇ e kolize data uložená v zaˇ rízení pˇ repíší data na serveru.

8.9 Import uživatel˚ u Uživatelské úˇ cty mohou být nejen ruˇ cnˇ e definovány, ale mohou být také naˇ cteny (importovány) z jiných zdroj˚ u: • • • •

ze soubor˚ u v CSV formátu, NT domény, Active Directory, Novell eDirectory.

Používáte-li doménu Windows 2000 nebo 2003 (Active Directory), pak je jednodušší a výhodnˇ ejší nastavit Kerio Connect tak, aby pˇ rímo spolupracoval s databází Active Directory (vizte kapitolu 10.1). Importováním uživatel˚ u totiž dojde k vytvoˇ rení lokálních úˇ ct˚ u v Kerio Connect. Pˇ ri zmˇ enách v Active Directory (pˇ ridání nebo smazání uživatele) je pak nutné provést zmˇ eny i v konfiguraci aplikace Kerio Connect (nový import nebo smazání úˇ ctu). Upozornˇ ení: Pˇ red zapoˇ cetím importu doporuˇ cujeme v záznamu Debug zapnout volbu Directory Service Lookup (kde a jak volbu zapnout se dozvíte v kapitole 24.9). Informace ze záznamu pr˚ ubˇ ehu importu vám mohou pomoci k úspˇ ešnému ˇ rešení pˇ rípadných problém˚ u.

88

8.9 Import uživatel˚ u

Tlaˇ cítko Import a export pod seznamem uživatel˚ u se chová zároveˇ n jako menu. Nabízí import z adresáˇ rové služby (NT doména, Active Directory, Novell eDirectory) nebo import/export z/do souboru ve formátu CSV. Po výbˇ eru pˇ ríslušné volby se otevˇ re dialog pro import uživatel˚ u: Import ze souboru Uživatelské úˇ cty je možné importovat ze soubor˚ u ve formátu CSV. Data v souboru musí být uložena v urˇ citém tvaru. Nadpisy jednotlivých sloupc˚ u musí korespondovat s položkami v Kerio Connect. Podporovány jsou následující: • Name — uživatelské jméno (napˇ r. jnovak). Povinná položka. • Password — heslo uživatele. Volitelná položka. • FullName — plné jméno uživatele (napˇ r. Jan Novák). Volitelná položka. • MailAddress — e-mailová adresa uživatele. Do sloupce se vyplˇ nuje pouze ˇ cást pˇ red zavináˇ cem. Adres m˚ uže být libovolný poˇ cet (napˇ r. jnovak, novak, honza, jan.novak). Volitelná položka. • Groups — skupiny, do kterých je uživatel pˇ rihlášen. Opˇ et jich v jednom poli m˚ uže být zadáno více. Volitelná položka. • Description — popis uživatele. Volitelná položka. Sloupce lze do tabulky poskládat podle potˇ reby, na jejich poˇ radí nezáleží. Také je možné využít pouze nˇ ekteré z nich (kromˇ e sloupce Name, ten je povinný). Pˇ ri vytváˇ rení souboru vhodného pro import je velmi d˚ uležité, zda jsou data oddˇ elována ˇ cárkou (,) nebo stˇ redníkem (;). Pokud jsou data oddˇ elována stˇ redníkem, pak je další postup jednodušší. Staˇ cí vytvoˇ rit tabulku, v jejímž záhlaví jsou uvedeny standardní názvy položek (vizte výše) a doplnit data. V pˇ rípadˇ e položek MailAddress a Groups je možné zadat i více e-mailových adres nebo skupin. Jednotlivé adresy ˇ ci skupiny je tˇ reba oddˇ elit ˇ cárkou (vizte tabulku 8.1). Name

Password

FullName

jnovak VbD66op1 Jan Novák

Description Vývoj

ˇ jcerny Ahdpppu4 Josef Cerný Obchod

MailAddress

Groups

jnovak

cteni,vsichni

jcerny,cerny

obchod,vsichni

anova

SpoiuS158 Alena Nová Asistentka ˇ reditele anova,alena.nova vsichni

dlunt

pfgzInI1

ˇ editel David Lunt R

Tabulka 8.1

dlunt,lunt

vsichni,obchod

Importovaná data — oddˇ elovaˇ cem je stˇ redník

Pokud jako oddˇ elovaˇ c použijeme ˇ cárku, potom je tˇ reba použít oddˇ elovaˇ ce pro položky MailAddress a Groups, protože jednotlivé položky v nich jsou oddˇ eleny ˇ cárkami. Jako oddˇ elovaˇ c lze použít bud’ uvozovky "..." nebo apostrofy ’...’. Tabulka 8.2 zobrazuje verzi s uvozovkami. 89


Name

Password

FullName

jnovak VbD66op1 Jan Novák

Description Vývoj

ˇ jcerny Ahdpppu4 Josef Cerný Obchod

MailAddress

Groups

jnovak

"cteni, vsichni"

"jcerny,cerny"

"obchod, vsichni"

anova

SpoiuS158 Alena Nová Asistentka ˇ reditele "anova,alena.nova" "vsichni"

dlunt

pfgzInI1

ˇ editel David Lunt R

Tabulka 8.2

"dlunt,lunt"

"vsichni,obchod"

Importovaná data — oddˇ elovaˇ cem je ˇ cárka

Po vytvoˇ rení CSV souboru je postup následující: 1.

Pˇ rihlásíme se do Kerio Connect Administration.

2.

V sekci Úˇ cty → Uživatelé klikneme na tlaˇ cítko Import a export a vybereme volbu Importovat z CSV souboru.

3.

Otevˇ re se dialog (vizte obrázek 8.16), kam zadáme cestu k souboru.

Obrázek 8.16

4.

Import ze souboru — výbˇ er souboru

Klikneme na tlaˇ cítko OK a poˇ ckáme, až se soubor naˇ cte. Otevˇ re se dialog Import uživatel˚ u, kde se zobrazí seznam všech uživatel˚ u, kteˇ rí byli uloženi v CSV souboru (vizte obrázek 8.17). Pokud se nepodaˇ rí data naˇ císt, d˚ uvody mohou být následující: • Soubor není uložen ve formátu CSV. • Sloupce v souboru nejsou správnˇ e oznaˇ ceny nebo nejsou oznaˇ ceny v˚ ubec. CSV soubor musí obsahovat úvodní ˇ rádek s názvy sloupc˚ u, jinak Kerio Connect data nepˇ reˇ cte. Správnˇ e: Name;Password;FullName;MailAddress jnovak;VbD66op1;Jan Novák;jnovak jcerny;Ahdpppu4;Josef ˇ Cerný;jcerny,cerny Špatnˇ e: 90


jnovak;VbD66op1;Jan Novák;jnovak jcerny;Ahdpppu4;Josef ˇ Cerný;jcerny,cerny • Oddˇ elovaˇ ce pro data jsou použity nesprávným zp˚ usobem. Správný postup pro oddˇ elení dat je popsán výše.

Obrázek 8.17 Import ze souboru — importovaní uživatelé

5.

Zaškrtneme všechny uživatele, kteˇ rí mají být importováni. Pokud je tˇ reba oznaˇ cit velké množství uživatel˚ u, mohou nám pˇ ri práci pomoci tlaˇ cítka Oznaˇ cit vybrané a Zrušit oznaˇ cení , která jsou umístˇ ena vlevo dole pod seznamem uživatel˚ u. • Oznaˇ cit vybrané — po použití tlaˇ cítka budou oznaˇ ceni všichni uživatelé, kteˇ rí byli vybráni kurzorem myši (pomocí kláves Shift a Ctrl). • Zrušit oznaˇ cení — všem uživatel˚ um, kteˇ rí již byli oznaˇ ceni, se oznaˇ cení zruší.

6.

Pokud máme nastavenou šablonu pro vytváˇ rení poštovních schránek, vybereme ji v menu Šablona. Pokud pˇ ripravenou šablonu nemáme, ponecháme výchozí nastavení. Pokud nevíte co je šablona a k ˇ cemu se používá, popis najdete v sekci 8.11.

7.

Po výbˇ eru uživatel˚ u pro import staˇ cí nastavení potvrdit tlaˇ cítkem OK.

Windows NT doména Volba Importovat uživatele z umožˇ nuje vybrat zdroj, z nˇ ehož budou uživatelé importováni. V našem pˇ rípadˇ e to bude možnost Doména Windows NT . V tomto pˇ rípadˇ e staˇ cí uvést jediný parametr — Jméno NT domény. Poˇ cítaˇ c, na nˇ emž Kerio Connect bˇ eží, musí být pˇ ridán do této domény. Nepoužívejte tento zp˚ usob importu uživatel˚ u, jestliže doménový server bˇ eží pod operaˇ cním systémem Windows 2000, Windows Server 2003 a Windows Server 2008! V tomto pˇ rípadˇ e proved’te vždy import z Active Directory — vizte dále. 91


Upozornˇ ení: Import uživatel˚ u z NT domény funguje pouze, je-li Kerio Connect nainstalován na platformˇ e MS Windows.

Obrázek 8.18

Import uživatel˚ u z NT domény

Pˇ ri importu uživatelských úˇ ct˚ u z LDAP databáze do Kerio Connect jsou posílána i data velmi citlivá na bezpeˇ cnost (napˇ ríklad uživatelská hesla). Z toho d˚ uvodu je možné komunikaci zabezpeˇ cit SSL šifrováním.

Active Directory Volba Importovat uživatele z umožˇ nuje vybrat zdroj, z nˇ ehož budou uživatelé importováni. V našem pˇ rípadˇ e to bude možnost Active Directory . Pro import uživatel˚ u z Microsoft Active Directory je tˇ reba specifikovat následující údaje: • Jméno domény Active Directory — název domény, z níž mají být uživatelé importováni (zadává se jako DNS doména — tedy napˇ r. domena.cz). • Importovat ze serveru — název serveru, na nˇ emž služba Active Directory pro danou doménu bˇ eží. Má-li služba LDAP(S) nastaven nestandardní port, je možno název serveru doplnit i s pˇ ríslušným portem (napˇ r.: mail1.firma.cz:12345). • Pˇ rihlásit se jako uživatel, Heslo — jméno a heslo uživatele, který má v této doménˇ e vytvoˇ ren úˇ cet. Pro ukládání a zmˇ eny nastavení je tˇ reba právo zápisu. • LDAP filtr — položka se objeví pouze po kliknutí na tlaˇ cítko Upˇ resnˇ ení . Umožˇ nuje úpravu dotazu na LDAP server, ze kterého budou uživatelé importováni. Využití

92


této možnosti doporuˇ cujeme pouze zkušeným administrátor˚ um. Bližší podrobnosti k syntaxi dotazu lze nalézt v manuálu ke konkrétnímu LDAP serveru. • Pˇ ri importu uživatelských úˇ ct˚ u z LDAP databáze do Kerio Connect jsou posílána i data velmi citlivá na bezpeˇ cnost (napˇ ríklad uživatelská hesla). Z toho d˚ uvodu je možné komunikaci zabezpeˇ cit SSL šifrováním.

Obrázek 8.19

Import uživatel˚ u z Active Directory

Novell eDirectory Volba Importovat uživatele z umožˇ nuje vybrat zdroj, z nˇ ehož budou uživatelé importováni. V našem pˇ rípadˇ e to bude možnost Novell eDirectory. Pro import uživatel˚ u z Novell eDirectory je nutné zadat tyto údaje: • NDS organizace — název NDS organizace, z níž mají být uživatelé importováni. • Importovat ze serveru — název nebo IP adresa serveru, na nˇ emž služba pro danou doménu bˇ eží. Má-li služba LDAP(S) nastaven nestandardní port, je možno název serveru doplnit i s pˇ ríslušným portem (napˇ r.: mail1.firma.cz:12345). Pouze Mac OS X obsahuje pro tyto úˇ cely volbu Zabezpeˇ cené pˇ ripojení (LDAPS). • Pˇ rihlásit se jako uživatel, Heslo — jméno a heslo uživatele, který má v této doménˇ e vytvoˇ ren úˇ cet. Pro ukládání a zmˇ eny nastavení je tˇ reba právo zápisu. 93


Obrázek 8.20

Import uživatel˚ u z Novell eDirectory

• LDAP filtr — položka se objeví pouze po kliknutí na tlaˇ cítko Upˇ resnˇ ení . Umožˇ nuje úpravu dotazu na LDAP server, ze kterého budou uživatelé importováni. Využití této možnosti doporuˇ cujeme pouze zkušeným administrátor˚ um. Bližší podrobnosti k syntaxi dotazu lze nalézt v manuálu ke konkrétnímu LDAP serveru. • Pˇ ri importu uživatelských úˇ ct˚ u z LDAP databáze do Kerio Connect jsou posílána i data velmi citlivá na bezpeˇ cnost (napˇ ríklad uživatelská hesla). Z toho d˚ uvodu je možné komunikaci zabezpeˇ cit SSL šifrováním.

Výbˇ er uživatel˚ u Jsou-li splnˇ eny všechny pˇ redpoklady (byly zadány správné údaje, pˇ ríslušný server je dostupný atd.), pak se po stisknutí tlaˇ cítka OK zobrazí seznam uživatel˚ u (vizte obrázek 8.21): 1.

Zaškrtneme uživatele, které chceme do Kerio Connect importovat.

2.

Pokud máme nastavenou šablonu pro vytváˇ rení poštovních schránek, vybereme ji v menu Šablona. Pokud pˇ ripravenou šablonu nemáme, ponecháme výchozí nastavení. Pokud nevíte co je šablona a k ˇ cemu se používá, popis najdete v sekci 8.11.

3.

Stiskneme tlaˇ cítko OK.

94

8.10 Export uživatel˚ u domény do CSV souboru

Obrázek 8.21

Výbˇ er uživatel˚ u pro import

Poznámka: • Pˇ ri importu uživatel˚ u z Active Directory nezáleží na platformˇ e, na které je Kerio Connect nainstalován. • Importovaným uživatel˚ um bude nastaven typ ovˇ eˇ rování podle toho, odkud byli importováni: Doména Windows NT uživatel˚ um z NT domény a Kerberos 5 uživatel˚ um z Active Directory.

8.10 Export uživatel˚ u domény do CSV souboru Nˇ ekdy m˚ uže být potˇ reba rychle získat seznam všech uživatel˚ u urˇ cité domény. Abychom je nemuseli pracnˇ e vypisovat, Kerio Connect umožˇ nuje administrátorovi (s právy ˇ ctení/zápisu nebo s právy pouze ˇ ctení) exportovat uživatele do CSV souboru. Data budou v CSV souboru uložena následovnˇ e: • jednotlivé položky budou od sebe oddˇ eleny stˇ redníky, • obsahuje-li nˇ ekterá položka více údaj˚ u, budou tyto oddˇ eleny ˇ cárkou. Chceme-li exportovat uživatele domény, postupujeme následujícím zp˚ usobem: 1.

Pˇ repneme se do sekce Úˇ cty → Uživatelé.

2.

V seznamu domén vybereme doménu, jejíž uživatele chceme exportovat.

3.

V pravém dolním rohu klikneme na tlaˇ cítko Import a Export a vybereme volbu Export do souboru ve formátu CSV (vizte obrázek 8.22).

4.

V otevˇ reném dialogu si vybereme, zda chceme soubor otevˇ rít nebo uložit. Název souboru bude vypadat následovnˇ e: users_nazevDomeny_datum.CSV

95


Obrázek 8.22

Import a export

Poznámka: Soubor CSV m˚ užeme otevˇ rít v tabulkovém nebo textovém editoru.

8.11 Šablony uživatelských úˇ ct˚ u Šablony slouží pro usnadnˇ ení vytváˇ rení vˇ etšího poˇ ctu uživatelských úˇ ct˚ u (typicky uživatelé v jedné doménˇ e). V šablonˇ e je možno definovat všechny parametry úˇ ctu kromˇ e uživatelského jména a hesla (pokud se používá interní ovˇ eˇ rování). Uživatelské úˇ cty lze pak definovat s použitím vytvoˇ rené šablony, pˇ riˇ cemž staˇ cí vyplnit pouze položky Jméno, Celé jméno a Popis (pˇ ríp. Heslo a Potvrzení hesla). Položky Celé jméno a Popis jsou nepovinné. V nejjednodušším pˇ rípadˇ e tedy staˇ cí vyplnit jedinou položku — Jméno.

Definice šablony Definice šablony se provádí v sekci Konfigurace → Definice → Šablony uživatel˚ u. Dialog pro pˇ ridání ˇ ci zmˇ enu šablony je témˇ eˇ r shodný s dialogem pro vytvoˇ rení uživatelského úˇ ctu. Jméno Název šablony (jednoznaˇ cné jméno, kterým bude šablona identifikována). Popis Tato položka má dvojí význam. Jednak pˇ redstavuje popis šablony, který se zobrazuje vedle jejího názvu v seznamu šablon, a jednak se kopíruje do položky Popis uživatelského úˇ ctu, který je podle této šablony vytvoˇ ren. Ovˇ eˇ rování Zp˚ usob ovˇ eˇ rování uživatele (více vizte kapitolu 8.2). Doména Výbˇ er domény, pro kterou bude tato šablona použita. Zde je možno vybrat nˇ ekterou z lokálních domén, které jsou v Kerio Connect definovány, nebo doménu nespecifikovat.

96

8.11 Šablony uživatelských úˇ ct˚ u

Obrázek 8.23

Založení šablony

Není-li doména specifikována, m˚ uže být šablona použita pro vytvoˇ rení uživatelského úˇ ctu v libovolné doménˇ e (tzv. obecná šablona). Povolit implicitní pravidlo... Zapnutím volby se bude veškerý rozpoznaný spam automaticky pˇ resouvat do složky urˇ cené pro nevyžádanou poštu. Publikovat v globálním adresáˇ ri Celé jméno a adresa uživatele budou propagovány do veˇ rejné složky Kontakty, která slouží jako zdroj firemních kontakt˚ u (celá jména a e-mailové adresy uživatel˚ u). Kontakt bude do veˇ rejné složky pˇ ridán pouze v pˇ rípadˇ e, že je vyplnˇ ena položka Celé jméno. V pˇ rípadˇ e, že jsou uživatelé mapováni z Active Directory nebo Apple Open Directory, synchronizuje se celá LDAP databáze automaticky každou hodinu. Pokud nechcete nˇ ekterého uživatele synchronizovat do veˇ rejných kontakt˚ u, odškrtnˇ ete tuto volbu. Uložit heslo ve vysoce zabezpeˇ ceném... Heslo uživatele je standardnˇ e šifrováno symetrickým klíˇ cem (DES). Volba Uložit heslo v bezpeˇ cnˇ ejším formátu umožˇ nuje použití bezpeˇ cnˇ ejší, nesymetrické šifry (SHA ˇ retˇ ezec), a tudíž nelze žádným zp˚ usobem heslo znovu pˇ reˇ císt. Nevýhodou SHA šifrování je, že není možné využít nˇ ekteré metody ovˇ eˇ rování pro pˇ rístup na Kerio Connect, konkrétnˇ e jsou to metody APOP, CRAM-MD5 a Digest-MD5. Pro ovˇ eˇ rování pˇ rístupu lze tedy využít pouze metody PLAIN a LOGIN, které ovšem žádným zp˚ usobem nešifrují heslo, z toho d˚ uvodu d˚ uraznˇ e doporuˇ cujeme používat pro pˇ rihlašování uživatel˚ u k serveru pouze SSL spojení. Po zaškrtnutí volby je nutné zmˇ enit heslo uživatele. To m˚ uže udˇ elat bud’ administrátor nebo uživatel (napˇ r. pˇ res rozhraní Kerio WebMail nebo jakéhokoliv e-mailového klienta).

97


Všechny ostatní položky v tomto dialogu jsou shodné s položkami v dialogu pro vytvoˇ rení, resp. zmˇ enu uživatelského úˇ ctu. Hodnoty, které zde budou zadány, budou automaticky doplnˇ eny do odpovídajících položek ve vytváˇ reném úˇ ctu. Podrobnosti najdete v kapitole 8.2.

Použití šablony Vytvoˇ renou šablonu je možno použít pˇ rímo pˇ ri definici uživatelského úˇ ctu v sekci Úˇ cty → Uživatelé. Je-li definována alespoˇ n jedna šablona, budete mít po stisknutí tlaˇ cítka Pˇ ridat na výbˇ er, zda chcete použít šablonu nebo pˇ ridat uživatele lokálního. Na výbˇ er budou pouze ty šablony, které byly vytvoˇ reny pro danou doménu, nebo šablony, v nichž není doména specifikována (obecné šablony). Po výbˇ eru šablony se otevˇ re pr˚ uvodce vytvoˇ rením uživatelského úˇ ctu, v nˇ emž budou do jednotlivých položek dosazeny pˇ ríslušné hodnoty z použité šablony. Podrobnosti najdete v kapitole 8.2.

98

Kapitola 9

Skupiny uživatel˚ u

Uživatelské úˇ cty v rámci každé domény je možno ˇ radit do skupin. Hlavní d˚ uvody vytváˇ rení skupin uživatel˚ u jsou následující: • Pro skupiny uživatel˚ u mohou být pomocí alias˚ u vytvoˇ reny tzv. skupinové adresy — e-mail poslaný na tuto adresu bude doruˇ cen všem ˇ clen˚ um skupiny. • Skupinˇ e uživatel˚ u mohou být nastavena specifická pˇ rístupová práva. Tato práva doplˇ nují práva jednotlivých uživatel˚ u. Definice skupin uživatel˚ u se provádí v sekci Úˇ cty → Skupiny.

Obrázek 9.1

Skupiny

Pole Hledat splˇ nuje stejnou funkci jako v sekci Uživatelé a jeho bližší popis najdete v kapitole 8.6.

9.1 Vytvoˇ rení skupiny uživatel˚ u Novou skupinu uživatel˚ u lze vytvoˇ rit tlaˇ cítkem Pˇ ridat. Po jeho stisknutí se zobrazí pr˚ uvodce vytvoˇ rením skupiny uživatel˚ u.

99


Název a popis skupiny Jméno Název skupiny (jednoznaˇ cnˇ e identifikuje skupinu).

Obrázek 9.2

Založení skupiny — obecné údaje

Popis Textový popis skupiny (má pouze informativní charakter, m˚ uže obsahovat libovolné informace nebo z˚ ustat prázdný). Publikovat v globálním adresáˇ ri Název a adresa skupiny budou publikovány do veˇ rejné složky Kontakty, která slouží jako zdroj firemních kontakt˚ u. V pˇ rípadˇ e, že jsou uživatelské úˇ cty a skupiny mapovány z Active Directory nebo Apple Open Directory, synchronizuje se celá LDAP databáze automaticky každou hodinu. Pokud nechcete nˇ ekterou skupinu synchronizovat do veˇ rejných kontakt˚ u, odškrtnˇ ete tuto volbu. Poznámka: Tlaˇ cítkem OK lze dialog Pˇ ridat skupinu v kterékoliv fázi ukonˇ cit. Skupina se vytvoˇ rí, pˇ riˇ cemž do položek, které byly „pˇ reskoˇ ceny“, budou dosazeny výchozí hodnoty.

E-mailové adresy V tomto kroku pr˚ uvodce je možno zadat všechny požadované e-mailové adresy (aliasy) dané skupiny. Skupina nemusí mít pˇ riˇ razenu žádnou adresu (na rozdíl od uživatelského úˇ ctu není automaticky vytváˇ rena adresa ze jména skupiny a domény, v níž je skupina definována). Adresy skupiny lze zadávat pˇ rímo v definici skupiny, nebo v sekci Úˇ cty → Aliasy. Doporuˇ cujeme však zadávat aliasy pˇ rímo v definici skupiny — je to jednodušší a pˇ rehlednˇ ejší.

100

9.1 Vytvoˇ rení skupiny uživatel˚ u

Obrázek 9.3

Založení skupiny — pˇ ridˇ elení e-mailových adres

Poznámka: Jsou-li uživatelské úˇ cty a skupiny udržovány v Active Directory (vizte rímo v panelu Active Directory Users and kapitolu 10.1), pak je možné zadávat jejich aliasy pˇ Computers. Globální aliasy (tj. v sekci Úˇ cty → Aliasy) takto zadávat nelze.

ˇ Clenové skupiny Tlaˇ cítky Pˇ ridat a Odebrat lze pˇ ridat ˇ ci odebrat uživatele do/z této skupiny. Nejsou-li uživatelské úˇ cty dosud vytvoˇ reny, m˚ uže skupina z˚ ustat prázdná a uživatelé do ní mohou být zaˇ razeni pˇ ri definici úˇ ct˚ u (vizte kapitolu 8.2).

101


Obrázek 9.4

Založení skupiny — pˇ ridání uživatel˚ u

Nastavení pˇ rístupových práv Skupina má vždy nastavenu jednu ze tˇ rí úrovní pˇ rístupových práv: Žádná práva Uživatel˚ um ve skupinˇ e nebudou pˇ ridˇ elena žádná práva administrátora úˇ cty Uživatel bude mít administrátorská práva k nastavení uživatelských úˇ ct˚ u, skupin, alias˚ u, konferencí a zdroj˚ u ve stejné doménˇ e, ve které má sám úˇ cet. Více se dozvíte v sekci 4.1. Celý server pouze pro ˇ ctení Všichni uživatelé ve skupinˇ e budou mít pˇ rístup k úˇ ct˚ um z celého serveru, nebudou však moci úˇ cty mˇ enit. Celý server pro ˇ ctení a zápis Všichni uživatelé ve skupinˇ e budou mít administrátorský pˇ rístup ke všem úˇ ct˚ um zˇ rízeným v Kerio Connect Tato skupina smí pˇ rijímat/odesílat zprávy... Volba umožˇ nuje správci Kerio Connect omezit komunikaci pro všechny ˇ cleny skupiny pouze na úroveˇ n lokální domény. To m˚ uže být v mnoha spoleˇ cnostech užiteˇ cné napˇ ríklad pˇ ri ˇ rešení vnitro firemní komunikace. Zaškrtnutím této volby docílíme, že žádný z uživatel˚ u dané skupiny nebude moci odeslat ani pˇ rijmout zprávu z žádné externí domény.

102

9.2 Export ˇ clen˚ u skupiny

Pˇ rístupová práva skupiny se kombinují s vlastními právy uživatele — výsledná práva uživatele tedy odpovídají bud’ jeho vlastním práv˚ um, nebo práv˚ um skupiny, podle toho, která práva jsou vyšší.

9.2 Export ˇ clen˚ u skupiny Chcete-li snadno získat seznam ˇ clen˚ u skupiny, Kerio Connect umožˇ nuje administrátorovi (s právy ˇ ctení/zápisu nebo s právy pouze ˇ ctení) exportovat její ˇ cleny do CSV souboru. Data budou v CSV souboru uložena následovnˇ e: • jednotlivé položky budou od sebe oddˇ eleny stˇ redníky, • obsahuje-li nˇ ekterá položka více údaj˚ u, budou tyto oddˇ eleny ˇ cárkou. Chceme-li exportovat ˇ cleny skupiny, postupujeme následujícím zp˚ usobem: 1.

Pˇ repneme se do sekce Úˇ cty → Skupiny.

2.

Oznaˇ címe skupinu, jejíž ˇ cleny chceme exportovat, a uˇ ciníme dvojklik (nebo klikneme na tlaˇ cítko Zmˇ enit).

3.

V dialogu Zmˇ enit skupinu se pˇ repneme na záložku Uživatelé, kde stiskneme tlaˇ cítko Export (vizte obrázek 9.5).

Obrázek 9.5

Export ˇ clen˚ u skupiny

103


4.

V otevˇ reném dialogu si vybereme, zda chceme soubor otevˇ rít nebo uložit. Název souboru bude vypadat následovnˇ e: users_nazevDomeny_datum.CSV.


104

Kapitola 10

Mapování uživatel˚ u z adresáˇ rových služeb

Kerio Connect m˚ uže kromˇ e vlastní (interní) databáze uživatelských úˇ ct˚ u pracovat také s úˇ cty a skupinami, které jsou uloženy v LDAP databázi (v souˇ casné dobˇ e jsou podporovány databáze Active Directory spoleˇ cnosti Microsoft Corporation a Apple Open Directory). Výhody jsou následující: • uživatelské úˇ cty jsou udržovány na jednom místˇ e, ˇ címž se výraznˇ e snižuje administrativní nároˇ cnost a pravdˇ epodobnost vzniku chyb, • pˇ rístup uživatel˚ u aplikace Kerio Connect ke Global Address List (GAL) adresáˇ rové služby ve svých poštovních schránkách. • možnost sdílet informace napˇ ríˇ c nˇ ekolika servery, jsou-li zapojeny do distribuované domény (více vizte kapitolu 11). Pˇ ríklad: Firma používá doménu Windows 2000 a Kerio Connect. Do firmy byl pˇ rijat nový zamˇ estnanec. Dosavadní postup byl následující: 1.

Vytvoˇ rit uživatelský úˇ cet v Active Directory.

2.

Importovat uživatele do Kerio Connect (nebo zde založit úˇ cet stejného jména a nastavit ovˇ eˇ rování pomocí systému Kerberos).

3.

Pˇ ri zakládání uživatele nebo pozdˇ eji pˇ ridat informace o uživateli (celé jméno a e-mailovou adresu) do veˇ rejné složky s kontakty.

Pˇ ri spolupráci s LDAP databází staˇ cí provést pouze krok 1. Poznámka: Kerio Connect umožˇ nuje používat v rámci jedné domény úˇ cty v LDAP databázi i úˇ cty definované lokálnˇ e. Toho lze využít napˇ r. pro vytvoˇ rení administrátorského úˇ ctu, který bude funkˇ cní i v pˇ rípadˇ e nedostupnosti adresáˇ rového serveru.

10.1 Mapování úˇ ct˚ u z Active Directory V praxi pˇ rinese mapování úˇ ct˚ u z Active Directory následující výhody: Jednotná správa úˇ ct˚ u Kerio Connect m˚ uže kromˇ e vlastní (interní) databáze uživatelských úˇ ct˚ u pracovat také s úˇ cty a skupinami, které jsou uloženy v LDAP databázi (v souˇ casné dobˇ e Microsoft Active Directory). Výhodou použití LDAP je, že jsou uživatelské úˇ cty udržovány na jednom

105


místˇ e, ˇ címž se výraznˇ e snižuje administrativní nároˇ cnost a pravdˇ epodobnost vzniku chyb. Spoleˇ cná správa kontakt˚ u Všichni uživatelé z domény nebo z celého Kerio Connect (podle nastavení) budou mít pˇ rístup k veˇ rejné složce Kontakty, do které se propagují kontakty všech uživatel˚ u Active Directory. Poznámka: Existují-li uživatelé, kteˇ rí se nemají zobrazovat ve veˇ rejné složce s kontakty, potom je tˇ reba jim v administraˇ cním rozhraní aplikace Kerio Connect v sekci Úˇ cty → Uživatelé odškrtnout volbu Publikovat v globálním adresáˇ ri. Online spolupráce Kerio Connect a Microsoft Active Directory Vytvoˇ rení, zmˇ ena nebo zrušení uživatelského úˇ ctu (resp. skupiny) v databázi Microsoft Active Directory se okamžitˇ e promítnou do aplikace Kerio Connect. Upozornˇ ení:

• Pokud úˇ cet vytvoˇ ríte v programu Kerio Connect Administration, zobrazí se upozornˇ ení, že úˇ cet bude vytvoˇ ren pouze lokálnˇ e — nebude tedy duplikován do databáze Active Directory. • V pˇ rípadˇ e nedostupnosti Active Directory serveru nebude možné se k aplikaci Kerio Connect pˇ rihlásit. Pro tento pˇ rípad doporuˇ cujeme vytvoˇ rit alespoˇ n jeden lokální administrativní úˇ cet s právy pro ˇ ctení i zápis. • Pˇ ri zakládání uživatelského úˇ ctu je nutno uživatelské jméno zapsat v ASCII. Pokud bude uživatelské jméno obsahovat národní znaky, m˚ uže se stát, že se uživatel nebude moci pˇ rihlásit ke svému úˇ ctu. Prakticky budete ke zprovoznˇ ení mapování úˇ ct˚ u potˇ rebovat nastavit mapování v administraˇ cním rozhraní a nainstalovat na doménový server speciální rozšíˇ rení Kerio Active Directory Extension. Pr˚ uvodce tˇ emito nastaveními najdete v následujících sekcích.

10.1.1 Nastavení mapování v administraˇ cním rozhraní V administraˇ cním rozhraní aplikace Kerio Connect se pˇ repnˇ ete do sekce Domény, vyberte potˇ rebnou doménu a otevˇ rete její nastavení. Pak se pˇ repnˇ ete do záložky Adresáˇ rová služba: Mapovat uživatelské úˇ cty a skupiny... Volba zapíná/vypíná spolupráci s LDAP databází (je-li tato volba vypnuta, v doménˇ e bude možno vytvoˇ rit pouze lokální úˇ cty).

106

10.1 Mapování úˇ ct˚ u z Active Directory

Obrázek 10.1

Nastavení domény — Active Directory

Typ adresáˇ rové služby Typ LDAP databáze, kterou bude tato doména používat (Active Directory). Jméno poˇ cítaˇ ce DNS jméno nebo IP adresa serveru, na nˇ emž LDAP databáze bˇ eží. Služba LDAP standardnˇ e používá pro komunikaci port 389 (standardní port zabezpeˇ cené verze LDAPS je 636). Je-li tˇ reba použít pro komunikaci mezi Kerio Connect a LDAP databází nestandardní port, je nutné jej doplnit k názvu nebo IP adrese serveru (napˇ r.: mail1.firma.cz:12345 nebo 212.100.12.5:12345). Poznámka: Pokud pro pˇ ripojení využíváte zabezpeˇ cenou verzi služby LDAP, musí být do položky doplnˇ eno vždy DNS jméno kv˚ uli ovˇ eˇ rovací proceduˇ re SSL certifikátu. Uživatelské jméno Jméno uživatele (ve tvaru [email protected]), který má práva pro ˇ ctení LDAP databáze. Heslo Heslo uživatele, který má práva pro ˇ ctení LDAP databáze.

107


Zabezpeˇ cené pˇ ripojení (LDAPS) Pˇ ri komunikaci mezi LDAP databází a aplikací Kerio Connect jsou posílána i data velmi citlivá na bezpeˇ cnost (napˇ ríklad uživatelská hesla). Z toho d˚ uvodu doporuˇ cujeme komunikaci zabezpeˇ cit SSL. Pro spuštˇ ení služby LDAPS v Active Directory je tˇ reba spustit na doménovém ˇ radiˇ ci certifikaˇ cní autoritu, která je pro Kerio Connect d˚ uvˇ eryhodná. Upozornˇ ení: SSL šifrování má na server vyšší nároky ohlednˇ e výkonu (rychlost internetové linky, výkon procesoru). Zejména v pˇ rípadˇ e navazování mnoha spojení pˇ ri komunikaci mezi LDAP databází a aplikací Kerio Connect nebo velkého množství uživatel˚ u v LDAP databázi m˚ uže komunikaci výraznˇ e zpomalovat. Zatˇ ežuje-li SSL šifrování server neúmˇ ernˇ e, doporuˇ cujeme využít pouze nezabezpeˇ cenou verzi služby LDAP. Záložní adresáˇ rový server DNS jméno nebo IP adresa záložního serveru, na nˇ emž je spuštˇ ena stejná LDAP databáze. Pokud pro pˇ ripojení využíváte zabezpeˇ cenou verzi služby LDAP, musí být do položky doplnˇ eno vždy DNS jméno kv˚ uli ovˇ eˇ rovací proceduˇ re SSL certifikátu. Upozornˇ ení: Má-li doména také záložní adresáˇ rový server, je potˇ reba v konfiguraˇ cním souboru Kerberosu (krb5.conf nebo edu.mit.Kerberos) nadefinovat druhý KDC záznam. Jméno domény Active Directory Pokud se název domény liší od názvu v Active Directory, zaškrtnˇ ete volbu a doplˇ nte její jméno do pole Odlišné od jména této e-mailové domény. Tlaˇ cítkem Test pˇ ripojení je možno vyzkoušet správnost nastavených parametr˚ u. Testovány jsou položky jméno nebo adresa serveru (zda je možno se k nˇ emu pˇ ripojit), uživatelské jméno a heslo (zda je možné ovˇ eˇ rení) a také zda jsou na serveru, kde je spuštˇ ena Active Directory, nainstalovány Kerio Active Directory Extension (vizte kapitolu 10.1.2). Poznámka: Výše popsaná spolupráce s LDAP databází nijak nesouvisí s vestavˇ eným LDAP serverem — ten je urˇ cen pro pˇ rístup k adresáˇ ri kontakt˚ u z poštovních klient˚ u (podrobnosti cítaˇ ci jako Active Divizte kapitolu 20). Jestliže je Kerio Connect nainstalován na stejném poˇ rectory, je tˇ reba z d˚ uvodu zabránˇ ení kolize zmˇ enit ˇ císlo portu služby LDAP (Konfigurace → Služby).

10.1.2 Kerio Active Directory Extension Kerio Active Directory Extension je rozšíˇ rení adresáˇ rové služby Microsoft Active Directory (dále jen Active Directory) o položky obsahující specifické informace pro Kerio Connect. Instalací rozšíˇ rení lze integrovat ˇ cást Kerio Connect do Active Directory, a zjednodušit tak administraˇ cní úkony spojené se správou uživatel˚ u.

108


Instalace Instalace Kerio Active Directory Extension je standardnˇ e provádˇ ena pomocí pr˚ uvodce. Po odsouhlasení licenˇ cních podmínek je možno vybrat cílový adresáˇ r. V dalším kroku se objeví okno zobrazující pr˚ ubˇ eh instalace. V levém dolním rohu okna jsou umístˇ ena tlaˇ cítka pro zobrazení záznamu o instalaci (View Log) a jeho uložení do souboru (Save Log to File).

Obrázek 10.2

Pr˚ ubˇ eh instalace

Poznámka: 1. V závislosti na instalované verzi prohlížeˇ ce Microsoft Internet Explorer m˚ užete být ještˇ e vyzváni k instalaci komponenty Microsoft XML Parser. Pokud se tato výzva objeví, je tˇ reba Microsoft XML Parser nainstalovat, jinak nem˚ uže být instalace Kerio Active Directory Extension dokonˇ cena! 2. Kerio Active Directory Extension je k dispozici pouze v anglickém jazyce. Systémové požadavky Kerio Active Directory Extension podporuje ve Windows 2000 Server typy Active Directory NT compatible i 2000 native. Ve Windows 2003 typy Active Directory 2000 native a Active Directory 2003. Active Directory Active Directory je adresáˇ rová služba, která uchovává informace o objektech v síti Microsoft Network (uživatelích, skupinách, poˇ cítaˇ cích atd.). Aplikace podporující Active Directory si pomocí této adresáˇ rové služby zjišt’ují parametry a práva objekt˚ u. Základem Active Directory je strukturovaná databáze. Uživatelé a skupiny v doménˇ e jsou provázány s LDAP databází Active Directory. Výhodou použití LDAP je, že jsou uživatelské úˇ cty udržovány na jednom místˇ e, ˇ címž se výraznˇ e snižuje 109


administrativní nároˇ cnost a pravdˇ epodobnost vzniku chyb. Uživatelé i skupiny je nutno pˇ ridávat pomocí MMC (Microsoft Management Console). Nový uživatel ˇ ci skupina pˇ ridaná do domény provázané s Active Directory pomocí Kerio Connect Administration se uloží pouze do lokální databáze Kerio Connect. MMC spustíme z menu Start → Nastavení → Ovládací panely → Nástroje pro správu → Uživatelé a poˇ cítaˇ cové služby Active Directory (Start → Settings → Control Panel → Administrative tools → Active Directory Users And Computers).

Definice uživatelského úˇ ctu V konzoli Uživatelé a poˇ cítaˇ cové služby Active Directory zvolíme sekci Uživatelé (Users). Volbou Nový → Uživatel (New → User) spustíme pr˚ uvodce pro vytvoˇ rení nového uživatelského úˇ ctu. Upozornˇ ení: Pˇ ri zakládání uživatelského úˇ ctu je nutno uživatelské jméno zapsat v ASCII. Pokud bude uživatelské jméno obsahovat národní znaky, m˚ uže se stát, že se uživatel nebude moci pˇ rihlásit ke svému úˇ ctu. Standardní pr˚ uvodce je rozšíˇ ren o novou záložku pro vytvoˇ rení Kerio Connect úˇ ctu.

Obrázek 10.3

Nastavení Kerio Connect úˇ ctu

Nyní je tˇ reba zaškrtnout volbu Create a Kerio Connect mailbox, aby byly vytvoˇ reny položky databáze, s nimiž bude Kerio Connect pracovat. Položka Alias slouží k nastavení základní e-mailové adresy uživatele (do této položky je automaticky dosazováno pˇ rihlašovací jméno uživatele zadané v prvním kroku pr˚ uvodce). Další parametry úˇ ctu je možno nastavit v jeho vlastnostech. Na vytvoˇ rený uživatelský úˇ cet klikneme pravým tlaˇ cítkem myši a v kontextovém menu zvolíme Vlastnosti (Properties). V dialogu vybereme záložku Kerio Connect Account, která nabízí následující volby:

110


Obrázek 10.4

Záložka Kerio Connect Account

Mail Account Enabled Zapnutí volby povoluje e-mailový úˇ cet v Kerio Connect. Bude-li volba vypnuta, Kerio Connect bude tento uživatelský úˇ cet ignorovat. E-mail Addresses Nastavení e-mailových adres (alias˚ u) pro daného uživatele. Ve výchozím nastavení má uživatel pˇ riˇ razenu jednu e-mailovou adresu tvoˇ renou jeho uživatelským jménem a doménou, v níž je úˇ cet definován. Forwarding Nastavení pˇ resmˇ erování pošty na zadané e-mailové adresy. Volba Forward to: zp˚ usobí pˇ reposílání zpráv pro daného uživatele na všechny adresy uvedené v tomto poli. Volba Deliver messages to both zp˚ usobí, že pošta bude nejen pˇ resmˇ erována, ale zároveˇ n také ukládána do lokální schránky (tzn. zasílání kopií zpráv na zadané adresy).

111


Mailbox Limits Nastavení omezení schránky dle velikosti místa na disku serveru (Storage size) a poˇ ctu zpráv ve schránce (Number of messages). Každý z tˇ echto limit˚ u je možno vypnout (volba Do not limit...) — pak se na schránku pˇ ríslušné omezení nevztahuje.

Obrázek 10.5

Nastavení omezení schránky

Administration Rights Nastavení pˇ rístupových práv uživatele ke správˇ e aplikace Kerio Connect. Možnosti jsou následující: • No access to administration — bez pˇ rístupu ke správˇ e. Tato volba je výchozí a vyhovuje ve vˇ etšinˇ e pˇ rípad˚ u (bˇ ežní uživatelé by nemˇ eli mít pˇ rístup ke správˇ e serveru). Pro správu aplikace Kerio Connect doporuˇ cujeme vytvoˇ rit lokální úˇ cet (vizte kapitola 8), aby bylo možno Kerio Connect spravovat i v pˇ rípadˇ e výpadku sítˇ eˇ ci Active Directory serveru. • Read only access to administration — pˇ rístup pouze pro ˇ ctení. Uživatel se m˚ uže pˇ rihlásit ke správˇ e serveru a prohlížet si nastavení, nem˚ uže ale provádˇ et žádné zmˇ eny. • Read/write access to administration — plný pˇ rístup ke správˇ e. Uživatel m˚ uže provádˇ et veškeré administraˇ cní úkony. Toto právo by mˇ elo být udˇ eleno jen velmi omezenému poˇ ctu osob.

Definice skupiny Z hlediska Kerio Active Directory Extension je definice skupiny témˇ eˇ r identická s definicí uživatelského úˇ ctu. Pr˚ uvodce vytvoˇ rením skupiny je rovnˇ ež rozšíˇ ren o jeden krok, v nˇ emž je možno skupinˇ e pˇ riˇ radit primární e-mailovou adresu. Záložka Kerio Connect Account umožˇ nuje pouze definici e-mailových adres skupiny (tlaˇ cítko E-Mail Addresses) a nastavení pˇ rístupových práv ke správˇ e aplikace Kerio Connect (tlaˇ cítko Administration Rights.).

112

10.2 Mapování úˇ ct˚ u z Apple Open Directory

10.2 Mapování úˇ ct˚ u z Apple Open Directory V praxi pˇ rinese mapování úˇ ct˚ u z Apple Open Directory výhodu online spolupráce Kerio Connect a Apple Open Directory. Vytvoˇ rení, zmˇ ena nebo zrušení uživatelského úˇ ctu (resp. skupiny) v databázi Open Directory se okamžitˇ e promítnou do aplikace Kerio Connect. Upozornˇ ení:

• Pokud úˇ cet vytvoˇ ríte v administraˇ cním rozhraní Kerio Connect, zobrazí se upozornˇ ení, že úˇ cet bude vytvoˇ ren pouze lokálnˇ e — nebude tedy duplikován do databáze Open Directory. • V pˇ rípadˇ e nedostupnosti Open Directory serveru nebude možné se k aplikaci Kerio Connect pˇ rihlásit. Pro tento pˇ rípad doporuˇ cujeme vytvoˇ rit alespoˇ n jeden lokální administrativní úˇ cet s právy pro ˇ ctení i zápis. • Pˇ ri zakládání uživatelského úˇ ctu v Apple Open Directory je nutno uživatelské jméno zapsat v ASCII. Pokud bude uživatelské jméno obsahovat národní znaky, m˚ uže se stát, že se uživatel nebude moci pˇ rihlásit ke svému úˇ ctu. Prakticky budete ke zprovoznˇ ení mapování úˇ ct˚ u potˇ rebovat nastavit mapování v administraˇ cním rozhraní a nainstalovat na doménový server speciální rozšíˇ rení Kerio Open Directory Extension. Pr˚ uvodce tˇ emito nastaveními najdete v následujících ˇ cláncích.

10.2.1 Nastavení v administraˇ cním rozhraní V administraˇ cním rozhraní Kerio Connect se pˇ repnˇ ete do sekce Domény, vyberte potˇ rebnou doménu a otevˇ rete její nastavení. Pak se pˇ repnˇ ete do záložky Adresáˇ rová služba: Mapovat uživatelské úˇ cty a skupiny... Volba zapíná/vypíná spolupráci s LDAP databází (je-li tato volba vypnuta, v doménˇ e bude možno vytvoˇ rit pouze lokální úˇ cty). Typ adresáˇ rové služby Typ LDAP databáze, kterou bude tato doména používat. Mapování úˇ ct˚ u z Apple Open Directory má dvˇ e varianty, které se liší typem ovˇ eˇ rování. Prvním je ovˇ eˇ rování proti password serveru, druhým ovˇ eˇ rování pˇ res systém Kerberos. Ovˇ eˇ rování proti password serveru má jednu zásadní výhodu. Není tˇ reba provádˇ et žádná speciální nastavení na serveru, kde je nainstalován Kerio Connect. Nevýhod tohoto ovˇ eˇ rování je však více: • Ovˇ eˇ rování je zastaralé a ménˇ e bezpeˇ cné. • Uživatelé si nemohou sami zmˇ enit své uživatelské heslo (v rozhraní Kerio WebMail).

113


Obrázek 10.6

Nastavení domény — Apple Open Directory

• Firma Apple ukonˇ cuje podporu tohoto typu ovˇ eˇ rování. • Využít této metody ovˇ eˇ rování lze pouze, pokud je Kerio Connect nainstalován na systému Mac OS X. Ovˇ eˇ rování proti Kerberos serveru je modernˇ ejší a bezpeˇ cnˇ ejší. Ovˇ eˇ rování touto metodou však vyžaduje nastavení na serveru, kam je nainstalován Kerio Connect. Tato nastavení jsou podrobnˇ e popsána v kapitole 26. Závˇ erem je tˇ reba pˇ ripomenout, že v administraˇ cním rozhraní Kerio Connect, v sekci Konfigurace → Domény, v nastavení domény v záložce Upˇ resnˇ ení musí být vyplnˇ en název Kerberos oblasti, proti které se bude mailserver ovˇ eˇ rovat. Tento název musí souhlasit s názvem Kerberos oblasti uvedeným v souboru /Library/Preferences/edu.mit.Kerberos. V opaˇ cném pˇ rípadˇ e nebude nastavení funkˇ cní. Podrobný popis nastavení ovˇ eˇ rování proti Kerberos serveru na systémech Mac OS X najdete v kapitole 26.3). Jméno poˇ cítaˇ ce DNS jméno nebo IP adresa serveru, na nˇ emž LDAP databáze bˇ eží. Služba LDAP standardnˇ e používá pro komunikaci port 389 (standardní port zabezpeˇ cené verze LDAPS je 636). Je-li tˇ reba použít pro komunikaci mezi aplikací Kerio Connect a 114


LDAP databází nestandardní port, je nutné jej doplnit k názvu nebo IP adrese serveru (napˇ r.: mail1.firma.cz:12345 nebo 212.100.12.5:12345). Poznámka: Pokud pro pˇ ripojení využíváte zabezpeˇ cenou verzi služby LDAP, musí být do položky doplnˇ eno vždy DNS jméno kv˚ uli ovˇ eˇ rovací proceduˇ re SSL certifikátu. Uživatelské jméno Jméno uživatele, který má práva pro ˇ ctení LDAP databáze. M˚ uže to být bud’ uživatel root nebo je možno použít administrátora Open Directory (admin pro Mac OS X 10.3 ˇ ci diradmin pro Mac OS X 10.4 a vyšší). V pˇ rípadˇ e použití administrátora je nutné se ujistit, že se jedná o administrátora Apple Open Directory a ne o systémového administrátora na poˇ cítaˇ ci, kde je Apple Open Directory spuštˇ ena. Pro pˇ ripojení k databázi Apple Open Directory musí být vyplnˇ eno uživatelské jméno ve tvaru: uid=xxx,cn=xxx,dc=xxx • uid — jméno uživatele, pod kterým se pˇ ripojujete do systému. • cn — jméno kontejneru s uživateli (témˇ eˇ r vždy složka users). • dc — jména domény i každé její subdomény (napˇ ríklad mail1.firma.cz → dc=mail1,dc=firma,dc=cz). Heslo Heslo uživatele, který má práva pro ˇ ctení LDAP databáze. Zabezpeˇ cené pˇ ripojení (LDAPS) Pˇ ri komunikaci mezi LDAP databází a aplikací Kerio Connect jsou posílána i data velmi citlivá na bezpeˇ cnost (napˇ ríklad uživatelská hesla). Z toho d˚ uvodu je možné tuto komunikaci zabezpeˇ cit SSL. Upozornˇ ení: SSL šifrování má na server vyšší nároky ohlednˇ e výkonu (rychlost internetové linky, výkon procesoru). Zejména v pˇ rípadˇ e navazování mnoha spojení pˇ ri komunikaci mezi LDAP databází a aplikací Kerio Connect, nebo v pˇ rípadˇ e velkého množství uživatel˚ u v LDAP databázi m˚ uže komunikaci výraznˇ e zpomalovat. Zatˇ ežuje-li SSL šifrování server neúmˇ ernˇ e, doporuˇ cujeme využít pouze nezabezpeˇ cenou verzi služby LDAP. Záložní doménový server DNS jméno nebo IP adresa záložního serveru, na nˇ emž je spuštˇ ena LDAP databáze. Pokud pro pˇ ripojení využíváte zabezpeˇ cenou verzi služby LDAP, musí být do položky doplnˇ eno vždy DNS jméno kv˚ uli ovˇ eˇ rovací proceduˇ re SSL certifikátu. Pˇ rípona pro hledání v LDAP databázi (search suffix) Pokud je zvolen v položce Typ adresáˇ rové služby Apple Open Directory, doplˇ nte do této položky pˇ ríponu ve tvaru dc=subdomena,dc=domena.

115


Tlaˇ cítkem Test pˇ ripojení je možno vyzkoušet správnost nastavených parametr˚ u. Testovány jsou položky jméno nebo adresa serveru (zda je možno se k nˇ emu pˇ ripojit) a uživatelské jméno a heslo (zda je možné ovˇ eˇ rení). Poznámka: Výše popsaná spolupráce s LDAP databází nijak nesouvisí s vestavˇ eným LDAP serverem — ten je urˇ cen pro pˇ rístup k adresáˇ ri kontakt˚ u z poštovních klient˚ u (podrobnosti vizte kapitolu 20). Jestliže je Kerio Connect nainstalován na stejném poˇ cítaˇ ci jako Apple Open Directory, je tˇ reba z d˚ uvodu zabránˇ ení kolize zmˇ enit ˇ císlo portu služby LDAP (Konfigurace → Služby).

10.2.2 Kerio Open Directory Extension Kerio Open Directory Extension je rozšíˇ rení adresáˇ rové služby Apple Open Directory o možnost mapování úˇ ct˚ u do Kerio Connect (rozšiˇ ruje schéma LDAP databáze o položky Kerio Connect). V praxi to znamená, že pˇ ri vytváˇ rení, zmˇ enách nebo rušení uživatelských úˇ ct˚ u a skupin v databázi Apple Open Directory se zmˇ eny okamžitˇ e promítnou do Kerio Connect. Navíc budou mít uživatelé aplikace Kerio Connect k dispozici kontakty LDAP databáze Apple Open Directory ve svých poštovních schránkách (ve veˇ rejné složce Kontakty).

Instalace Instalaˇ cní balík s Kerio Open Directory Extension je možno získat zdarma na produktových stránkách spoleˇ cnosti Kerio Technologies. Instalace Kerio Open Directory Extension probíhá standardnˇ e pomocí pr˚ uvodce. Upozornˇ ení: Pˇ ri použití konfigurace Mac OS X server˚ u typu Master/Replica je nutné Kerio Open Directory Extension nainstalovat jak na master server, tak na všechny jeho replica servery. V opaˇ cném pˇ rípadˇ e nebude mapování úˇ ct˚ u funkˇ cní. Existuje-li následující konfigurace: • používáte-li Kerio Open Directory Extension ve verzi 6.6 a vyšší, • servery jsou spuštˇ eny na Mac OS X 10.5.3 a vyšších, • Replica servery byly vytvoˇ reny poté, co bylo rozšíˇ rení Kerio Open Directory Extension nainstalováno na Master server, pak si Replica servery rozšíˇ rení automaticky stáhnou z Master serveru pˇ ri vytváˇ rení. Nainstalujete-li pˇ res pˇ redchozí návod Kerio Open Directory Extension na Replica servery manuálnˇ e, nastavení nebude nijak poškozeno.

116


Systémové požadavky Kerio Open Directory Extension lze nainstalovat na operaˇ cní systém Mac OS X 10.4 Tiger a vyšší.

Apple Open Directory Apple Open Directory je adresáˇ rová služba standardnˇ e dodávaná se systémy Mac OS X Server. Tato adresáˇ rová služba je obdobou Active Directory firmy Microsoft. Stejnˇ e jako Active Directory umožˇ nuje uchovávat informace o objektech v síti (uživatelích, skupinách, poˇ cítaˇ cích atd.), ˇ ovˇ erovat uživatele atd. Informace o uživatelích a skupinách v Apple Open Directory jsou uloženy v LDAP databázi Open LDAP. Výhodou mapování úˇ ct˚ u do Kerio Connect je, že jsou uživatelské úˇ cty a skupiny udržovány na jednom místˇ e a nemusí být importovány a spravovány v Apple Open Directory a Kerio Connect zároveˇ n. Pouze v pˇ rípadˇ e, že je potˇ reba definovat konfiguraci specifickou pro poštovní schránky (napˇ r. kvótu schránky nebo pˇ reposílání pošty), musí být provedena v Kerio Connect (kapitola 8). Upozornˇ ení: Pˇ ri zakládání uživatelského úˇ ctu v Apple Open Directory je nutno uživatelské jméno zapsat v ASCII. Pokud bude uživatelské jméno obsahovat národní znaky, m˚ uže se stát, že se uživatel nebude moci pˇ rihlásit ke svému úˇ ctu.

Nastavení mapování uživatel˚ u do Kerio Connect Na Mac OS X Serveru obvykle nejsou kromˇ e instalace Kerio Open Directory Extension nutná žádná další nastavení. Jediným omezením je nutnost uložení uživatelských jmen v ASCII. Pokud bude uživatelské jméno obsahovat národní znaky, m˚ uže se stát, že se uživatel nebude moci pˇ rihlásit ke svému úˇ ctu. V Kerio Connect je tˇ reba provést následující: 1.

V nastavení domény musí být povoleno a nastaveno mapování uživatelských úˇ ct˚ u z adresáˇ rové služby Apple Open Directory.

2.

V nastavení domény musí být nastaveno ovˇ eˇ rování uživatel˚ u pˇ res Kerberos (více vizte kapitolu 7.7).

3.

V nastavení uživatele musí být nastaveno ovˇ eˇ rování uživatel˚ u pˇ res Kerberos (více vizte kapitolu 8.2).

4.

Chcete-li, aby se kontakt uživatele nezobrazoval ve veˇ rejné složce s Kontakty, odškrtnˇ ete v administraˇ cním rozhraní Kerio Connect v sekci Úˇ cty → Uživatelé v nastavení uživatele volbu Publikovat v globálním adresáˇ ri.

117

Kapitola 11

Distribuovaná doména

Používáte-li ve vaší spoleˇ cnosti více server˚ u Kerio Connect umístˇ ených fyzicky na r˚ uzných místech (v r˚ uzných mˇ estech, státech nebo kontinentech), m˚ užete je nyní vzájemnˇ e propojit a všechny uživatele napˇ ríˇ c všemi servery pˇ resunout do jedné poštovní domény (distribuované domény). Jedinou nutnou podmínkou pro správnou funkci distribuované domény je mapování uživatel˚ u z adresáˇ rové služby. Po konfiguraci distribuované domény budou moci uživatelé: • být dˇ eleni do spoleˇ cných uživatelských skupin, • pˇ ristupovat ke spoleˇ cným kontakt˚ um (Global Address List), • rezervovat spoleˇ cné zdroje, • plánovat sch˚ uzky všem uživatel˚ um distribuované domény. Distribuovaná doména nepodporuje: • rozložení zátˇ eže, • sdílení složek (i veˇ rejných), • sdílení lokálních uživatel˚ u a uživatelských skupin (uživatelé a skupiny, které nejsou mapované z adresáˇ rové služby). Nastavit a spravovat distribuované domény je možné pouze v Kerio Connect Administration. Distribuovaná doména je komplexní vlastnost produktu Kerio Connect. Z tohoto d˚ uvodu je v tomto manuálu uvedeno pouze základní nastavení. Celkové nastavení je podrobnˇ e popsáno v samostatném manuálu Kerio Connect 7, Distribuovaná doména.

11.1 Doporuˇ cení Hardwarová konfigurace • Každý ze server˚ u pˇ rizp˚ usobte poˇ ctu uživatel˚ u (vizte kapitolu 2.1). • Konfiguraci master serveru pˇ rizp˚ usobte celkovému poˇ ctu uživatel˚ u na všech serverech. 118

11.2 Nastavení distribuované domény

Licence • Každý server musí mít nainstalovanou jednu samostatnou licenci pro vámi urˇ cený poˇ cet uživatel˚ u. • Informace o licencích naleznete v kapitole 5.4

11.2 Nastavení distribuované domény Distribuovaná doména systému Kerio Connect funguje na principu master/slave. To znamená, že jeden server si zvolíme jako master (napˇ r. na centrále) a k nˇ emu ostatní (slave) servery pˇ ripojíme. Master server bude napˇ ríklad: • ˇ rídit pˇ ríchozí i odchozí komunikaci, • zajišt’ovat antivirovou a antispamovou kontrolu. Pˇ resvˇ edˇ címe se, že na všech serverech máme doménu se shodným jménem. Pokud ne, založíme novou shodnou lokální doménu (vizte kapitolu 7.2) nebo stávající doménu pˇ rejmenujeme (vizte kapitolu 7.8). Poté na všech slave serverech Kerio Connect provedeme následující nastavení: 1.

Pˇ repneme se do sekce Konfigurace → Domény.

2.

Tlaˇ cítkem Distribuované domény zobrazíme úvodní dialog pr˚ uvodce s informacemi o postupu. Klikneme na tlaˇ cítko Další .

Obrázek 11.1

Pˇ ripojení mezi distribuované domény

119


3.

Vyplníme DNS jméno master serveru a uživatelské jméno a heslo uživatele s právy administrátora (vizte obrázek 11.1).

4.

Server se pˇ ripojí do distribuované domény. Pro ovˇ eˇ rení klikneme znovu na tlaˇ cítko Distribuované domény a zde se zobrazí tabulka všech server˚ u, které jsou k doménˇ e pˇ ripojeny (vizte obrázek 11.3). Poznámka: Pˇ ripojení nové domény se projeví na všech serverech do 5 minut.

5.

V síti je tˇ reba používat adresáˇ rovou službu (nejlépe Active Directory nebo Apple Open Directory, ale lze použít i jiný LDAP server). Všechny servery, které jste pˇ ridali do distribuované domény, se musí být schopny pˇ rihlásit k serveru, kde je spuštˇ ena shodná adresáˇ rová služba (informace, jak namapovat uživatele z adresáˇ rové služby, naleznete v kapitole 10).

6.

Lokální domény mají ikonu vedle svého jména v barvˇ e modré. Je-li distribuovaná doména správnˇ e nastavena, bude tato ikona ˇ cervené barvy (vizte obrázek 11.2).

Obrázek 11.2

Seznam domén s distribuovanou doménou

Upozornˇ ení: Pˇ ri pˇ ripojení pˇ revezme slave server všechna doménová nastavení distribuované domény od master serveru vˇ cetnˇ e nastavení veˇ rejných složek. Poznámka: Další možné scénáˇ re, jak nastavit distribuovanou doménu ve vaší spoleˇ cnosti, najdete v manuálu Kerio Connect 7, Distribuovaná doména.

11.3 Odebrání serveru z distribuované domény Chceme-li jeden ze server˚ u z distribuované domény odebrat, použijeme tlaˇ cítko Distribuované domény v sekci Konfigurace → Domény. V dialogu, který se otevˇ re klikneme na Odpojit tento server od master serveru (vizte obrázek 11.3).

120

11.4 Uživatelské úˇ cty v distribuovaných doménách

Poznámka: Odpojit doménu m˚ užeme vždy jen pˇ res její vlastní administrátorské rozhraní. Jsme-li pˇ ripojeni k jinému serveru, klikneme na jeho jméno v dialogu Konfigurace → Domény → Distribuované domény.

Obrázek 11.3

Odpojení od master serveru

11.4 Uživatelské úˇ cty v distribuovaných doménách Používáme-li distribuovanou doménu, spravujeme uživatele spoleˇ cnˇ e v adresáˇ rové službˇ e. Chceme-li pˇ ridat nový uživatelský úˇ cet do distribuované domény, je tˇ reba ho namapovat z adresáˇ rové služby (více najdete v manuálu Kerio Connect 7, Pˇ ríruˇ cka administrátora). Pˇ ri odebrání uživatele z distribuované domény postupujeme bˇ ežným zp˚ usobem (vizte manuál Kerio Connect 7, Pˇ ríruˇ cka administrátora). Pro správu alias˚ u, e-mailových konferencí a zdroj˚ u, prosím využijte vždy administrátorské rozhraní na domovském serveru. Upozornˇ ení: Pˇ restože m˚ užete v distribuované doménˇ e i nadále zakládat a spravovat lokální položky, d˚ uraznˇ e doporuˇ cujeme je nepoužívat. Výhodou však m˚ uže být jeden lokální administrátorský úˇ cet, k nˇ emuž se budete moci pˇ rihlásit, i když napˇ ríklad server s adresáˇ rovou službou nebude k dispozici.

11.5 Migrace uživatele v distribuované doménˇ e Kerio Connect umožˇ nuje v distribuované doménˇ e fyzický pˇ resun poštovní schránky uživatele na jiný server (výhodné napˇ ríklad stˇ ehuje-li se zamˇ estnanec z jedné poboˇ cky vaší spoleˇ cnosti na druhou).

121


Upozornˇ ení: Pˇ red migrací není nutné vypínat servery, ale doporuˇ cujeme udˇ elat kompletní zálohu datového úložištˇ e (vizte kapitolu 15.2). Migraci doporuˇ cujeme provádˇ et napˇ r. v noci nebo o víkendu.

Nastavení Migraci provádíme vždy ze serveru, na který chceme uživatelské úˇ cty pˇ remístit. Pˇ rihlásíme se do Kerio Connect Administration s právy administrátora: 1.

V sekci Úˇ cty → Uživatelé vybereme jednoho ˇ ci více uživatel˚ u, které chceme pˇ remístit.

2.

Kliknutím na Migrovat sem v nabídce Další akce se po potvrzení zaˇ cnou schránky pˇ remist’ovat na nový server. Schránky se budou pˇ remist’ovat postupnˇ e, jedna po druhé.

Ve sloupci Domovský server se zobrazí stav migrace úˇ ctu nebo úˇ ct˚ u, migrujete-li jich více (vizte obrázek 11.4):

Obrázek 11.4

Migrace uživatel˚ u

Migraci m˚ užete kdykoliv pˇ rerušit tlaˇ cítkem Zrušit migraci. Veškeré doˇ casnˇ e utvoˇ rené soubory budou odstranˇ eny a schránka na p˚ uvodním serveru z˚ ustane nezmˇ enˇ ena. Po ukonˇ cení migrace bude na administrátorský úˇ cet pro každý migrovaný úˇ cet doruˇ cen e-mail s informacemi o výsledku migrace, dobˇ e trvání a velikosti pˇ remístˇ ené schránky. Chceme-li zkontrolovat, kteˇ rí uživatelé (lokální i z adresáˇ rové služby) mají svoji schránku fyzicky na aktuálním serveru, zaškrtneme volbu Zobrazit pouze uživatele na tomto serveru vpravo od jména distribuované domény v horní ˇ cásti sekce Úˇ cty → Uživatelé. 122

11.5 Migrace uživatele v distribuované doménˇ e

Upozornˇ ení: Pokud mˇ el migrovaný uživatel nasdílené složky s lokálnˇ e vytvoˇ renými uživateli (uživateli, kteˇ rí nejsou souˇ cástí distribuované domény), po migraci na nový server na nˇ e „neuvidí“.

123

Kapitola 12

Odesílání a pˇ ríjem pošty

12.1 Doruˇ cování pošty v síti Internet Pro pochopení problematiky správného nastavení vašeho poštovního serveru je nutno znát základní principy doruˇ cování elektronické pošty v Internetu. Tato kapitola obsahuje ve struˇ cné podobˇ e nejd˚ uležitˇ ejší informace o této problematice. Zkušení sít’oví administrátoˇ ri mohou tuto kapitolu pˇ reskoˇ cit.

MX záznamy Pro každou internetovou doménu (napˇ r. firma.cz) musí být zaneseny pˇ ríslušné záznamy do DNS (DNS je celosvˇ etová distribuovaná databáze doménových jmen). Jedním z tˇ echto údaj˚ u je takzvaný záznam MX (Mail eXchanger neboli poštovní server). Záznamy pro doménu firma.cz by mohly vypadat napˇ r. takto: firma.cz mail.firma.cz smtp.poskytovatel.cz

MX MX A A

10 20

mail.firma.cz smtp.poskytovatel.cz 215.75.128.33 215.75.128.1

První dva záznamy ˇ ríkají, že poštovním serverem s preferencí 10 je poˇ cítaˇ c mail.firma.cz a serverem s preferencí 20 poˇ cítaˇ c smtp.poskytovatel.cz. Preference má význam ceny ˇ serveru. Cím nižší preference, tím vyšší bude priorita tohoto serveru — z toho vyplývá, že server mail.firma.cz je poštovním serverem domény firma.cz s nejvyšší prioritou a server smtp.poskytovatel.cz serverem s druhou nejvyšší prioritou pro tuto doménu. MX záznam˚ u pro danou doménu m˚ uže být definován libovolný poˇ cet. Mají-li dva nebo více záznam˚ u stejnou prioritu, pak se náhodnˇ e vybírá jeden z tˇ echto server˚ u (rozdˇ elení zátˇ eže — load balancing). Druhé dva záznamy již nejsou typu MX, ale typu A (Address). Ty ˇ ríkají, jakou IP adresu má poˇ cítaˇ c daného jména (MX záznam totiž nem˚ uže být nastaven na IP adresu, ale pouze na jméno serveru).

Doruˇ cení e-mailu Co se tedy dˇ eje s e-mailem na cestˇ e od odesílatele k pˇ ríjemci? Poštovní klient odesílatele odešle e-mail na sv˚ uj SMTP server. Server zkontroluje adresu pˇ ríjemce, a pokud je doména na tomto serveru lokální, uloží jej pˇ rímo do pˇ ríslušné schránky. Není-li doména pˇ ríjemce lokální, SMTP server zjistí z DNS (vyšle DNS dotaz) jméno primárního poštovního (SMTP) serveru cílové domény a pošle e-mail na tento server. Ten jej uloží do schránky, odkud si jej pˇ ríjemce svým poštovním klientem stáhne a pˇ reˇ cte. 124

12.1 Doruˇ cování pošty v síti Internet

Jestliže odesílající SMTP server zjistí, že je primární server cílové domény nedostupný, pokusí se kontaktovat sekundární server (resp. server s nejbližší vyšší preferencí) a odeslat e-mail na nˇ ej. Není-li dostupný žádný ze server˚ u uvedených v MX záznamech pro cílovou doménu, bude odeslání v pˇ reddefinovaných intervalech opakovat, a pokud nebude v urˇ citém ˇ case úspˇ ešný, vrátí e-mail odesílateli jako nedoruˇ citelný. Je-li napˇ r. primární server domény nedostupný, a sekundární dostupný, odešle se e-mail na sekundární server. Principiálnˇ e tedy m˚ uže jako sekundární (terciární atd.) server fungovat libovolný SMTP server v Internetu (proˇ c jen principiálnˇ e, bude objasnˇ eno dále).

Odesílání pošty pˇ res jiný SMTP server (Relaying) Cesta e-mailu od odesílatele k pˇ ríjemci m˚ uže mít ještˇ e druhou podobu. Klient odešle e-mail na sv˚ uj SMTP server, který jej pˇ redá jinému SMTP serveru a ten jej pak doruˇ cí do cílové domény výše popsaným zp˚ usobem. Toto pˇ redávání veškeré odchozí pošty se nazývá relaying (pˇ redávání na nadˇ razený server). Výhodou je, že odeslání odchozího e-mailu je jednorázová akce (e-maily navíc mohou být ˇ razeny do fronty a odesílány v urˇ citých intervalech po dávkách). Odesílající SMTP server se nemusí zabývat dotazováním DNS na servery cílových domén, opakováním odeslání v pˇ rípadˇ e nedosažitelnosti cílových server˚ u atd. Toto je velmi užiteˇ cné zejména v pˇ rípadˇ e pomalých a vytáˇ cených linek k Internetu — u vytáˇ cené linky se tím ušetˇ rí nemalá ˇ cástka za pˇ ripojení. Vˇ etšina SMTP server˚ u v Internetu je ale proti relayingu ochránˇ ena, a to z toho d˚ uvodu, aby nemohly být zneužity k rozesílání nevyžádaných e-mail˚ u (spam˚ u). Chcete-li tedy odesílat veškerou poštu pˇ res jiný SMTP server, musíte se dohodnout s jeho správcem, aby relaying povolil (typicky na základˇ e kontroly IP adresy vašeho serveru nebo ovˇ eˇ rení jménem a heslem).

Pˇ ríkaz ETRN ETRN je pˇ ríkaz SMTP protokolu, který slouží k vyžádání pošty uložené na jiném SMTP serveru. Typicky se používá v následujících pˇ rípadech: 1.

Zákazník má vlastní doménu (napˇ r. firma.cz) a jeho server je k Internetu pˇ ripojen vytáˇ cenou linkou. Vytáˇ cená linka musí mít pˇ ridˇ elenu pevnou IP adresu. Primární MX záznam pro doménu firma.cz je nasmˇ erován na SMTP server poskytovatele Internetu (napˇ r. smtp.poskytovatel.cz). V okamžiku pˇ ripojení k Internetu vyšle SMTP server zákazníka na primární server pˇ ríkaz ETRN, který v podstatˇ eˇ ríká: „Ted’ jsem online, pošli mi poštu.“ Má-li primární server nˇ ejaké zprávy pro danou doménu, pak mu je pošle. Pokud ne, m˚ uže vyslat zápornou odpovˇ ed’, nebo neodpoví v˚ ubec. Server zákazníka musí mít proto nastavenu urˇ citou dobu (timeout), po níž ˇ cekání na odpovˇ ed’ primárního serveru ukonˇ cí.

125


Poznámka: Po pˇ rijetí pˇ ríkazu ETRN naváže primární server nové spojení na server zákazníka a tímto spojením poštu posílá. Je-li tedy server zákazníka chránˇ en firewallem, je tˇ reba, aby byl do Internetu zpˇ rístupnˇ en (otevˇ ren) port 25. 2.

Pˇ redpokládejme, že doména firma.cz má primární server smtp.firma.cz a sekundární server smtp2.firma.cz. Oba tyto servery mají trvalé pˇ ripojení k Internetu. Za normálních okolností jsou všechny zprávy pro tuto doménu posílány na primární server smtp.firma.cz. Jestliže dojde k výpadku tohoto serveru (pˇ retížení, pˇ rerušená linka apod.), jsou tyto zprávy posílány na sekundární server smtp2.firma.cz. Primární server pak m˚ uže v pravidelných intervalech vysílat na sekundární server pˇ ríkaz ETRN, ˇ címž si vyžádá uloženou poštu. Pr˚ ubˇ eh komunikace je shodný jako v pˇ redchozím pˇ rípadˇ e (podrobný popis nastavení sekundárního SMTP serveru je popsán v samostatné kapitole 7.11). Tento zp˚ usob vyžádání pošty je rychlejší a spolehlivˇ ejší než ˇ cekání, až sekundární server sám poštu pošle (vizte sekci Doruˇ cení e-mailu). Navíc je pˇ ríkaz ETRN použitelný i pro vytáˇ cené linky.

Doménový koš Primární server domény nemusí být vždy server, na nˇ emž jsou umístˇ eny schránky lokálních uživatel˚ u. Je-li napˇ r. firma, které daná doména patˇ rí, pˇ ripojena k Internetu vytáˇ cenou linkou, m˚ uže mít u poskytovatele Internetu zˇ rízen tzv. doménový koš, což je jedna schránka, do níž se ukládá pošta pro celou doménu. Koncový poštovní server pak m˚ uže tuto schránku vybírat ˇ ˇ (v casech ci intervalech dle potˇ reby) a poštu tˇ rídit do jednotlivých lokálních schránek. V MX záznamech pro tuto doménu je pak jako primární server uveden SMTP server poskytovatele, u nˇ ehož je doménový koš umístˇ en. Doménový koš pˇ rijímá zprávy z Internetu pˇ res SMTP protokol. Každá zpráva tedy obsahuje jak tˇ elo, tak i SMTP obálku. Doménový koš pˇ rijímá pouze tˇ elo zprávy. Informace z obálky se zkopírují do nˇ ekteré z hlaviˇ cek zprávy (záleží na nastavení doménového koše). Kerio Connect se pˇ rihlásí a ovˇ eˇ rí do doménového koše. Poté zprávy protokolem POP3 stáhne a zaˇ cne je tˇ rídit podle tˇ rídicích pravidel nastavených v Kerio Connect. Aby se zpráva správnˇ e zatˇ rídila, musí obsahovat informaci o pˇ ríjemci (bud’ v nˇ ekteré ze speciálních hlaviˇ cek nebo v položkách To ˇ ci Cc). Pokud zpráva žádnou informaci o pˇ ríjemci neobsahuje, bude systémem vrácena odesílateli. Pouze v pˇ rípadˇ e, že je v Kerio Connect nastaveno speciální tˇ rídicí pravidlo (kapitola 12.4), budou se zprávy bez pˇ ríjemce ukládat v nastavené schránce. Poznámka: Pro tˇ rídˇ ení pošty doporuˇ cujeme nastavit speciální hlaviˇ cku X-Envelope-To:, protože tato hlaviˇ cka obsahuje pˇ resné informace o pˇ ríjemcích. Nem˚ uže se potom stát, že zpráva pro více pˇ ríjemc˚ u pˇ rijde každému tolikrát, kolik pˇ ríjemc˚ u zpráva obsahuje.

126

12.1 Doruˇ cování pošty v síti Internet

Pˇ rístup poštovních klient˚ u k uživatelským schránkám Ke svým poštovním schránkám mohou uživatelé pˇ ristupovat r˚ uznými zp˚ usoby: POP3 POP3 (Post Office Protocol version 3) je internetový protokol navržený pro stahování pošty ze serveru na jiný server (vizte sekci Doménový Koš) nebo na poštovního klienta. POP3 protokol je definován v RFC 1939. POP3 protokol pracuje na bázi klient-server. Komunikaci vždy navazuje klient, dále se dotazy klienta a odpovˇ edi serveru pravidelnˇ e stˇ rídají, dokud nedojde k ukonˇ cení komunikace. Jakmile klient inicializuje komunikaci a provede autentizaci (ovˇ eˇ rení jménem a heslem), je možné s poštou zaˇ cít pracovat (stahovat ji na klienta, mazat ji, a podobnˇ e). Kerio Connect bˇ ežnˇ e funguje jako server, ale v pˇ rípadˇ e, že stahuje poštu ze vzdálených POP3 schránek, m˚ uže fungovat také jako klient. POP3 protokol je dnes již ponˇ ekud jednoduchý a zastaralý. Umí v podstatˇ e pouze stáhnout poštu do klientské aplikace, umí pracovat pouze s jednou složkou (INBOX). To znamená, že pokud uživatel pˇ resune v klientovi zprávu do jiné složky, bude tato zpráva ze serveru pˇ resunuta (de facto smazána). Obdobnˇ e se mailbox chová i v opaˇ cném pˇ rípadˇ e. Pokud uživatel má na serveru pˇ rístup k více složkám a zprávu z Inboxu pˇ resune do jiné složky, tak se zpráva do klientské aplikace nem˚ uže stáhnout. Obecnˇ e lze ˇ ríci, že je doporuˇ cováno využívat pro práci s poštou modernˇ ejší protokol IMAP. Výhody protokolu IMAP jsou zjevné zejména ze srovnávací tabulky 12.1. Jedinou výhodou použití tohoto protokolu m˚ uže být ušetˇ rení místa na disku serveru. Uživatelé si svou poštu stáhnou lokálnˇ e na disk a zde si ji mohou roztˇ rídit do složek, mazat ji atd. Z toho d˚ uvodu jsou POP3 úˇ cty využívány zejména v pˇ rípadˇ e freemailových služeb, kde mohou uživatelé využívat schránku o nˇ ekolika MB a poštu si více ménˇ e pravidelnˇ e stahují lokálnˇ e na sv˚ uj disk. Další výhodou m˚ uže být snadná možnost práce offline, kterou lze využít v pˇ rípadˇ eˇ casovˇ e omezeného pˇ ripojení k Internetu. Dnes však již témˇ eˇ r všichni poštovní klienti umí pracovat v režimu offline jak s úˇ cty typu POP3, tak s IMAP úˇ cty. IMAP IMAP (Internet Mail Access Protocol) je internetový protokol používaný, stejnˇ e jako protokol POP3, pro pˇ ripojení k poštovnímu serveru a ˇ ctení nebo jiné manipulaci s poštou. IMAP protokol je definován v RFC 3501. Protokol IMAP umožˇ nuje uživatel˚ um nejen stahování pošty na sv˚ uj poˇ cítaˇ c (do svého e-mailového klienta), ale také správu úˇ ctu pˇ rímo na serveru. Díky tomu je možné k úˇ ctu pˇ ristupovat z r˚ uzných klientských stanic. Na rozdíl od protokolu POP3 nechává protokol IMAP poštu na serveru a pˇ rímo tam lze zprávy s pomocí poštovního klienta ˇ císt, rušit a ukládat do novˇ e vytvoˇ rených složek, tak jako by byla schránka uložena pˇ rímo na disku klienta. Zároveˇ n je možné mít poštu uloženou v poštovním klientovi. Toto ˇ rešení je žádoucí pˇ redevším tehdy, pokud uživatel používá ˇ casovˇ e omezené pˇ ripojení k Internetu, nebo je z jiných d˚ uvod˚ u pˇ ripojen k serveru jen nˇ ekdy a je nutné mít k dispozici svou poštu offline. Po opˇ etovném pˇ ripojení k síti se složky na serveru a klientovi synchronizují. 127


Dalším ne nepodstatným rozdílem mezi protokoly POP3 a IMAP je možnost manipulace se zprávami již bˇ ehem stahování pošty do lokálního úložištˇ e. V pˇ rípadˇ e protokolu IMAP se totiž nejprve stáhnou hlaviˇ cky e-mail˚ u a uživatel si tak m˚ uže vybrat, který si chce pˇ reˇ císt jako první. Po oznaˇ cení vybrané zprávy dostane tato zpráva prioritu ve stahování na klienta a je možné ji pˇ reˇ císt nebo pˇ resunout do jiné složky nebo cokoliv jiného, zatímco jsou stahovány ostatní zprávy. POP3

IMAP

nešifrovaný i šifrovaný (POP3S)

nešifrovaný i šifrovaný (IMAPS)

umožˇ nuje autorizaci

umožˇ nuje autorizaci

pracuje pouze s jednou složkou

umožˇ nuje manipulaci se složkami (napˇ ríklad pˇ resouvání zpráv z jedné složky do druhé) a všechny složky jsou vytváˇ reny a uchovávány pˇ rímo na serveru

stahuje celou zprávu (zprávy se zobrazují postupnˇ e jak jsou stahovány ze serveru)

stahuje nejprve hlaviˇ cky zprávy, a teprve poté i tˇ ela zpráv

synchronní (v dobˇ e stahování pošty s ní není asynchronní (pˇ ri stahování pošty není možné nijak manipulovat, je tˇ reba poˇ ckat, až zablokována práce s jednotlivými zprávami) bude k dispozici lokálnˇ e na disku) k úˇ ctu m˚ uže pˇ ristupovat pouze jeden klient

k úˇ ctu m˚ uže pˇ ristupovat více klient˚ u zároveˇ n

Tabulka 12.1 Srovnání protokol˚ u POP3 a IMAP

Pˇ rístup pˇ res rozhraní MAPI (MS Outlook) Kerio Connect umožˇ nuje pˇ rístup k poštˇ e pˇ res rozhraní MAPI. MAPI (Messaging Application Programming Interface) je univerzální rozhraní pro pˇ renos zpráv, které vyvinula spoleˇ cnost Microsoft. Je to softwarové rozhraní, které umožˇ nuje libovolnému MAPI klientskému programu komunikovat s libovolným poštovním serverem (v našem pˇ rípadˇ e MS Outlook — Kerio Connect). Aby byla komunikace pˇ res rozhraní MAPI umožnˇ ena, spoleˇ cnost Kerio Technologies vyvinula speciální aplikaci Kerio Outlook Connector, která se instaluje na klienta a funguje jako rozšíˇ rení aplikace MS Outlook. MS Outlook s Kerio Outlook Connectorem pracuje s poštou stejným zp˚ usobem jako protokol IMAP, ale obsahuje ˇ radu možností navíc. Díky této úpravˇ e je MS Outlook schopen ve spolupráci s aplikací Kerio Connect pracovat s groupwarovými daty (kontakty, kalendáˇ ri, úkoly a poznámkami) uloženými v úložišti Kerio Connect. Hlavní výhodou spoleˇ cného úložištˇ e dat je jejich dostupnost odkudkoli, kde je k dispozici Internet. Pro pˇ rístup k dat˚ um staˇ cí Internet a internetový prohlížeˇ c (rozhraní Kerio WebMail) nebo MS Outlook s Kerio Outlook Connectorem. MS Outlook s Kerio Outlook Connectorem také umožˇ nuje lepší plánování sch˚ uzek a úkol˚ u (Free/Busy kalendáˇ r) a sdílení r˚ uzných typ˚ u dat mezi uživateli (sdílené a veˇ rejné složky). O Kerio Outlook Connectoru se dozvíte více v kapitole 31.2.

128

12.2 SMTP server

Pˇ rístup pˇ res rozhraní WebDAV (MS Entourage) Kerio Connect podporuje rozhraní WebDAV (Web Distribution Authoring and Versioning), pˇ res které lze také pˇ ristupovat k poštovním úˇ ct˚ um. WebDAV je rozhraní rozšiˇ rující protokol HTTP o možnost skupinovˇ e editovat a spravovat soubory umístˇ ené na serverech. Podpora rozhraní WebDAV v Kerio Connect umožˇ nuje pˇ ripojení poštovního klienta MS Entourage. MS Entourage je poštovní klient ze sady MS Office 2004 for Mac, který dovede pro pˇ ripojení k poštovnímu serveru využívat protokoly POP3, IMAP a rozhraní WebDAV. Uživatel, který se chce pˇ ripojit klientem MS Entourage ke Kerio Connect, m˚ uže využít speciální rozhraní p˚ uvodnˇ e urˇ cené pro komunikaci s MS Exchange. Toto speciální rozhraní oznaˇ cované v MS Entourage jako úˇ cet typu Exchange je založeno na WebDAV komunikaci. Rozhraní WebDAV v MS Entourage poskytuje podobné možnosti jako Kerio Outlook Connector. To znamená, že kromˇ e práce s elektronickou poštou umožˇ nuje také pracovat s groupwarovými daty (pošta, kalendáˇ r, kontakty a veˇ rejné složky), umí využívat Free/Busy server atd. Ve starších verzích se pro pˇ rístup k poštˇ e využíval protokol IMAP a pro ostatní typy složek rozhraní WebDAV. MS Entourage 2004 však již používá WebDAV i pro pˇ rístup k poštovním složkám. Podpora pro spolupráci Kerio Connect a MS Entourage je pˇ rímá. To znamená, že se na klientské stanice nemusí instalovat žádná rozšiˇ rující aplikace, pouze je nutné správnˇ e nastavit základní parametry úˇ ctu pro Exchange. O MS Entourage a jeho správném nastavení se dozvíte více v kapitole 38.

12.2 SMTP server Nastavení SMTP serveru chrání proti zneužití server na nˇ emž Kerio Connect bˇ eží. Ochrana SMTP serveru urˇ cuje, kdo a jakým zp˚ usobem smí tento server používat a zabraˇ nuje tak jeho zneužití. Je-li SMTP server zpˇ rístupnˇ en do Internetu (což musí být vždy, pokud je na nˇ ej nasmˇ erován alespoˇ n jeden MX záznam a je zpˇ rístupnˇ en port 25), m˚ uže se na nˇ ej pˇ ripojit libovolný klient a poslat pˇ res nˇ ej e-mail. Tímto zp˚ usobem lze server zneužít k rozesílání nevyžádaných zpráv (tzv. spam˚ u). Pˇ ríjemce takové zprávy pak v jeho zdrojovém textu vidí jako odesílající server váš SMTP server, a m˚ uže si zablokovat pˇ ríjem zpráv z tohoto serveru. Vaše firma tak m˚ uže být považována za rozesílatele spam˚ u, a v krajním pˇ rípadˇ e m˚ uže být váš server zaznamenán do databáze spam server˚ u. Kerio Connect obsahuje ochranu, která umožˇ nuje definovat, kdo smí pˇ res tento server odesílat zprávy a kam. V principu se m˚ uže na SMTP server pˇ ripojit kdokoliv, aby poslal zprávu do nˇ ekteré z lokálních domén. Odesílat zprávy do jiných domén naopak smˇ ejí pouze oprávnˇ ení (typicky lokální) uživatelé. V této sekci lze také nastavit parametry pro doruˇ cování:

129


ˇízení pˇ Záložka R rístupu ˇ V záložce Rízení pˇ rístupu je možno nastavit skupinu povolených IP adres a/nebo ovˇ eˇ rování uživatel˚ u na SMTP serveru.

Obrázek 12.1

ˇ ízení pˇ R rístupu

Odesílat poštu mimo lokální domény smˇ ejí pouze Tato volba zapíná režim ovˇ eˇ rování odesílatel˚ u dle IP adresy nebo jména a hesla (vizte dále). Obecnˇ e platí, že ovˇ eˇ rení odesílatelé smˇ ejí pˇ res tento server odeslat zprávu do libovolné domény, zatímco neovˇ eˇ rení uživatelé pouze do lokálních domén. Do této skupiny IP adres zaˇ rad’te také všechny d˚ uvˇ eryhodné servery. Tyto servery nebudou kontrolovány SPF a Caller ID kontrolou (více vizte kapitolu 13.5). D˚ uvˇ eryhodné servery nebudou standardnˇ e kontrolovány ani systémem SpamAssassin. Speciální volbou v sekci Filtr spamu v záložce Hodnocení spamu však tuto kontrolu lze explicitnˇ e povolit (více vizte kapitolu 13.1). Uživatelé z této skupiny IP adres Zde je možno nastavit skupinu IP adres, z nichž bude možno odeslat zprávu do libovolné domény. V poli Skupina IP adres se zobrazují skupiny definované v sekci Konfigurace → Definice → Skupiny IP adres. Tlaˇ cítkem Zmˇ enit je možno upravit vybranou skupinu nebo vytvoˇ rit novou (vizte kapitolu 19.1).

130

12.2 SMTP server

Uživatelé ovˇ eˇ rení na SMTP serveru Právo odeslat zprávu do libovolné domény budou mít uživatelé, kteˇ rí budou na SMTP serveru ovˇ eˇ reni uživatelským jménem a heslem. Tuto možnost mají tedy všichni uživatelé, kteˇ rí mají v Kerio Connect vytvoˇ ren sv˚ uj uživatelský úˇ cet. Uživatelé ovˇ eˇ rení pˇ res POP3 z téže IP adresy Volba umožˇ nuje uživatel˚ um ovˇ eˇ reným POP3 (uživatelské jméno a heslo), aby se pˇ ri odesílání pošty nemuseli ovˇ eˇ rovat po dobu zadanou v poli Povolit SMTP relay na ... minut po úspˇ ešném pˇ rihlášení ke službˇ e POP3 na SMTP server. Ovˇ eˇ rování podle IP adres a podle uživatelských jmen funguje nezávisle — uživatel tedy musí splnit alespoˇ n jednu z tˇ echto podmínek. Pokud jsou zapnuty volby Uživatelé z IP adres z této skupiny a Uživatelé ovˇ eˇ rení na SMTP serveru zároveˇ n, pak v pˇ rípadˇ e neúspˇ ešného ovˇ eˇ rení na SMTP serveru Kerio Connect nekontroluje, zda uživatel patˇ rí nebo nepatˇ rí do povolené skupiny IP adres. Open relay Je-li zvolen tento režim, pak SMTP server nekontroluje uživatele, kteˇ rí pˇ res nˇ ej odesílají zprávy. Libovolný uživatel tedy m˚ uže odeslat zprávu do libovolné domény. Upozornˇ ení: Nedoporuˇ cujeme používat tento režim, jestliže je Kerio Connect dostupný z Internetu (tzn. má veˇ rejnou IP adresu a port 25 není blokován firewallem). V takovém pˇ rípadˇ e je totiž témˇ eˇ r jisté, že bude dˇ ríve nebo pozdˇ eji zneužit k rozesílání nevyžádaných reklamních zpráv (tzv. spam˚ u), ˇ címž zahltí vaší internetovou linku. M˚ uže se také dostat do veˇ rejných databází nežádoucích SMTP server˚ u (vizte dále).

Záložka Bezpeˇ cnostní volby Kromˇ e úplného blokování urˇ citých odesílatel˚ u umožˇ nuje Kerio Connect nastavit také obecná omezení, která nebrání v odesílání pošty, ale zamezují napˇ r. zahlcení serveru dávkovým odesíláním velkého poˇ ctu zpráv ˇ ci navázáním velkého poˇ ctu spojení (tzv. DoS útok). Tato nastavení se provádˇ ejí v záložce Bezpeˇ cnostní volby. Max. poˇ cet zpráv za hodinu... Maximální poˇ cet zpráv, který smí být odeslán z jedné IP adresy bˇ ehem jedné hodiny. Takto se server brání zaplnˇ ení diskového prostoru velkým poˇ ctem zpráv (zpravidla identických a nežádoucích).

131


Obrázek 12.2

Bezpeˇ cnostní volby — Omezení dle IP adres

Poznámka: Maximální poˇ cet zpráv za hodinu z jedné IP adresy se kontroluje vždy za poslední hodinu, tedy zpˇ etnˇ e. Pokud nastavíte toto omezení, zahodí se okamžitˇ e každá nová zpráva, která byla odeslána z IP adresy, ze které byl za poslední hodinu pˇ rekroˇ cen limit. Max. poˇ cet souˇ casných pˇ ripojení k SMTP... Maximální poˇ cet souˇ casných TCP spojení na port SMTP serveru z jedné IP adresy. Toto je ochrana proti tzv. DoS útoku (Denial of Service — velké množství souˇ casnˇ e navázaných spojení vyˇ cerpá systémové prostˇ redky a ostatní klienti již nemohou spojení se serverem navázat). Max. poˇ cet neznámých pˇ ríjemc˚ u Directory harvest je typ spamového útoku, kdy se na váš SMTP server napojí aplikace generující pomocí slovník˚ u pravdˇ epodobná uživatelská jména a zjišt’uje tak platné adresy uživatel˚ u serveru. Nastavením tohoto typu ochrany lze zajistit, aby server, který posílá zprávy na neznámého pˇ ríjemce byl na jednu hodinu zablokován. Tato omezení neplatí pro tuto skupinu IP adres Skupina IP adres, na niž se výše uvedená omezení nevztahují. Zpravidla to bývá skupina lokálních uživatel˚ u (vizte záložka Kontrola pˇ rístupu). Tito uživatelé odesílají pˇ res Kerio Connect veškerou svou odchozí poštu — poˇ cet zpráv odeslaných na tento server je proto výraznˇ e vyšší než v pˇ rípadˇ e vnˇ ejších uživatel˚ u (server˚ u), kteˇ rí jej používají pouze pro odeslání pošty do nˇ ekteré z lokálních domén. Dále doporuˇ cujeme do skupiny povolených IP adres zaˇ radit sekundární SMTP server, protože v urˇ citých pˇ rípadech m˚ uže vykazovat známky chování útoˇ cícího serveru. Blokovat, pokud nebyla e-mailová doména odesílatele nalezena v DNS Pˇ ri pˇ rijetí zprávy Kerio Connect zkontroluje, zda pro doménu odesílatele existuje záznam v DNS, a pokud ne, zprávu odmítne. Toto je ochrana proti smyšleným adresám odesílatel˚ u.

132

12.2 SMTP server

Obrázek 12.3

Bezpeˇ cnostní volby — Doplˇ nující volby

Poznámka: Zapnutí této volby m˚ uže zpomalovat ˇ cinnost aplikace Kerio Connect (doby odezvy DNS server˚ u mohou být i nˇ ekolik sekund). Max. poˇ cet pˇ ríjemc˚ u ve zprávˇ e Maximální akceptovatelný poˇ cet adresát˚ u v e-mailové zprávˇ e (tj. poˇ cet pˇ ríkaz˚ u RCPT v SMTP obálce). Max. poˇ cet chybných pˇ ríkaz˚ u... Spamy jsou ˇ casto rozesílány speciální aplikací, která se pˇ ripojí na SMTP server a nebere ohled na chybová hlášení serveru. Po nastavení této volby Kerio Connect automaticky ukonˇ cí SMTP spojení, jestliže klient již vyslal daný poˇ cet chybných pˇ ríkaz˚ u. Omezit maximální velikost pˇ ríchozí SMTP zprávy na Maximální velikost zprávy, kterou SMTP server akceptuje. Toto slouží jako ochrana pˇ red zahlcením serveru objemnými zprávami, které jednak zabírají místo na disku, a jednak zatˇ ežují internetovou linku. Proto doporuˇ cujeme tuto položku nastavit. Hodnota 0 (nula) znamená, že není nastaveno žádné omezení. Pro pohodlné zadání ˇ císelného údaje je možno pˇ repínat jednotky: kilobyty (kB) nebo megabyty (MB). Maximální poˇ cet položek (server˚ u) v hlaviˇ cce Received Nastavení tohoto parametru slouží pˇ redevším k zablokování zprávy, která se „zacyklila“ mezi nˇ ekolika SMTP servery.

SMTP doruˇ cování V této sekci lze také nastavit parametry pro doruˇ cování: Doruˇ covat pˇ rímo dle DNS MX záznam˚ u Pošta bude doruˇ cována pˇ rímo do cílových domén na základˇ e MX záznam˚ u. Použít nadˇ razený SMTP server Veškerá odchozí pošta bude odesílána pˇ res jiný (nadˇ razený) SMTP server. SMTP server DNS jméno nebo IP adresa nadˇ razeného SMTP serveru.

133


Obrázek 12.4

SMTP doruˇ cování

Port SMTP serveru Port, na nˇ emž nadˇ razený SMTP server bˇ eží. V naprosté vˇ etšinˇ e pˇ rípad˚ u bˇ eží SMTP server na standardním portu 25 (tuto hodnotu rovnˇ ež dosazuje tlaˇ cítko Výchozí ). Nadˇ razený server vyžaduje ovˇ eˇ rení Nastavte tuto volbu, jestliže nadˇ razený server vyžaduje ovˇ eˇ rení odesílatele (tj. Kerio Connect) uživatelským jménem a heslem. Do položek Uživatel a Heslo zadejte pˇ ríslušné jméno a heslo. Ovˇ eˇ rování Zp˚ usob ovˇ eˇ rení na nadˇ razeném serveru: Pˇ ríkaz SMTP AUTH nebo POP3 pˇ red SMTP. Uživatel se nejprve pˇ rihlásí k POP3 schránce na tomto serveru, tím je ovˇ eˇ ren a m˚ uže poslat poštu pˇ res SMTP server. Pro pˇ rihlášení ke schránce se použije zde uvedené jméno a heslo a ze schránky se nevybírají žádné zprávy. K tomuto úˇ celu tedy není tˇ reba definovat schránku v sekci Konfigurace → Doruˇ cování → Stahování POP3 schránek. Použít SSL, je-li podporováno... SMTP server se pˇ ri odesílání každé zprávy pokusí navázat nejprve šifrované spojení (SSL), a teprve pokud zjistí, že jej vzdálený server nepodporuje, naváže nešifrované spojení. Tak je zajištˇ ena maximální možná bezpeˇ cnost odesílaných zpráv.

134

12.2 SMTP server

Volby pro frontu zpráv Záložka umožˇ nuje nastavení fronty zpráv, která se zobrazuje v sekci Stav → Fronta zpráv.

Obrázek 12.5

Volby pro frontu zpráv

Maximální poˇ cet doruˇ cujících vláken Maximální poˇ cet souˇ casnˇ e vytvoˇ rených proces˚ u, které budou odesílat zprávy z odchozí fronty (jinými slovy maximální poˇ cet souˇ casnˇ e odesílaných zpráv). Nastavená hodnota by mˇ ela zohledˇ novat výkon procesoru, ale zejména rychlost internetové linky. Interval opakování odeslání Doba, po které se server pokusí zopakovat odeslání e-mailu, jestliže byl pˇ ri pˇ redchozím pokusu neúspˇ ešný (tj. žádný ze server˚ u cílové domény nebyl dostupný). Informovat odesílatele o nedoruˇ citelnosti zprávy, ... Jestliže se nepodaˇ rí zprávu doruˇ cit po této dobˇ e, bude zpráva zahozena a její hlaviˇ cka cena odesílateli. Zároveˇ n bude zpráva vyˇ razena z fronty a spolu s DSN bude doruˇ v pokusech o její odeslání již server nebude pokraˇ covat. Pro pohodlné zadání ˇ casového údaje je možno pˇ repínat jednotky: minuty, hodiny a dny. Tˇ ri výše uvedené ˇ casy nemají smysl, jestliže se odchozí zprávy odesílají na nadˇ razený SMTP server. Poslat varování odesílateli... Jestliže se nepodaˇ rilo zprávu doruˇ cit po této dobˇ e, pošle se varovná zpráva odesílateli (a bude se nadále pokraˇ covat v pokusech o odeslání). 135


Jazyk upozornˇ ení Jazyk, v nˇ emž budou zasílána chybová, varovná a informativní hlášení serveru (napˇ r. informace o nedoruˇ citelnosti zprávy, o nalezeném viru, pˇ rihlášení a odhlášení z e-mailové konference atd.). Poznámka: Hlášení serveru jsou uložena v podadresáˇ ri reports adresáˇ re, kde je Kerio Connect nainstalován (soubory používají kódování znak˚ u UTF-8). Zkušený správce tak m˚ uže jednotlivá hlášení modifikovat, pˇ rípadnˇ e vytvoˇ rit vlastní jazykovou variantu.

12.3 Aliasy Aliasy slouží k vytváˇ rení tzv. virtuálních e-mailových adres. Princip virtuálních adres nejlépe objasní nˇ ekolik jednoduchých pˇ ríklad˚ u: 1.

Všechny zprávy poslané na adresu [email protected] mají být ukládány do veˇ rejné složky Info. Definujeme alias: info → #public/Info

2.

Zprávy poslané na neplatné adresy (tj. adresy, kde ˇ cást pˇ red znakem @ neodpovídá žádnému uživatelskému úˇ ctu ani aliasu) mohou být doruˇ covány vybranému uživateli (typicky správci). Toto zajistí alias: * → Admin Nebude-li tento (nebo následující) alias definován, pak bude Kerio Connect takové zprávy vracet odesílatel˚ um jako nedoruˇ citelné.

3.

Pro doplnˇ ení libovolného poˇ ctu znak˚ u v aliasu lze použít znak * (napˇ r.: *sms*, a*00* apod.). Alias pak bude fungovat pro všechny e-mailové adresy, které vyhoví této masce.

4.

Pro doplnˇ ení právˇ e jednoho znaku v aliasu lze použít znak ? (napˇ r.: vo?ka pokryje adresy vozka i voska).

5.

Pošta bude doruˇ cována na obˇ e adresy souˇ casnˇ e: jnovak → info jnovak → jnovak Takový alias doporuˇ cujeme nastavit pˇ rímo v nastavení konkrétního uživatelského úˇ ctu (kapitola 8.2), je to pˇ rehlednˇ ejší.

Každé schránce nebo skupinˇ e je možné vytvoˇ rit libovolné množství alias˚ u. Stejnˇ e tak na existující alias lze vytvoˇ rit další alias. Aby nebylo možné vytvoˇ rit z alias˚ u smyˇ cku, tak se k uživatelskému jménu, na které byla zpráva adresována, oznaˇ cí pˇ ríznakem. Jakmile zpráva dorazí k uživatelskému jménu oznaˇ cenému pˇ ríznakem, z˚ ustane ve schránce, pro kterou byl vytvoˇ ren poslední neoznaˇ cený alias: jnovak → novak novak → jan.novak jan.novak → novak 136

12.3 Aliasy

Poznámka: Aliasy lze rovnˇ ež použít pro pˇ riˇ razení další adresy uživateli nebo skupinˇ e, pˇ rípadnˇ e pˇ reposílání pošty pro uživatele ˇ ci skupinu na jiné adresy. Toto však doporuˇ cujeme provádˇ et pˇ rímo v definici uživatele (vizte kapitolu 8.2), resp. skupiny (vizte kapitolu 9.1).

Definice alias˚ u Definice alias˚ u se provádí v sekci Úˇ cty → Aliasy. Nejprve je tˇ reba zvolit doménu, v níž budou aliasy definovány. Aliasy se totiž vždy vztahují k nˇ ekteré z lokálních domén, a proto staˇ cí do záhlaví aliasu zapsat pouze lokální ˇ cást adresy (tj. ˇ cást pˇ red znakem @). Pˇ ridání aliasu se provede tlaˇ cítkem Pˇ ridat, po jehož stisknutí se zobrazí dialog s tˇ emito položkami:

Obrázek 12.6

Vytvoˇ rení aliasu

Alias Virtuální adresa (napˇ r. obchod nebo jan.novak). Typ znaku

Popis

a-z

všechna malá písmena abecedy kromˇ e národních znak˚ u

A-Z

všechna velká písmena abecedy kromˇ e národních znak˚ u

0-9

všechny ˇ císlice

.

teˇ cka

-

pomlˇ cka

_

podtržítko

?

otazník

*

hvˇ ezdiˇ cka Tabulka 12.2

Povolené znaky v názvu aliasu

137


Popis Textový popis aliasu. Slouží pouze pro potˇ rebu správce, m˚ uže obsahovat libovolné informace nebo z˚ ustat nevyplnˇ en. Doruˇ cit Kam mají být zprávy poslané na tuto adresu doruˇ covány. V položce lze vybrat, kam má být zpráva uložena: • E-mailová adresa — libovolná e-mailová adresa. Tlaˇ cítkem Vybrat lze vybrat uživatele nebo skupinu ze seznamu. • Veˇ rejná složka — název veˇ rejné složky ve tvaru #public/Slozka. Položka je k dispozici pouze v pˇ rípadˇ e, že je založena alespoˇ n jedna veˇ rejná složka typu pošta. Stejný dialog bude zobrazen také po stisknutí tlaˇ cítka Zmˇ enit (úprava aliasu). Tlaˇ cítkem Odebrat lze alias odstranit.

Kontrola alias˚ u Vytváˇ ríme-li složitˇ ejší aliasy (víceúrovˇ nové, vícenásobné atd.), m˚ uže snadno dojít k chybˇ e (napˇ r. pouhým pˇ reklepnutím pˇ ri zapisování). Kerio Connect obsahuje funkci pro kontrolu alias˚ u, která pro zadanou e-mailovou adresu zobrazí seznam lokálních úˇ ct˚ u a externích adres, na nˇ ež bude e-mail doruˇ cen. Ke kontrole alias˚ u slouží tlaˇ cítko Zkontrolovat adresu. Po jeho stisknutí je tˇ reba zadat adresu, která má být zkontrolována (byl-li pˇ redtím nˇ ejaký alias v seznamu oznaˇ cen, nabídne se automaticky). Po provedení kontroly se zobrazí výsledek ve spodní ˇ cásti dialogu (tzn. seznam adres, na které bude tento alias doruˇ cován).

Obrázek 12.7

Kontrola aliasu

138

12.4 Vzdálené POP3 schránky

12.4 Vzdálené POP3 schránky Kerio Connect umí vybírat zprávy z POP3 schránek na jiných poštovních serverech a doruˇ covat je bud’ do lokálních schránek, nebo je odesílat na jiné e-mailové adresy. Stahování POP3 schránek je ˇ rízeno pouze plánovaˇ cem (vizte kapitolu 12.7). Je d˚ uležité si uvˇ edomit, že podnˇ etem k vybrání vzdálených schránek není pˇ ripojení klienta na svou schránku v Kerio Connect nebo odeslání e-mailu. Stahování POP3 schránek znemožˇ nuje použití antispamových funkcí, které jsou závislé na pˇ rijetí zpráv protokolem SMTP, typicky DNS blacklisty a kontrola odesílajících server˚ u Caller ID a SPF. Konfiguraci a vlastnosti antispamových filtr˚ u popisuje kapitola 13. Definice vzdálených POP3 schránek Vzdálené schránky, které mají být vybírány, je možno definovat v sekci Konfigurace → Doruˇ cování → Stahování POP3 schránek, sekce Úˇ cty.

Obrázek 12.8

Stahování POP3 schránek

Tlaˇ cítko Pˇ ridat zobrazí dialog pro pˇ ridání nového úˇ ctu (vzdálené schránky). Záložka Obecné slouží k nastavení základních parametr˚ u pˇ rístupu ke schránce a zp˚ usobu doruˇ cování stažených zpráv. POP3 server DNS jméno nebo IP adresa POP3 serveru, na nˇ emž se schránka nachází. POP3 uživatel, Heslo Uživatelské jméno a heslo k této schránce. Popis Libovolný textový popis POP3 úˇ ctu (pro lepší orientaci správce). Doruˇ cit na adresu Všechny zprávy z této schránky mají být doruˇ ceny na jednu adresu. Zde je možno zadat: lokálního uživatele, lokální skupinu, alias nebo externí e-mailovou adresu. Lokálního uživatele nebo skupinu lze vybrat ze seznamu stisknutím tlaˇ cítka Vybrat. Dialog pro výbˇ er uživatele nebo skupiny umožˇ nuje vyhledávání podle ˇ retˇ ezce a nastavení rozlišování velkých a malých písmen. Tyto možnosti nastavení výraznˇ e zrychlují vyhledávání zejména v pˇ rípadˇ e velkého množství uživatel˚ u a skupin v doménˇ e. 139


Obrázek 12.9

Nastavení parametr˚ u pro pˇ rístup ke schránce

Použít tˇ rídicí pravidla Zprávy z této schránky budou tˇ rídˇ eny podle tˇ rídicích pravidel (vizte dále). Preferovaná položka hlaviˇ cky Položka hlaviˇ cky, která bude primárnˇ e použita k tˇ rídˇ ení. Je možno zadat libovolnou hlaviˇ cku (název bez dvojteˇ cky) nebo vybrat z pˇ reddefinovaných (X-Envelope-To, Received nebo Delivered-To). Nebude-li v hlaviˇ cce e-mailu tato položka nalezena, nebo v této položce není žádná adresa, která by vyhovovala alespoˇ n jednomu tˇ rídicímu pravidlu, program pokraˇ cuje prohledáváním položek Resent-To a Resent-Cc a v pˇ rípadˇ e neúspˇ echu ještˇ e položek To a Cc. Není-li adresa nalezena ani v tˇ echto položkách, zpráva bude doruˇ cena podle implicitního pravidla (vizte dále) nebo bude zahozena. Zahazovat duplicitní zprávy Bude-li po zapnutí této volby ve vzdálené schránce nalezena tatáž zpráva ve více identických kopiích, bude tato zpráva zpracována pouze jednou a ostatní kopie budou zahozeny. K duplikaci zpráv dochází, jestliže je do doménové schránky doruˇ cena zpráva, jejíž hlaviˇ cka obsahuje více pˇ ríjemc˚ u z této domény. Pak je zpráva do schránky doruˇ cena tolikrát, kolik bylo p˚ uvodních pˇ ríjemc˚ u. Tyto zprávy se liší pouze svou SMTP obálkou, která je však pˇ ri uložení do schránky oˇ ríznuta. Jednotlivé kopie zprávy ve schránce jsou pak již zcela identické. Pˇ ri klasickém POP3 tˇ rídˇ ení pak každý pˇ ríjemce dostane každou z tˇ echto zpráv, protože ve všech je obsažena jeho adresa (tzn. každý pˇ ríjemce obdrží 140


tuto zprávu tolikrát, kolik je pˇ ríjemc˚ u). Zahazování duplicitních zpráv zajistí, že každý pˇ ríjemce obdrží tuto zprávu pouze jednou. V záložce Upˇ resnˇ ení je možno definovat další upˇ resˇ nující parametry:

Obrázek 12.10

Upˇ resˇ nující nastavení stahování POP3 schránek

Použít SSL Spojení s POP3 serverem bude zabezpeˇ ceno (šifrováno) SSL. Režim SSL Zp˚ usob zabezpeˇ cení celé komunikace s POP3 serverem. Možnosti jsou: Jiný port (spojení šifrované SSL bude navázáno na speciálním portu) nebo Pˇ ríkaz STLS (nejprve se naváže nešifrované spojení, poté se pˇ ríkazem STLS pˇ repne do šifrovaného režimu). Informaci o zabezpeˇ cení komunikace s POP3 serverem vám poskytne jeho správce. POP3 ovˇ eˇ rování Zp˚ usob ovˇ eˇ rování na POP3 serveru: Plain (heslo se posílá v pˇ rímém tvaru) nebo APOP (heslo se posílá zašifrovanˇ e, aby nemohlo být odposlechnuto a zneužito). Informaci o tom, který typ ovˇ eˇ rování má být použit, získáte od správce POP3 serveru. Omezení stahování zpráv bˇ ehem jednoho pˇ ripojení • Celková velikost zpráv — Do pole je možno nastavit maximální limit celkové velikosti stahovaných zpráv bˇ ehem jednoho POP3 spojení. Hodnota 0 (nula) 141


znamená, že není nastaven žádný limit. • Max. poˇ cet zpráv — Maximální poˇ cet zpráv, který má být stažen bˇ ehem jednoho pˇ ripojení. Hodnota 0 (nula) znamená, že není nastaven žádný limit. Nastavení omezení celkové velikosti zpráv a maximálního poˇ ctu zpráv slouží k zabránˇ ení potˇ reby opˇ etovného stahování zpráv v pˇ rípadˇ e pˇ rerušení POP3 spojení. D˚ uvodem je zp˚ usob fungování POP3 protokolu. Zprávy, které mají být smazány, se fyzicky na serveru smažou až po úspˇ ešném ukonˇ cení celého spojení pˇ ríkazem QUIT. Pokud se stane, že je POP3 spojení pˇ rerušeno, zprávy se nesmažou a server je bude stahovat znovu v následujícím POP3 spojení. Nastavení limitu tedy napomáhá ˇ rízení objemu dat pˇ renášených v opakovaných spojeních. Pravidla pro uchovávání zpráv Standardnˇ e se zprávy, stažené pˇ res POP3 na serveru smažou. Chceme-li je na serveru zachovat, zaškrtneme položku Ponechávat kopie zpráv na serveru. M˚ užeme zde definovat i jak dlouho se mají kopie stažených zpráv na serveru zachovat. Pomocí zaškrtávacího pole vlevo vedle definice pravidla lze vybrané pravidlo doˇ casnˇ e „vyˇ radit“.

Tˇ rídicí pravidla Tˇ rídicí pravidla urˇ cují, jakým zp˚ usobem mají být zprávy vybrané ze vzdálené POP3 schránky rozdˇ eleny lokálním uživatel˚ um, pˇ rípadnˇ e pˇ reposlány na externí e-mailové adresy. K definici tˇ rídicích pravidel slouží záložka Tˇ rídicí pravidla.

Obrázek 12.11

Tˇ rídicí pravidla

Tlaˇ cítkem Pˇ ridat lze pˇ ridat nové tˇ rídicí pravidlo: Adresa pro tˇ rídˇ ení E-mailová adresa, která bude hledána ve vybrané položce hlaviˇ cky zprávy. Musí být uvedena kompletní, podˇ retˇ ezec je nepˇ rípustný. Doruˇ cit Pole urˇ cuje, komu má být zpráva vyhovující tomuto pravidlu doruˇ cena. Je možno zadat: • lokálního uživatele nebo skupinu — lokálního uživatele nebo skupinu lze vybrat ze seznamu stisknutím tlaˇ cítka Vybrat, • alias — zapíšeme do pole vybraný alias, • externí e-mailovou adresu — do pole zapíšeme jakoukoliv jinou adresu. 142


Obrázek 12.12

Vytvoˇ rení tˇ rídicího pravidla

Poznámka: Pokud má být zpráva doruˇ cena skupinˇ e, musí být skupinˇ e pˇ riˇ razena adresa, zprávy se pak doruˇ cují na tuto adresu (pˇ rípadnˇ e lze na ni vytvoˇ rit alias). Podrobnosti najdete v kapitole 9.1. Popis Libovolný textový popis tˇ rídicího pravidla (napˇ r. pro vysvˇ etlení jeho úˇ celu). Pomocí zaškrtávacího pole vlevo vedle definice pravidla lze vybrané pravidlo doˇ casnˇ e „vyˇ radit“.

Speciální tˇ rídicí pravidla V tˇ rídicích pravidlech mohou být také definována pravidla v tomto tvaru: • * → adresa (tzv. implicitní pravidlo) — na tuto adresu budou doruˇ covány všechny e-maily, které nevyhoví žádnému jinému tˇ rídicímu pravidlu. Nebude-li toto pravidlo definováno, budou takové e-maily zahazovány. • *@domena.cz → *@jinadomena.cz — všechny zprávy, jejichž adresy obsahují zadanou doménu, budou pˇ reposílány do specifikované domény. Žádné jiné použití znaku hvˇ ezdiˇ cka (napˇ r. pro doplnˇ ení ˇ cásti adresy) není povoleno. Pˇ ríklad využití hvˇ ezdiˇ ckových pravidel Pro pˇ ríklad si uvedeme, jakým zp˚ usobem je možné hvˇ ezdiˇ cková pravidla využít pro nejjednodušší variantu konfigurace tˇ rídicích pravidel. Konfigurace je kombinací dvou následujících pravidel: • První pravidlo tˇ rídí zprávy podle nastavení aliasu a podle adres uživatelských úˇ ct˚ u. *@firma.cz → *@firma.cz • Druhé pravidlo zatˇ rídí zprávy, které z nˇ ejakého d˚ uvodu nelze zatˇ rídit do konkrétního uživatelského úˇ ctu. * → [email protected]

143


Poznámka: Pokud pˇ red tato pravidla umístíme jakékoliv jiné pravidlo, bude bráno v úvahu dˇ ríve. Pravidla jsou vždy vykonávána v následujícím poˇ radí: 1. 2. 3.

adresa@domena *@domena *

12.5 Pˇ ríjem pošty pomocí pˇ ríkazu ETRN V sekci Konfigurace → Doruˇ cování → Pˇ ríjem pomocí ETRN je možno definovat SMTP servery, z nichž má být pošta pˇ rijímána pomocí pˇ ríkazu ETRN (typicky se jedná o sekundární, pˇ ríp. terciální servery pro danou doménu ˇ ci domény).

Obrázek 12.13

Pˇ ríjem pomocí ETRN

Tlaˇ cítkem Pˇ ridat lze pˇ ridat další server, z nˇ ehož má být pošta tímto zp˚ usobem pˇ rijímána: Server DNS jméno nebo IP adresa serveru. Doména(y) Výˇ cet domén, pro nˇ ež tento server uchovává poštu. Názvy jednotlivých domén se oddˇ elují stˇ redníkem (;).

Obrázek 12.14 Nastavení parametr˚ u pro pˇ rístup k serveru

144

12.6 Internetové pˇ ripojení

Popis Textový popis definice ETRN serveru. Slouží pouze pro potˇ rebu správce, m˚ uže obsahovat libovolné informace nebo z˚ ustat nevyplnˇ en. Je vyžadováno ovˇ eˇ rení Zapnˇ ete tuto volbu, jestliže tento server vyžaduje ovˇ eˇ rení uživatelským jménem a heslem. Uživatel, Heslo Pˇ ríslušné uživatelské jméno a heslo. Tlaˇ cítkem Zmˇ enit lze upravit nastavení vybraného serveru a tlaˇ cítkem Odebrat tento server odstranit. Pomocí zaškrtávacího pole vlevo vedle definice serveru m˚ užete tento server doˇ casnˇ e „vyˇ radit“. Záložka Volby poskytuje možnost nastavit maximální dobu ˇ cekání na odezvu na vytáˇ cené lince.

12.6 Internetové pˇ ripojení Nastavení typu internetového pˇ ripojení se provádí v sekci Konfigurace → Doruˇ cování → Internetové pˇ ripojení . Kerio Connect m˚ uže být nasazen na poˇ cítaˇ ci, který má trvalé pˇ ripojení k Internetu (pevná linka, bezdrátové pˇ ripojení, kabelový modem, xDSL...), ale také s vytáˇ ceným pˇ ripojením (analogový modem nebo ISDN). Vestavˇ eným plánovaˇ cem je možno ˇ rídit, kdy má poštovní server automaticky vytoˇ cit internetové pˇ ripojení a provést odeslání a pˇ ríjem pošty.

Obrázek 12.15

Pˇ ripojení k Internetu

145


Online Kerio Connect má trvalé pˇ ripojení k Internetu. Všechny odchozí zprávy budou okamžitˇ e odesílány. Offline Server není trvale pˇ ripojen k Internetu. Odchozí zprávy jsou ˇ razeny do fronty a odesílány vˇ casech urˇ cených plánovaˇ cem. Offline Má-li se v ˇ casech nastavených plánovaˇ cem vytáˇ cet internetová linka, zapnˇ ete volbu Pro pˇ ripojení do Internetu použít vytáˇ cenou linku (RAS). Vytáˇ cené pˇ ripojení lze však nastavit pouze na platformˇ e MS Windows. Linux a Mac OS X tuto možnost nepodporují. V nabídce Telefonické pˇ ripojení (RAS linka) se zobrazují položky telefonického pˇ ripojení vytvoˇ rené ve Windows. Kerio Connect m˚ uže použít uživatelské jméno a heslo, které uživatel pˇ ridˇ elil pˇ ríslušnému telefonickému pˇ ripojení (volba Použít uživatelské jméno a heslo uložené v operaˇ cním systému), nebo lze zadat uživatelské jméno a heslo pˇ rímo v tomto dialogu (volba Uživatelské jméno a heslo). Upozornˇ ení: Telefonické pˇ ripojení musí být vytvoˇ reno pro všechny uživatele v systému (volba pˇ ri definici pˇ ripojení). Povolit vytoˇ cení pˇ ripojení... Zapnutí volby umožˇ nuje automatické vytoˇ cení pˇ ripojení, jestliže server pˇ rijal zprávu s vysokou prioritou. Jakmile do fronty pˇ rijde zpráva s vysokou prioritou, vytoˇ cí se pˇ ripojení a fronta zpráv bude ihned po pˇ ripojení celá odeslána. Poznámka: • Volba Offline má své opodstatnˇ ení i v pˇ rípadˇ e, že není zapnuta volba Použít vytáˇ cené pˇ ripojení k Internetu. Kerio Connect totiž m˚ uže být napˇ ríklad spuštˇ en na poˇ cítaˇ ci v lokální síti pˇ ripojené k Internetu vytáˇ cenou linkou. V režimu Online by vznikaly velmi ˇ casté a nekontrolovatelné požadavky pˇ rístupu k Internetu a tedy vytoˇ cení linky na žádost. V režimu Offline se Kerio Connect pˇ ripojuje pouze v ˇ casech nastavených v plánovaˇ ci, ˇ címž lze optimalizovat náklady na pˇ ripojení. • Kerio Connect používá systémový telefonní seznam telefonického pˇ ripojení (rasphone.pbk). Jiný telefonní seznam nelze použít. • Volba Online nevyˇ razuje plánovaˇ czˇ cinnosti. Pˇ restože odchozí zprávy jsou odesílány okamžitˇ e, poštovní server m˚ uže zároveˇ n vybírat zprávy ze vzdálených POP3 schránek, což je vhodné provádˇ et v pravidelných intervalech. Podrobnosti najdete v kapitole 12.4. • Podrobnosti o nastavení plánovaˇ ce najdete v kapitole 12.7.

146

12.7 Plánování

12.7 Plánování Kerio Connect obsahuje plánovaˇ c, který umožˇ nuje ˇ rídit tˇ ri druhy akcí: Vybírání vzdálených POP3 schránek Vždy, je-li definována alespoˇ n jedna schránka. Vyslání pˇ ríkazu ETRN na definované servery Vždy, je-li definován alespoˇ n jeden ETRN server. Odesílání zpráv z odchozí fronty Jestliže je nastaveno, že poˇ cítaˇ c, na nˇ emž Kerio Connect bˇ eží, není trvale pˇ ripojen k Internetu (vizte kapitolu 12.6).

Nastavení plánovaˇ ce Nastavení se provádí v sekci Konfigurace →Doruˇ cování → Plánování .

Obrázek 12.16

Plánování

Tlaˇ cítky Pˇ ridat, Zmˇ enit a Odebrat lze pˇ ridat, upravit nebo odstranit jednu položku v seznamu plánovaných akcí. Pro pˇ ridání nové položky nebo zmˇ enu stávající se zobrazí dialog, v nˇ emž lze nastavit následující parametry: ˇ Casová podmínka — kdy má být akce provádˇ ena: V intervalu (Každých) nebo v urˇ citém ˇ case (V) Napˇ r. „Každých 10 minut“ znamená, že se akce bude vyvolávat opakovanˇ e po 10 minutách, zatímco „V 12:00“ znamená, že akce má být provedena každý den ve 12:00 hodin. Platné pouze v ˇ casovém intervalu Nastavené plánování platí pouze ve vybraném ˇ casovém intervalu. V nabídce se zobrazí všechny definované ˇ casové intervaly, tlaˇ cítkem Zmˇ enit je možno upravit vybraný interval nebo vytvoˇ rit nový. Podrobnosti najdete v kapitole 19.2. 147


Obrázek 12.17

Editace plánování

Akce — jaká akce má být provedena: Odeslat zprávy z fronty Odeslat všechny zprávy, které byly zaˇ razeny do fronty (tuto volbu nastavte, je-li v sekci Konfigurace → Doruˇ cování → Internetové pˇ ripojení nastaveno Offline pˇ ripojení). Stáhnout zprávy ze vzdálených POP3 schránek Pˇ ríjem pošty z POP3 schránek (je-li v sekci Konfigurace → Doruˇ cování → Stahování POP3 schránek definována alespoˇ n jedna vzdálená schránka). Plánování se uplatˇ nuje na všechny POP3 schránky stejnˇ e. Poslat pˇ ríkaz ETRN na definované SMTP servery Pˇ ríjem pošty pomocí pˇ ríkazu ETRN (je-li v sekci Konfigurace → Doruˇ cování → Pˇ ríjem pomocí ETRN definován alespoˇ n jeden SMTP server, na nˇ ejž má být pˇ ríkaz ETRN posílán). Plánování se uplatˇ nuje na všechny definované SMTP servery stejnˇ e. Volitelné parametry akce: Povolit vytoˇ cení pˇ ripojení, je-li potˇ reba Jestliže je v okamžiku vyvolání této akce linka zavˇ ešena, vytoˇ cí se. Bude-li tato volba vypnuta, provede se akce pouze v pˇ rípadˇ e, že bude v tomto okamžiku linka vytoˇ cena.

148

12.8 Upˇ resˇ nující nastavení

Optimální plánování Optimální nastavení plánování závisí na zp˚ usobu, jakým je pˇ rijímána pˇ ríchozí pošta, a na typu internetového pˇ ripojení, které má Kerio Connect k dispozici. • Má-li Kerio Connect trvalé pˇ ripojení k Internetu (Online) a je-li veškerá pˇ ríchozí pošta pˇ rijímána pouze protokolem SMTP (MX záznamy pro všechny lokální domény jsou nasmˇ erovány na poˇ cítaˇ c, na nˇ emž Kerio Connect bˇ eží, a není definována žádná vzdálená POP3 schránka ani ETRN server), není tˇ reba nastavovat žádné plánování. • Je-li k dispozici trvalé pˇ ripojení k Internetu a je definovaná alespoˇ n jedna POP3 schránka nebo pˇ ríjem pošty pomocí pˇ ríkazu ETRN, je nutno plánování nastavit také. V tomto pˇ rípadˇ e mohou být intervaly mezi jednotlivými akcemi velmi krátké (napˇ r. 5 minut), protože poˇ cet pˇ ripojení neovlivˇ nuje náklady a není tˇ reba uvažovat dobu potˇ rebnou na vytoˇ cení linky. • Pokud je Kerio Connect pˇ ripojen vytáˇ cenou linkou, není z Internetu trvale dostupný a pˇ ríjem pošty musí být provádˇ en pomocí ETRN nebo vybíráním ze vzdálených POP3 schránek. V tomto pˇ rípadˇ e je nutno plánování nastavit, aby Kerio Connect vytáˇ cel linku, pˇ rijímal poštu a odesílal poštu z odchozí fronty. Ve výše zmínˇ ených pˇ rípadech, kdy je doporuˇ ceno plánování nastavit, mohou být vždy zapnuty všechny volby v poli Akce (Odeslat zprávy z odchozí fronty, Stáhnout zprávy ze vzdálených POP3 schránek a Poslat pˇ ríkaz ETRN na definované SMTP servery). Je-li totiž napˇ r. odchozí fronta prázdná nebo není definována žádná vzdálená POP3 schránka, Kerio Connect pˇ rejde k následující akci.

12.8 Upˇ resˇ nující nastavení V sekci Konfigurace → Další volby lze nastavit nˇ ekteré upˇ resˇ nující parametry poštovního serveru.

R˚ uzné Pro pˇ ríchozí spojení zaznamenávat... Pˇ revádˇ et IP adresy vzdálených klient˚ u a server˚ u, které se na Kerio Connect pˇ ripojují, na DNS jména. Tím dojde k zpˇ rehlednˇ ení záznam˚ u, ale ˇ cinnost Kerio Connect se tím m˚ uže zpomalit. Zobrazovat v sít’ové komunikaci jméno a verzi serveru... Vypnˇ ete tuto volbu, pokud má být utajena verze a jméno programu poštovního serveru, který doménu obsluhuje.

149


Obrázek 12.18

R˚ uzné

Upozornˇ ení: Aktivace nebo deaktivace této volby vyžaduje restart Kerio Connect. Vkládat hlaviˇ cku X-Envelope-To... Volba umožˇ nuje dosadit do hlaviˇ cky lokálnˇ e doruˇ cované zprávy položku X-Envelope-To: (tj. adresu skuteˇ cného pˇ ríjemce ze SMTP obálky). Položku je vhodné využít zejména v pˇ rípadˇ e, že je v Kerio Connect zˇ rízen doménový koš. Povolit dekódování zpráv TNEF TNEF (Transport Neutral Encapsulation Format) je proprietární formát firmy Microsoft, který primárnˇ e slouží k zasílání zpráv s rozšíˇ reným formátováním z aplikace MS Outlook. Souˇ cástí každé zprávy, která je odeslána v tomto formátu, je pˇ ríloha winmail.dat. Tato pˇ ríloha obsahuje kopii celé zprávy ve formátu RTF a všechny pˇ rípadné pˇ rílohy zprávy. Pokud tedy uživatel nepoužívá pro pˇ rístup k poštˇ e MS Outlook a bude mu doruˇ cena zpráva s pˇ rílohou v tomto formátu, potom se k pˇ ríloze ve zprávˇ e nedostane. Dekodér TNEF zabudovaný do Kerio Connect dekóduje TNEF zprávy na stranˇ e serveru do standardního MIME formátu a odstraní tak uživatel˚ um problémy se zprávami s winmail.dat pˇ rílohou. Tuto volbu je výhodné využít zejména pokud uživatelé nepoužívají pro pˇ rístup k poštˇ e výhradnˇ e aplikaci MS Outlook. Poznámka: Pˇ ri problémech s dekódováním zpráv vám m˚ uže pomoci záznam Debug, kde je tˇ reba zapnout volbu Message decoding. Více najdete v kapitole 24.9. Povolit konverzi zpráv kódovaných uuencode do MIME Uuencode (Unix-to-Unix Encoding) je typ kódování využívaný pro odesílání soubor˚ u pomocí elektronické pošty. Kóduje binární data do textového formátu tak, že mohou být vložena pˇ rímo do tˇ ela zprávy. Problémem je, že ne každý poštovní klient obsahuje speciální dekodér, který umí zakódované soubory dekódovat do p˚ uvodního tvaru. Z toho d˚ uvodu obsahuje Kerio Connect zabudovaný Dekodér Uudecode (Unix-to-Unix decoding). 150


Zprávy jsou dekódovány již na stranˇ e serveru do standardního MIME formátu a odstraní tak uživatel˚ um pˇ rípadné problémy s dekódováním takovýchto zpráv. Doporuˇ cujeme volbu Povolit konverzi zpráv kódovaných uuencode do MIME povolit zvláštˇ e tehdy, pokud uživatelé využívají pro pˇ rístup ke svým schránkám Kerio WebMail a MS Outlook s Kerio Outlook Connectorem. Poznámka: Pˇ ri problémech s dekódováním zpráv vám m˚ uže pomoci záznam Debug, kde je tˇ reba zapnout volbu Message decoding. Více najdete v kapitole 24.9.

Bezpeˇ cnostní politika Kerio Connect umožˇ nuje nastavení bezpeˇ cnostní politiky, tzn. minimální požadované úrovnˇ e bezpeˇ cnosti. Tato nastavení se provádˇ ejí v sekci Konfigurace → Další volby v záložce Bezpeˇ cnostní politika (vizte obrázek 12.19).

Obrázek 12.19

Bezpeˇ cnostní politika

Menu v záhlaví stránky umožˇ nuje výbˇ er jedné ze tˇ rí politik: Bez omezení K serveru se bude možno pˇ ripojit bez jakéhokoliv omezení. Vyžadovat bezpeˇ cné ovˇ eˇ rování Kerio Connect bude vždy vyžadovat bezpeˇ cné ovˇ eˇ rení uživatele. To znamená, že ovˇ eˇ rení musí být provedeno nˇ ekterou z následujících metod — CRAM-MD5, DIGEST-MD5, NTLM nebo musí uživatel použít SSL tunel — povolit SSL komunikaci ve svých poštovních klientech. 151


V pˇ rípadˇ e, že uživatelé používají pro pˇ rístup ke své poštˇ e rozhraní Kerio WebMail, kde se nelze ovˇ eˇ rit nˇ ekterou z ovˇ eˇ rovacích metod, použije se automaticky protokol HTTP zabezpeˇ cený SSL. Po nastavení bezpeˇ cného ovˇ eˇ rování se zobrazí možnost povolení nezabezpeˇ ceného pˇ rihlášení ze zadané skupiny IP adres. Skupinu je možno vybrat bud’ z existujících nebo ji tlaˇ cítkem Zmˇ enit upravit ˇ ci nadefinovat novou. Upozornˇ ení: Neaplikujte tuto možnost, pokud mají uživatelé nastaveno ukládání hesel na serveru v SHA formátu. Vyžadovat šifrované spojení Po zapnutí této volby se klientské aplikace budou moci pˇ ripojit ke kterékoliv službˇ e pouze šifrovaným spojením (komunikaci tedy nebude možno v žádném pˇ rípadˇ e odposlouchávat). Na všech klientských stanicích je nutno povolit všem protokol˚ um komunikaci pˇ res SSL. Pˇ ri pˇ rihlášení k rozhraní Kerio WebMail se šifrované spojení nastaví automaticky. Jediný protokol, na který se toto omezení nevztahuje, je SMTP. Vzhledem k množství SMTP server˚ u, které nepodporují SMTPS nebo STARTTLS, není možné tento protokol omezit pouze na zabezpeˇ cenou verzi. Aby se i pˇ res to podaˇ rilo zajistit bezpeˇ cnost, vyžaduje server pro protokol SMTP po nastavení volby Vyžadovat šifrované spojení bezpeˇ cné ovˇ eˇ rování hesla. Jméno a heslo se tedy odesílá pomocí nˇ ekteré z podporovaných bezpeˇ cných metod ovˇ eˇ rování. Po nastavení této bezpeˇ cnostní politiky lze z omezení vyjmout skupinu IP adres, z nichž nebude šifrované spojení vyžadováno. Skupinu je možno bud’ vybrat z existujících nebo ji tlaˇ cítkem Zmˇ enit upravit ˇ ci nadefinovat novou. Pokud využijete tuto možnost ochrany komunikace, je d˚ uležité, aby všichni uživatelé mˇ eli na svých klientských stanicích nainstalovaný platný ovˇ eˇ rovací certifikát (více vizte kapitolu 16). Povolené metody ovˇ eˇ rování Kerio Connect podporuje nˇ ekolik metod ovˇ eˇ rování uživatelských hesel: • CRAM-MD5 — metoda ovˇ eˇ rování hesel (autentizace pomocí MD5 digest˚ u). Tento zp˚ usob šifrování je obecnˇ e rozšíˇ rený, podporuje ho vˇ etšina poštovních klient˚ u. • DIGEST-MD5 — metoda ovˇ eˇ rování hesel (autentizace pomocí MD5 digest˚ u). • LOGIN — uživatelská hesla nejsou pˇ ri pˇ renosu po síti žádným zp˚ usobem chránˇ ena. Budete-li využívat tento zp˚ usob pˇ renosu hesla, d˚ uraznˇ e doporuˇ cujeme zapnutí komunikace pˇ res SSL tunel. • NTLM — tuto ovˇ eˇ rovací metodu je možno využít pouze v pˇ rípadˇ e, že se uživatelé ovˇ eˇ rují proti Active Directory doménˇ e. To znamená, že lze takto ovˇ eˇ rovat pouze úˇ cty, které jsou bud’ mapovány nebo importovány z Active Directory. Nastavení NTLM ovˇ eˇ rování popisuje samostatná kapitola 27. 152


• PLAIN — uživatelská hesla nejsou pˇ ri pˇ renosu po síti žádným zp˚ usobem chránˇ ena. Budete-li využívat tento zp˚ usob pˇ renosu hesla, d˚ uraznˇ e doporuˇ cujeme zapnutí komunikace pˇ res SSL tunel. • APOP — ovˇ eˇ rovací metoda se v seznamu nezobrazuje, Kerio Connect ji automaticky používá ke stahování POP3 úˇ ct˚ u. Server standardnˇ e nabízí všechny metody ovˇ eˇ rování. Nabízí je klientovi postupnˇ e tak, jak jsou seˇ razeny v seznamu (zaˇ cíná metodou CRAM-MD5). Pokud klient danou metodu podporuje, další v poˇ radí již nebudou použity. Toto chování m˚ uže zp˚ usobit problém, pokud je heslo na serveru uloženo v bezpeˇ cném formátu (SHA1). S SHA šifrou nelze využívat jiné metody pˇ renášení hesla než LOGIN a PLAIN. Poštovní klient, pokud budou povoleny bezpeˇ cné metody CRAM-MD5 a DIGEST-MD5, vybere samozˇ rejmˇ e nˇ ekterou z bezpeˇ cných metod pro ovˇ eˇ rení hesla a nebude se moci do Kerio Connect pˇ rihlásit. Nelze-li tedy pˇ rímo v poštovních klientech nastavit použitou metodu, je nutno v pˇ rípadˇ e ukládání hesel ve formátu SHA vypnout všechny metody kromˇ e LOGIN a PLAIN. Operaˇ cní systém

Ovˇ eˇ rování proti Active Directory

Ovˇ eˇ rování proti Open Directory

Uživatelské schránky jsou uloženy lokálnˇ ea hesla jsou zabezpeˇ cena DES šifrováním

Uživatelské schránky jsou uloženy lokálnˇ ea hesla jsou zabezpeˇ cena SHA šifrováním

MS Windows

NTLM LOGIN PLAIN

LOGIN PLAIN

CRAM-MD5 DIGEST-MD5 LOGIN PLAIN

LOGIN PLAIN

LINUX

LOGIN PLAIN

LOGIN PLAIN


LOGIN PLAIN

Mac OS X

LOGIN PLAIN

LOGIN PLAIN


LOGIN PLAIN

Tabulka 12.3 Použití metod ovˇ eˇ rování

Doporuˇ cení: • Selže-li ovˇ eˇ rovací metoda pro klienta, je nejlépe ji v Kerio Connect vypnout

153


(odškrtnout v seznamu Povolené metody ovˇ eˇ rování ). • Nezávisle na použití typu ovˇ eˇ rovací metody doporuˇ cujeme nastavit na poštovních klientech pˇ rihlašování k serveru pˇ res SSL. Zaškrtnutí volby Povolit NTLM ovˇ eˇ rování pro uživatele, kteˇ rí jsou ovˇ eˇ rováni systémem Kerberos umožˇ nuje uživatel˚ um z Active Directory domény ovˇ eˇ rovat se pˇ ri pˇ rihlášení ke Kerio Connect. Aby bylo NTLM ovˇ eˇ rování funkˇ cní, je nutné, aby poˇ cítaˇ c i uživatelský úˇ cet byly souˇ cástí domény, proti které se uživatel ovˇ eˇ ruje. Další nutnou podmínkou pro správnou funkci tohoto typu ovˇ eˇ rování je povolení NTLM (SPA) ovˇ eˇ rování v poštovních klientech uživatel˚ u. Co vše je potˇ reba v aplikaci Kerio Connect nastavit, aby bylo NTLM ovˇ eˇ rování uživatel˚ u funkˇ cní, najdete v samostatné kapitole 27. Oddíl Blokování úˇ ct˚ u umožˇ nuje nastavit tyto parametry (vizte obrázek 12.20):

Obrázek 12.20

Blokování úˇ ct˚ u

Povolit blokování úˇ ct˚ u Po zaškrtnutí této volby se budou uživatelské úˇ cty blokovat podle níže nastavitelných pravidel. Tato nastavení slouží k vˇ etší bezpeˇ cnosti uživatelských úˇ ct˚ u, chrání je pˇ red pr˚ ulomem hesel a následným zneužitím úˇ ctu. Poˇ cet chybných pˇ rihlášení... Poˇ cet neúspˇ ešných pokus˚ u uživatele o pˇ rihlášení k uživatelskému úˇ ctu z jedné IP adresy. Doba pro odblokování zablokovaného úˇ ctu Doba (v minutách), po které se uživatelský úˇ cet automaticky odblokuje. Použitím tlaˇ cítka Odblokovat všechny úˇ cty odblokujete všechny úˇ cty, které byly dosud blokovány. Upozornˇ ení: Blokování úˇ ct˚ u závisející na neúspˇ ešných pokusech o pˇ rihlášení nijak nesouvisí s blokací v nastavení uživatelských úˇ ct˚ u (vizte sekci 8.2).

154


Datový adresáˇ r V záložce Datový adresáˇ r je možno nastavit adresáˇ r pro ukládání zpráv, kontakt˚ u, událostí atd. (uživatelské a veˇ rejné složky). Do datového adresáˇ re se ukládají zprávy v uživatelských a veˇ rejných složkách, záznamy, zprávy k odeslání a soubory, které se právˇ e kontrolují antivirovým programem. Cesta do datového adresáˇ re Úplná cesta k datovému adresáˇ ri (dle konvence operaˇ cního systému, na kterém Kerio Connect bˇ eží). Z technických d˚ uvod˚ u je tˇ reba datový adresáˇ r umístit lokálnˇ e (na serveru kde je Kerio Connect spuštˇ en). Cestu vepište do pole nebo vyberte pomocí tlaˇ cítka Vybrat složku. Pokud je tˇ reba cestu do datového adresáˇ re zmˇ enit, potom proved’te následující: 1. 2. 3. 4. 5.

Založíme nový adresáˇ r pro úložištˇ e. V Kerio Connect Administration (Konfigurace → Další volby → Datový adresáˇ r) zmˇ eníme cestu k datovému adresáˇ ri. Zastavíme Kerio Connect. Pˇ resuneme všechny soubory datového adresáˇ re do nového úložištˇ e. Spustíme Kerio Connect.

Upozornˇ ení: Do pole Cesta do datového adresáˇ re nelze zadat UNC cestu. Limit pro varování Po dosažení nastavené hodnoty zobrazí Kerio Connect varovné hlášení pˇ ri každém pˇ rihlášení do administraˇ cního rozhraní. Po dosažení limitu se provede zápis do záznamu Error (bližší informace vizte kapitolu 24.7). Kritická mez Limit, po jehož zaplnˇ ení se Kerio Connect Engine a Kerio Connect Monitor zastaví. Do rozhraní Kerio Connect Administration se lze pˇ rihlásit. Bezprostˇ rednˇ e po pˇ rihlášení se zobrazí varovné hlášení o dosažení kritické meze. Zápis o pˇ replnˇ ení diskového prostoru se ukládá do záznamu Error (bližší informace vizte kapitolu 24.7).

155


Obrázek 12.21

Datový adresáˇ r

Upozornˇ ení: Pokud nastavíte limit nebo kritickou mez na hodnotu 0, zobrazí se varovná zpráva, resp. chybové hlášení s každým pˇ rijatým e-mailem. Zmˇ eny tˇ echto nastavení se projeví až po restartu Kerio Connect Engine. Neprovádíte-li tyto zmˇ eny bezprostˇ rednˇ e po instalaci aplikace Kerio Connect, bude tˇ reba po zastavení Engine pˇ resunout všechny soubory ze starého umístˇ ení do nového a teprve pak službu opˇ et spustit.

Master ovˇ eˇ rování Heslo pro master ovˇ eˇ rování je speciální typ univerzálního hesla. Heslo je urˇ ceno aplikacím, které potˇ rebují hromadný pˇ rístup k poštovním schránkám v Kerio Connect bez nutnosti znát hesla k jednotlivým uživatelským úˇ ct˚ um. Upozornˇ ení: Heslo Master Password nelze použít pro pˇ rístup k uživatelským úˇ ct˚ um z poštovních klient˚ u nebo pˇ res rozhraní Kerio WebMail. Není to univerzální administrátorské heslo (nelze se jím pˇ rihlásit ke správˇ e Kerio Connect). Nastavení Master ovˇ eˇ rování se provádí ve stejnojmenné záložce sekce Další volby:

156


Obrázek 12.22 Master ovˇ eˇ rování

Povolit Master ovˇ eˇ rení na tento server Tato volba zapíná/vypíná Master ovˇ eˇ rování v Kerio Connect. Doporuˇ cujeme zapínat Master ovˇ eˇ rování pouze v pˇ rípadˇ e, že bude skuteˇ cnˇ e úˇ celnˇ e využita. Povolit Master ovˇ eˇ rování pouze z této skupiny IP adres V tomto poli je tˇ reba vybrat nebo založit skupinu IP adres, z níž má být Master ovˇ eˇ rování povoleno. Z bezpeˇ cnostních d˚ uvod˚ u není možné povolit Master ovˇ eˇ rování z libovolné IP adresy. Skupinu je možno bud’ vybrat z existujících nebo ji tlaˇ cítkem Zmˇ enit upravit ˇ ci nadefinovat novou. Heslo Master Password Do tohoto pole zadejte heslo, které bude použito pro pˇ rístup ke všem schránkám. Toto heslo by mˇ el znát naprosto minimální poˇ cet osob. Získá-li heslo Master Password neoprávnˇ ená osoba, m˚ uže dojít k narušení soukromí všech uživatel˚ u, kteˇ rí mají na daném serveru schránky! Potvrzení hesla Heslo musí být potvrzeno z d˚ uvodu eliminace pˇ reklep˚ u pˇ ri zadávání.

HTTP Proxy Pokud je Kerio Connect nainstalován na poˇ cítaˇ c umístˇ ený za firewallem, m˚ uže se pomocí proxy serveru pˇ ripojit k Internetu. Této vlastnosti lze využít napˇ ríklad pro aktualizaci a zjišt’ování nových verzí Kerio Connect nebo antiviru. Použít HTTP proxy server pro... Pro správnou funkci musí být vyplnˇ ena adresa proxy serveru a port, na nˇ emž služba bˇ eží. Proxy server vyžaduje ovˇ eˇ rení uživatele Pokud proxy server vyžaduje ovˇ eˇ rení, musí být vyplnˇ eno uživatelské jméno a heslo.

157


Obrázek 12.23 HTTP proxy

Uživatelské jméno Do položky je tˇ reba zadat uživatelské jméno pro pˇ rihlášení k pˇ ríslušnému proxy serveru. Heslo Do položky je tˇ reba zadat heslo pro pˇ rihlášení k proxy serveru.

Aktualizace Záložka spravuje aktualizaci nových verzí aplikace Kerio Connect a automatickou aktualizaci Kerio Outlook Connectoru a Kerio Outlook Connectoru (Offline Edition): Od poslední kontroly nové verze... ˇ uplynulý od poslední kontroly. Nové verze produktu se kontrolují každých 24 hodin. Cas Tlaˇ cítko Zkontrolovat nyní spustí kontrolu nové verze. V pˇ rípadˇ e nalezení nové verze je tato nabídnuta ke stažení a instalaci, jinak je uživatel informován, že k dispozici nová verze není. Automaticky kontrolovat nové verze Povoluje automatickou kontrolu, zda je na serveru spoleˇ cnosti Kerio Technologies k dispozici nová verze aplikace Kerio Connect. Byla-li spoleˇ cností Kerio Technologies uvolnˇ ena nová verze aplikace, zobrazí se v záložce Aktualizace odkaz na WWW stránku, odkud je možno novou verzi produktu stáhnout. Nabízet ke stažení také betaverze Volba umožˇ nuje zapnout také upozorˇ nování na betaverze aplikace Kerio Connect.

158


Obrázek 12.24

Aktualizace

Upozornˇ ení: Pokud se chcete podílet na testování betaverzí, zaškrtnˇ ete volbu Nabízet ke stažení také betaverze. V pˇ rípadˇ e, že je Kerio Connect nasazen v ostrém provozu, nedoporuˇ cujeme betaverze instalovat — volbu nezapínejte. Souˇ cástí instalaˇ cního balíku jsou také automatické instalace Kerio Outlook Connectoru, Kerio Outlook Connectoru (Offline Edition) a Kerio Sync Connectoru for Mac. Pole Dostupné aktuální verze modul˚ u pro klienty informuje o aktuálnˇ e používaných verzích modul˚ u (vˇ cetnˇ eˇ císla buildu). • Kerio Outlook Connector — balík je všem uživatel˚ um aktualizován automaticky ihned po aktualizaci serveru. • Kerio Outlook Connector (Offline Edition) — balík je všem uživatel˚ um aktualizován automaticky ihned po aktualizaci serveru. • Kerio Sync Connector — uživatel˚ um na klientských stanicích se zobrazí informace o možnosti aktualizace Kerio Sync Connectoru. Po odsouhlasení dialogu program aktualizuje. Kerio Connect provádí automatickou kontrolu verzí Kerio Outlook Connectoru a Kerio Outlook Connectoru (Offline Edition). Tato kontrola zamezuje problém˚ um zp˚ usobeným špatnou komunikací staršího serveru a novˇ ejší verze plug-inu, nebo naopak novˇ ejšího serveru a starší verze plug-inu. V praxi kontrola verzí znamená, že v pˇ rípadˇ e zjištˇ ené nekonzistence 159


se uživateli zobrazí upozornˇ ení, že by mˇ el být proveden upgrade/downgrade plug-inu. Po odsouhlasení upozornˇ ení se nainstaluje správná verze. V pˇ rípadˇ e, že uživatel nechce nainstalovat novou verzi, záleží, zda se verze serveru liší pouze v ˇ císle buildu nebo v ˇ císle verze: 1.

Liší se ˇ císlem buildu — plug-in se normálnˇ e spustí spolu s aplikací MS Outlook. Pˇ red každým novým spuštˇ ením aplikace MS Outlook se ovšem znovu objeví upozornˇ ení, že je tˇ reba plug-in aktualizovat.

2.

Liší se ˇ císlem verze — plug-in se k serveru odmítne pˇ ripojit, dokud nebude aktualizován.

Nové verze Kerio Outlook Connectoru, Kerio Outlook Connectoru (Offline Edition) a Kerio Sync Connectoru jsou ukládány do adresáˇ re Kerio\MailServer\webmail\download Upozornˇ ení: Pro aktualizaci všech plug-in˚ u musí být spuštˇ ena služba HTTP nebo její zabezpeˇ cená verze HTTPS. Certifikát serveru lze vytvoˇ rit pˇ rímo v administraˇ cním rozhraní Kerio Connect. Pˇ resný návod obsahuje kapitola 16. Poznámka: Pokud se v souvislosti s aktualizací vyskytnou nˇ ejaké problémy, zapnˇ ete v záznamu Debug volbu Update Checker Activity (kde a jak tuto volbu zapnout najdete v kapitole 24.9). Informace ze záznamu vám mohou pomoci k úspˇ ešnému ˇ rešení problému.

160

Kapitola 13

Antispamová kontrola SMTP serveru

Antispamová kontrola SMTP serveru slouží k ochranˇ e uživatel˚ u proti nevyžádané poštˇ e (tzv. spamu). Spam je nevyžádaný, zpravidla reklamní e-mail. Spamy bývají rozesílány hromadnˇ e, pˇ riˇ cemž adresy pˇ ríjemc˚ u získávají rozesílatelé nelegálními cestami (napˇ r. odposloucháváním sít’ové komunikace). Kerio Connect obsahuje celou ˇ radu možností, jak se zbavit nevyžádané pošty. Tyto možnosti pˇ redstavují r˚ uzné filtry, testy a kontrolní mechanizmy, díky kterým lze pomˇ ernˇ e pˇ resnˇ e zjistit, která zpráva je vyžádaná, a která nikoliv. Kerio Connect používá k rozpoznání a eliminaci spamu následující metody a testy: • SpamAssassin (funkce a nastavení jsou podrobnˇ e popsány v sekci 13.4). • Black/White listy (funkce a nastavení jsou podrobnˇ e popsány v sekci 13.2). • Vlastní filtrovací pravidla (funkce a nastavení jsou podrobnˇ e popsány v sekci 13.3). • Caller ID (funkce a nastavení jsou podrobnˇ e popsána v sekci 13.5). • SPF (funkce a nastavení jsou podrobnˇ e popsány v sekci 13.5). • Zpoždˇ ení odpovˇ edi na SMTP pozdrav (funkce a nastavení jsou podrobnˇ e popsány v sekci 13.6). Každý test pro urˇ cování spamu lze používat samostatnˇ e, nebo je možné testy r˚ uznˇ e kombinovat. Doporuˇ cujeme druhé ˇ rešení, tedy kombinaci pokud možno všech dostupných ˇ u je pro urˇ cení spamu použito najednou, tím hustší je antispamových test˚ u. Cím více test˚ antispamové síto, a tím ménˇ e spamu bude uživatele obtˇ ežovat. Zároveˇ n bude identifikace spamu pˇ resnˇ ejší, takže i poˇ cet korektních zpráv, které byly omylem oznaˇ ceny jako spam (tzv. „false positives“), se sníží na minimum. Každý typ testu používá pro urˇ cování spamu jiné metody. Jedno má však vˇ etšina test˚ u spoleˇ cné. Pro témˇ eˇ r každou metodu (kromˇ e zpoždˇ ení odpovˇ edi na SMTP pozdrav) je možno nastavit dva r˚ uzné zp˚ usoby, co dˇ elat pˇ ri nalezení spamu. Prvním ˇ rešením je odmítnutí pˇ rijetí takové zprávy. V druhém pˇ rípadˇ e lze zprávˇ e zvýšit tzv. spamové skóre (více vizte sekci 13.1). Pokud zpráva dostane vyšší skóre od více test˚ u zároveˇ n, bude zahozena (jednotlivá skóre se sˇ cítají). První ˇ rešení nastavení test˚ u m˚ uže mírnˇ e snížit zatížení serveru, druhé ˇ rešení má tu výhodu, že je ménˇ e náchylné na „false positives“.

161


Upozornˇ ení: Pˇ ri offline pˇ ripojení aplikace Kerio Connect úˇ cinnost spamové kontroly zásadnˇ e klesá. Nastavit spamový filtr aplikace Kerio Connect lze v sekci Konfigurace → Filtrování obsahu → Filtr spamu.

13.1 Hodnocení spamu

Záložka Hodnocení spamu povoluje/zakazuje hodnocení spamovým filtrem a upravuje, za jakých podmínek má být spam blokován, pokud je použito navyšování spamového skóre u r˚ uzných test˚ u spamového filtru:

Obrázek 13.1

Hodnocení spamu

162

13.1 Hodnocení spamu

Povolit hodnocení spamu Jednotlivé spamové testy mohou ˇ císelnˇ e ohodnotit každou pˇ ríchozí zprávu, pˇ riˇ cemž ˇ ˇ cím vyšší je ˇ císlo, tím vyšší je pravdˇ epodobnost, že zpráva obsahuje spam. Císelnému hodnocení, které zpráva po provedení antispamového testu obdrží, ˇ ríkejme spamové skóre. Pokud zpráva projde více testy, spamová skóre z jednotlivých test˚ u se sˇ cítají a výsledek se ve zprávˇ e uloží do speciální hlaviˇ cky X-Spam-Status. Po vypnutí této položky budou zprávy hodnoceny spamovým skóre i nadále, avšak výsledky test˚ u nebudou spamovým filtrem brány v úvahu. Na kontrolované zprávy se budou vztahovat pouze takové testy, kde je nastaveno blokování zpráv. Povolit hodnocení zpráv pˇ rijatých z ... Zapíná/vypíná kontrolu zpráv odeslaných lokálními (d˚ uvˇ eryhodnými) uživateli. Skupinu ˇ d˚ uvˇ eryhodných IP adres je možno nastavit v sekci Konfigurace → SMTP server → Rízení pˇ rístupu (více vizte kapitolu 12.2). Tato volba se nevztahuje na kontrolu „email policy“ záznam˚ u (sekce 13.5) a na „black/white listy“ (sekce 13.2). Mezní hodnoty spamového hodnocení Poté, co zpráva projde všemi povolenými druhy test˚ u a filtr˚ u a je jí pˇ ridˇ eleno výsledné spamové skóre, urˇ cí Kerio Connect zda je zpráva legitimní nebo zda je nevyžádaná. Stupnice Mezní hodnoty spamového hodnocení umožˇ nuje ruˇ cní úpravu hranice, kdy je zpráva považována za spam, a kdy má tak vysoké spamové skóre, že není žádných pochyb, že je nevyžádaná a m˚ uže být blokována: • Hodnota pro oznaˇ cení zprávy Je-li hodnocení zprávy vyšší nebo rovno nastavené hodnotˇ e, bude zpráva oznaˇ cena jako spam. Kerio Connect pak pˇ ridá do zprávy hlaviˇ cku X-Spam-Flag, podle které m˚ uže poštovní klient rozeznat, že se jedná o spam. Do pole nebo na posuvné stupnici lze doplnit desetinné ˇ císlo upˇ resnˇ ené na 1 desetinné místo v rozsahu od 0.0 do 10.0 (ˇ cím nižší ˇ císlo zadáte, tím ménˇ e nevyžádané pošty pˇ res filtr projde). Doporuˇ cená hodnota pro práh hodnocení je 5.0 — podle statistik pˇ res filtr neprojde, respektive bude oznaˇ ceno jako spam 91.12% nevyžádaných zpráv. Zároveˇ n ovšem filtr oznaˇ cí jako spam i 0.62% korektních zpráv. Zvýšením hodnocení (napˇ r. na 8.0) lze snížit pravdˇ epodobnost, že budou odfiltrovány

163


korektní zprávy (0.04%), zároveˇ n se však sníží úˇ cinnost filtrace spamu (74.36%). Upozornˇ ení: 1. 2.

Pokud bude zadána pˇ ríliš nízká hodnota, bude každá nebo témˇ eˇ r každá zpráva považována za spam. Zaˇ cne-li se snižovat úˇ cinnost spamového filtru, nesnižujte hranici pro oznaˇ cení nebo blokování spamu. Lepším zp˚ usobem je zapojení více r˚ uzných test˚ u do spamového filtru.

• Hodnota pro blokování zprávy Je-li hodnocení zprávy vyšší nebo rovno nastavené hodnotˇ e, zpráva bude zahozena. Pokud nastavíte tuto hodnotu pˇ ríliš nízko, m˚ uže se stát, že budou spolu se spamy zahazovány také legitimní zprávy. Z toho d˚ uvodu doporuˇ cujeme pˇ ri testování a optimalizaci spamového filtru povolit možnost Pˇ reposlat zprávu do karantény na adresu a doplnit úˇ cet, kam posílat kopie všech blokovaných zpráv. Potom bude kopie každé zprávy, která pˇ rekroˇ cila hranici pro blokaci doruˇ cena do zadané schránky. Tuto schránku pak staˇ cí jenom jednou za ˇ cas projít, zda v ní neuvízla legitimní zpráva. Maximální hodnotou pro blokování zpráv je 9.9. Nastavení hodnoty 10 blokování zpráv vypne, takže zprávy se budou pouze oznaˇ covat jako spam, ale nikdy nebudou blokovány. Poznámka: Budou-li hodnoty pro oznaˇ cení i blokování zprávy nastaveny na stejnou hodnotu, potom se všechny zprávy oznaˇ cené jako spam budou automaticky zahazovat. Akce pˇ ri dosažení hodnocení pro oznaˇ cení Zpráva bude oznaˇ cena hlaviˇ ckou X-Spam-Flag a doruˇ cena pˇ ríjemci. Kromˇ e oznaˇ cení spamu speciální hlaviˇ ckou lze podle potˇ reby pˇ red pˇ redmˇ et zprávy umístit text, podle kterého uživatel nebo pˇ rípadné sieve pravidlo na nevyžádanou poštu rozpozná, že zpráva je spam (takové pravidlo je možno založit pˇ rímo pˇ ri vytváˇ rení uživatelských úˇ ct˚ u v administraˇ cním rozhraní — podrobnosti najdete v kapitole 8.2). Výchozím textem v pˇ redmˇ etu zprávy je ˇ retˇ ezec **SPAM**. Tento ˇ retˇ ezec lze libovolnˇ e zmˇ enit v poli Oznaˇ cit zprávu jako spam (více vizte níže v textu). TIP: Pokud je pˇ ridán do pole Pˇ red pˇ redmˇ et zprávy pˇ ridat tento text zástupný znak [%s], pak se do pˇ redmˇ etu v podobˇ e hvˇ ezdiˇ cek doplní poˇ cet bod˚ u, které pˇ ridˇ elila antispamová kontrola. Z toho vyplývá, že si uživatel m˚ uže nastavit jedno nebo i více filtrovacích pravidel (podle poˇ ctu hvˇ ezdiˇ cek) pro nevyžádanou poštu na svém poštovním klientovi nebo v rozhraní Kerio WebMail.

164

13.2 Zakázaní odesílatelé

Informovat odesílatele o odmítnutí zprávy cení e-mailu. Server vrátí odesílateli DSN zprávu o nemožnosti doruˇ Toto nastavení nedoporuˇ cujeme používat, protože vˇ etšina spam˚ u má zfalšovanou adresu odesílatele. To znamená, že zpráva s informací o odmítnutí nem˚ uže být nikam doruˇ cena (adresa, na kterou je zpráva odeslána v˚ ubec neexistuje). Zprávy s informací o odmítnutí pak z˚ ustávají ve frontˇ e, kde je nutno je bud’ explicitnˇ e smazat, nebo se je server pokouší odesílat podle nastavení fronty zpráv (standardnˇ e každých 30 minut po dobu 5 dn˚ u). Poté nedoruˇ citelnou zprávu zahodí. Pˇ reposlat zprávu do karantény na adresu Adresa, na kterou budou zablokované zprávy pˇ reposílány (bez ohledu na další nastavení spamového filtru). V hlaviˇ cce každé takové zprávy je zaznamenán seznam test˚ u provedených na zprávˇ e a skóre, které jednotlivé testy pˇ ridˇ elily. Pokud se tedy do urˇ cené schránky dostane také legitimní zpráva, kterou testy zablokovaly, je možné na základˇ e zjištˇ ení upravit chování test˚ u tak, aby se situace pˇ ríštˇ e neopakovala a zpráva se v poˇ rádku dostala k uživateli. Pro tento pˇ rípad doporuˇ cujeme založit speciální schránku (napˇ ríklad [email protected]), kam budou kopie spam˚ u doruˇ covány.

13.2 Zakázaní odesílatelé Kerio Connect umožˇ nuje blokovat pˇ ríjem zpráv ze server˚ u, o nichž bylo zjištˇ eno, že rozesílají nevyžádané e-maily. Pˇ ritom umí využít veˇ rejné internetové databáze tˇ echto server˚ u nebo databáze vlastní. Definice parametr˚ u této ochrany se provádí v sekci Konfigurace → Filtr spamu, záložka Zakázaní odesílatelé:

Obrázek 13.2

Zakázaní odesílatelé

165


Seznam d˚ uvˇ eryhodných IP adres (whitelist) Do databází spammer˚ u (tzv. blacklist˚ u) se mohou dostávat také servery doruˇ cující legitimní poštu. To se m˚ uže stát pomˇ ernˇ e snadno (napˇ ríklad pokud není SMTP server dostateˇ cnˇ e zabezpeˇ cen, spammer ho m˚ uže zneužít k rozesílání spamu), a proto Kerio Connect obsahuje seznam d˚ uvˇ eryhodných IP adres (whitelist), kam lze zadávat IP adresy server˚ u, ze kterých chceme poštu pˇ rijímat i pˇ resto, že jsou obsaženy v nˇ ekterém z blacklist˚ u, který Kerio Connect využívá ke kontrole pošty. Zprávy ze server˚ u zaˇ razených do whitelistu nebudou testovány proti nastaveným blacklist˚ um. Ostatní typy nastavených antispamových test˚ u se však na nˇ e vztahovat budou. Pro založení whitelistu je tˇ reba založit novou skupinu IP adres. Toto lze provést tlaˇ cítkem Zmˇ enit. Otevˇ re se dialog, kde je možné vytvoˇ rit vlastní skupinu IP adres SMTP server˚ u (pˇ rípadnˇ e uživatel˚ u). Do whitelistu jsou standardnˇ e zaˇ razeny všechny rozsahy IP adres vyhrazené pro privátní sítˇ e: 127.0.0.1 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 Pˇ resto, že jsou rozsahy privátních IP adres implicitnˇ e zaˇ razeny do whitelistu, jsou na rozdíl od veˇ rejných adres kontrolovány ještˇ e proti blacklistu (Vlastní seznam IP adres spammer˚ u). D˚ uvodem je možnost potˇ reby nˇ ekterou z nich zakázat. Vlastní seznam IP adres spammer˚ u (blacklist) Zde je možno vybrat vlastní skupinu IP adres SMTP server˚ u (pˇ rípadnˇ e uživatel˚ u), o nichž víte, že rozesílají nevyžádanou poštu. Tlaˇ cítkem Zmˇ enit lze vybranou skupinu upravit nebo vytvoˇ rit novou. Zprávu odeslanou ze SMTP serveru umístˇ eného na seznamu spammer˚ u je možno blokovat nebo jí zvýšit spamové hodnocení: • Blokovat zprávu Zpráva bude blokována na SMTP úrovni a odesílateli dorazí oznámení o nemožnosti doruˇ cení zprávy pˇ ríjemci. • Zvýšit spamové hodnocení o: Nastavené spamové hodnocení bude pˇ ripoˇ cteno k hodnocení zprávy. Doporuˇ cenou hodnotou pro skóre je v pˇ rípadˇ e blacklistu 1 — 4 body. Internetové databáze Správce aplikace Kerio Connect m˚ uže využívat r˚ uzné internetové databáze spammer˚ u (zdarma nebo placených). Databáze spammer˚ u obsahují seznam SMTP server˚ u, které rozesílají spam. Internetových databází spammer˚ u je více. Nˇ ekteré jsou dostupné zdarma a za nˇ ekteré je tˇ reba platit. Obecnˇ e platí, že placené databáze poskytují kvalitnˇ ejší služby a SMTP servery v jejich databázích ve velké vˇ etšinˇ e opravdu rozesílají spam. 166

13.2 Zakázaní odesílatelé

Internetové databáze spammer˚ u jsou vzájemnˇ e nezávislé a je možné jich použít více souˇ casnˇ e. Kerio Connect standardnˇ e obsahuje nˇ ekolik databází, které jsou na Internetu k dispozici zdarma. Samozˇ rejmˇ e lze definovat jiné libovolné databáze. K tomuto úˇ celu slouží dialog Internetová databáze (vizte obrázek 13.4), který lze otevˇ rít tlaˇ cítkem Pˇ ridat umístˇ eným pod seznamem databází. Dialog obsahuje následující možnosti nastavení:

Obrázek 13.3

Internetové databáze

DNS doména Do pole se doplˇ nuje název DNS serveru, kterého se Kerio Connect ptá. Popis Libovolný popis, nepovinná položka. Blokovat zprávu Pˇ ripojí-li se ke Kerio Connect server nalezený v blacklistu, bude spojení s ním blokováno. Zpráva nebo zprávy nebudou do Kerio Connect pˇ rijaty. Zároveˇ n budou odesílatel˚ um doruˇ cována oznámení o nemožnosti pˇ rijetí zprávy.

Obrázek 13.4

Nastavení databáze

167


Zvýšit spamové hodnocení o Zprávy pˇ rijaté ze serveru, jehož název je umístˇ en v tomto blacklistu, budou mít zvýšené antispamové skóre o nastavenou hodnotu. Doporuˇ cenou hodnotou pro skóre je v pˇ rípadˇ e blacklistu 1 — 3 body. Hodnota pˇ ridˇ eleného skóre závisí na d˚ uvˇ eryhodnosti dané databáze. Obecnˇ e platí, že placené databáze spammer˚ u si více ovˇ eˇ rují, zda hlášený SMTP server skuteˇ cnˇ e rozesílá spam. Proto v pˇ rípadˇ e placených databází si m˚ užeme dovolit nastavit více bod˚ u než u databází, které jsou poskytovány zdarma. To je ovšem jen obecné pravidlo a výjimka jej m˚ uže potvrzovat. Pokud máte s nˇ ekterou z databází poskytovaných zdarma výborné zkušenosti, m˚ užete skóre nastavit vyšší. Pokud používáte více databází spammer˚ u najednou, nastavte nižší hodnotu spamového skóre, protože SMTP server se m˚ uže vyskytovat ve více databázích zároveˇ n a skóre ze všech databází se sˇ cítá. Dotazovat se databáze... Doporuˇ cujeme zapnout v pˇ rípadˇ e, že Kerio Connect využívá placenou databázi spamserver˚ u, jehož licence je vázána na konkrétní IP adresu. Dotazy na databázi se budou doruˇ covat pˇ rímo, pˇ ri doruˇ cování nebudou využívány nadˇ razené DNS servery. Poznámka: Pokaždé, když adresa odesílatele doruˇ cené zprávy vyhovuje nˇ ekterému z nastavených blacklist˚ u, objeví se tato informace v záznamu Security (více vizte kapitolu 24.4). Z toho vyplývá, že pokud si chcete otestovat spolehlivost nového blacklistu, zadejte ho do seznamu a do položky Zvýšit spamové hodnocení zprávy zadejte hodnotu 0. Zprávy nebudou nijak ovlivnˇ eny blacklistem a zároveˇ n bude každá zpráva, která blacklistu vyhovuje, uvedena v záznamu Security.

Podporované databáze SORBS Spam and Open Relay Blocking System (SORBS) vytváˇ rí a udržuje sadu databází IP adres a doménových jmen spammer˚ u. Kerio Connect standardnˇ e obsahuje dvˇ e agregované zóny databází spammer˚ u, které obsahují všechny základní dílˇ cí databáze zamˇ eˇ rující se na konkrétní typy server˚ u, ze kterých je šíˇ ren spam: • SORBS-DNSBL — databáze IP adres spammer˚ u. • SORBS-RHSBL — databáze doménových jmen spammer˚ u. Více informací o SORBS lze najít na stránkách http://www.de.sorbs.net/ SpamCop Kerio Connect podporuje databázi IP adres spammer˚ u SpamCop. Více informací o SpamCop lze najít na stránkách http://www.spamcop.net/ SpamHaus SBL-XBL Databáze SpamHaus SBL-XBL spojuje klasickou databázi IP adres spammer˚ u a databázi IP adres ilegálních "exploit˚ u" tˇ retích stran:

168

13.3 Vlastní pravidla

• Spamhaus Block List — SBL je databáze IP adres rozesílatel˚ u spamu. Každý z tˇ echto server˚ u je testován, zda se opravdu jedná o server, který rozesílá spam. • Spamhaus Exploit Block List — XBL je databáze IP adres nelegálních exploit˚ u tˇ retích stran, vˇ cetnˇ e otevˇ rených proxy server˚ u, ˇ cerv˚ u/vir˚ u obsahujících škodlivý spustitelný kód a další typy trojských koní. Více informací o SpamHAUS SBL-XBL lze najít na stránkách http://www.spamhaus.org/ Weighted Private Block List Weighted Private Block List (WPBL) je databáze IP adres spammer˚ u, kterou spravuje skupina ˇ clen˚ u, která vyhledává a posuzuje servery rozesílající spam. Databázi spamu, kterou tato skupina generuje, je volnˇ e k dispozici. Více informací o WPBL lze najít na stránkách http://www.wpbl.info/

13.3 Vlastní pravidla V pˇ rípadˇ e, že vám vnitˇ rní mechanizmy antispamového filtru aplikace Kerio Connect nestaˇ cí, lze pomocí ruˇ cnˇ e nastavených pravidel vytvoˇ rit filtr vlastní a upravit tak funkci celého spamového filtru. K tomuto úˇ celu slouží záložka Vlastní pravidla. Záložka se skládá ze dvou ˇ cástí. První obsahuje seznam pravidel a nástroje pro jejich definici. Ve druhé ˇ cásti je možné nastavit, co má aplikace provést s tˇ emi zprávami, které byly na základˇ e definovaných pravidel serverem odmítnuty.

Obrázek 13.5

Vlastní pravidla

169


Nastavení pravidel Každé filtrovací pravidlo se v záložce zobrazuje na jedné ˇ rádce (vizte obrázek 13.5). Vlevo vedle pravidla je umístˇ eno zaškrtávací pole, kterým lze pravidlo povolit ˇ ci zakázat. Tímto zp˚ usobem je možné pravidlo doˇ casnˇ e vyˇ radit z ˇ cinnosti, aniž by bylo nutné ho mazat, a poté znovu pˇ ridávat. Pˇ ri vytváˇ rení pravidel je tˇ reba dbát na jejich poˇ radí. Jednotlivá pravidla jsou totiž serverem vykonávána v takovém poˇ radí, v jakém jsou umístˇ ena v seznamu pravidel ve smˇ eru od shora dol˚ u. Aby bylo možno pravidla po jejich vytvoˇ rení správnˇ e zaˇ radit, jsou po pravé stranˇ e okna umístˇ eny šipky. Tˇ emito šipkami je možno každé z pravidel po oznaˇ cení kurzorem posunout v seznamu nahoru nebo dol˚ u. Kromˇ e šipek lze pravidla posouvat také metodou Drag&Drop. To znamená, že lze pravidlo chytit kurzorem myši a pˇ resunout ho na správné místo. Správné ˇ razení pravidel je nezbytnˇ e d˚ uležité zejména pro povolovací a zakazovací pravidla, protože po jejich vykonání již další pravidla nebudou brána v úvahu. Po pravidlech, která pouze zvyšují nebo snižují spamové skóre, jsou postupnˇ e vykonávána další pravidla v poˇ radí, dokud nejsou použita všechna, nebo dokud zpráva nevyhoví dalšímu povolovacímu nebo zakazovacímu pravidlu. Poznámka: Pravidla testovaná proti hlaviˇ ckám From a To mají navíc jednu zvláštnost, respektive výhodu. Pokud tato pravidla umístíme pˇ red všechna ostatní, budou testována již na úrovni SMTP komunikace. U zakazovacích pravidel je potom zpráva vyhovující takovému pravidlu odmítnuta ještˇ e pˇ red pˇ rijetím do fronty pˇ ríchozích zpráv. Tímto drobným opatˇ rením lze snížit zatížení serveru, protože se server nemusí zprávou dále zabývat. To se týká zejména dalších test˚ u antispamu a antivirové kontroly, která by na zprávˇ e byla provedena po pˇ rijetí do fronty zpráv. Pro povolovací pravidla platí, že pokud jsou testována na úrovni SMTP komunikace, nejsou na nˇ e aplikována ostatní pravidla. Podrobnˇ e je princip testování hlaviˇ cek vysvˇ etlen níže v textu (položka Hlaviˇ cky). Tlaˇ cítka Odebrat a Odebrat nepoužité umožˇ nují vymazání pravidel ze seznamu. Stisknutím tlaˇ cítka Pˇ ridat (resp. Zmˇ enit) se zobrazí dialog pro definici ˇ ci úpravu pravidla. Filtrovací pravidlo se skládá z následujících položek: Popis Textový popis pravidla (pro snazší orientaci). Hlaviˇ cka Testovaná položka hlaviˇ cky e-mailu. Je možno vybrat z nˇ ekolika pˇ reddefinovaných (From, To, Cc, Subject a Sender) nebo zadat vlastní (napˇ r. X-Mailer). Zadává se vždy pouze název hlaviˇ cky bez dvojteˇ cky. Položky From a To se od ostatních uvedených mírnˇ e liší. Tyto položky jsou testovány jak proti hlaviˇ ckám From a To v e-mailu, tak proti hlaviˇ ckám obsaženým v SMTP obálce. Položka From je testována proti MAIL FROM: a položka To proti RCPT TO:. Všechny ostatní položky jsou testovány pouze proti hlaviˇ ckám uvedeným pˇ rímo v e-mailu. Z výše uvedeného vyplývá nˇ ekolik skuteˇ cností: 170


Obrázek 13.6

Definice pravidla

Na zprávy odmítnuté již na úrovni SMTP komunikace se nevztahují žádná další nastavení pro odmítnuté zprávy. Každá zpráva vyhovující zakazovacímu pravidlu bude zamítnuta se standardním chybovým kódem 553 (kód znaˇ cí, že jde o trvalou chybu, a SMTP server se proto již nebude pokoušet zprávu doruˇ cit) a odesílateli bude doruˇ cena DSN zpráva. Na pravidla na položky From a To se vztahuje zvláštní výjimka pˇ ri ˇ razení v seznamu pravidel (vizte výše v textu). Pokud jsou pravidla From a To v seznamu umístˇ ena na prvních místech a není pˇ red nimi žádné jiné pravidlo, jsou vykonávána proti hlaviˇ ckám MAIL FROM: a RCPT TO: na úrovni SMTP. Jakmile se pˇ red tˇ emito pravidly objeví jediné, které se testuje proti jiné hlaviˇ cce, zpráva je automaticky pˇ rijata do fronty pˇ ríchozích zpráv a pravidla From a To jsou testována proti hlaviˇ ckám From: a To: uvnitˇ r zprávy. Pro lepší pochopení problému si na toto téma uvedeme nˇ ekolik pˇ ríklad˚ u: • Pˇ ríklad 1 První pˇ ríklad (vizte tabulku 13.1) zobrazuje pravidla seˇ razená tak, aby všechny zprávy odeslané z adresy [email protected] byly propuštˇ eny do Kerio Connect. Zároveˇ n budou všechny ostatní zprávy z domény domena.cz zamítány na SMTP úrovni. Tˇ retí pravidlo povoluje na SMTP úrovni všechny zprávy doruˇ cované

171


do lokální domény firma.cz. Upozornˇ ení: Pˇ red spamovým testem na vlastní pravidla jsou aplikovány tyto typy test˚ u: • Odrazování spammer˚ u • Caller ID a SPF • Whitelisty/Blacklisty To znamená, že každá zpráva s adresou odesílatele [email protected] musí nejprve projít tˇ emito testy. Pokud není žádným z výše vyjmenovaných test˚ u zablokována, a projde až k vlastním pravidl˚ um, uplatní se povolovací pravidlo a na zprávu již nebudou aplikovány žádné další testy (respektive výsledky pˇ rípadných dalších test˚ u budou nastaveny na 0 bod˚ u). Hlaviˇ cka

Typ

Obsah

Akce

From

Adresa [email protected] Povolit

From

Doména domena.cz

Odmítnout

To

Doména firma.cz

Povolit

Tabulka 13.1 Pˇ ríklad 1

• Pˇ ríklad 2 Ve druhém pˇ ríkladu bude na úrovni SMTP serveru zamítána veškerá pošta pro adresu [email protected] (vizte tabulku 13.2). Dále bude zamítána všechna pošta z domény spam.cz kromˇ e takových zpráv, které mají v hlaviˇ cce Subject obsažen podˇ retˇ ezec test. Hlaviˇ cka

Typ

Obsah

Akce

To

Adresa

[email protected] Odmítnout

Subject

Podˇ retˇ ezec test

Povolit

From

Doména

Odmítnout

spam.cz

Tabulka 13.2 Pˇ ríklad 2

Upozornˇ ení: Z pˇ redchozího nepˇ rímo vyplývá, že pˇ ri tvoˇ rení pravidel je tˇ reba dávat pozor také na nechtˇ ené ovlivnˇ ení jednoho pravidla jiným. To se m˚ uže stát napˇ ríklad tehdy, když jsou uživatelé pˇ rihlášení do e-mailových konferencí a adresy v MAIL FROM: a RCPT TO: neodpovídají adresám v hlaviˇ ckách From a To uvnitˇ r zprávy.

172


Typ Typ podmínky, na níž bude položka testována. Možné typy jsou: Je prázdná — položka je prázdná. Chybí — zpráva neobsahuje uvedenou hlaviˇ cku. Obsahuje adresu — obsahuje konkrétní e-mailovou adresu. Obsahuje doménu — všechny e-mailové adresy z této domény. Do tohoto pole je nutné zadat poštovní doménu, to znamená celou ˇ cást e-mailové adresy umístˇ ené vpravo od znaku @. • Obsahuje ˇ retˇ ezec — obsahuje konkrétní znaky (slovo, text, ˇ císlo...). • Obsahuje binární data — podmínka obsahuje konkrétní znaky podobnˇ e jako ˇ retˇ ezec, navíc ovšem umožˇ nuje použití binárních dat, která spam m˚ uže obsahovat. Binární data jsou znaky, které v každé znakové sadˇ e znamenají nˇ eco jiného (v ˇ ceštinˇ e napˇ ríklad u ˚, ˇ r atd.).

• • • •

Obsah Požadovaný obsah položky (v závislosti na zvoleném typu). Poznámka: Pokud jste v poli Typ zvolili Obsahuje adresu nebo Obsahuje doménu, m˚ užete v poli Obsah použít také zástupný znak „*“ (vizte obrázek 13.7).

Obrázek 13.7

Definice pravidla — použití zástupného znaku

Po nastavení pravidla je tˇ reba zvolit jednu z následujících akcí: Nepovažovat zprávu za spam V pˇ rípadˇ e, že pˇ rijímáte zprávy obsahující prvky spamu a nechcete, aby zpráva vyhovující tomuto pravidlu byla jako spam oznaˇ cena, zaškrtnˇ ete tuto volbu. Považovat zprávu za spam a odmítnout ji Zpráva vyhovující pravidlu bude bez ohledu na spamový filtr oznaˇ cena jako nevyžádaná. Dále na ni bude aplikováno nastavení, které je umístˇ eno v záložce Vlastní pravidla ve ˇ spodní cásti nazvané Byla-li zpráva odmítnuta vlastním pravidlem pro spam (popsáno níže v textu).

173


Zvýšit spamové hodnocení o ˇ Císelné hodnocení zprávy, která vyhoví tomuto pravidlu (ˇ cím vyšší ˇ císlo, tím menší je ˇ možnost, že zpráva pˇ res filtr projde). Císlice, kterou ohodnotíte zprávy vyhovující tomuto pravidlu, bude pˇ ripoˇ ctena k celkovému skóre spamového filtru (zápornˇ e ohodnocené pravidlo chrání zprávy pˇ red tím, aby byly oznaˇ ceny jako spam). Doporuˇ cenou hodnotou pro skóre je v tomto pˇ rípadˇ e 1 — 3 body. Pˇ ríklady: 1.

Chceme, aby server blokoval všechny e-maily odesílané z adresy [email protected]. Zadáme pravidlo, kde se bude testovat položka From. Typ podmínky zvolíme obsahuje adresu (tj. konkrétní e-mailová adresa) a do položky Obsah zadáme požadovanou e-mailovou adresu, tedy [email protected]. V poli Hodnocení bud’ nastavíme hodnotu, o kterou se má zvýšit spamové skóre, nebo využijeme volbu Považovat zprávu za spam a odmítnout ji.

2.

Jeden z uživatel˚ u si nechává pravidelnˇ e zasílat e-maily s nabídkami. Tyto zprávy jsou odesílány z adresy [email protected] a SpamAssassin je klasifikuje jako nevyžádané. Abychom tomu zabránili, vytvoˇ ríme pravidlo: • Hlaviˇ cka — zvolíme položku From • Typ — zvolíme položku Obsahuje adresu • Obsah — zadáme adresu [email protected] • Zvýšit spamové hodnocení o — nastavíme zápornou hodnotu, která sníží celkové hodnocení zprávy nebo použijeme volbu Nepovažovat zprávu za spam (ignorovat hodnocení systému SpamAssassin).

Akce vlastního pravidla pro zprávy Nastavení se týká pouze tˇ ech vlastních pravidel, která mají nastavenu volbu Považovat zprávu za spam a odmítnout ji: Informovat odesílatele o odmítnutí zprávy Server vrátí odesílateli DSN zprávu o nemožnosti doruˇ cení e-mailu. Toto nastavení nedoporuˇ cujeme používat, protože vˇ etšina spam˚ u má falešnou adresu odesílatele. To znamená, že zpráva s informací o odmítnutí nem˚ uže být nikam doruˇ cena (adresa, na kterou je práva odeslána v˚ ubec neexistuje). Zprávy s informací o odmítnutí pak z˚ ustávají ve frontˇ e, kde je nutno je bud’ explicitnˇ e smazat, nebo se je server pokouší každých 30 minut odeslat a po lh˚ utˇ e dvou až tˇ rech dn˚ u teprve nedoruˇ citelnou zprávu zahodí. Pˇ reposlat zprávu do karantény na adresu Adresa, na kterou budou oznaˇ cené zprávy pˇ reposílány, a kde si administrátor nebo jiná povˇ eˇ rená osoba m˚ uže ˇ cas od ˇ casu zkontrolovat, zda mezi spamem není nˇ ejaká

174

13.4 SpamAssassin

legitimní zpráva. Tuto volbu doporuˇ cujeme použít, aby bez jakéhokoli upozornˇ ení (at’ už odesílatele nebo pˇ ríjemce) nezmizel d˚ uležitý e-mail.

13.4 SpamAssassin Kerio Connect využívá v boji proti spamu také známý antispamový filtr SpamAssassin. SpamAssassin je složen z nˇ ekolika typ˚ u test˚ u: • filtr založený na statistickém hodnocení obsahu zpráv • bayesovský filtr • SURBL (Spam URI Realtime Blocklist) — metoda, která kontroluje pˇ rípadné odkazy na webové stránky umístˇ ené uvnitˇ r mailu proti speciálním on-line databázím. Poznámka: Pˇ ri ˇ rešení pˇ rípadných problém˚ u se SpamAssassinem zapnˇ ete v záznamu Debug možnost SpamAssassin Processing. O záznamu Debug se dozvíte více v kapitole 24.9.

Hodnocení obsahu zpráv Filtr hodnocení obsahu zpráv funguje na principu statistického filtrování — podle obsahu zprávy (klíˇ cových slov, poˇ ctu velkých písmen v textu, formátu zprávy a podobnˇ e) je každé zprávˇ e pˇ ridˇ eleno ˇ císelné hodnocení (spamové skóre), které ˇ cím je vyšší, tím vyšší je poˇ cet znak˚ u obvyklých pro nevyžádanou poštu.

Bayesovský filtr Druhou ˇ cástí je takzvaný Bayesovský filtr. Bayesovský filtr je speciální antispamový filtr, který má schopnost se „uˇ cit“ co je a co není spam. Filtr sleduje charakteristiky spamu, a pak pro každou zprávu urˇ cuje pravdˇ epodobnost, zda je ˇ ci není nevyžádaná. Tato metoda obsahuje dva typy souˇ casnˇ e fungujících režim˚ u: • „Autolearn“ — režim pro vlastní uˇ cení spamového filtru. • „Learn“ — tento režim vyžaduje spolupráci uživatel˚ u. Každý uživatel musí zprávy, které jsou filtrem špatnˇ e urˇ cené, oznaˇ cit správnˇ e, aby se filtr nauˇ cil obdobné typy zpráv rozpoznat. Aby byl filtr funkˇ cní, musí nejprve nasbírat vzorek alespoˇ n 200 unikátních spam˚ u a 200 unikátních ham˚ u (legitimních zpráv). Unikátních znamená, že oznaˇ cené zprávy musí být r˚ uzné. Pokud uživateli chodí každý den ten samý spam, do databáze se dostane pouze jednou. Další výskyty nebudou již brány v úvahu. Bayesovský filtr sˇ cítá spamy a hamy, které se uˇ cí metodami learn a autolearn. Záložka SpamAssassin obsahuje statistiku, která vypovídá o tom, kolik zpráv bylo oznaˇ ceno jako spam nebo ham, a zda se filtr ještˇ e uˇ cí nebo už je aktivní. I po jeho aktivaci se však filtr samozˇ rejmˇ e uˇ cí dál. 175


Poznámka: SpamAssassin kontroluje pouze zprávy do velikosti 128 kB, nebot’ spamy mají v drtivé vˇ etšinˇ e menší objem a kontrola pˇ ríliš velkých e-mail˚ u by zbyteˇ cnˇ e zatˇ ežovala server. Protože je v režimu „Learn“ nutné, aby zprávy posuzovali jednotliví uživatelé, musí nástroje na urˇ cování špatnˇ e rozpoznaných zpráv obsahovat poštovní klienti. Tyto nástroje standardnˇ e obsahují pouze MS Outlook s Kerio Outlook Connectorem a rozhraní Kerio WebMail. V tˇ echto dvou pˇ rípadech mohou uživatelé využít speciálních tlaˇ cítek na panelu nástroj˚ u, která umožˇ nují oznaˇ cit špatnˇ e urˇ cenou zprávu. Pro poštovní klienty s nastavenými IMAP úˇ cty a pro MS Entourage (platí pro IMAP a Exchange úˇ cty) existuje jiné ˇ rešení, jak uˇ cit bayesovský filtr. Tito uživatelé mohou oznaˇ covat špatnˇ e urˇ cené zprávy pomocí pˇ resunutí do urˇ cité složky. Chce-li uživatel oznaˇ cit zprávu jako spam, musí ji pˇ resunout do složky Nevyžádaná pošta (Junk E-mail). Chce-li uživatel oznaˇ cit zprávu jako vyžádanou (byla systémem chybnˇ e oznaˇ cena jako spam), musí ji pˇ resunout do složky Doruˇ cená pošta (Inbox). TIP: Chcete-li tuto metodu využívat efektivnˇ e, nastavte uživatel˚ um pravidlo pro nevyžádanou poštu (bud’ pˇ ri zakládání uživatelských úˇ ct˚ u v Kerio Connect nebo nastavením pˇ ríslušného sieve pravidla pro pˇ ríchozí poštu). Všechny zprávy oznaˇ cené aplikací Kerio Connect jako spam se budou automaticky pˇ resouvat do složky Nevyžádaná pošta. Pokud filtr špatnˇ e oznaˇ cí zprávu jako spam, uživatel ji ruˇ cnˇ e pˇ resune do složky Doruˇ cená pošta. A pokud server omylem propustí spam, uživatel ji ruˇ cnˇ e pˇ resune do složky Nevyžádaná pošta. Tímto zp˚ usobem lze zajistit správné a efektivní uˇ cení bayesovského filtru.

On-line databáze SURBL Tˇ retí ˇ cást filtru kontroluje obsah zpráv (pˇ rípadné odkazy na webové stránky umístˇ ené uvnitˇ r mailu) proti speciálním on-line databázím. SpamAssassin umí spolupracovat s více on-line databázemi. V Kerio Connect však využívá pouze SURBL, protože s tˇ emi ostatními již pracuje Kerio Connect v rámci jiných test˚ u.

13.5 Kontrola email policy záznam˚ u Velké procento nevyžádané pošty obsahuje podvrženou adresu odesílatele. Kontrola „email policy“ záznam˚ u umožˇ nuje odfiltrování zpráv s podvrženou adresou odesílatele. Kontrola spoˇ cívá v možnosti zpˇ etného ovˇ eˇ rování IP adresy vzdáleného SMTP serveru, zda je oprávnˇ en pro danou doménu odesílat poštu. Rozesílatelé spamu tak budou nuceni používat svoje skuteˇ cné adresy a bude jednodušší nevyžádané zprávy rozpoznat pomocí r˚ uzných blacklist˚ u. Kerio Connect umožˇ nuje kontrolu „email policy“ záznam˚ u pomocí dvou velmi podobných technologií. Tou první je Caller ID vytvoˇ rené spoleˇ cností Microsoft, druhou je open-source projekt nazvaný SPF (Sender Policy Framework). Obˇ e technologie umožˇ nují jednoznaˇ cné 176

13.5 Kontrola email policy záznam˚ u

ovˇ eˇ rení odesílatele zprávy. Ovˇ eˇ rení funguje na základˇ e zveˇ rejnˇ ení IP adres SMTP server˚ u, které odesílají poštu z dané domény. Pro každou doménu podporující alespoˇ n jednu z technologií je v DNS uložen záznam typu TXT, který obsahuje seznam IP adres server˚ u odesílajících poštu z dané domény. Kerio Connect po pˇ rijetí zprávy porovná IP adresu SMTP serveru s IP adresami obsaženými v tomto DNS záznamu. Takto je pro každou zprávu ovˇ eˇ rena d˚ uvˇ eryhodnost odesílatele. Pokud DNS záznam neobsahuje IP adresu, ze které byla zpráva odeslána, pak je pravdˇ epodobnˇ e zfalšovaná adresa odesílatele a jedná se o spam. Tímto zp˚ usobem lze velmi jednoduše rozlišit, zda je zpráva podvržená ˇ ci nikoliv. Pošta odeslaná ze serveru, který nemá v DNS záznamu obsažen pˇ ríslušný seznam s IP adresami, bude vždy doruˇ cena. To znamená, že tato pošta pro kontrolu „email policy“ nebude brána v úvahu. Nastavit Caller ID a SPF v Kerio Connect lze ve stejnojmenných záložkách Caller ID (Filtr spamu → Caller ID) a SPF (Filtr spamu → SPF ). Upozornˇ ení: SPF i Caller ID lze používat pouze v pˇ rípadˇ e, že je pošta doruˇ cována protokolem SMTP. Pokud je pošta stahována z doménového koše pomocí POP3 protokolu, email policy záznamy nebudou fungovat.

Caller ID Záložka Caller ID umožˇ nuje provedení základního nastavení: Kontrolovat Caller ID každé... Volba povoluje/zakazuje použití Caller ID kontroly. ˇ V sekci SMTP server v záložce Rízení pˇ rístupu lze nastavit skupinu d˚ uvˇ eryhodných IP adres. Zprávám, které byly odeslány z d˚ uvˇ eryhodné adresy, nebude Caller ID kontrolováno (více vizte kapitolu 12.2). Pouze zapsat do záznamu Security Zprávy s neplatným Caller ID budou pouze zapsány do záznamu Security. Blokovat zprávu Zpráva s neplatným Caller ID bude blokována na úrovni SMTP komunikace. Odesílateli bude doruˇ ceno oznámení o nedoruˇ citelnosti zprávy. Zvýšit spamové hodnocení o Nastavená hodnota bude pˇ ripoˇ ctena k celkovému hodnocení zprávy (vizte sekci 13.1). Doporuˇ cená hodnota pro nastavení se v pˇ rípadˇ e metody Caller ID pohybuje mezi 1 — 3 body. Akceptovat také zkušební Caller ID... V souˇ casné dobˇ e technologie Caller ID není plnˇ e rozšíˇ rena. Proto ji mnoho domén používá v testovacím režimu (hlaviˇ cka XML skriptu v DNS záznamu obsahuje pˇ ríznak testing). Z toho d˚ uvodu doporuˇ cujeme volbu zapnout. Pokud volba nebude zapnuta, 177


nebude konfigurace brána v úvahu, stejnˇ e jako kdyby DNS záznam pˇ ríslušný XML skript neobsahoval.

Obrázek 13.8

Caller ID

Upozornˇ ení: Je-li zapnuta tato volba, nenastavujte pro zprávy s neplatným Caller ID možnost Blokovat zprávu. Nekontrolovat Caller ID... Volbu lze využít zejména pro nastavení záložních server˚ u. Pokud je zpráva poslána pˇ res záložní server, IP adresa SMTP serveru neodpovídá doménˇ e uvedené v hlaviˇ ckách zprávy, respektive povoleným adresám pro tuto doménu. Proto je nutné, aby zprávy z tˇ echto adres nebyly kontrolovány. Upozornˇ ení: Pokud má být zajištˇ ena plná funkce Caller ID, nezaˇ razujte mezi nekontrolované servery jiné než záložní. Zkontrolovat „email policy“... Odkaz na stránku na WWW serveru firmy Kerio Technologies, kde je možno zkontrolovat DNS záznam „email policy“ pro zadanou doménu.

178

13.5 Kontrola email policy záznam˚ u

Podrobný návod na správné nastavení DNS záznamu pro Caller ID najdete na oficiálních webových stránkách spoleˇ cnosti Microsoft.

SPF SPF je open-source ekvivalent ke Caller ID vyvinutým spoleˇ cností Microsoft. Obˇ e tyto technologie lze používat v Kerio Connect zároveˇ n.

Obrázek 13.9

SPF

Záložka SPF umožˇ nuje provedení tohoto nastavení: Povolit kontrolu SPF pro každou pˇ ríchozí zprávu Volba povoluje/zakazuje použití SPF. ˇ V sekci SMTP server v záložce Rízení pˇ rístupu lze nastavit skupinu d˚ uvˇ eryhodných IP adres. Zprávy z d˚ uvˇ eryhodných IP adres nebudou kontrole SPF podrobeny (více vizte kapitolu 12.2). Pouze zapsat do záznamu Security Zprávy s neplatným SPF záznamem budou pouze zapsány do záznamu Security. Blokovat zprávu Zpráva s neplatným SPF záznamem bude blokována na úrovni SMTP komunikace. Odesílateli bude doruˇ ceno oznámení o nedoruˇ citelnosti zprávy. Zvýšit spamové hodnocení o Nastavená hodnota bude pˇ ripoˇ ctena k celkovému hodnocení zprávy (vizte sekci 13.1). Doporuˇ cená hodnota pro nastavení se v pˇ rípadˇ e metody SPF pohybuje mezi 1 — 3 body.

179


Nekontrolovat SPF pro tuto skupinu IP adres Volbu lze využít zejména pro nastavení záložních server˚ u. Pokud je zpráva poslána pˇ res e uvedené v hlaviˇ ckách zprávy, záložní server, IP adresa SMTP serveru neodpovídá doménˇ respektive povoleným adresám pro tuto doménu. Proto je nutné, aby zprávy z tˇ echto adres nebyly kontrolovány. Upozornˇ ení: Pokud má být zajištˇ ena plná funkce SPF, nezaˇ razujte mezi nekontrolované servery jiné než záložní. Podrobnosti o SPF kontrole zobrazuje po pˇ ríslušném nastavení záznam Debug (více vizte kapitolu 24.9).

13.6 Odrazování spammer˚ u Jako další z antispamových zbraní nabízí Kerio Connect možnost zpoždˇ ení odpovˇ edi na SMTP pozdrav. Kerio Connect vyžaduje komunikaci podle RFC, která definují komunikaci pomocí protokolu SMTP. Vˇ etšina aplikací pro automatické rozesílání spamu RFC nedodržují. Díky tomu je Kerio Connect m˚ uže rozeznat od server˚ u, které rozesílají legitimní zprávy. Kerio Connect využívá k rozpoznání spamových server˚ u dvˇ e provinˇ ení proti pˇ ríslušnému RFC dokumentu. Tato provinˇ ení nastávají již pˇ ri navazování SMTP spojení. Prvním provinˇ ením je, že server navazující SMTP komunikaci by mˇ el podle pˇ ríslušného RFC ˇ cekat na odpovˇ ed’ po dobu trvající až 5 minut. Aplikace pro automatické rozesílání spamu mají tuto hodnotu znaˇ cnˇ e zkrácenou, protože potˇ rebují rozesílat zprávy pokud možno rychle a ve velkém množství. Dodržování ˇ cekací doby by je do znaˇ cné míry omezovalo. Pokud tedy do urˇ cité doby Kerio Connect nevyšle odpovˇ ed’ na SMTP pozdrav (má nastaveno zpoždˇ ení odpovˇ edi), chovají se spamující servery obvykle dvˇ ema zp˚ usoby. V prvním pˇ rípadˇ e spamující server komunikaci s aplikací Kerio Connect vzdá a pokouší se kontaktovat jiný server. V druhém pˇ rípadˇ e (a to je ono druhé provinˇ ení) zaˇ cne do Kerio Connect odesílat poštu i bez pˇ rijetí SMTP pozdravu (v tomto pˇ rípadˇ e Kerio Connect komunikaci s daným serverem okamžitˇ e ukonˇ cí). Výhody vyplývající z nastavení zpoždˇ ení SMTP komunikace jsou dvˇ e: 1.

Nastavením se sníží pˇ ríjem spamu do Kerio Connect o 60 — 70%. Protože jsou spamové testy nároˇ cné na výkon, snižuje se tímto opatˇ rením zatížení serveru.

2.

Druhou nespornou výhodou je, že tato metoda nepˇ rináší tzv. false positives, nebot’ nemá žádný vliv na legitimnˇ e doruˇ covanou poštu.

180

13.6 Odrazování spammer˚ u

Nastavení zpoždˇ ení SMTP komunikace Kerio Connect ošetˇ ruje zpoždˇ ení pˇ ri navazování komunikace v záložce Odrazování spammer˚ u (Konfigurace → Filtrování obsahu → Filtr spamu):

Obrázek 13.10

Odrazování spammer˚ u

Zpozdit SMTP pozdrav o Volbou lze nastavit SMTP zpoždˇ ení. Optimální doba tohoto zpoždˇ ení je 25-30 sec. Kratší nastavená doba by nemusela staˇ cit (programy pro rozesílání spamu mají obvykle nastavenou dobu 10-20 sec), delší nemá smysl, zbyteˇ cnˇ e by zdržovala komunikaci. Neaplikovat zpoždˇ ení na klienty ze skupiny IP adres Odrazování spammer˚ u ošetˇ ruje veškerou pˇ ríchozí SMTP komunikaci, tedy také poštu z lokální sítˇ e, záložních server˚ u apod. Z toho d˚ uvodu doporuˇ cujeme do této skupiny IP adres pˇ ridat všechny d˚ uvˇ eryhodné IP adresy a sítˇ e, aby zpoždˇ ení zbyteˇ cnˇ e nezdržovalo komunikaci v pˇ rípadech, kdy se nepˇ redpokládá, že by se mohlo jednat o spam. Reportovat spamový útok do záznamu Security Položka umožˇ nuje zápis všech rozpoznaných pokus˚ u o tento typ útoku do záznamu Security (více vizte kapitolu 24.4). Pokud pˇ res Kerio Connect prochází velké množství e-mail˚ u, bude pravdˇ epodobnˇ e také vysoký poˇ cet pokus˚ u o tento typ útoku, což m˚ uže pˇ replnit záznam. V takovém pˇ rípadˇ e zápis do záznamu vypnˇ ete. Poznámka: Nastavení této záložky ošetˇ ruje pouze nezabezpeˇ cenou verzi SMTP komunikace. Zabezpeˇ cenou verzi protokolu SMTP programy pro automatické šíˇ rení spamu nepoužívají.

181


13.7 Optimální nastavení spamových test˚ u Tato sekce dobˇ re poslouží všem uživatel˚ um, kteˇ rí si nejsou jisti správným nastavením spamových filtr˚ u. Pˇ ríklad dobˇ re ukazuje, jak správnˇ e používat sˇ cítání skóre z r˚ uzných typ˚ u antispamových test˚ u. Všimnˇ ete si, že témˇ eˇ r nikdy není preferováno blokování zpráv pˇ red nastavením dílˇ cího zvýšení spamového skóre u konkrétního testu: Hodnocení spamu Základní a nejd˚ uležitˇ ejší nastavení, od kterého se posléze odvíjí nastavení ostatních test˚ u, e je nastavení záložky Hodnocení spamu (podrobnosti vizte sekci 13.1). V této záložce vlastnˇ nemusíme mnoho nastavovat, vˇ etšinu parametr˚ u ponecháme ve výchozím stavu: 1.

Zkontrolujeme, zda je zaškrtnuta volba Povolit hodnocení spamovým filtrem. Pokud je volba neaktivní, zaškrtneme ji. Touto volbou povolujeme filtru, aby bral v úvahu výsledky jednotlivých hodnocení v podobˇ e spamového skóre.

2.

Zkontrolujeme, že volba Povolit hodnocení zpráv odeslaných od d˚ uvˇ eryhodných odesílatel˚ u definovaných v nastavení SMTP serveru je neaktivní (pokud však máte d˚ uvod kontrolovat i zprávy z d˚ uvˇ eryhodných zdroj˚ u, m˚ užete ji zapnout).

3.

Stupnici pro nastavení citlivosti spamového filtru nastavíme následovnˇ e: • Hodnota pro oznaˇ cení zprávy — hodnotu nastavíme na 5 bod˚ u. • Hodnota pro blokování zprávy — hodnotu nastavíme na 9.9 bod˚ u, aby jen skuteˇ cnˇ e „stoprocentní“ spamy byly serverem zahazovány, protože ani odesílatel ani pˇ ríjemce v tomto pˇ rípadˇ e nedostane žádnou zprávu o tom, že zpráva byla blokována (pokud není správcem nastavena alespoˇ n jedna z položek Informovat odesílatele o odmítnutí zprávy nebo Pˇ reposlat zprávu do karantény na adresu). Poznámka: Pokud nechcete, aby zprávy s jakýmkoliv skóre byly blokovány, zadejte do položky 10.0 bod˚ u. Blokování zpráv se vypne a zprávy budou pouze oznaˇ covány jako spam.

4.

Zkontrolujeme, zda je neaktivní volba Informovat odesílatele o odmítnutí zprávy. Tuto volbu nebudeme využívat, protože vˇ etšina spam˚ u má v hlaviˇ cce neplatnou adresu odesílatele. Odpovˇ edi na spamy by proto nemohly být odeslány a hromadily by se ve frontˇ e odchozích zpráv.

5.

Nakonec zaškrtneme volbu Pˇ reposlat zprávu do karantény na adresu a doplníme adresu, která bude do nˇ ejaké vyhrazené schránky pˇ reposílat všechny zprávy, které mají vyšší skóre než 10. Volba je užiteˇ cná zejména tehdy, pokud systém antispamové ochrany teprve nastavujeme a vylad’ujeme. Pokud se stane, že pˇ ríliš vysoké skóre bude mít i nˇ ekolik legitimních zpráv, 182

13.7 Optimální nastavení spamových test˚ u

odhalíme je pˇ ri pˇ ríležitostné kontrole schránky, do které budou kopie spam˚ u doruˇ covány. Pozdˇ eji m˚ užeme tuto volbu vypnout a spamovou schránku zrušit. Zakázaní odesílatelé Po nastavení obecného fungování filtru je tˇ reba nastavit také jednotlivé typy test˚ u. První z tˇ echto test˚ u obsahuje záložka Zakázaní odesílatelé (podrobnosti vizte sekci 13.2). V této záložce nastavíme následující parametry: 1.

Seznam d˚ uvˇ eryhodných IP adres — položku není tˇ reba nastavovat v pˇ rípadˇ e, že nepotˇ rebujeme žádný server vyjmout z antispamové kontroly. Pro náš pˇ ríklad si ale m˚ užeme vymyslet obchodního partnera, jehož SMTP server se omylem dostal do internetových databází spammer˚ u, a proto je tˇ reba adresu jeho SMTP serveru — alespoˇ n než bude z této databáze vyjmut — do whitelistu nastavit: • V Seznamu d˚ uvˇ eryhodných IP adres vytvoˇ ríme novou skupinu IP adres, která se bude jmenovat Whitelist. Jak se tvoˇ rí skupiny IP adres se dozvíte v sekci 19.1. • Do novˇ e vytvoˇ rené skupiny zadáme IP adresu SMTP serveru, který se dostal do databáze spammer˚ u. Po uložení nastavení všechny zprávy z nastaveného SMTP serveru nebudou procházet žádnou antispamovou kontrolou. Upozornˇ ení: Do whitelistu nikdy nezadávejte SMTP server, který by mohl být potenciálním distributorem spamu.

2.

Vlastní seznam IP adres spammer˚ u — nastavení této volby je obdobné jako v bodˇ e 1, ale má opaˇ cný úˇ cinek. Po vytvoˇ rení pˇ ríslušné skupiny IP adres do ní doplníme všechny SMTP servery, z nichž je rozesílán spam. A to zejména tehdy, pokud ostatní spamové testy nedokážou spamy z tˇ echto server˚ u odhalit. Nyní pro vlastní seznam IP adres spammer˚ u doplníme, co se má stát se zprávami doruˇ cenými ze SMTP server˚ u na blacklistu: • K dispozici máme v záložce Zakázaní odesílatelé dvˇ e možnosti. Bud’ m˚ užeme zprávu zablokovat nebo jí zvýšit spamové hodnocení. My si vybereme volbu druhou a zvýšíme spamové hodnocení zprávy o 3 body. 3 body jsou dostaˇ cující pro to, aby zpráva byla oznaˇ cena, pokud je skuteˇ cnˇ e nevyžádaná, protože se k tˇ emto bod˚ um pˇ ripojí ještˇ e hodnocení z ostatních test˚ u.

3.

Internetové databáze — zaškrtneme všechny databáze, které máme k dispozici. Otevˇ reme pomocí tlaˇ cítka Zmˇ enit postupnˇ e každou z databází a nastavíme spamové skóre na 2 body (vizte obrázek 13.4). Doporuˇ cení: U internetových databází, zvláštˇ e pak tˇ ech, které jsou pro použití k dispozici zdarma, nenastavujte blokování zpráv. Tyto databáze nemusí být nutnˇ e pˇ ríliš rychle 183


aktualizovány a informace o spam serverech nemusí být vždy d˚ ukladnˇ e ovˇ eˇ reny. Na jejich seznam se m˚ užou dostat i nevinné servery. Z toho d˚ uvodu používejte tyto typy test˚ u spíše pro zvyšování skóre zpráv.

Vlastní pravidla Dalším testem pro pˇ ríchozí zprávy je soubor ruˇ cnˇ e nadefinovaných pravidel (podrobnosti vizte sekci 13.3). Vlastní pravidla lze vytváˇ ret podle aktuální potˇ reby: 1.

Nadefinujeme pˇ ríslušná pravidla na SMTP servery. Všem pravidl˚ um na nevyžádanou poštu opˇ et pokud možno pouze zvýšíme spamové skóre o 2-3 body. Protože nastavujeme celou sadu test˚ u, tak i ostatní testy, pokud je zpráva spam, pˇ ripojí kladné skóre.

2.

Pokud existuje pravidlo, kterému jsme nadefinovali blokování zpráv, nastavíme pro jistotu adresu, kam budou doruˇ covány kopie blokovaných zpráv (vizte obrázek 13.11). Nejlepší je si pro tyto úˇ cely vytvoˇ rit speciální uživatelskou schránku (jak založit uživatelskou schránku se dozvíte v kapitole 8).

Obrázek 13.11 Pˇ reposlat zprávu do karantény na adresu

SpamAssassin Spamový filtr SpamAssassin není nutné témˇ eˇ r nijak nastavovat. SpamAssassinu se vˇ enuje záložka SpamAssassin (podrobnosti najdete v sekci 13.4). Jediné nastavení, které provedeme v záložce SpamAssassin je zaškrtnutí volby Kontrolovat každou pˇ ríchozí zprávu v databázi Spam URI Realtime Blocklist (SURBL).

Caller ID O technologii Caller ID se dozvíte více v kapitole 13.5. Pokud se rozhodnete technologii využívat, pak rozhodnˇ e doporuˇ cujeme nastavit záložku následujícím zp˚ usobem: 1.

Otevˇ reme záložku Caller ID (Konfigurace → Filtrování obsahu → Filtr spamu).

2.

Zaškrtneme volbu Kontrolovat Caller ID každé pˇ ríchozí zprávy.

3.

V sekci Má-li zpráva neplatné Caller ID, potom nastavíme spamové hodnocení na 3 body (jak jsme si vysvˇ etlili dˇ ríve, pokud je zpráva spam, bude ohodnocena ještˇ e dalšími testy, a proto není nutné zprávu blokovat nebo jí pˇ riznat pˇ ríliš vysoké skóre).

184

13.7 Optimální nastavení spamových test˚ u

4.

Zaškrtneme položku Akceptovat také zkušební Caller ID záznamy (s pˇ ríznakem "testing"), protože vˇ etšina server˚ u, které Caller ID technologii využívají, ji zatím má nastavenou na testovací provoz.

5.

Používáme-li záložní SMTP server, zadáme jeho adresu do položky Nekontrolovat Caller ID u zpráv pˇ rijatých z této skupiny IP adres.

SPF Technologii SPF nám blíže pˇ redstavuje kapitola 13.5. Doporuˇ cené nastavení testu SPF je v podstatˇ e totožné s nastavením Caller ID a je následující: 1.

Otevˇ reme záložku SPF (Konfigurace → Filtrování obsahu → Filtr spamu).

2.

Zaškrtneme volbu Povolit kontrolu SPF pro každou pˇ ríchozí zprávu.

3.

V sekci Má-li zpráva neplatné Caller ID, potom nastavíme spamové hodnocení na 3 body (jak jsme si vysvˇ etlili dˇ ríve, pokud je zpráva spam, bude ohodnocena ještˇ e dalšími testy, a proto není nutné zprávu blokovat nebo jí pˇ riznat pˇ ríliš vysoké skóre).

4.

Používáme-li záložní SMTP server, zadáme jeho adresu do položky Nekontrolovat SPF pro tuto skupinu IP adres.

Samozˇ rejmˇ e doporuˇ cujeme podílet se na SPF také aktivnˇ e a do svých DNS záznam˚ u doplnit záznam o SMTP serverech, které mají povoleno odesílat poštu z vašich domén.

Odrazování spammer˚ u O technologii Odrazování spammer˚ u v Kerio Connect se více dozvíte v kapitole 13.6. Na tomto místˇ e se staˇ cí o ní zmínit jen okrajovˇ e, protože nemá žádný podíl na hodnocení spamu. Její výhoda spoˇ cívá v tom, že dokáže vytˇ rídit mnoho spamu ještˇ e pˇ red pˇ rijetím do Kerio Connect, a tak výraznˇ e snižuje zátˇ ež, kterou mohou antispamové testy generovat. Optimální nastavení Odrazování spammer˚ u je následující: 1.

Otevˇ reme záložku Odrazování spammer˚ u (Konfigurace → Filtrování obsahu → Filtr spamu).

2.

Zaškrtneme volbu Zpozdit SMTP pozdrav o ... sekund a do políˇ cka doplníme 25 sekund.

3.

Zaškrtneme volbu Neaplikovat zpoždˇ ení na klienty ze skupiny IP adres a jako skupinu IP adres zvolíme lokální privátní sít’. Toto nastavení je d˚ uležité proto, aby nebylo zbyteˇ cnˇ e zpožd’ováno odesílání pošty lokálních uživatel˚ u a doruˇ cování interních zpráv.

4.

Položku Reportovat spamový útok do záznamu Security necháme vypnutou (pokud nemáme zvláštní d˚ uvod ji zapnout). Zápisy o pˇ rerušení SMTP spojení by zbyteˇ cnˇ e zaplˇ novaly celý záznam. 185


13.8 Sledování funkˇ cnosti a úˇ cinnosti spamového filtru Kerio Connect obsahuje nˇ ekolik možností, jak sledovat funkˇ cnost spamového filtru.

Statistika filtru spamu Kerio Connect vytváˇ rí statistiku spamového filtru. Tato statistika je umístˇ ena spolu s ostatními statistikami v sekci Stav → Statistiky (vizte kapitolu 23.6). Statistika spamového filtru umožˇ nuje zjistit, jaký je pomˇ er hamu (legitimních zpráv) a spamu pˇ richázejícího do Kerio Connect. Díky statistice lze snadno rozlišit, zda jsou jednotlivé metody spamového filtru správnˇ e nastaveny. Zda do uživatelských schránek neproniká pˇ ríliš mnoho spamu, ˇ ci zda není špatnˇ e oznaˇ ceno pˇ ríliš mnoho korektních zpráv jako spam. Statistika zobrazuje následující položky:

Obrázek 13.12

Statistika filtru spamu

Poˇ cet zkontrolovaných zpráv Souˇ cet všech zpráv, které prošly spamovým filtrem (napˇ ríklad zprávy doruˇ cené z domén ve whitelistu spamovým filtrem v˚ ubec neprocházejí). Detekované spamy (oznaˇ cené) Všechny zprávy, které byly filtrem detekovány jako spam. Detekované spamy (odmítnuté) Všechny zprávy, které byly filtrem blokovány. Zprávy oznaˇ cené uživateli jako spam Zprávy, které spamovým filtrem nebyly rozpoznány jako spam (uživatelé museli zprávy ruˇ cnˇ e oznaˇ cit pomocí tlaˇ cítka Je to spam nebo pomocí ruˇ cního pˇ resunutí pˇ ríslušné zprávy do složky Nevyžádaná pošta). Zprávy oznaˇ cené uživateli jako vyžádané Regulérní zprávy, které byly spamovým filtrem nesprávnˇ e oznaˇ ceny jako spam — tzv. „false positives“.

186

13.8 Sledování funkˇ cnosti a úˇ cinnosti spamového filtru

Grafické zobrazení

Kerio Connect zaznamenává do grafu nˇ ekteré parametry týkající se nevyžádané pošty. Graf˚ u, které se týkají spamu, je nˇ ekolik, a jsou umístˇ eny spolu s ostatními v sekci Stav → Grafy pˇ renesených dat (vizte kapitolu 23.5). Grafy, které se týkají spamu, jsou ˇ ctyˇ ri: Pˇ ripojení/Odmítnuté SMTP Graf zobrazuje v ˇ case, kolik pokus˚ u o SMTP spojení bylo odmítnuto pomocí funkce Odrazování spammer˚ u. Zprávy/Spam Graf znázorní v ˇ case, kolik spamu je doruˇ cováno do Kerio Connect v jakou dobu.

Záznamy

Pˇ ri ˇ rešení pˇ rípadných problém˚ u se spamovým filtrem lze využít záznamy aplikace Kerio Connect. Záznam˚ um se podrobnˇ e vˇ enuje kapitola 24. Úˇ cinnˇ e mohou pomoci následující záznamy: Spam Do tohoto záznamu se pr˚ ubˇ ežnˇ e zapisují všechny zprávy oznaˇ cené jako spam (více vizte kapitolu 24.8). Debug Speciální záznam, ve kterém lze zapnout logování konkrétních informací. V pˇ rípadˇ e spamu mohou pomoci položky: • Spam Filter — volba zaznamenává hodnocení každé zprávy, která prošla spamovým filtrem v Kerio Connect. • SPF Record Lookup — volba vypisuje informace o SPF dotazech na SMTP servery. Lze využít pˇ ri problémech s SPF kontrolou. • SpamAssassin Processing — volba umožˇ nuje sledování proces˚ u, ke kterým dochází pˇ ri testování zpráv spamovým filtrem SpamAssassin. Kde a jak lze nastavit vypisování konkrétních informací do záznamu Debug najdete v kapitole 24.9.

187

Kapitola 14

Antivirová kontrola a filtrování pˇ ríloh

Kerio Connect umožˇ nuje nastavit antivirovou kontrolu všech pˇ ríchozích zpráv. Tuto kontrolu lze provádˇ et dvˇ ema kombinovatelnými zp˚ usoby. První možností je využití integrovaného antivirového programu Sophos, druhá možnost spoˇ cívá v použití nˇ ekterého z podporovaných externích antivir˚ u. Bezprostˇ rednˇ e po instalaci aplikace Kerio Connect je automaticky spuštˇ en integrovaný antivir Sophos. K nˇ emu je možné zapnout nˇ ekterý z podporovaných externích antivir˚ u. Oba antiviry mohou být spuštˇ eny souˇ casnˇ e. Dvojnásobná ochrana proti vir˚ um bude spolehlivˇ eji chránit vaši lokální sít’, protože bude zajišt’ovat rychlejší aktualizaci virových databází (jeden z antivir˚ u m˚ uže zareagovat na novˇ e se šíˇ rící vir až o nˇ ekolik hodin rychleji než druhý), rychlost aktualizací proti novým vir˚ um je v ochranˇ e proti infikované poštˇ e klíˇ cová. Samozˇ rejmˇ e je možné oba antiviry vypnout, ale tuto možnost d˚ uraznˇ e nedoporuˇ cujeme, protože v tomto pˇ rípadˇ e nebude uživatel pˇ red infikovanou poštou chránˇ en. Kerio Connect nezávisle na antiviru kontroluje v pˇ rílohách JPG soubor˚ u, zda nejsou poškozeny a neobsahují exploit pro knihovnu GDI+ (škodlivý kód zp˚ usobující pád operaˇ cního systému ˇ casto navíc doplnˇ ený virem, který m˚ uže exploit spustit pˇ ri pádu systému). Všechny zprávy s takovou pˇ rílohou budou automaticky zahozeny.

Obrázek 14.1

188

Antivirus

14.1 Integrovaný Sophos Anti-Virus

Kromˇ e spolupráce s antivirovým programem nabízí Kerio Connect také možnost filtrování urˇ citých typ˚ u e-mailových pˇ ríloh (dle pˇ rípony souboru nebo MIME typu), bez ohledu na to, zda jsou virem infikovány, ˇ ci nikoliv. Tato nastavení se provádˇ ejí v sekci Konfigurace → Filtrování pˇ ríloh.

14.1 Integrovaný Sophos Anti-Virus Chcete-li používat integrovaný antivirus, zaškrtnˇ ete v sekci Antivirus volbu Použít integrovaný 4 antivirový modul Sophos. Interval kontroly nových verzí Nastavení intervalu automatické aktualizace virové databáze a vlastního antivirového programu (v hodinách). Informace o provedených aktualizacích naleznete v záznamu Security (vizte kapitolu 24.4). Automatická aktualizace vyžaduje funkˇ cní pˇ ripojení k Internetu a nepodporuje automatické vytáˇ cení. V pˇ rípadˇ e vytáˇ cené linky je vhodné provádˇ et aktualizaci ruˇ cnˇ e (vizte dále). Aktualizaˇ cní soubory se stahují standardním protokolem HTTP. Je-li ve vaší síti firewall nebo proxy server, nastavte jej tak, aby nebyla HTTP komunikace blokována (z poˇ cítaˇ ce, kde Kerio Connect bˇ eží). Tlaˇ cítko Aktualizovat nyní umožˇ nuje manuální spuštˇ ení aktualizace virové databáze a antivirového programu. Po stisknutí tohoto tlaˇ cítka se zobrazí okno znázorˇ nující pr˚ ubˇ eh aktualizace. Poznámka: Okno zobrazující pr˚ ubˇ eh aktualizace je možno kdykoliv zavˇ rít stisknutím tlaˇ cítka OK (není tˇ reba ˇ cekat, až bude aktualizace dokonˇ cena). Virová databáze byla aktualizována pˇ red Doba od poslední úspˇ ešné aktualizace virové databáze (s pˇ resností na minuty). Od poslední kontroly nové verze uplynulo Doba, která uplynula od posledního úspˇ ešného pokusu o aktualizaci. Nezáleží na tom, zda byla na serveru nová verze k dispozici, ˇ ci nikoliv. Upozornˇ ení: Je-li tato doba výraznˇ e (nˇ ekolikanásobnˇ e) vˇ etší než nastavený interval automatické aktualizace, znamená to, že automatická aktualizace neprobíhá korektnˇ e. V tomto pˇ rípadˇ e doporuˇ cujeme provést aktualizaci ruˇ cnˇ e a vˇ enovat pozornost informacím v záznamech Error a Security.

4

Externí Sophos Anti-Virus Kerio Connect nepodporuje.

189


14.2 Výbˇ er externího modulu pro spolupráci s antivirovým programem K nastavení parametr˚ u antivirové kontroly slouží sekce Konfigurace → Filtrování obsahu → Antivirus. Pro použití externího antiviru je nutno zaškrtnout volbu Použít externí antivirový program. Volba obsahuje menu, které zobrazuje antivirové programy, které mohou být použity pro kontrolu pošty. Antivirový program musí být nainstalován dˇ ríve, než jej zde vyberete (pˇ red instalací antivirového programu doporuˇ cujeme zastavit službu Kerio Connect Engine). M˚ uže se stát, že nainstalovaný antivirus nebude automaticky spuštˇ en. V takovém pˇ rípadˇ e m˚ užete použít tlaˇ cítko Volby, které obsahuje možnost speciálního nastavení externího antiviru. Upozornˇ ení: V pˇ rípadˇ e výbˇ eru externího antiviru Symantec Antivirus Scan Engine je nutné zadat v oknˇ e Volby IP adresu a port poˇ cítaˇ ce, kde je antivirus spuštˇ en. Základní podmínky pro úspˇ ešné spuštˇ ení antivirového programu jsou následující: • Antivirový program musí být nainstalován na stejném poˇ cítaˇ ci, kde je spuštˇ en Kerio Connect. • Licence antivirového programu musí splˇ novat licenˇ cní podmínky dané jeho výrobcem (typicky stejný nebo vyšší poˇ cet uživatel˚ u, pro který je licencován Kerio Connect, nebo speciální serverová licence). Rozhraní mezi aplikací Kerio Connect a antivirovým programem vytváˇ rejí speciální moduly (pro každý antivirus jeden modul). Správce poštovního serveru musí vybrat odpovídající modul podle toho, jaký antivirus chce pro kontrolu pošty používat. Bude-li nastaven urˇ citý modul a odpovídající antivirus nebude nainstalován nebo nebude fungovat správnˇ e, Kerio Connect administrátorovi nedovolí uložit toto nastavení. V záznamu Error se objeví chybové hlášení, že antivirová kontrola nefunguje. Poznámka: Existují dvˇ e výjimky z tohoto chování. Byl-li špatnˇ e proveden pˇ renos konfigurace aplikace Kerio Connect (více vizte kapitolu 30.2), nebo byl-li poˇ cet zakoupených uživatelských licencí v antiviru nižší než poˇ cet licencí Kerio Connect. V obou popsaných pˇ rípadech Kerio Connect normálnˇ e funguje, ale pˇ restanou se odesílat zprávy. Zprávy se neodesílají z toho d˚ uvodu, že Kerio Connect je chce pˇ ri pˇ rijetí kontrolovat antivirem, který nefunguje. V záznamu Error se objeví chybové hlášení, že antivirová kontrola není funkˇ cní. Pro správnou spolupráci Kerio Connect a antivirového programu je nutné v rezidentním štítu antiviru vytvoˇ rit výjimku na adresáˇ r store (nebo v pˇ rípadˇ e starších verzí nˇ ekterých antivirových program˚ u na soubory *.eml), aby zprávy nebyly rezidentním štítem kontrolovány. Je-li rezidentní štít nastaven špatnˇ e, pak se otevˇ re okno s varovným hlášením, že nelze navázat spojení s externím antivirem. Zároveˇ n rezidentní štít antiviru objeví virus eicar.com 190

14.3 Nastavení externích antivirových modul˚ u

(testovací virus, který programovˇ e generuje Kerio Connect pro kontrolu správného nastavení výjimky v rezidentním štítu).

14.3 Nastavení externích antivirových modul˚ u Kerio Connect podporuje nˇ ekolik externích antivirových program˚ u r˚ uzných výrobc˚ u (jejich seznam najdete na stránkách www.kerio.cz) pro operaˇ cní systémy Windows, Mac OS X a Linux. Skupina podporovaných antivir˚ u, stejnˇ e jako verze jednotlivých program˚ u a obchodní podmínky, se však mohou ˇ casto mˇ enit, a proto tyto informace firma Kerio Technologies uveˇ rejˇ nuje pouze na WWW stránkách (http://www.kerio.cz/), kde jsou pravidelnˇ e aktualizovány. Informace a pomoc s nastavením jednotlivých modul˚ u najdete na stránkách podpory spoleˇ cnosti Kerio Technologies.

14.4 Chování serveru pˇ ri nalezení viru nebo poškozené/šifrované pˇ rílohy Správce aplikace Kerio Connect m˚ uže pomˇ ernˇ e detailnˇ e nastavit, jak se má server chovat, jestliže v e-mailu nalezne virus nebo poškozenou pˇ rílohu. K tomuto nastavení slouží poslední ˇ cást sekce Antivirus:

Obrázek 14.2

Chování serveru pˇ ri nalezení viru nebo poškozené/šifrované pˇ rílohy

Zahodit zprávu Zpráva bude zahozena. Doruˇ cit zprávu bez viru Zpráva bude doruˇ cena pˇ ríjemci, ale bez infikované ˇ ci zakázané pˇ rílohy. Na její místo bude vložena zpráva serveru, že pˇ ríloha byla odstranˇ ena. Pˇ reposlat p˚ uvodní zprávu... Zpráva bude pˇ reposlána (v p˚ uvodním tvaru — tedy i s infikovanou nebo zakázanou pˇ rílohou) na uvedenou e-mailovou adresu. Nezáleží na tom, zda zde bude uvedena lokální nebo externí adresa. 191


Pˇ reposlat filtrovanou zprávu... Zpráva bez infikované ˇ ci zakázané pˇ rílohy bude (kromˇ e níže vybraných akcí) také pˇ reposlána na uvedenou e-mailovou adresu. Toho lze využít napˇ r. pro ovˇ eˇ rení správné funkce antivirové kontroly a filtru pˇ ríloh. Nem˚ uže-li být pˇ ríloha zkontrolována... Specifikuje akci, která se má provést, jestliže antivirový program nem˚ uže pˇ rílohu zprávy zkontrolovat (napˇ r. v pˇ rípadˇ e, že se jedná o komprimovaný soubor chránˇ ený heslem). Možnosti jsou: • Doruˇ cit zprávu s varováním — zpráva (resp. inkriminovaná pˇ ríloha) bude doruˇ cena nezkontrolovaná. Ke zprávˇ e bude pˇ ripojeno varování (uživatel bude upozornˇ en na to, že zpráva m˚ uže stále obsahovat viry). • Odmítnout zprávu — se zprávou bude naloženo, jako by pˇ ríloha byla infikována (tj. bude bud’ doruˇ cena bez této pˇ rílohy, nebo bude zahozena). Tato volba je bezpeˇ cná, ale prakticky znemožˇ nuje posílání archiv˚ u chránˇ ených heslem. Každá zpráva je vyhodnocována nejprve antispamovou kontrolou, teprve poté antivirem. D˚ uvodem této koncepce je ušetˇ rení strojového ˇ casu serveru, protože antispamová kontrola je podstatnˇ e ménˇ e nároˇ cná než antivirová. Je-li v sekci Filtr spamu nastaveno, že zprávy vyhodnocené jako spam mají být automaticky zahazovány, budou samozˇ rejmˇ e zahozeny také všechny spamy obsahující vir.

14.5 Filtrování pˇ ríloh e-mail˚ u Filtrování pˇ ríloh je možno nastavit v záložce Filtrování pˇ ríloh. Je-li zpráva zachycena tímto filtrem, bude automaticky doruˇ cena pˇ ríjemci bez nepovolené pˇ rílohy.

Obrázek 14.3

Filtrování pˇ ríloh

192

14.5 Filtrování pˇ ríloh e-mail˚ u

Povolit filtrování pˇ ríloh Tato volba zapíná filtr pˇ ríloh. Poslat odesílateli varování, ... Odesílateli bude aplikací Kerio Connect posláno varování, že odeslal zprávu s infikovanou ˇ ci nepovolenou pˇ rílohou. Pˇ reposlat originální zprávu na adresu Zpráva bude pˇ reposlána (v p˚ uvodním tvaru — tedy i s infikovanou nebo zakázanou pˇ rílohou) na uvedenou e-mailovou adresu. Nezáleží na tom, zda zde bude uvedena lokální nebo externí adresa. Pˇ reposlat filtrovanou zprávu na adresu Zpráva bez infikované ˇ ci zakázané pˇ rílohy bude (kromˇ e níže vybraných akcí) také pˇ reposlána na uvedenou e-mailovou adresu. Toho lze využít napˇ r. pro ovˇ eˇ rení správné funkce antivirové kontroly a filtru pˇ ríloh. Filtrovací pravidla Zobrazuje jednotlivé filtry. Vlevo vedle každého filtru se zobrazuje zaškrtávací pole, které urˇ cuje, zda je filtr aktivní ˇ ci nikoliv. Chcete-li tedy (doˇ casnˇ e) vyˇ radit urˇ citý filtr, nemusíte jej odebírat, ale staˇ cí jej pouze vypnout. Po instalaci aplikace Kerio Connect je v seznamu již uvedeno nˇ ekolik pˇ reddefinovaných filtr˚ u (všechny jsou ale vypnuty, a záleží pouze na správci serveru, zda je použije ˇ ci nikoliv, pˇ ríp. smaže) — napˇ r. pro filtrování spustitelných soubor˚ u (.com a .exe), Visual Basic skript˚ u (.vbs) apod. Tlaˇ cítkem Pˇ ridat lze pˇ ridat nový filtr: Popis Do položky lze zadat textový popis definovaného filtru (pro pˇ rehlednost). Typ filtru (MIME typ / Jméno souboru) Urˇ cuje, zda má být filtrováno podle jména souboru nebo podle typu pˇ rílohy specifikovaného ve zprávˇ e (MIME typ — Multi-purpose Internet Mail Extension). Specifikace typu nebo jména souboru Zadejte (dle nastaveného typu) bud’ jméno souboru (lze použít hvˇ ezdiˇ ckovou konvenci, typicky pro filtrování soubor˚ u s urˇ citou pˇ ríponou — napˇ r. *.exe) nebo název MIME typu (napˇ r. application/x-msdownload nebo application/*). Rovnˇ ež je možno vybrat nˇ ekterý z pˇ rednastavených typ˚ u soubor˚ u nebo MIME typ˚ u. Blokovat pˇ rílohu... Bude provedena akce definovaná nad seznamem zakázaných pˇ ríloh (vizte výše). Akceptovat pˇ rílohu Pˇ ríloha bude ve zprávˇ e ponechána a další pravidla již nebudou brána v úvahu.

193


Povolit filtrovací pravidlo Zaškrtneme, chceme-li pravidlo zapnout. Povolit nebo zakázat pravidlo m˚ užeme i pozdˇ eji v seznamu pravidel ve sloupci Typ.

14.6 Statistika antivirové kontroly Kerio Connect vytváˇ rí statistiku zachycování vir˚ u v e-mailových zprávách. Tato statistika je umístˇ ena spolu s ostatními statistikami v sekci Stav → Statistiky (vizte kapitolu 23.6). Statistika antivirové kontroly umožˇ nuje zjistit, jaký je poˇ cet zavirovaných zpráv pˇ richázejících do Kerio Connect. Statistika zobrazuje následující položky:

Obrázek 14.4

Statistika filtru antiviru

• Poˇ cet zkontrolovaných pˇ ríloh — Poˇ cet všech e-mailových zpráv s pˇ rílohami, které byly kontrolovány antivirem. • Nalezené viry — Poˇ cet nalezených vir˚ u. • Poˇ cet nalezených zakázaných soubor˚ u/MIME typ˚ u — Poˇ cet všech nalezených zakázaných typ˚ u pˇ ríloh (vizte kapitolu 14.5).

194

Kapitola 15

Archivace a zálohování pošty

15.1 Archivace pošty Kerio Connect m˚ uže ukládat kopie všech zpráv (nebo pouze zpráv odeslaných do Internetu) do speciálních archivaˇ cních složek nebo je pˇ reposílat na jiný SMTP server. Tak je možné uchovávat zálohu zpráv pro pˇ rípad, že je nutné dohledat konkrétní nebo omylem smazanou zprávu (k tomuto úˇ celu se lépe hodí tzv. obnova zpráv jejíž nastavení se provádí v nastavení domény — více vizte kapitolu 7.4). Nastavit parametry archivace lze v sekci Konfigurace → Archivace a Zálohování v záložce Archivace.

Obrázek 15.1

Archivace zpráv

Povolit archivaci pošty Zapnutí/vypnutí archivace. Po povolení archivace pošty a nastavení pˇ ríslušných parametr˚ u v záložce Archivace se pˇ ri doruˇ cení první zprávy vytvoˇ rí archivaˇ cní složka s názvem odvozeným od intervalu vytváˇ rení složek (denní, týdenní nebo mˇ esíˇ cní), který lze v záložce také nastavit. Po restartu Kerio Connect se vždy vytváˇ rí nová archivaˇ cní složka (bezprostˇ rednˇ e po pˇ rijetí první zprávy po restartu). Dále se archivaˇ cní cyklus chová podle nastavení v záložce Archivace.

195


Cesta do adresáˇ re pro archivaci Úplná cesta k adresáˇ ri urˇ cenému pro archiv (dle konvence operaˇ cního systému, na kterém Kerio Connect bˇ eží). Z technických d˚ uvod˚ u je tˇ reba adresáˇ r pro archivaci umístit lokálnˇ e (na serveru kde je Kerio Connect spuštˇ en). Cestu vepište do pole nebo vyberte pomocí tlaˇ cítka Vybrat složku. Upozornˇ ení: Cestu k adresáˇ ri nelze zadat jako UNC cestu. Archivovat na vzdálenou e-mailovou adresu Kopie všech zpráv budou pˇ reposílány na tuto e-mailovou adresu. Zálohovat do archivní složky Kopie zpráv budou ukládány do lokálních složek, automaticky vytváˇ rených ve jmenném prostoru #archive (na disku je reprezentován podadresáˇ rem mail/archive v adresáˇ ri, kde je Kerio Connect nainstalován) podle definovaného formátu. Interval vytváˇ rení nových... Položka umožˇ nuje vybrat vyhovující interval (den, týden, mˇ esíc). Podle nastavení intervalu se tvoˇ rí názvy archivních složek: 2005-Jan — formát mˇ esíˇ cního archivu. Název obsahuje rok a mˇ esíc, bˇ ehem kterého byly zprávy archivovány. Nová složka se vytvoˇ rí každých 30 dní, vždy po pˇ rijetí první zprávy po p˚ ulnoci serverového ˇ casu. ˇ 2005-W03 — formát týdenního archivu. Název obsahuje rok a ˇ císlo týdne. Císlo týdne je poˇ cítáno vždy od 1. ledna daného roku. Týdny nemusí být shodné s poˇ cítáním týdn˚ u v kalendáˇ ri (1. ledna m˚ uže spadat ještˇ e do 52. týdne a celé poˇ cítání týdn˚ u se tak m˚ uže posunout). Nová složka se vytvoˇ rí každých sedm dní, vždy po pˇ rijetí první zprávy po p˚ ulnoci serverového ˇ casu. 2005-Jan-12 — formát denního archivu. Název obsahuje rok, mˇ esíc a den v bˇ ežném kalendáˇ ri. Nová složka se vytvoˇ rí každý den vždy po pˇ rijetí první zprávy po p˚ ulnoci serverového ˇ casu. Poznámka: Nastavení intervalu vytváˇ rení nových archivních složek (vyplývajícího z formátu jmen) záleží pouze na v˚ uli správce aplikace Kerio Connect. Doporuˇ cujeme zohlednit poˇ cet zpráv, které pˇ res server procházejí (pˇ ríp. poˇ cet lokálních uživatel˚ u, kteˇ rí jej využívají). Vˇ etší poˇ cet složek, z nichž každá obsahuje menší poˇ cet zpráv, zajišt’uje rychlejší pˇ rístup a je pˇ rehlednˇ ejší. Komprimovat staré archivní složky Volba umožˇ nuje komprimaci archivu kromˇ e aktuální (poslední vytvoˇ rené) složky. Nevýhodou této volby je nemožnost prohlížení komprimovaných složek pˇ res poštovního klienta. První komprimace archivní složky se provádí hned po spuštˇ ení Kerio Connect. Každá následující komprimace probˇ ehne za 24 hodin od vytvoˇ rení nové složky.

196

15.1 Archivace pošty

Lokální zprávy (lokální odesílatel, lokální pˇ ríjemce) Archivovat se budou všechny zprávy lokální, tedy zprávy odeslané z domény, která je lokální na tomto serveru. Pˇ ríchozí zprávy (vzdálený odesílatel, lokální pˇ ríjemce) Archivovat se budou všechny pˇ ríchozí zprávy (od vzdáleného odesílatele k lokálnímu pˇ ríjemci). Odchozí zprávy (lokální odesílatel, vzdálený pˇ ríjemce) Archivovat se budou všechny odchozí zprávy (od lokálního odesílatele k vzdálenému pˇ ríjemci). Pˇ redávané zprávy (vzdálený odesílatel, vzdálený pˇ ríjemce) Po zaškrtnutí se budou archivovat všechny zprávy pˇ redávané na nadˇ razený server (od vzdáleného odesílatele k vzdálenému pˇ ríjemci). Archivovat zprávy pˇ red provedením... Zapnutím této volby se budou archivovat všechny zprávy ještˇ e pˇ red spuštˇ ením antivirové kontroly, tzn. v záloze najdete všechny zprávy v originální podobˇ e (vˇ cetnˇ e vir˚ u). Pˇ rístup k archivním složkám je standardnˇ e umožnˇ en uživateli admin primární domény (kapitola 8.1). Admin m˚ uže nastavit pˇ rístupová práva k archivním složkám i dalším uživatel˚ um. Lze tak uˇ cinit v rozhraní Kerio WebMail nebo v aplikaci MS Outlook doplnˇ ené Kerio Outlook Connectorem. Je tˇ reba si uvˇ edomit, že do tˇ echto složek se zálohují zprávy všech uživatel˚ u, a proto by k nim mˇ el mít pˇ rístup pouze d˚ uvˇ eryhodný správce (nanejvýš malá skupina osob). Zobrazení archivních složek Archivní složky se zobrazují pouze uživatel˚ um s pˇ ríslušnými právy. Standardnˇ e má pˇ rístup k archivním složkám pouze uživatel admin primární domény (první úˇ cet vytvoˇ rený v konfiguraˇ cním pr˚ uvodci pˇ ri instalaci aplikace Kerio Connect).

Obrázek 15.2

Archivní složky v rozhraní Kerio WebMail

197


Archivní složku lze nasdílet jiným uživatel˚ um. Sdílení probíhá stejnˇ e jako u všech ostatních typ˚ u složek. Je ovšem tˇ reba si uvˇ edomit, že do tˇ echto složek se zálohují zprávy všech uživatel˚ u, a proto by k nim mˇ el mít pˇ rístup pouze d˚ uvˇ eryhodný správce (nanejvýš malá skupina osob).

15.2 Zálohování poštovních schránek uživatel˚ u a základního nastavení serveru Kerio Connect umožˇ nuje pravidelné zálohování: • uživatelských schránek, • veˇ rejných složek, • e-mailových konferencí, • konfiguraˇ cních soubor˚ u users.cfg a mailserver.cfg, • licencí, • SSL certifikát˚ u, • databáze antispamu SpamAssassin. K zálohování m˚ uže být využit výmˇ enný disk nebo sít’ový disk tvoˇ rený jakýmkoliv zálohovacím médiem. Zálohování uživatelských složek obsahuje r˚ uzná nastavení. Tato nastavení lze provést v sekci Konfigurace → Archivace a Zálohování , v záložce Zálohování :

Obrázek 15.3

Zálohování uživatelských složek

198

15.2 Zálohování poštovních schránek uživatel˚ u a základního nastavení serveru

Povolit zálohování datového adresáˇ re... Volba povoluje zálohování a jeho nastavení. Pokud nechcete využít zálohování v Kerio Connect, potom je tˇ reba deaktivovat (odškrtnout) volbu Povolit zálohování datového adresáˇ re a konfigurace serveru. Vymažete-li všechny položky plánu zálohování, a zároveˇ n necháte volbu Povolit zálohování datového adresáˇ re a konfigurace serveru aktivní, potom se po restartu Kerio Connect automaticky naˇ cte a použije výchozí pˇ ríkladový plán zálohování.

Plán zálohování Záložka Zálohování obsahuje možnost detailního nastavení plánu zálohování. Plán mohou tvoˇ rit dva typy záloh: • Plná záloha — kompletní záloha všech soubor˚ u. • Diferenciální záloha — ˇ cásteˇ cná záloha, která ukládá všechny zmˇ enˇ ené a novˇ e vytvoˇ rené soubory od poslední zálohy. Pˇ redností ˇ cásteˇ cné zálohy je její menší objem. ˇ Cásteˇ cná záloha obvykle v plánu zálohování doplˇ nuje zálohu plnou. Pokud je v plánu více diferenciálních záloh za sebou, nová záloha vždy pˇ repíše pˇ redchozí. Takže na zálohovacím disku je vždy po plné záloze uložena maximálnˇ e jedna diferenciální záloha. Poznámka: Pokud využijete možnosti zálohování pomocí diferenciálních záloh, potom je pˇ ri pˇ rípadné obnovˇ e ze zálohy nutno obnovit vždy poslední plnou a diferenciální zálohu. Plán zálohování je tvoˇ ren jednotlivými úlohami zálohování. Každá úloha sestává z jednoho z výše popsaných typ˚ u zálohování a ˇ casu, kdy se má vybraný typ zálohy spustit. Zadat novou úlohu do plánu zálohování lze tlaˇ cítkem Pˇ ridat. Otevˇ re se okno (vizte obrázek 15.4), které obsahuje následující možnosti nastavení: Popis Popis zálohy není nutnou položkou, slouží pouze k lepší orientaci v plánu zálohování. Plán Rámeˇ cek obsahuje dvˇ e menu, kde lze nastavit den a pˇ resný ˇ cas spuštˇ ení zálohy. Jednotlivé úlohy zálohování, a to zejména plné zálohy, doporuˇ cujeme spouštˇ et v noˇ cních hodinách, protože proces zálohování m˚ uže znaˇ cnˇ e zatížit poštovní server. Typ zálohy Nastavení plné nebo diferenciální zálohy. Tlaˇ cítkem Pˇ ridat lze tedy nastavit novou úlohu zálohování. Tlaˇ cítkem Zmˇ enit je možno editovat kteroukoliv vybranou úlohu a tlaˇ cítkem Odebrat je možno vybranou úlohu z plánu odstranit.

199


Obrázek 15.4

Úloha zálohování

Pˇ ri vytváˇ rení plánu zálohování je možno podle potˇ reby využít oba výše jmenované typy záloh. V plánu lze nastavit libovolné množství úloh zálohování. Nˇ ekomu m˚ uže vyhovovat plná záloha jednou týdnˇ e, nˇ ekomu každý den. Poˇ cet úloh zálohování je obvykle závislý na: 1.

velikosti datového úložištˇ e a tedy na tom, jak dlouho bude záloha trvat a jak bude velká. Pˇ riˇ cemž jak problém s ˇ casovou nároˇ cností, tak problém s místem se dá ˇ rešit využitím diferenciální zálohy.

2.

míˇ re d˚ uležitosti dat, o která by uživatelé mohli pˇ rijít. Jinými slovy, ve spoleˇ cnostech kde je pro uživatele pošta velmi d˚ uležitá, tam se zálohy provádí ˇ castˇ eji. Uživatelé potom v pˇ rípadˇ e problému ztratí minimum dat.

Tlaˇ cítko Upˇ resnˇ ení umístˇ ené pod plánem zálohování umožˇ nuje provést další nastavení (vizte obrázek 15.5):

Obrázek 15.5

Upˇ resnˇ ení plánu zálohování

200

15.2 Zálohování poštovních schránek uživatel˚ u a základního nastavení serveru

Nastavení záložních soubor˚ u Zálohy jsou ukládány v komprimovaných souborech (.zip), jejichž velikost nesmí pˇ resáhnout 2 GB. Tato položka umožˇ nuje rozdˇ elení zálohy na nˇ ekolik menších ˇ cástí. Maximální hranice pro dˇ elení je standardnˇ e nastavena na hodnotu 2 GB (maximální velikost souboru). Pokud je soubor vˇ etší než hodnota nastavená v dialogu, pak tento soubor nebude zálohován. Rotace Každá záloha uživatelských složek je velmi nároˇ cná na místo na zálohovacím médiu a správce aplikace Kerio Connect m˚ uže být v pˇ rípadˇ e jeho nedostatku nucen zálohy ˇ casto mazat. Po nastavení rotace záloh odpadne práce s pravidelným ruˇ cním mazáním soubor˚ u. Do pole Udržovat nejvýše ... kompletních záloh staˇ cí zadat ˇ císlicí poˇ cet záloh, které mají být na zálohovacím médiu udržovány. Jakmile se poˇ cet záloh naplní, nejstarší záloha bude vždy pˇ remazána tou nejnovˇ ejší.

Ostatní nastavení Adresáˇ r pro zálohy Úplná cesta k adresáˇ ri urˇ cenému pro zálohy (dle konvence operaˇ cního systému, na kterém Kerio Connect bˇ eží). Cestu vepište do pole nebo vyberte pomocí tlaˇ cítka Vybrat složku. Výchozí úložištˇ e záloh se standardnˇ e nachází v adresáˇ ri, kde je Kerio Connect nainstalován: Kerio\MailServer\store\backup

Obrázek 15.6

Cílový adresáˇ r pro zálohy

Upozornˇ ení: Úložištˇ e záloh doporuˇ cujeme zmˇ enit a nastavit cestu k výmˇ ennému zálohovacímu disku nebo jinému zálohovacímu médiu, pokud je k dispozici. Pokud je Kerio Connect spuštˇ en na systému Windows, pak je nutno cestu k serveru pro zálohování zadat ve tvaru UNC (vizte obrázek 15.6).

201


Pokud je Kerio Connect spuštˇ en na linuxu nebo systému Mac OS X, potom jsou k dispozici tyto možnosti: • Server urˇ cený pro zálohování pˇ ripojíme jako adresáˇ r a do pole Adresáˇ r pro zálohu zadáme cestu k tomuto adresáˇ ri. Výsledek m˚ uže vypadat napˇ ríklad takto: /mnt/server-backup • Zálohu uložíme do lokálního adresáˇ re, a teprve poté necháme odeslat na server (napˇ ríklad pomocí synchronizaˇ cní utility rsync). Výsledek m˚ uže vypadat napˇ ríklad následovnˇ e: /backup/kms/backup Ovˇ eˇ rení pro pˇ rístup na sít’ový disk Kromˇ e výmˇ enného zálohovacího média je samozˇ rejmˇ e možné ukládat zálohy na sít’ový disk. Má-li sít’ový disk chránˇ ený pˇ rístup, musí být umožnˇ eno ovˇ eˇ rení pomocí uživatelského jména a hesla, který má pˇ rístup na disk povolen. Jméno a heslo pro pˇ rístup k disku lze použít pouze v pˇ rípadˇ e, že je Kerio Connect nainstalován na operaˇ cních systémech MS Windows.

Obrázek 15.7

Ovˇ eˇ rení pro pˇ rístup na disk

Upozornˇ ení Na uvedenou adresu budou aplikací Kerio Connect zasílány e-maily o pr˚ ubˇ ehu zálohování. Kromˇ e záloh nastavených v plánu zálohování lze v pˇ rípadˇ e potˇ reby ihned poˇ rídit také tzv. kopii zálohy. Kopie zálohy je de facto plná záloha, která ovšem v niˇ cem nenarušuje nastavený plán zálohování. Kopii zálohování lze zapnout tlaˇ cítkem Spustit zálohování . Vlevo od tlaˇ cítka se objeví aktuální stav pr˚ ubˇ ehu zálohování. Pˇ ri obnovˇ e ze zálohy je kopie brána jako standardní plná záloha, a proto pokud je kopie poslední provedenou zálohou, provede se obnova z ní. ˇešení pˇ R rípadných problém˚ u Pokud je tˇ reba vyˇ rešit v souvislosti se zálohováním problém, lze v Kerio Connect nastavit záznam pr˚ ubˇ ehu zálohování: 1.

Otevˇ reme sekci Záznamy a vybereme záznam Debug.

2.

V oknˇ e záznamu pravým tlaˇ cítkem myši otevˇ reme kontextové menu a vybereme položku Zprávy. 202

15.3 Obnova dat ze zálohy

3.

Otevˇ re se okno Zaznamenávané informace, kde zaškrtneme volbu Store Backup.

4.


Po vyˇ rešení problému doporuˇ cujeme logování opˇ et vypnout.

15.3 Obnova dat ze zálohy Pro obnovu dat ze zálohy slouží speciální nástroj Kerio Connect Recover. Tento nástroj samostatnˇ e rozbalí zálohu a uloží zálohovaná data na p˚ uvodní místo v adresáˇ rové struktuˇ re Kerio Connect. Kerio Connect Recover je souˇ cástí instalace a spouští se v pˇ ríkazové ˇ rádce pˇ ríkazem kmsrecover z adresáˇ re, kde je Kerio Connect nainstalován. Použití: kmsrecover [options] | Na operaˇ cních systémech Mac OS X a Linux je nutné zapsat pˇ ríkaz v následujícím formátu, pokud není zanesen do souboru systémové promˇ enné path: ./kmsrecover [options] | To znamená, že pˇ red název utility je tˇ reba pˇ ripojit znaky ./, které systému ˇ reknou, že se má pˇ ríkaz spustit z aktuálního adresáˇ re. Podrobnosti a pˇ ríklady k parametr˚ um obsahuje nápovˇ eda, kterou lze spustit pˇ ríkazem: kmsrecover -h nebo kmsrecover --help Upozornˇ ení:

• Kerio Connect musí být nainstalován na poˇ cítaˇ ci, odkud je program kmsrecover spouštˇ en. • Pˇ red obnovou zálohy je nutné zastavit Kerio Connect Engine. • Po spuštˇ ení nástroje Kerio Connect Recover bez upˇ resˇ nujících parametr˚ u budou pˇ repsány soubory s konfigurací, licence, e-mailové konference, data v úložišti Kerio Connect atd. Kerio Connect Recover obsahuje celou ˇ radu upˇ resˇ nujících voleb pro obnovu ze zálohy: Obnovu ze zálohy si nejlépe vysvˇ etlíme na jednoduchých pˇ ríkladech:

203


Zkratka

Celá volba

Maska

Popis

-d

--domain

Obnoví (nebo vypíše spolu s parametrem -l) veškerá zálohovaná data pro zadanou doménu.

-u

--user

Obnoví (nebo vypíše spolu s parametrem -l) data konkrétního uživatele.

-f

--folder

Obnoví konkrétní složku uživatele (tato volba musí být doplnˇ ena volbami -d a -u).

-s

--store

Nastaví, kam se mají rozbalit a uložit databáze spamového filtru SpamAssassin, e-mailové konference a e-maily (vˇ cetnˇ e událostí, poznámek, kontakt˚ u atd.). Výchozí nastavení poˇ cítá s adresáˇ rem store v Kerio Connect, ze kterého byl spuštˇ en pˇ ríkaz kmsrecover.

-c

--cfgdir

Nastaví adresáˇ r, kam se mají konfiguraˇ cní soubory, SSL certifikáty a licence uložit. Výchozím nastavením je aktuální složka, ze které byl spuštˇ en pˇ ríkaz kmsrecover.

-m

--mask

Umožˇ nuje nastavit, které ˇ cásti zálohy mají být obnoveny. Vyžaduje doplnˇ ení volbou masky -m nebo --mask=. pˇ redstavuje libovolnou kombinaci z hodnot uvedených níže. Pˇ ríklad: -m cfg,license,sslca,sslcert — pˇ ríkaz obnoví licenci, SSL certifikáty a konfiguraˇ cní soubory. cfg

Obnoví pouze konfiguraˇ cní soubory mailserver.cfg a users.cfg, kde jsou uloženy konfigurace serveru.

204


Zkratka

Celá volba

Maska

Popis

mail

Obnoví se pouze adresáˇ r \store\mail.

lists

Obnoví se pouze nastavení e-mailových konferencí (\store\lists).

spamassassin Obnoví se pouze databáze spamového filtru SpamAssassin. license

Obnoví se licence produktu Kerio Connect.

sslca

Obnoví se certifikáty vydané certifikaˇ cními autoritami.

sslcert

Obnoví se certifikáty produktu Kerio Connect.

public

Obnoví se veˇ rejné složky.

-b

--backup

Bude zálohován i stav úložištˇ e pˇ red obnovou. P˚ uvodní adresáˇ r bude mít pˇ ríponu BAK. Pokud již takový existuje, bude nahrazen novou verzí. Nevýhodou zálohování stávajícího stavu je dvojnásobná velikost úložištˇ e po obnovˇ e. Pokud nemáte dostatek volného místa na disku, volbu nepoužívejte.

-g

--noprogress

Potlaˇ cí procentuální znázornˇ ení pr˚ ubˇ ehu obnovy. Tato volba je vhodná zejména pokud je záznam obnovy ukládán do logu. Informace, kolik ˇ casu ještˇ e zbývá do konce bývá v tomto pˇ rípadˇ e irelevantní.

-l

--listing

Zobrazí obsah zálohy. Samozˇ rejmˇ e lze použít další parametry (napˇ ríklad -d a -u a zobrazí se pouze obsah poštovní schránky konkrétního uživatele).

-q

--quiet

Na pˇ ríkazové ˇ rádce se nebudou zobrazovat informace o pr˚ ubˇ ehu obnovy.

-v

--verbose

Na pˇ ríkazové ˇ rádce se budou zobrazovat všechny informace o pr˚ ubˇ ehu obnovy.

-h

--help

Vypíše nápovˇ edu.

Pˇ ríklady na Windows Obnovení plné zálohy Adresáˇ r s konfigurací je uložen ve výchozím umístˇ ení (standardní nastavení pˇ ri instalaci), adresáˇ r store je umístˇ en na samostatném disku (pole RAID nebo jakýkoliv rychlejší disk) na stejném poˇ cítaˇ ci, kde je umístˇ en adresáˇ r s konfigurací a adresáˇ r se zálohou 205


je pro pˇ rípad ztráty adresáˇ re store umístˇ en na výmˇ enném disku urˇ ceném k provádˇ ení zálohování. Pro obnovu ze zálohy použijeme zálohu plnou. Podmínky: 1.

Konfigurace je uložena v adresáˇ ri C:\Program Files\Kerio\MailServer

2.

Adresáˇ r store je uložen na disku D:\store

3.

Adresáˇ r se zálohou je z bezpeˇ cnostních d˚ uvod˚ u uložen na výmˇ enném zálohovacím disku E:\backup

ˇ ešení: R Pˇ ríkaz je nutno spustit z adresáˇ re, kde je Kerio Connect nainstalován. V našem pˇ rípadˇ e je to adresáˇ r C:\Program Files\Kerio\MailServer Nyní mohou nastat dva r˚ uzné pˇ rípady zápisu: 1.

Chceme obnovit poslední uloženou kompletní zálohu (poslední plná a poslední diferenciální záloha nebo poslední kopie zálohy). V takovém pˇ rípadˇ e bude zápis pˇ ríkazu i s parametry vypadat takto: kmsrecover E:\backup

2.

Chceme obnovit konkrétní zálohu (starší než poslední): kmsrecover E:\backup\F20051009T220008Z.zip

Cestu k úložišti (D:\store) najde kmsrecover automaticky v konfiguraˇ cním souboru aplikace Kerio Connect a použije ji. Upozornˇ ení: Obsahuje-li parametr mezeru v názvu adresáˇ re, je tˇ reba jej celý opatˇ rit uvozovkami. Pro pˇ ríklad si uved’me výše uvedený zápis: kmsrecover "E:\backup 2" Obnova poštovní schránky jednoho uživatele • Adresáˇ r se zálohou je uložen na externím disku E, • ze zálohy je tˇ reba získat jednoho uživatele (jeho poštovní schránku), • celá schránka i její obsah budou uloženy mimo úložištˇ e Kerio Connect (složka \tmp). kmsrecover -d firma.cz -u novak -s D:\tmp E:\backup\F20051009T220008Z.zip

206


Obnova jedné složky uživatele • Adresáˇ r se zálohou je uložen na externím disku E, • ze zálohy je tˇ reba získat jednu konkrétní složku z uživatelské schránky (v tomto pˇ rípadˇ e je to složka Sent Items), • pˇ ríkaz je spuštˇ en v režimu verbose (parametr -v), který lépe umožní sledovat, co se bˇ ehem obnovy dˇ eje. kmsrecover -v -d firma.cz -u novak -f "Sent Items" E:\backup\F20051009T220008Z.zip Obnova veˇ rejných složek jedné domény • Adresáˇ r se zálohou je uložen na externím disku E, • z poslední zálohy je tˇ reba obnovit doménové veˇ rejné složky (použita je maska public), • zároveˇ n uchováme p˚ uvodní veˇ rejné složky (stav pˇ red použitím Kerio Connect Recoveru). To zajistí parametr -b. kmsrecover -b -d firma.cz -m public E:\backup

Pˇ ríklady na Mac OS X Obnovení plné zálohy Adresáˇ r s konfigurací je uložen ve výchozím umístˇ ení (standardní nastavení pˇ ri instalaci), adresáˇ r store je umístˇ en na samostatném disku na stejném poˇ cítaˇ ci, kde je umístˇ en adresáˇ r s konfigurací a adresáˇ r se zálohou je pro pˇ rípad ztráty adresáˇ re store umístˇ en na výmˇ enném disku urˇ ceném k provádˇ ení zálohování. Pro obnovu ze zálohy použijeme poslední plnou zálohu. Podmínky: 1.

Konfigurace je uložena v adresáˇ ri /usr/local/kerio/mailserver

2.

Adresáˇ r store je uložen na disku /store

3.

Adresáˇ r se zálohou je z bezpeˇ cnostních d˚ uvod˚ u uložen na výmˇ enném zálohovacím disku /Volumes/backup

ˇ ešení: R Pˇ ríkaz je nutno spustit z adresáˇ re, kde je Kerio Connect nainstalován, proto se pˇ resuneme do adresáˇ re: /usr/local/kerio/mailserver Chceme obnovit poslední uloženou kompletní zálohu (poslední plná a poslední diferenciální záloha nebo poslední kopie zálohy). Zápis pˇ ríkazu se nyní bude lišit podle 207


toho zda je cesta k adresáˇ ri Kerio Connect zapsána do promˇ enné path ˇ ci nikoliv. Pokud jste cestu nenastavili, bude zápis vypadat takto: ./kmsrecover /Volumes/backup pokud ano, bude vypadat následovnˇ e: kmsrecover /Volumes/backup Cestu k úložišti (/store) najde kmsrecover automaticky v konfiguraˇ cním souboru aplikace Kerio Connect a použije ji. Obnova poštovní schránky jednoho uživatele • Adresáˇ r se zálohou je uložen na externím disku, • ze zálohy je tˇ reba získat jednoho uživatele (jeho poštovní schránku), • celá schránka i její obsah budou uloženy mimo úložištˇ e Kerio Connect (složka /Temp). ./kmsrecover -d firma.cz -u jnovak -s /Volumes/Temp /Volumes/backup/F20051009T220008Z.zip Obnova jedné složky uživatele • Adresáˇ r se zálohou je uložen na externím disku, • ze zálohy je tˇ reba získat jednu konkrétní složku z uživatelské schránky (v tomto pˇ rípadˇ e je to složka Sent Items), • pˇ ríkaz je spuštˇ en v režimu verbose (parametr -v), který lépe umožní sledovat, co se bˇ ehem obnovy dˇ eje. ./kmsrecover -v -d firma.cz -u jnovak -f "Sent Items" /Volumes/backup/F20051009T220008Z.zip Obnova veˇ rejných složek jedné domény • Adresáˇ r se zálohou je uložen na externím disku, • z poslední zálohy je tˇ reba obnovit doménové veˇ rejné složky (použita je maska public), • zároveˇ n uchováme p˚ uvodní veˇ rejné složky (stav pˇ red použitím Kerio Connect Recoveru). To zajistí parametr -b. ./kmsrecover -b -d firma.cz -m public /Volumes/backup Struktura zálohy Název každého archivu se zálohou je složen z typu zálohy a data, kdy byla poˇ rízena: • Plná záloha — F20060118T220007Z.zip F — plná záloha 2006 — rok 01 — mˇ esíc 208


18 — den T220007Z — ˇ casová znaˇ cka v GMT (22:00:07), vždy je uvozena T a konˇ cí Z. • Diferenciální záloha — I20060106T220006Z.zip I — diferenciální záloha 2006 — rok 01 — mˇ esíc 06 — den T220006Z — ˇ casová znaˇ cka v GMT (22:00:06), vždy je uvozena T a konˇ cí Z. • Kopie zálohy (ruˇ cní spuštˇ ení zálohování) — C20060117T084217Z.zip 2006 — rok 01 — mˇ esíc 17 — den T084217Z — ˇ casová znaˇ cka v GMT (08:42:17), vždy je uvozena T a konˇ cí Z. Každá záloha obsahuje následující soubory a adresáˇ re: • .version.txt — soubor se vytvoˇ rí na zaˇ cátku vytváˇ rení zálohy a jsou v nˇ em zaznamenány následující údaje: • started — datum zaˇ cátku vytváˇ rení zálohy ve tvaru YYYY-MM-DD hh:mm:ss. • version — verze nástroje pro zálohování. • hostname — DNS název poˇ cítaˇ ce, kde je spuštˇ en Kerio Connect, pro který byla záloha vytvoˇ rena. • @backup — hlavní adresáˇ r zálohy. Tento adresáˇ r obsahuje následující: • license — záloha licence. • sslca — záloha certifikát˚ u certifikaˇ cních autorit. • sslcert — záloha SSL certifikát˚ u Kerio Connect. • store — záloha datového úložištˇ e. •

mailserver.cfg — soubor s konfigurací Kerio Connect. Veškerá nastavení provedená v administraˇ cním rozhraní se ukládají do mailserver.cfg.

209


• users.cfg — soubor s konfigurací uživatel˚ u. Do souboru jsou ukládáni všichni uživatelé a jejich parametry, které nastavujete v administraˇ cním rozhraní Kerio Connect. • .summary.txt — soubor se vytvoˇ rí po vytváˇ rení zálohy a jsou v nˇ em zaznamenány následující údaje: • started — datum zaˇ cátku vytváˇ rení zálohy ve tvaru YYYY-MM-DD hh:mm:ss. • finished — datum dokonˇ cení vytváˇ rení zálohy ve tvaru YYYY-MM-DD hh:mm:ss. • count_files — poˇ cet zálohovaných soubor˚ u. • total_size — celková velikost soubor˚ u (v bytech), které jsou zálohovány mezi vytvoˇ rením soubor˚ u .version.txt a .summary.txt. • duration — celkový ˇ cas vytvoˇ rení zálohy ve tvaru hh:mm:ss:msms

210

Kapitola 16

Certifikáty serveru

Princip bezpeˇ cných služeb aplikace Kerio Connect (služby šifrované SSL — napˇ r. HTTPS, IMAPS, POP3S, atd.) spoˇ cívá v tom, že se celé spojení mezi klientem a serverem šifruje, aby jej nebylo možné odposlechnout a zneužít pˇ renášených informací. Šifrovací protokol SSL, který je k tomuto úˇ celu bˇ ežnˇ e využíván, používá nejprve asymetrickou šifru pro výmˇ enu symetrického šifrovacího klíˇ ce, kterým se pak šifrují vlastní pˇ renášená data. Asymetrická šifra používá dva klíˇ ce: veˇ rejný pro šifrování a privátní pro dešifrování. Jak už jejich názvy napovídají, veˇ rejný (šifrovací) klíˇ c má k dispozici kdokoliv, kdo chce navázat se serverem spojení, zatímco privátní (dešifrovací) klíˇ c má k dispozici pouze server a musí z˚ ustat utajen. Klient ale také potˇ rebuje mít možnost, jak si ovˇ eˇ rit identitu serveru (zda je to skuteˇ cnˇ e on, zda se za nˇ ej pouze nˇ ekdo nevydává). K tomu slouží tzv. certifikát. Certifikát v sobˇ e obsahuje veˇ rejný klíˇ c serveru, jméno serveru, dobu platnosti a nˇ ekteré další údaje. Aby byla zaruˇ cena pravost certifikátu, musí být ovˇ eˇ ren a podepsán tˇ retí stranou, tzv. certifikaˇ cní autoritou. Komunikace mezi klientem a serverem pak vypadá následovnˇ e: Klient vygeneruje symetrický klíˇ c a zašifruje ho veˇ rejným klíˇ cem serveru (ten získá z certifikátu serveru). Server jej svým privátním klíˇ cem (který má jen on) dešifruje. Tento postup zaruˇ cuje, že symetrický klíˇ c znají jen oni dva a nikdo jiný. Poznámka: Chceme-li pro Kerio Connect zajistit vysokou bezpeˇ cnost, povolíme komunikaci pouze pˇ res SSL spojení. Toto m˚ užeme provést bud’ zastavením všech nešifrovaných služeb (vizte kapitolu 6) nebo nastavením bezpeˇ cnostní politiky serveru (vizte kapitolu 12.8). Po nastavení serveru je nutné instalovat certifikát (m˚ uže být i self-signed) nebo certifikáty na klientské stanice všech uživatel˚ u, kteˇ rí využívají služeb Kerio Connect.

16.1 Certifikát aplikace Kerio Connect Jak fungují výše uvedené principy v praxi, si m˚ užete nejsnáze ovˇ eˇ rit pˇ ri použití služby Secure HTTP. WWW prohlížeˇ ce totiž umˇ ejí zobrazovat informace o certifikátech, zatímco u ostatních služeb z˚ ustane uživateli vše skryto. Kerio Connect vygeneruje automaticky pˇ ri prvním spuštˇ ení po instalaci self-signed certifikát (certifikát podepsaný sám sebou) na jméno serveru. V adresáˇ ri, kde je Kerio Connect instalován, je uložen v souboru server.crt. Druhý soubor server.key obsahuje privátní klíˇ c serveru.

211


Pokusíte-li se bezprostˇ rednˇ e po instalaci aplikace Kerio Connect pˇ ristoupit prohlížeˇ cem ke službˇ e Secure HTTP, zobrazí se bezpeˇ cnostní varování obsahující zhruba následující informace (záleží na typu prohlížeˇ ce, zadaném jménu poˇ cítaˇ ce atd.). • Certifikát nebyl vydán organizací, kterou máte nastavenu jako d˚ uvˇ eryhodnou. Certifikát je totiž podepsán sám sebou (tzv. self-signed certifikát). Toto varování se nebude zobrazovat, jestliže certifikát nainstalujete (což m˚ užete provést, protože znáte jeho p˚ uvod). • Datum certifikátu je platné (certifikát je platný po omezenou dobu, typicky 1-2 roky). • Jméno certifikátu neodpovídá jménu serveru. Certifikát se vydává na konkrétní jméno serveru (napˇ r. mail.firma.cz), které musíte také používat v klientovi (tento certifikát byl vystaven na fiktivní jméno keriomail). Nyní máme k dispozici dvˇ e možnosti. Nechat v Kerio Connect self-signed certifikát vygenerovaný bˇ ehem instalace aplikace Kerio Connect, nebo si obstarat certifikát ovˇ eˇ rený d˚ uvˇ eryhodnou certifikaˇ cní autoritou. Nainstalovat na klientské stanice jdou obvykle oba typy certifikát˚ u. V obou pˇ rípadech je také nutné certifikát spravovat v Kerio Connect v sekci Konfigurace → SSL certifikáty (vizte obrázek 16.1).

Obrázek 16.1

SSL certifikáty

V sekci SSL certifikáty lze certifikáty zakládat, generovat požadavky na certifikáty pro certifikaˇ cní autority nebo certifikáty exportovat. Všechny možnosti si nyní postupnˇ e pˇ redstavíme: Nový... Stisknutím tlaˇ cítka Nový se zobrazí okno pro zadání údaj˚ u o vašem serveru a vaší organizaci. Po jejich vyplnˇ ení se vytvoˇ rí soubory server.crt a server.key v podadresáˇ ri sslcert. Vytvoˇ rený certifikát bude originální a bude vystaven vaší firmou vaší firmˇ e na jméno vašeho serveru (self-signed certifikát — certifikujete sami sebe). Tento certifikát zajišt’uje vašim klient˚ um bezpeˇ cnost, protože pˇ ríslušný privátní klíˇ c znáte pouze vy a certifikát prokazuje identitu vašeho serveru. Klienti budou ve svých prohlížeˇ cích upozornˇ eni na to, 212

16.1 Certifikát aplikace Kerio Connect

že se nejedná o d˚ uvˇ eryhodnou certifikaˇ cní autoritu. Protože však vˇ edí, kdo tento certifikát vytvoˇ ril a proˇ c, mohou si jej nainstalovat. Tím mají zajištˇ enu bezpeˇ cnou komunikaci a žádné varování se jim již zobrazovat nebude, protože váš certifikát nyní splˇ nuje všechny potˇ rebné náležitosti. Chcete-li získat plnohodnotný certifikát, musíte kontaktovat veˇ rejnou certifikaˇ cní autoritu (napˇ r. Verisign, Thawte, SecureSign, SecureNet, Microsoft Authenticode apod.). Pr˚ ubˇ eh certifikace je pomˇ ernˇ e složitý a vyžaduje urˇ cité odborné znalosti. Kerio Connect umožˇ nuje vytvoˇ rit požadavek na certifikát, který lze exportovat a soubor odeslat certifikaˇ cní organizaci. Pozor: Nový certifikát bude používán až od pˇ ríštího spuštˇ ení Kerio Connect Engine. Chcete-li jej tedy využívat ihned, zastavte Engine a opˇ et jej spust’te. Tlaˇ cítko Nový lze použít jak pro vytvoˇ rení nového certifikátu (volba Nový certifikát), tak pro vytvoˇ rení požadavku na certifikát (volba Nový požadavek na certifikát). V obou pˇ rípadech vyplníte okno Vytvoˇ rit certifikát. Nutnými položkami pro vznik certifikátu jsou Jméno serveru a Zemˇ e.

Obrázek 16.2

Vytvoˇ rení certifikátu

• Název organizace — doplníte jméno organizace. • Jméno poˇ cítaˇ ce — doplníte jméno serveru, kde je spuštˇ ena aplikace Kerio Connect. • Oddˇ elení — vyplˇ nte pouze pokud má organizace více než jedno oddˇ elení. • Mˇ esto — doplˇ nte mˇ esto, kde organizace sídlí. • Stát nebo provincie — vyplˇ nte kraj, ve kterém sídlí vaše organizace. • Stát — vybrání zemˇ e je nutné pro vytvoˇ rení certifikátu. • Platnost na — v seznamu vyberte dobu, po kterou bude certifikát platný. Zobrazit podrobnosti Oznaˇ cením certifikátu nebo požadavku na certifikát a použitím tlaˇ cítka Zobrazit podrobnosti se otevˇ re okno s detaily certifikátu.

213


Importovat Tlaˇ cítkem lze importovat certifikát (nový nebo vydaný certifikaˇ cní autoritou). Exportovat... Tlaˇ cítko umožˇ nuje export aktivního certifikátu, požadavku na certifikát nebo soukromého klíˇ ce. Exportovaný požadavek na certifikát m˚ užete zaslat certifikaˇ cní organizaci. Odebrat Tlaˇ cítkem lze vymazat oznaˇ cenou položku (certifikát nebo požadavek na certifikát). Nastavit jako aktivní Tlaˇ cítko umožˇ nuje nastavit vybraný certifikát jako aktivní.

Intermediate certifikáty Kerio Connect umožˇ nuje ovˇ eˇ rování takzvaným „intermediate“ certifikátem. Aby bylo ovˇ eˇ rování tímto typem certifikátu funkˇ cní, je tˇ reba jej pˇ ridat do Kerio Connect jedním z následujících postup˚ u: Lokálnˇ e Soubor s „intermediate“ certifikátem pˇ ridáme do adresáˇ re /sslca a certifikát serveru spolu se soukromým klíˇ cem umístíme do adresáˇ re /sslcert. Oba zmiˇ nované adresáˇ re jsou umístˇ eny v adresáˇ ri, kde je Kerio Connect nainstalován. Vzdálenˇ e Certifikáty lze importovat prostˇ rednictvím administraˇ cního rozhraní. 1. 2.

V libovolném textovém editoru otevˇ reme certifikát serveru a „intermediate“ certifikát. V „intermediate“ certifikátu oznaˇ címe kurzorem ˇ retˇ ezec certifikátu a zkopírujeme jej do souboru s certifikátem serveru za ˇ retˇ ezec certifikátu serveru. Soubor s certifikátem pak bude vypadat následovnˇ e: -----BEGIN CERTIFICATE----MIIDOjCCAqOgAwIBAgIDPmR/MA0GCSqGSIb3DQEBBAUAMFMxCzAJBgNVBAYTAl MSUwIwYDVQQKExxUaGF3dGUgQ29uc3VsdGluZyAoUHR5KSBMdGQuMR0wGwYDVQ ..... this is a server SSL certificate ... ukrkDt4cgQxE6JSEprDiP+nShuh9uk4aUCKMg/g3VgEMulkROzFl6zinDg5grz QspOQTEYoqrc3H4Bwt8= -----END CERTIFICATE---------BEGIN CERTIFICATE----MIIDMzCCApygAwIBAgIEMAAAATANBgkqhkiG9w0BAQUFADCBxDELMAkGA1UEBh WkExFTATBgNVBAgTDFdlc3Rlcm4gQ2FwZTESMBAGA1UEBxMJQ2FwZSBUb3duMR ..... this is an intermediate SSL certificate which signed the server certificate... 5BjLqgQRk82bFi1uoG9bNm+E6o3tiUEDywrgrVX60CjbW1+y0CdMaq7dlpszRB t14EmBxKYw== -----END CERTIFICATE----214

16.2 Instalace certifikátu na klientské stanice

3. 4. 5.

Certifikát serveru uložíme. V administraˇ cním rozhraní se pˇ repneme do sekce SSL certifikáty. Certifikát serveru importujeme pomocí tlaˇ cítka Importovat → Importovat nový certifikát.

16.2 Instalace certifikátu na klientské stanice Instalace certifikátu na klientskou stanici je potˇ reba pouze v následujících pˇ rípadech: • Používáme-li na stanici MS Outlook s Kerio Outlook Connectorem a chceme mít šifrovanou HTTP komunikaci mezi serverem a klientem (týká se to hlavnˇ e pokud uživatelé využívají Free/Busy server). Pokud certifikát nenainstalujeme, potom komunikace nebude v˚ ubec fungovat. • Používáme-li MS Entourage a chceme jeho služby zabezpeˇ cit SSL šifrováním. Pokud certifikát nenainstalujeme, potom komunikace nebude v˚ ubec fungovat. • Pˇ ri pˇ ripojení ke Kerio WebMailu pˇ res HTTPS. Pokud certifikát nenainstalujeme, bude se pˇ ri každém pˇ rihlášení zobrazovat varovná zpráva upozorˇ nující na absenci certifikátu. Nejjednodušším zp˚ usobem, jak certifikát nainstalovat, je využít k tomuto úˇ celu webový prohlížeˇ c.

Instalace pomocí prohlížeˇ ce Internet Explorer Internet Explorer využijeme v pˇ rípadech, kdy je potˇ reba nainstalovat certifikát do úložištˇ e aplikace MS Outlook (Internet Explorer a MS Outlook mají spoleˇ cné úložištˇ e certifikát˚ u) nebo pokud se chceme pˇ ripojovat ke Kerio WebMailu pˇ res HTTPS. Postup instalace certifikátu je následující: 1.

Spustíme prohlížeˇ c Internet Explorer a zadáme do nˇ ej URL adresu pro pˇ rihlášení k rozhraní Kerio WebMail. K serveru je tˇ reba se pˇ ripojit protokolem zabezpeˇ ceným SSL šifrováním. Adresa tedy musí zaˇ cínat na https:// (pˇ ríklad: https://mail.firma.cz/).

2.

Otevˇ re se okno Výstraha zabezpeˇ cení . V tomto oknˇ e klikneme na tlaˇ cítko Zobrazit certifikát.

3.

Otevˇ re se okno s podrobnostmi certifikátu, kde klikneme na tlaˇ cítko Nainstalovat certifikát.

4.

Otevˇ re se pr˚ uvodce instalací certifikátu. V pr˚ uvodci není tˇ reba nic nastavovat. Všechny kroky postupnˇ e odsouhlasíme, a po jeho ukonˇ cení bude certifikát nainstalován.

215


Instalace pomocí prohlížeˇ ce Safari SSL certifikát je tˇ reba nainstalovat vždy, když aplikace mají komunikovat s aplikací Kerio Connect službami zabezpeˇ cenými SSL. Certifikát aplikace Kerio Connect instalujeme pomocí prohlížeˇ ce Safari (staˇ cí se pˇ rihlásit k rozhraní Kerio WebMail pˇ res https://): 1.

Otevˇ reme okno prohlížeˇ ce Safari a zadejte do nˇ ej URL adresu pro pˇ rihlášení k rozhraní Kerio WebMail. K serveru je tˇ reba se pˇ ripojit protokolem zabezpeˇ ceným SSL šifrováním. Adresa tedy musí zaˇ cínat na https:// (pˇ ríklad: https://mail.firma.cz/).

2.

Než se naˇ cte pˇ rihlašovací stránka Kerio WebMailu, otevˇ re se varovné okno, že server, ke kterému se pˇ ripojujeme systém nem˚ uže ovˇ eˇ rit, protože certifikát je ovˇ eˇ ren neznámou autoritou (vizte obrázek 16.3).

Obrázek 16.3

3.

Informace o tom, že certifikát není d˚ uvˇ eryhodný

Varovné okno obsahuje tlaˇ cítko Show certificate. Klikneme na toto tlaˇ cítko a certifikát se zobrazí (vizte obrázek 16.4).

Obrázek 16.4

Podrobnosti certifikátu

216

16.2 Instalace certifikátu na klientské stanice

4.

Kurzorem myši pˇ resuneme ikonu certifikátu na plochu, jak to zobrazuje obrázek 16.5.

Obrázek 16.5

Pˇ resun certifikátu na plochu

Nyní záleží na verzi systému Mac OS X. Pro Mac OS X 10.4 Tiger je postup následující: 1.

Klikneme na certifikát na ploše. Otevˇ re se okno Add Certificates (vizte obrázek 16.6), kde je tˇ reba v menu Keychain zvolit jako typ úložištˇ e X509Anchors. Do úložištˇ e X509Anchors jsou ukládány certifikáty, které mohou podepisovat další (kterým lze d˚ uvˇ eˇ rovat) a také 5 všechny d˚ uvˇ eryhodné certifikáty.

Obrázek 16.6 5

Dialog Add Certificates

Jakýkoliv certifikát bude funkˇ cní pouze v pˇ rípadˇ e, že bude ve formátu X509, kódovaný Base64. Pokud váš certifikát tyto podmínky nesplˇ nuje, lze jej pˇ revést a uložit do správného formátu pomocí speciální aplikace Microsoft Cert Manager. Tuto aplikaci najdete v Applications → Microsoft Office → Office → Microsoft Cert Manager. Nicménˇ e v našem pˇ rípadˇ e tato aplikace nebude potˇ reba. Kerio Connect vytváˇ rí certifikáty ve formátu X509, kódované Base64.

217


2.

Pokud nejste pˇ rihlášení jako root nebo uživatel s administrátorskými právy, bude po vás nyní vyžadováno administrátorské heslo ovˇ eˇ rení.

3.

Zároveˇ n s dialogem Add Certificates se otevˇ re úložištˇ e klíˇ cu ˚ Keychain Access. Pokud se neotevˇ re, najdete ho v Applications → Utilities → Keychain Access.

4.

V aplikaci Keychain Access se pˇ repnˇ ete do záložky Certificates.

5.

Zkontrolujte, že se certifikát objevil v seznamu certifikát˚ u.

Pro Mac OS X 10.5 Leopard a vyšší je postup následující: 1.

Klikneme na certifikát na ploše. Otevˇ re se okno Add Certificates (vizte obrázek 16.7), kde je tˇ reba v menu Keychain zvolit možnost System (certifikát budou moci využívat všichni uživatelé systému) nebo Login (certifikát bude moci využívat pouze právˇ e pˇ rihlášený uživatel). Volbu odsouhlasíme tlaˇ cítkem OK.

Obrázek 16.7

2.

Dialog Add Certificates

Otevˇ re se aplikace Keychain Access a zeptá se, zda opravdu chceme certifikát nainstalovat. Odsouhlasení je tˇ reba potvrdit zadáním uživatelského jména a hesla s administraˇ cními právy.

Instalace certifikátu na mobilní zaˇ rízení Do mobilních zaˇ rízení lze SSL certifikát nainstalovat pomocí Internet Exploreru. Import a instalace certifikátu se liší podle typu zaˇ rízení. Návody na instalaci SSL certifikátu pro všechna podporovaná zaˇ rízení najdeme v kapitole 35.4.

218

Kapitola 17

Parametry pro Kerio WebMail

Tato kapitola popisuje možnosti pˇ rizp˚ usobení rozhraní Kerio WebMail vlastním potˇ rebám. Zmˇ enit lze napˇ ríklad vzhled, logo Kerio Connect 7 lze zamˇ enit za logo vaší spoleˇ cnosti nebo lze pˇ ridat vlastní lokalizaci. Podrobné informace k uživatelskému Kerio Connect 7, Pˇ ríruˇ cka uživatele.

rozhraní

Kerio

WebMail

najdete

v

manuálu

17.1 Skiny Rozhraní Kerio WebMail obsahuje nˇ ekolik standardních skin˚ u (skin = vzhled Kerio WebMailu). Skiny jsou uloženy v adresáˇ ri Kerio\MailServer\web\custom\webmail\skins Skiny jsou tvoˇ reny kaskádovými styly (CSS) a obrázky. Kaskádový styl (CSS) je nástroj, kterým je možno pˇ rizp˚ usobit vzhled WWW stránek (barvy, typ písma, odsazení objekt˚ u atd.). Pokud je uživatel schopen pracovat s kaskádovými styly a obrázky, m˚ uže si do velké míry Kerio WebMail pˇ rizp˚ usobit. Lze vycházet z nˇ ekterého z výchozích skin˚ u nebo je možné vytvoˇ rit skin úplnˇ e nový. Nový skin musí být uložen v adresáˇ ri \Kerio\MailServer\web\custom\webmail\skins\xyz kde xyz je název nového schématu.

17.2 Logo V záhlaví rozhraní Kerio WebMail se zobrazuje logo spoleˇ cnosti Kerio Technologies. Toto logo m˚ užete nahradit vlastním logem, pˇ rípadnˇ e libovolným jiným obrázkem. Logo lze zmˇ enit bud’ globálnˇ e, pak bude platit pro všechny domény v Kerio Connect, nebo pro každou doménu zvlášt’. Pokud jsou nastavena jak globální, tak doménová loga, vyšší prioritu budou mít vždy loga nastavená pro jednotlivé domény.

17.2.1 Nastavení globálního loga Doporuˇ cené parametry loga jsou následující: • Formát: GIF • Rozmˇ ery: 200x40 pixel˚ u 219


Nové logo do výchozího skinu WebMailu pro všechny uživatele lze nastavit takto: 1.

Otevˇ reme administraˇ cní rozhraní a pˇ repneme se do sekce Konfigurace → Další volby.

2.

V záložce WebMail zaškrtneme volbu V rozhraní WebMail použít vlastní logo (vizte obrázek 17.1).

3.

Stiskneme tlaˇ cítko Vybrat a zvolíme cestu ke složce, kde je vaše logo uloženo.

Obrázek 17.1 Nastavení vlastního loga pro Kerio WebMail

Ponˇ ekud složitˇ ejší je, pokud si pˇ rejete mít své logo ve všech skinech, které Kerio Connect poskytuje. V takovém pˇ rípadˇ e je tˇ reba logo ruˇ cnˇ e nakopírovat do jednotlivých skin˚ u. To je tˇ reba provést takto (MS Windows): 1.

Pˇ repnˇ ete se do složky \Kerio\MailServer\web\custom\webmail\skins\xyz, kde xyz je jméno konkrétního skinu.

2.

Nakopírujte do tohoto adresáˇ re logo, jehož název má tvar customlogo.gif 220

17.2 Logo

3.

Chcete-li mít stejné logo ve všech skinech aplikace Kerio Connect, opakujte akci pro ostatní skiny.

17.2.2 Nastavení doménového loga Doporuˇ cené parametry loga jsou následující: • Formát: GIF • Rozmˇ ery: 200x40 pixel˚ u Nové logo do výchozího skinu WebMailu pro uživatele z domény lze nastavit takto: 1.

Otevˇ reme administraˇ cní rozhraní a pˇ repneme se do sekce Konfigurace → Domény.

2.

Otevˇ reme dialog pro zmˇ enu nastavení domény a pˇ repneme se do záložky Logo pro WebMail.

3.

Zaškrtneme volbu Pro tuto doménu použít v rozhraní WebMail vlastní logo (vizte obrázek 17.2).

4.

Stiskneme tlaˇ cítko Vybrat a zvolíme cestu ke složce, kde je vaše logo uloženo.

Obrázek 17.2

Nastavení loga pro rozhraní Kerio WebMail v doménˇ e

Ponˇ ekud složitˇ ejší je, pokud si pˇ rejete mít své logo ve všech skinech, které Kerio Connect poskytuje. V takovém pˇ rípadˇ e je tˇ reba logo ruˇ cnˇ e nakopírovat do jednotlivých skin˚ u. To je tˇ reba provést takto (MS Windows): 1.

Pˇ repnˇ ete se do složky \Kerio\MailServer\web\custom\webmail\skins\xyz, kde xyz je jméno konkrétního skinu.

2.

Nakopírujte do tohoto adresáˇ re logo, jehož název má tvar logo_domena.gif

3.

Chcete-li mít stejné logo ve všech skinech Kerio Connect, opakujte akci pro ostatní skiny. 221


Poznámka: Pokud v používaném skinu bude umístˇ en alespoˇ n jeden ze soubor˚ u logo_domena.gif a logo.gif), nebude použito ani jedno z globálních log. Pokud bude používaný skin obsahovat jak doménová, tak globální loga, budou použita automaticky doménová.

17.3 Jazyk V souˇ casné dobˇ e Kerio WebMail obsahuje následující lokalizace: Angliˇ ctina

Holandština Mad’arština

Ruština

ˇ Ceština

Chorvatština Nˇ emˇ cina

Slovenština

ˇ Cínština

Italština

Španˇ elština

Polština

Francouzština Japonština

Portugalština Švédština

Vytvoˇ rení vlastní lokalizace Pokud Kerio WebMail neobsahuje lokalizaci do jazyka, která je požadována, lze vytvoˇ rit lokalizaci vlastní. Veškeré texty pro jeden jazyk, které se v Kerio WebMailu zobrazují, jsou uloženy v samostatném lokalizaˇ cním souboru. Lokalizaˇ cní soubory jsou uloženy ve formátu XML a jsou uloženy v podadresáˇ ri /translations (v adresáˇ ri, kde je Kerio Connect nainstalován). Kódování soubor˚ u je vždy UTF-8. Název každého souboru je tvoˇ ren zkratkou jazyka (napˇ r. cs pro ˇ ceštinu, en pro angliˇ ctinu atd.) a pˇ ríponou .def. Z toho vyplývá, že pˇ ridat další jazyk lze jednoduše pˇ ridáním odpovídajícího definiˇ cního souboru. Správce aplikace Kerio Connect tedy m˚ uže vytvoˇ rit vlastní jazykovou mutaci tím, že zkopíruje nˇ ekterý z definiˇ cních soubor˚ u do souboru s novým názvem a pˇ reloží (ˇ ci nechá pˇ reložit) texty v nˇ em. Formát XML zaˇ cíná i konˇ cí tagem . Jednotlivé ˇ rádky je tˇ reba zaznamenat ve tvaru: Uživatel Postup vytvoˇ rení vlastního lokalizaˇ cního souboru pro nový jazyk je následující: 1.

zkopírujeme lokalizaˇ cní soubor ve zdrojovém jazyce (z nˇ ehož budeme pˇ rekládat) do souboru nazvaného podle nového jazyka,

2.

pˇ reložíme všechny texty na jednotlivých ˇ rádcích souboru.

Naˇ ctení nového lokalizaˇ cního souboru vyžaduje restart Kerio Connect.

222

17.3 Jazyk

Kontrola pravopisu a slovníky Kontrola pravopisu v rozhraní Kerio WebMail funguje na základˇ e porovnání slov se slovníkem a je tedy možná pouze v jazycích, pro nˇ ež jsou v Kerio Connect nakopírované slovníky. Tyto slovníky lze nalézt ve složce myspell, kde je Kerio Connect nainstalován. Výchozími verzemi slovník˚ u pro pravopis jsou angliˇ ctina a ˇ ceština. Další verze je v pˇ rípadˇ e potˇ reby nutné do složky myspell nakopírovat. Pro správnou funkci slovník˚ u je nutné, aby vyhovovaly standardu produkt˚ u myspell. Tyto slovníky jsou volnˇ e dostupné na Internetu (napˇ ríklad na adrese http://wiki.services.openoffice.org/wiki/Dictionaries). Každý ze slovník˚ u obsahuje dva soubory, jeden ve tvaru nazev_jazyka.aff (napˇ ríklad fr_FR.aff) a druhý ve tvaru nazev_jazyka.dic (napˇ ríklad fr_FR.dic). Oba tyto soubory nakopírujeme do zmínˇ ené složky myspell. Aby se nový slovník zaˇ cal požívat ke kontrole pravopisu, musí si jej každý uživatel nastavit jako preferovaný v uživatelském nastavení Kerio WebMailu: 1.

Otevˇ reme plnou verzi rozhraní Kerio Webmail.

2.

Klikneme na tlaˇ cítko Nastavení umístˇ ené na panelu nástroj˚ u.

3.

Otevˇ re se okno s nˇ ekolika záložkami. Pˇ repneme se do záložky Psaní zpráv.

4.

V položce Slovník kontroly pravopisu vybereme nový slovník (vizte obrázek 17.3).

Obrázek 17.3

er slovníku v nastavení Kerio WebMail Výbˇ

223


17.4 Zabezpeˇ cení relace mezi aplikací Kerio Connect a Kerio WebMailem Uživatelé si ˇ casto pˇ ríliš nelámou hlavu s odhlašováním z Kerio WebMailu a po ukonˇ cení práce prostˇ e zavˇ rou prohlížeˇ c. V takových pˇ rípadech ovšem relace není pˇ rerušena a zvyšuje se tak riziko jejího zneužití (toto riziko se zvyšuje s dobou, po kterou je relace navázána). Z toho d˚ uvodu je možné nastavit dobu, po kterou má relace trvat. Pokud uživatel bˇ ehem této doby 6 relaci nevyužívá , potom se po jejím uplynutí spojení se serverem automaticky pˇ reruší. Doba vypršení relace je standardnˇ e nastavena na dvˇ e hodiny. Kromˇ e nastavení doby vypršení relace lze nastavit také maximální dobu trvání relace. Tedy celkovou dobu od pˇ rihlášení uživatele. Pokud uživatelé používají rozhraní Kerio WebMail jako hlavní pˇ rístup ke své schránce, nastavte dobu alespoˇ n na 8 až 10 hodin. Nastavení pˇ ríliš krátkého intervalu m˚ uže zp˚ usobit nevhodné ukonˇ cení relace napˇ ríklad uprostˇ red rozepsané zprávy. To je pro uživatele nežádoucí. Poznámka: Pokud má uživatel v dobˇ e vypršení relace rozepsanou zprávu, bude muset po pˇ rerušení spojení zadat znovu své uživatelské jméno a heslo. Rozepsanou zprávu poté bude možno dopsat a odeslat. Další možností ochrany je automatické odhlášení uživatele z Kerio WebMailu pˇ ri zmˇ enˇ e IP adresy klienta. M˚ uže se stát, že se na relaci jednoho z uživatel˚ u napojí útoˇ cník (zejména pokud uživatel nepoužívá ke komunikaci HTTP zabezpeˇ cené SSL) a získá tak pˇ rístup k serveru. Napojením útoˇ cníka na relaci se samozˇ rejmˇ e zmˇ ení IP adresa klienta. Upozornˇ ení:

• Ochranu proti útoku „ukradením“ relace je tˇ reba vypnout v pˇ rípadˇ e, že uživatelé Kerio Connect využívají spoleˇ cné úˇ cty. Volba neumožní pˇ ripojit se k jednomu úˇ ctu z více poˇ cítaˇ cu ˚ (IP adres) najednou. • Ochranu proti útoku „ukradením“ relace nelze použít ani v pˇ rípadˇ e, že váš poskytovatel Internetu v pr˚ ubˇ ehu spojení mˇ ení IP adresy (napˇ ríklad pˇ ri pˇ ripojení pˇ res GPRS nebo WiFi).

17.4.1 Nastavení zabezpeˇ cení relace Nastavení zabezpeˇ cení relace lze provést následujícím zp˚ usobem:

6

1.

V administraˇ cním rozhraní se pˇ repneme do sekce Konfigurace → Další volby.

2.

Zvolíme záložku WebMail (vizte obrázek 17.4).

Nevyužívání relace znamená, že na server není odeslán žádný dotaz vˇ cetnˇ e automatického znovunaˇ ctení stránky. Limit se tedy týká pouze pˇ rípad˚ u, kdy uživatel bud’ zavˇ rel rozhraní Kerio WebMail bez odhlášení, nebo se v oknˇ e prohlížeˇ ce pˇ repne na jiné URL.

224

17.4 Zabezpeˇ cení relace mezi aplikací Kerio Connect a Kerio WebMailem

Obrázek 17.4

Zabezpeˇ cení spojení mezi serverem a rozhraním Kerio WebMail

3.

Nastavte dobu vypršení relace.

4.

Nastavte maximální dobu trvání relace — doba závislá na tom, jak ˇ casto je rozhraní WebMail uživateli využíváno. Výchozí hodnota je vhodná, pokud je WebMail využíván jako hlavní pˇ rístup k poštovní schránce.

5.

Nepoužíváte-li k pˇ ripojení poskytovatele, který mˇ ení IP adresy v pr˚ ubˇ ehu spojení, doporuˇ cujeme zapnout i volbu Automaticky odhlásit uživatele z rozhraní WebMail pˇ ri zmˇ enˇ e IP adresy klienta.

225

Kapitola 18

Limity a kvóty

Kerio Connect obsahuje celou ˇ radu mechanizm˚ u, jak zabránit pˇ replnˇ ení diskového prostoru v Kerio Connect a pˇ rijímání a odesílání zpráv s neúmˇ ernˇ e velkými pˇ rílohami (video, fotografie, hudba a podobnˇ e), které mohou zahltit vaši internetovou linku. V Kerio Connect lze najít speciální nastavení pro limity na odchozí poštu, pˇ ríchozí poštu a zprávy z rozhraní Kerio WebMail. Dále je možné nastavit uživatel˚ um kvótu na velikost jejich poštovní schránky a poˇ cet zpráv, které lze do schránky pˇ rijmout.

18.1 Limity pro velikost zpráv Limity pro velikost zpráv, které projdou aplikací Kerio Connect lze nastavit r˚ uznˇ e. V zásadˇ e server obsahuje tˇ ri typy limit˚ u. Prvním z nich je limit SMTP serveru, který uplatˇ nuje limit na všechny zprávy, které jsou do nˇ ej doruˇ ceny pomocí protokolu SMTP. Týká se to nejen zpráv pˇ reposílaných z jiných SMTP server˚ u, ale také zpráv ze SMTP klient˚ u (limit tedy platí i v pˇ rípadˇ e, kdy uživatelé Kerio Connect odešlou pˇ ríliš velkou zprávu ze svého poštovního klienta, pokud mají nastavené odesílání pˇ res protokol SMTP). Dalším typem limitu je limit na odchozí zprávy uživatel˚ u. Tento limit lze nastavit konkrétnímu uživateli (napˇ ríklad takovému, který ˇ casto zp˚ usobuje zahlcení linky pˇ ríliš velkými zprávami) nebo lze tento limit nastavit pro celou doménu. Tento typ limitu navíc nehlídá pouze zprávy doruˇ cené na server protokolem SMTP, ale funguje na všechny odchozí zprávy, a tedy i na rozhraní WebDAV a podobnˇ e. Posledním typem limitu je limit pro zprávy odeslané z rozhraní Kerio WebMail. Smysl tohoto limitu je podrobnˇ e popsán v sekci 18.1.4.

18.1.1 Nastavení limitu pro zprávy doruˇ cované protokolem SMTP Limit na velikost zpráv pˇ rijatých SMTP serverem lze nastavit v administraˇ cním rozhraní: 1.

Pˇ repnˇ ete se do sekce Konfigurace → SMTP server.

2.

Zvolte záložku Bezpeˇ cnostní volby.

3.

Zaškrtnˇ ete a nastavte volbu Omezit maximální velikost pˇ ríchozí SMTP zprávy na:.

226

18.1 Limity pro velikost zpráv

18.1.2 Nastavení limitu pro odchozí zprávy konkrétního uživatele Konkrétnímu uživateli lze limit nastavit v administraˇ cním rozhraní Kerio Connect: 1.

V sekci Úˇ cty → Uživatelé otevˇ rete dialog pro zmˇ enu parametr˚ u uživatele.

2.

Pˇ repnˇ ete se do záložky Zprávy.

3.

Zaškrtnˇ ete volbu Omezit velikost odchozí zprávy na a nastavte vámi požadovanou velikost.

Je-li limit nastaven na 0, chová se Kerio Connect stejnˇ e, jako by limit nebyl nastaven.

18.1.3 Nastavení limitu pro odchozí zprávy z domény Limit pro doménu m˚ užete nastavit v administraˇ cním rozhraní Kerio Connect: 1.

V sekci Konfigurace → Domény otevˇ rete dialog pro zmˇ enu domény.

2.

Pˇ repnˇ ete se do záložky Zprávy.

3.

Zaškrtnˇ ete volbu Omezit velikost odchozích zprávy na a nastavte maximální velikost v MB.

Je-li limit nastaven na 0, chová se Kerio Connect stejnˇ e, jako by limit nebyl nastaven.

18.1.4 Limit velikosti zprávy pro Kerio WebMail Nastavení limitu velikosti zprávy slouží ke dvˇ ema úˇ cel˚ um: • omezení velikosti pˇ ríloh odesílaných požadavkem HTTP POST do Kerio WebMailu, • nastavení maximální velikosti alokace pamˇ eti v Kerio Connect pro každý HTTP POST požadavek. Upozornˇ ení: Maximální hodnota limitu je omezena 128 MB. Pro lepší pochopení smyslu tohoto limitu je tˇ reba vysvˇ etlit, jakým zp˚ usobem je zpráva napsaná v Kerio WebMailu odesílána do Kerio Connect. Každá nová zpráva napsaná pˇ res webové rozhraní je de facto odeslána prohlížeˇ cem pˇ res protokol HTTP pomocí HTTP POST požadavku do rozhraní Kerio WebMail. Rozhraní zprávu pˇ rijme a zpracuje ji do takového formátu, aby ji Kerio Connect mohl dále odeslat pˇ res protokol SMTP k pˇ ríjemci. Jeden HTTP POST požadavek obsahuje vždy jednu celou zprávu vˇ cetnˇ e všech hlaviˇ cek a pˇ ríloh. Limit, který nastavuje tato položka, omezuje velikost každého HTTP POST požadavku, který je smˇ erován z rozhraní Kerio WebMail smˇ erem do Kerio Connect. Omezení velikosti požadavku tedy musí zákonitˇ e omezit také velikost e-mailové zprávy.

227

Limity a kvóty

Limit velikosti HTTP POST požadavku platí pro všechny soubory odeslané z rozhraní Kerio WebMail do Kerio Connect a platí globálnˇ e pro všechny uživatele Kerio Connect. Výchozí hodnotou pro maximální velikost zprávy odeslané z rozhraní Kerio WebMail je 20 MB. Tento limit by mˇ el plnˇ e postaˇ covat pˇ revážné vˇ etšinˇ e uživatel˚ u. Minimální hodnotou limitu jsou 2 MB. Pokud bude nastaven jakýkoliv nižší limit, Kerio Connect nastaví automaticky 2 MB. Obsahuje-li zpráva pˇ rílohy, jsou vždy zakódovány metodou Base64. Tento typ kódování m˚ uže pˇ renášená data zvˇ etšit až o jednu tˇ retinu (v pˇ rípadˇ e binárních dat), takže minimální dvoumegabajtový limit m˚ uže vystaˇ cit na 1 — 1,5 MB pˇ rílohu. Pro požadavky typu HTTP POST musí být v Kerio Connect nastavena hodnota pro alokaci ˇ pamˇ eti. Cím objemnˇ ejší požadavek je, tím je tˇ reba alokovat více pamˇ eti. Po zmˇ enˇ e limitu se tedy zmˇ ení velikost pamˇ eti alokované procesem Kerio Connect. Upozornˇ ení: Z d˚ uvodu pˇ repisu alokace pamˇ eti v Kerio Connect je tˇ reba po každé zmˇ enˇ e limitu provést restart Kerio Connect.

Nastavení limitu pro Kerio WebMail Limit pro zprávy odeslané pˇ res rozhraní Kerio WebMail m˚ užete nastavit v administraˇ cním rozhraní Kerio Connect: 1.

Pˇ repnˇ ete se do sekce Konfigurace → Další volby.

2.

Zvolte záložku WebMail.

3.

V políˇ cku Maximální velikost zprávy odeslané z rozhraní WebMail nastavte limit pro zprávy posílané z WebMailu.

228

Kapitola 19

Nástroje

19.1 Skupiny IP adres Skupiny IP adres slouží k jednoduché definici pˇ rístupu k urˇ citým službám (napˇ r. vzdálená administrace, antispam atd.). Pˇ ri nastavování pˇ rístupu se použije jméno skupiny, a ta pak m˚ uže obsahovat libovolné kombinace jednotlivých poˇ cítaˇ cu ˚ (IP adres), rozsah˚ u IP adres, subsítí ˇ ci jiných skupin.

Vytvoˇ rení ˇ ci úprava skupiny IP adres Definice skupin IP adres se provádí v sekci Konfigurace → Definice → Skupiny IP adres. Standardnˇ e je doplnˇ ena skupina IP adres lokálních rozsah˚ u. Tuto skupinu je možné v pˇ rípadˇ e potˇ reby upravovat nebo ji smazat stejnˇ e jako ostatní, ruˇ cnˇ e vytvoˇ rené skupiny IP adres.

Obrázek 19.1

Skupiny IP adres

229

Nástroje

Tlaˇ cítkem Pˇ ridat lze pˇ ridat novou skupinu (nebo položku do existující skupiny), tlaˇ cítkem Zmˇ enit upravit a tlaˇ cítkem Odebrat smazat vybranou skupinu ˇ ci položku. Po stisknutí tlaˇ cítka Pˇ ridat se zobrazí dialog pro vytvoˇ rení nové skupiny IP adres.

Obrázek 19.2

Vytvoˇ rení skupiny IP adres

Pˇ ridat do skupiny Bud’ je možno zadat nový název skupiny (vytvoˇ rení nové skupiny), nebo vybrat již existující — tím se pˇ ridá nová položka do stávající skupiny. Typ Druh pˇ ridávané položky. Možností je nˇ ekolik: • • • •

jedna IP adresa (Poˇ cítaˇ c ), Rozsah IP adres, sít’ s pˇ ríslušnou maskou (Sít’ / maska), jiná skupina IP adres (Skupina IP adres). Z toho vyplývá, že skupiny adres lze také vnoˇ rovat do sebe.

IP adresa Parametry pˇ ridávané položky (v závislosti na zvoleném typu). Popis Textový popis (komentáˇ r) ke skupinˇ e IP adres. Slouží pouze pro potˇ reby správce.

ˇ 19.2 Casové intervaly ˇ Casové intervaly v aplikaci Kerio Connect slouží k omezení plánovaných akcí na urˇ cité ˇ casové období. Nejedná se o interval v pravém slova smyslu, ale o skupinu, která m˚ uže obsahovat ˇ libovolný poˇ cet jednorázových nebo opakujících se ˇ casových úsek˚ u. Casové intervaly je možno ˇ definovat v sekci Konfigurace → Definice → Casové intervaly. 230

ˇ 19.2 Casové intervaly

Obrázek 19.3

ˇ Casové intervaly

Platnost ˇ casového intervalu Pˇ ri definici ˇ casového intervalu lze použít tˇ ri druhy ˇ casových úsek˚ u (subinterval˚ u): Absolutní Interval je pˇ resnˇ e ohraniˇ cen poˇ cáteˇ cním a koncovým datem, neopakuje se. Týdenní Opakuje se každý týden (ve stanovených dnech). Denní Opakuje se každý den (ve stanovených hodinách). Je-li urˇ citý ˇ casový interval složen z více úsek˚ u r˚ uzného typu, platí v ˇ case, který je dán pr˚ unikem absolutních úsek˚ u se sjednocením denních a týdenních úsek˚ u. Vyjádˇ reno symbolicky: (d1 | d2 | w1 | w2) & (a1 | a2) kde: d1, d2 — denní úseky w1, w2 — týdenní úseky a1, a2 — absolutní úseky

Definice ˇ casových interval˚ u Vytvoˇ rení, úpravu nebo smazání ˇ casového intervalu lze provést v sekci Konfigurace → Definice ˇ → Casové intervaly. Po stisknutí tlaˇ cítka Pˇ ridat se zobrazí dialog pro definici ˇ casového intervalu:

231

Nástroje

Obrázek 19.4

Nastavení ˇ casového intervalu

Pˇ ridat do skupiny Jednoznaˇ cný název (identifikace) ˇ casového intervalu. Zde je možno bud’ zadat nový název (vytvoˇ rit nový interval) nebo vybrat již existující a pˇ ridat do nˇ ej další položku. Popis Textový popis intervalu (slouží pouze pro úˇ cely správce). Typ intervalu Typ ˇ casového intervalu: Denní , Týdenní nebo Absolutní (jednorázový) — tedy zaˇ cínající a konˇ cící konkrétním datem. Od, Do Zaˇ cátek a konec ˇ casového úseku. Zde je možno zadat poˇ cáteˇ cní a koncový ˇ cas, pˇ rípadnˇ e také den v týdnu nebo datum (v závislosti na zvoleném typu intervalu). Platnost Dny v týdnu, v nichž má být interval platný. Bud’ je možno oznaˇ cit konkrétní dny (Vybrané dny), nebo použít nˇ ekterou pˇ rednastavenou volbu (Všechny dny, Pracovní dny — pondˇ elí až pátek, Víkend — sobota a nedˇ ele).

232

19.3 Nastavení vzdálené správy

Vytvoˇ rené ˇ casové intervaly do sebe nelze vnoˇ rovat.

19.3 Nastavení vzdálené správy Chcete-li Kerio Connect spravovat z jiného poˇ cítaˇ ce, než na kterém bˇ eží, je tˇ reba povolit vzdálenou administraci. Její nastavení se provádí v sekci Konfigurace → Nastavení správy.

Obrázek 19.5

Vzdálená správa

Port, na kterém probíhá komunikace mezi Kerio Connect Administration a Kerio Connect Engine, je 4040. Povolit správu ze vzdáleného poˇ cítaˇ ce Povolení vzdálené administrace (je-li tato volba vypnuta, bude možno Kerio Connect spravovat pouze z poˇ cítaˇ ce, na nˇ emž bˇ eží). Pouze z této skupiny IP adres Komunikace mezi aplikací Kerio Connect a Kerio Connect Administration je chránˇ ena silným šifrováním (SSL protokol), takže vzdálená správa je bezpeˇ cná a pˇ renášená data nemohou být odposlechnuta a zneužita. Pˇ rístup ke správˇ e by mˇ el vždy být chránˇ en heslem (tj. nedoporuˇ cuje se ponechávat uživateli s administraˇ cními právy heslo prázdné), pˇ resto lze ochranu ještˇ e zesílit povolením vzdálené správy pouze z urˇ citých IP adres. Ochranu pˇ rístupu lze zesílit povolením vzdálené správy pouze z nˇ ekterých IP adres. V menu je možno vybrat skupinu IP adres, z nichž bude správa prostˇ rednictvím WWW rozhraní po síti povolena, pˇ rípadnˇ e skupinu IP adres tlaˇ cítkem Zmˇ enit upravit nebo nadefinovat skupinu novou.

233

Kapitola 20

LDAP server

Vestavˇ ený LDAP server (je možno použít nezabezpeˇ cený i zabezpeˇ cený pˇ rístup — vizte kapitolu 6) umožˇ nuje pˇ rístup ke kontakt˚ um uloženým na serveru standardním protokolem LDAP (Lightweight Directory Access Protocol). Tento protokol je podporován v naprosté vˇ etšinˇ e bˇ ežných e-mailových klient˚ u. Klient pak umožˇ nuje vyhledávání informací o osobách (typicky e-mailových adres), pˇ rípadnˇ e automatické doplˇ nování adres pˇ rímo pˇ ri psaní. LDAP server umožˇ nuje pˇ rístup k osobním kontakt˚ um uživatele (tj. kontakt˚ um uloženým v jeho vlastních složkách typu Kontakty) a kontakt˚ um ve všech sdílených veˇ rejných složkách typu Kontakty, které má daný uživatel pˇ rihlášeny.

20.1 Konfigurace LDAP serveru Použití služby LDAP v Kerio Connect je velmi jednoduché. Staˇ cí splnit následující dvˇ e podmínky: • V Kerio Connect musí být spuštˇ ena alespoˇ n jedna ze služeb LDAP nebo Zabezpeˇ cený LDAP. • Uživatel musí mít definovány kontakty ve svých složkách kontakt˚ u a/nebo pˇ rihlášenu alespoˇ n jednu veˇ rejnou ˇ ci sdílenou složku kontakt˚ u. Pˇ ri nesplnˇ ení této podmínky bude komunikace s LDAP serverem fungovat, ale žádné kontakty nebudou nalezeny. Poznámka: Je-li Kerio Connect chránˇ en firewallem a služba LDAP má být pˇ rístupná zvenˇ cí, je tˇ reba zpˇ rístupnit pˇ ríslušný port (standardnˇ e 389 pro službu LDAP a 636 pro Zabezpeˇ cený LDAP). V tomto pˇ rípadˇ e by mˇ ela být preferována zabezpeˇ cená verze služby LDAP.

20.2 Global Address (Contact) List Global Address List (dále GAL) slouží k synchronizaci všech firemních kontakt˚ u. Používáte-li LDAP databázi mimo Kerio Connect (napˇ ríklad LDAP databázi v Active Directory nebo Apple Open Directory), lze ji pˇ rihlásit do Kerio Connect a jednosmˇ ernˇ e synchronizovat její kontakty do veˇ rejné složky Global Contacts. Uživatelé tak budou mít k dispozici nejen e-mailové adresy všech uživatel˚ u z domény nebo z Kerio Connect, ale také všech ostatních uživatel˚ u, kteˇ rí jsou souˇ cástí externího LDAP serveru.

234

20.2 Global Address (Contact) List

Pˇ ridání uživatel˚ u a skupin do GAL Pˇ ridat uživatele nebo skupinu do globální veˇ rejné složky s kontakty lze v administraˇ cním rozhraní Kerio Connect v sekci Uživatelé nebo Skupiny:

Obrázek 20.1

Dialog pro zmˇ enu uživatele — publikace do veˇ rejného adresáˇ re

1.

Otevˇ rete editaˇ cní dialog uživatele nebo skupiny.

2.

Pˇ repnˇ ete se do záložky Obecné (vizte obrázek 20.1).

3.

Zaškrtnˇ ete volbu Publikovat v globálním adresáˇ ri.

Podrobnˇ ejší detaily, jako napˇ ríklad adresu, telefonní ˇ císla nebo narozeniny, lze upravovat pˇ rímo v poštovních klientech (Kerio Connect WebMail, MS Entourage, MS Outlook apod.). Upozornˇ ení: V pˇ rípadˇ e, že volbu Publikovat v globálním adresáˇ ri odškrtnete a pozdˇ eji opˇ et povolíte, žádná ze zmˇ en, které jste pˇ red odškrtnutím provedli, se pˇ ri nové aktivaci této volby neprojeví.

235

LDAP server

20.3 Nastavení poštovních klient˚ u Aby mohl poštovní klient pˇ ristupovat ke kontakt˚ um uloženým v aplikaci Kerio Connect protokolem LDAP, je tˇ reba uvést následující informace: LDAP server DNS jméno (napˇ r. mail.firma.cz) nebo IP adresa (napˇ r. 192.168.1.10) poˇ cítaˇ ce, na nˇ emž Kerio Connect bˇ eží. Uživatelské jméno a heslo Údaje pro pˇ rihlášení uživatele k LDAP serveru (shodné se jménem a heslem pro poštu). LDAP server v Kerio Connect nepodporuje anonymní pˇ rístup — vždy je vyžadováno pˇ rihlášení uživatele. Zabezpeˇ cení, Port Zvolte, zda má být používána nezabezpeˇ cená ˇ ci zabezpeˇ cená (SSL) verze protokolu LDAP. Pˇ rípadnˇ e zadejte odpovídající ˇ císlo portu (není-li použit standardní port). Poznámka: Protokol TLS (tzn. pˇ repnutí do zabezpeˇ ceného módu pˇ ríkazem STARTTLS) není podporován. Výchozí bod hledání (Search base) Chcete-li mít pˇ rístup do všech vlastních a pˇ rihlášených sdílených i veˇ rejných složek, ponechte ji prázdnou nebo zadejte do této položky: fn=ContactRoot Bližší specifikací prohledávané vˇ etve LDAP databáze je možno omezit vyhledávání pouze na urˇ cité složky. Jednotlivé možnosti budou vysvˇ etleny na následujících pˇ ríkladech: • [email protected],fn=ContactRoot budou prohledávány pouze složky kontakt˚ u uživatele [email protected] • fn=personal,fn=ContactRoot budou prohledávány pouze složky kontakt˚ u uživatele, který je na LDAP server pˇ rihlášen. Tato volba je v podstatˇ e shodná s pˇ redchozí, rozdíl je však v tom, že není nutné vypisovat jméno (resp. e-mailovou adresu) pˇ ríslušného uživatele. Toto lze s výhodou použít napˇ r. pˇ ri hromadné konfiguraci více klient˚ u nebo v obecném návodu, jak si mají uživatelé své klienty nastavit, apod. • fn=public,fn=ContactRoot budou prohledávány pouze veˇ rejné složky kontakt˚ u • fn=Contacts,[email protected],fn=ContactRoot bude prohledávána pouze složka Contacts uživatele [email protected] • fn=Public Folders,fn=public,fn=ContactRoot bude prohledávána pouze veˇ rejná složka Public Folders

236

20.3 Nastavení poštovních klient˚ u

Pˇ ríklad nastavení — Outlook Express Jako pˇ ríklad uved’me nastavení LDAP serveru v poštovním klientovi Microsoft Outlook Express. Nastavení LDAP úˇ ctu se provádí v menu Nástroje → Úˇ cty → Adresáˇ rová služba. Pˇ ridání nového úˇ ctu probíhá pomocí pr˚ uvodce, který však umožˇ nuje zadat pouze základní parametry. Poté je tˇ reba úˇ cet vybrat, stisknout tlaˇ cítko Vlastnosti a provést detailní nastavení. Záložka Obecné:

Obrázek 20.2

Nastavení LDAP serveru — obecné

Název úˇ ctu Libovolné pojmenování úˇ ctu (slouží pouze pro orientaci). Název serveru cítaˇ ce, na nˇ emž Kerio Connect bˇ eží (napˇ r. mail.firma.cz DNS jméno nebo IP adresa poˇ nebo 192.168.1.10). K tomuto serveru je tˇ reba se pˇ rihlásit Tuto volbu je nutno zaškrtnout, protože LDAP server v Kerio Connect nepodporuje anonymní pˇ rístup.

237

LDAP server

Název úˇ ctu, Heslo Zadejte vaše uživatelské jméno a heslo pro pˇ rihlášení k serveru (shodné se jménem a heslem pro pˇ rístup k poštˇ e). Pˇ rihlašovat se zabezpeˇ ceným ovˇ eˇ rováním hesla Tato volba zapíná bezpeˇ cné ovˇ eˇ rování hesla v NT doménˇ e (SPA/NTLM). Tento zp˚ usob ovˇ eˇ rování LDAP server v aplikaci Kerio Connect nepodporuje, a proto je tˇ reba ponechat tuto volbu vypnutou! Poznámka: Pro bezpeˇ cné ovˇ eˇ rení uživatele doporuˇ cujeme použít zabezpeˇ cenou verzi služby LDAP (režim SSL). Pˇ ri odesílání zpráv kontrolovat jména... Zapnutím této volby budou pˇ ri odesílání zpráv automaticky vyhledávány e-mailové adresy osob. V praxi to znamená, že je možno do položky Komu (resp. Kopie ˇ ci Skrytá kopie) zadávat namísto e-mailových adres jména osob — pˇ ríslušné e-mailové adresy budou naˇ cteny z LDAP serveru. Poznámka: Nebude-li nˇ ekteré ze zadaných jmen nalezeno, Outlook Express nepovolí odeslání zprávy (uživatel jej bude muset opravit nebo zadat e-mailovou adresu ruˇ cnˇ e). Pokud bude zadanému jménu vyhovovat více záznam˚ u, zobrazí se dialog pro výbˇ er správné osoby/adresy. Záložka Upˇ resnit:

Obrázek 20.3

Nastavení LDAP serveru — upˇ resˇ nující

238

20.3 Nastavení poštovních klient˚ u

ˇ Císlo portu serveru Port, na nˇ emž služba LDAP bˇ eží. Tlaˇ cítko Použít výchozí dosazuje standardní port (v závislosti na tom, zda je ˇ ci není zapnuto používání SSL — vizte dále). Tento server požaduje zabezpeˇ cení SSL Tato volba zapíná/vypíná používání zabezpeˇ ceného spojení. Zabezpeˇ cení SSL nastavte podle konfigurace služeb Kerio Connect (podrobnosti najdete v kapitole 6), resp. v závislosti na nastavené bezpeˇ cnostní politice (vizte kapitolu 12.8). ˇ Casový limit hledání Je-li LDAP databáze rozsáhlá, a/nebo spojení se serverem pomalé, m˚ uže prohledávání databáze trvat velmi dlouhou dobu. Tato volba umožˇ nuje nastavit maximální dobu prohledávání databáze. Po této dobˇ e bude hledání ukonˇ ceno (bez ohledu na to, zda byl nalezen nˇ ejaký záznam ˇ ci nikoliv). Poznámka: Je-li LDAP server umístˇ en v téže lokální síti jako klient, trvá vyhledávání zpravidla nˇ ekolik sekund. Maximální poˇ cet nalezených položek V pˇ rípadˇ e, že je specifikace hledané položky nedostateˇ cná (napˇ r. pouze ˇ cást kˇ restního jména osoby), m˚ uže výsledek hledání obsahovat velké množství položek. Omezení maximálního poˇ ctu slouží pˇ redevším ke snížení doby vyhledávání a zátˇ eže sítˇ e. Je-li vrácen takto vysoký poˇ cet položek, je zpravidla nutné hledaný výraz upˇ resnit a provést nové hledání. Výchozí bod hledání Do této položky m˚ uže být zadáno umístˇ ení kontakt˚ u v LDAP databázi (vizte výše). Z˚ ustane-li pole prázdné, budou prohledávány všechny pˇ rihlášené složky kontakt˚ u (vlastní i sdílené). Používat filtr pro jednoduché hledání Zapnutí této volby zp˚ usobí, že bude prohledáván menší poˇ cet položek záznam˚ u databáze. Hledání bude sice rychlejší (což bˇ ežný uživatel témˇ eˇ r nepozná), ale sníží se hledací schopnosti. Z tohoto d˚ uvodu nedoporuˇ cujeme zapínat tuto volbu.

239

Kapitola 21

E-mailové konference

Kerio Connect umožˇ nuje zˇ rídit v každé lokální doménˇ e libovolný poˇ cet e-mailových konferencí. Základem konference je skupinová e-mailová adresa — e-mail poslaný na tuto adresu je doruˇ cen všem ˇ clen˚ um skupiny (konference). Na rozdíl od prosté skupiny uživatel˚ u však konference umožˇ nuje i následující funkce: • pˇ rihlášení a odhlášení ˇ clen˚ u skupiny e-mailem, • moderování konference (moderátoˇ ri ˇ rídí pˇ rihlašování a odhlašování ˇ clen˚ u skupiny a zasílání pˇ ríspˇ evk˚ u do konference), • automatickou úpravu pˇ redmˇ etu, resp. textu zprávy (pˇ ridávání definovaného textu do všech zpráv), • zámˇ enu položek v hlaviˇ cce zprávy (za úˇ celem skrytí e-mailové adresy odesílatele zprávy), • blokování zpráv s urˇ citými vlastnostmi (napˇ r. s prázdným pˇ redmˇ etem). Veškeré akce (pˇ rihlašování, odhlašování, moderování...) se provádˇ ejí zasíláním e-mail˚ u na speciální adresy. V programu Kerio Connect Administration staˇ cí konferenci pouze založit — vše ostatní už m˚ uže probíhat pomocí e-mail˚ u, které jsou odesílány a samozˇ rejmˇ e také doruˇ covány pomocí protokolu SMTP. Upozornˇ ení: Nedoporuˇ cujeme zpracování zpráv e-mailových konferencí v pˇ rípadˇ e stahování pošty pˇ res POP3. Chcete-li provozovat e-mailové konference pro Internet, je nutné zajistit si MX záznam pro váš server. Pokud se pˇ ri provozování e-mailových konferencí objeví problémy, m˚ uže vám s jejich reba povolit vyˇ rešením pomoci záznam Debug (vizte kapitolu 24.9). V tomto záznamu je tˇ záznam Mailing Lists Processing.

240

21.1 Klasifikace uživatel˚ u

21.1 Klasifikace uživatel˚ u Uživatelé e-mailové konference mohou mít následující funkce (tzv. role): Administrátor Uživatel, který má práva ke správˇ e aplikace Kerio Connect (tj. právo pro ˇ ctení i zápis — vizte kapitolu 8). Administrátor konferenci vytváˇ rí a nastavuje její parametry (moderátory, politiku atd.). Detaily najdete v kapitole 21.2). Moderátor Každá konference by mˇ ela mít alespoˇ n jednoho moderátora (též nazýván vlastníkem konference). Moderátor konference má následující pravomoci: • m˚ uže potvrdit nebo odmítnout požadavek uživatele na pˇ rihlášení do konference (pokud to politika konference vyžaduje), • m˚ uže povolit nebo zamítnout pˇ ridání pˇ ríspˇ evku do konference (pokud to politika konference vyžaduje), • pˇ rijímá chybové zprávy (napˇ r. o nedoruˇ citelnosti e-mail˚ u), • m˚ uže být kontaktován pˇ rímo pomocí adresy -owners@<doména> ˇ Clen ˇ Clenem konference je libovolný uživatel, který se do konference pˇ rihlásí. Jeho e-mailová adresa m˚ uže být z libovolné domény — konference není omezena pouze na uživatele ˇ z domény, v níž je vytvoˇ rena. Clen konference má následující práva: • pˇ rihlásit se a odhlásit (je-li ˇ clen pˇ rihlášen, jsou mu doruˇ covány všechny pˇ ríspˇ evky — tedy zprávy zaslané na adresu konference) • požadovat nápovˇ edu • zasílat pˇ ríspˇ evky do konference (pokud to politika konference vyžaduje, musí být každý zaslaný pˇ ríspˇ evek odsouhlasen nˇ ekterým z moderátor˚ u konference) Poznámka: Jednotlivé role se mohou vzájemnˇ e pˇ rekrývat — napˇ r. moderátor konference m˚ uže být i jejím ˇ clenem, administrátor m˚ uže být zároveˇ n moderátorem apod.

21.2 Vytvoˇ rení a nastavení konference Definice e-mailové konference se provádí v sekci Úˇ cty → E-mailové konference. Toto m˚ uže provést pouze administrátor (tj. uživatel s pˇ rístupem pro ˇ ctení i zápis). Nejprve je nutno v poli Doména (v horní ˇ cásti okna) zvolit doménu, v níž má být konference vytvoˇ rena. Tlaˇ cítko Pˇ ridat otevírá dialog pro definici konference.

241


Základní parametry (záložka Obecné)

Obrázek 21.1

Vytvoˇ rení konference — základní parametry

Jméno Název konference. Tento název bude zároveˇ n tvoˇ rit e-mailovou adresu konference v dané doménˇ e. Pˇ ríklad: Konference nazvaná diskuze vytvoˇ rená v doménˇ e firma.cz bude mít e-mailovou adresu [email protected]. Upozornˇ ení: • Název konference nesmí obsahovat pˇ rípony (tj. výrazy uvozené pomlˇ ckou), které se používají pro speciální funkce (napˇ r. -subscribe — pˇ rihlášení do konference). Detaily najdete v kapitole 21.7, sekce Aliasy v rámci konference. • Název konference nesmí obsahovat znak . (teˇ cka), protože tento znak v NNTP konferencích funguje jako dˇ elítko struktury konferencí. Takovou konferenci je sice možno vytvoˇ rit, ale nebude možno v ní ˇ císt pomocí služby NNTP. • Název konference se nesmí ve stejné doménˇ e shodovat s žádným uživatelským jménem nebo aliasem. V opaˇ cném pˇ rípadˇ e má vždy pˇ rednost alias a uživatel pˇ red e-mailovou konferencí a zprávy do konference nebudou v˚ ubec doruˇ covány.

242

21.2 Vytvoˇ rení a nastavení konference

Popis Libovolný textový popis konference. Jazyk Výbˇ er jazyka, v nˇ emž budou zobrazovány informativní a chybové zprávy týkající se této konference. Díky této volbˇ e je možno na jednom serveru zˇ rizovat konference v r˚ uzných jazycích. Šablony tˇ echto zpráv pro jednotlivé jazyky jsou uloženy v podadresáˇ ri reports adresáˇ re, kde je Kerio Connect nainstalován. Soubory používají kódování znak˚ u UTF-8. Zkušený správce tak m˚ uže jednotlivá hlášení modifikovat, pˇ rípadnˇ e vytvoˇ rit vlastní jazykovou variantu.

Komentáˇ r

Obrázek 21.2

Vytvoˇ rení konference — komentáˇ re

Záložka Komentáˇ r umožˇ nuje zadat libovolný text, který bude zaslán každému novˇ e pˇ rihlášenému ˇ clenovi konference (horní pole). Dále obsahuje text, který bude pˇ ripojen jako zápatí ke každé zprávˇ e (pˇ ríspˇ evku) zaslané do této konference (dolní pole). Texty jsou nepovinné — tato pole (resp. nˇ ekterá z nich) mohou z˚ ustat nevyplnˇ ena.

243


Poznámka: Uvítací text je novému ˇ clenovi zaslán pouze v pˇ rípadˇ e, že se do konference razen pˇ rihlásil e-mailem (podrobnosti najdete v sekci 21.7). Pokud byl do konference zaˇ administrátorem v programu Kerio Connect Administration, uvítací zpráva mu poslána nebude.

Pˇ rihlašování Záložka Pˇ rihlašování definuje pravidla pˇ rihlašování nových ˇ clen˚ u do konference. Poznámka: Detaily o pˇ rihlašování do konference najdete v kapitole 21.7.

Obrázek 21.3

Vytvoˇ rení konference — nastavení parametr˚ u pro pˇ rihlašování

Pˇ rihlášení do konference e-mailem Konference m˚ uže povolovat pˇ rihlašování nových ˇ clen˚ u zasláním e-mailu na speciální adresu. Možnosti jsou následující: • Povoleno — uživatel je pˇ rihlášen automaticky prostým zasláním e-mailu na pˇ rihlašovací adresu • Musí být odsouhlaseno moderátorem — požadavek nového ˇ clena na pˇ rihlášení je pˇ redán moderátor˚ um konference. Uživatel je pˇ rihlášen až tehdy, pokud nˇ ekterý z moderátor˚ u požadavek potvrdí. Pokud moderátor požadavek zamítne nebo na nˇ ej žádný z moderátor˚ u neodpoví ve stanovené dobˇ e (7 dní), uživatel nebude do konference pˇ rihlášen a obdrží informativní zprávu. ˇ • Zakázáno — pˇ rihlášení e-mailem není možné. Cleny konference musí zadat administrátor v tomto dialogu (vizte dále). Informovat uživatele, že... Uživatel, který požaduje pˇ rihlášení, bude informován o tom, že jeho požadavek byl pˇ redán moderátor˚ um konference. Tato zpráva je mu zaslána bezprostˇ rednˇ e po pˇ rijetí požadavku. Bude-li tato volba vypnuta, uživatel obdrží zprávu až v okamžiku, kdy bude jeho požadavek potvrzen ˇ ci zamítnut (pˇ rípadnˇ e vyprší).

244

21.3 Pravidla pro posílání zpráv

Informovat moderátory o pˇ rihlášení / odhlášení... Po zapnutí této volby budou moderátoˇ ri konference informováni o každém pˇ rihlášení / odhlášení ˇ clena konference. Toto má význam zejména v pˇ rípadˇ e, že je povoleno automatické pˇ rihlašování (jinak moderátoˇ ri obdrží požadavek — tato informace je pak nadbyteˇ cná). Odhlašování je však vždy automatické — tato informace m˚ uže mít pro moderátora význam. Poznámka: Je-li uživatel do konference pˇ ridán ˇ ci odstranˇ en administrátorem v Kerio Connect Administration, moderátor o tom není informován (bez ohledu na to, zda je tato volba zapnuta ˇ ci nikoliv).

21.3 Pravidla pro posílání zpráv V následující záložce je možné nastavení pravidel pro posílání zpráv do konference a pro automatickou úpravu tˇ echto zpráv.

Obrázek 21.4

Vytvoˇ rení konference — posílání zpráv

ˇ Clen m˚ uže do konference poslat zprávu Volba obsahuje nˇ ekolik možností: • Povoleno — pˇ ríspˇ evek zaslaný na adresu konference bude ihned doruˇ cen všem jejím ˇ clen˚ um (vˇ cetnˇ e odesílatele). • Musí být odsouhlaseno moderátorem — pˇ ríspˇ evek zaslaný na adresu konference ˇ je pˇ redán moderátor˚ um k odsouhlasení. Clen˚ um konference je rozeslán až 245


tehdy, pokud jej nˇ ekterý z moderátor˚ u povolí. V opaˇ cném pˇ rípadˇ e je odesílatel informován o tom, že zaslání pˇ ríspˇ evku bylo odmítnuto. • Zakázáno — ˇ clenové konference nemají povoleno do ní zasílat pˇ ríspˇ evky. Neˇ clen m˚ uže poslat zprávu Volba umožˇ nuje posílat do této konference zprávy i uživatel˚ um, kteˇ rí do ní nejsou pˇ rihlášeni. Tato volba je dále omezena výbˇ erovým menu, jehož možnosti jsou následující: • Povoleno — pˇ ríspˇ evek zaslaný na adresu konference bude ihned doruˇ cen všem jejím ˇ clen˚ um (vˇ cetnˇ e odesílatele). • Musí být odsouhlaseno moderátorem — pˇ ríspˇ evek zaslaný na adresu konference ˇ je pˇ redán moderátor˚ um k odsouhlasení. Clen˚ um konference je rozeslán až tehdy, pokud jej nˇ ekterý z moderátor˚ u povolí. V opaˇ cném pˇ rípadˇ e je odesílatel informován o tom, že zaslání pˇ ríspˇ evku bylo odmítnuto. • Zakázáno — ˇ clenové konference nemají povoleno do ní zasílat pˇ ríspˇ evky. Poznámka: Pˇ ríspˇ evek v tomto pˇ rípadˇ e nebude zaslán odesílateli, protože není ˇ clenem konference. Moderátor m˚ uže poslat zprávu Volba, zda a jakým zp˚ usobem m˚ uže posílat moderátor pˇ ríspˇ evky do konference. Je zde opˇ et nˇ ekolik možností: • Povoleno — volbu je dobré použít v pˇ rípadˇ e, že z bezpeˇ cnostních d˚ uvod˚ u musí být zakázán pˇ rístup ˇ clen˚ um i neˇ clen˚ um. Pˇ ríspˇ evky do konference m˚ uže posílat pouze moderátor. • Musí být odsouhlaseno moderátorem — tato volba je obdobou pˇ redchozí, ale má vyšší bezpeˇ cnost. Pokusí-li se odesílatel zprávy obejít zákaz tím, že jako odesílatele dosadí adresu moderátora, zpráva se do konference nepošle, ale bude pˇ redána (skuteˇ cnému) moderátorovi k odsouhlasení. • Použít pravidla pro ˇ clena/neˇ clena — výbˇ erem této položky budou moderátorovi nastavena práva pro ˇ cleny nebo neˇ cleny konference (v závislosti na tom, zda je zároveˇ nˇ clenem konference ˇ ci nikoliv). Informovat uživatele, že jeho pˇ ríspˇ evek... Uživatel, který posílá pˇ ríspˇ evek do konference, bude informován o tom, že jeho požadavek byl pˇ redán moderátor˚ um konference. Tato zpráva je mu zaslána bezprostˇ rednˇ e po pˇ rijetí požadavku. Bude-li tato volba vypnuta, uživatel obdrží zprávu až v okamžiku, kdy bude jeho požadavek zamítnut, pˇ rípadnˇ e vyprší. Posílat chybové zprávy... Po zapnutí této volby budou moderátor˚ um konference posílány veškeré chybové zprávy týkající se této konference. Bude-li tato volba vypnuta, obdrží chybovou zprávu pouze odesílatel pˇ ríslušného e-mailu. Takovým hlášením m˚ uže být napˇ r. informace o tom, že byl odeslán neplatný požadavek nebo, že e-mailová schránka jednoho z ˇ clen˚ u konference pˇ resáhla diskovou kvótu nastavenou v Kerio Connect a zpráva odeslaná do e-mailové konference tudíž nemohla být tomuto ˇ clenovi doruˇ cena.

246

21.3 Pravidla pro posílání zpráv

Položka Reply-To Tato položka urˇ cuje, jaká adresa bude uvádˇ ena v pˇ ríspˇ evcích do konference jako adresa pro odpovˇ ed’ (položka Reply-To: v hlaviˇ cce e-mailu): • Odesílatel — v hlaviˇ cce bude zachována adresa p˚ uvodního odesílatele. Odpovˇ ed’ na pˇ ríspˇ evek bude doruˇ cena pouze této osobˇ e. V pˇ rípadˇ e použití této volby nebude zpráva zaslaná do konference nijak upravována. • Tato konference — adresa p˚ uvodního odesílatele bude nahrazena adresou konference. Odpovˇ ed’ na pˇ ríspˇ evek tak obdrží všichni ˇ clenové konference. • Další adresy — adresa p˚ uvodního odesílatele bude nahrazena zadanou e-mailovou adresou. Odpovˇ edi na pˇ ríspˇ evky tak mohou být posílány urˇ cité osobˇ e, do jiné konference apod. • Odesílatel + tato konference — nastavení umožˇ nuje doruˇ cování odpovˇ edí na zprávy také neˇ clen˚ um konference. Mohou zde nastat dva stavy: Odesílatel je ˇ clenem konference — odpovˇ ed’ bude doruˇ cena na adresu konference. Odesílateli pˇ rijde odpovˇ ed’ pouze jednou. 2. Odesílatel není ˇ clenem konference — odpovˇ ed’ bude doruˇ cena na adresu konference a zároveˇ n na adresu odesílatele. V opaˇ cném pˇ rípadˇ e by odesílateli (neˇ clenovi konference) nebyla odpovˇ ed’ v˚ ubec doruˇ cena. Z pˇ redchozího vyplývá, že volbu je výhodné využít tehdy, pokud je konference urˇ cena jak pro její ˇ cleny, tak pro pˇ rípadné neˇ cleny. Poznámka: Tuto možnost nekombinujte s volbou Skrýt adresu odesílatele a nahradit ji adresou konference. Kombinace Odesílatel + tato konference spolu s Skrýt adresu odesílatele a nahradit ji adresou konference je nesmyslná a Kerio Connect nepovolí její uložení na server.

1.

Ke každému pˇ redmˇ etu zprávy pˇ ripojit tento prefix Prefix, který bude pˇ ridán k pˇ redmˇ etu každé zprávy zaslané do této konference. Pˇ ri založení konference je do této položky automaticky dosazeno jméno konference v hranatých závorkách. Obsah této položky však lze libovolnˇ e mˇ enit a m˚ uže z˚ ustat i prázdná (pak se k pˇ redmˇ etu zprávy nebude nic pˇ ripojovat). Poznámka: Prefix není k pˇ redmˇ etu zprávy pˇ ridáván, pokud je v nˇ em již obsažen — napˇ r. v odpovˇ edích na zprávy z konference má pˇ redmˇ et typicky tvar: Re: [jméno] P˚ uvodní pˇ redmˇ et — bez tohoto omezení by byl prefix [jméno] duplikován. Skrýt adresu odesílatele... Po zapnutí této volby bude v každé zprávˇ e zaslané do konference nahrazena adresa odesílatele (položka From) adresou této konference. Pˇ ríspˇ evky tak budou víceménˇ e anonymní (pokud se uživatel do zprávy nepodepíše). Poznámka: Je-li tato volba zapnuta, musí být položka Reply-To nastavena na Tato konference nebo Jiná adresa.

247


Povolit zprávy s prázdným pˇ redmˇ etem Vypnutí této volby zp˚ usobí, že budou akceptovány pouze pˇ ríspˇ evky s vyplnˇ enou položkou Pˇ redmˇ et (Subject). Rozhodnutí závisí na administrátorovi (hlavním d˚ uvodem je, že takové zprávy mohou být pro nˇ ekteré uživatele obtˇ ežující).

21.4 Moderátoˇ ri a ˇ clenové V tˇ echto dvou krocích je možno definovat moderátory a ˇ cleny konference. Moderátory i ˇ cleny lze pˇ ridat stejnými zp˚ usoby, proto si obˇ e záložky popíšeme najednou. Moderátory a ˇ cleny konference mohou být libovolní uživatelé — zadaná e-mailová adresa nemusí patˇ rit do žádné z domén definovaných v Kerio Connect. Moderátory konference ˇ m˚ uže definovat pouze administrátor v tomto dialogu. Cleny konference m˚ uže bud’ pˇ ridávat administrátor, nebo se mohou pˇ rihlašovat sami prostˇ rednictvím e-mailu (pokud to politika konference dovoluje — vizte výše). Nového moderátora/ˇ clena, lze pˇ ridat ruˇ cnˇ e nebo výbˇ erem ze seznamu (vizte obrázek 21.5):

Obrázek 21.5

Vytvoˇ rení konference — zadávání moderátor˚ u konference

248

21.4 Moderátoˇ ri a ˇ clenové

Ruˇ cní pˇ ridání moderátora/ˇ clena konference Ruˇ cnˇ e je možno moderátora/ˇ clena konference pˇ ridat takto:

Obrázek 21.6

Ruˇ cní pˇ ridání moderátora/ˇ clena konference

1.

Klikneme na šipku, která je umístˇ ená vpravo od tlaˇ cítka Pˇ ridat.

2.

Vybereme možnost Zadat ruˇ cnˇ e...

3.

Otevˇ re se okno, kam pˇ rímo zadáme e-mailovou adresu, pˇ rípadnˇ e také celé jméno uživatele (doplnˇ ení celého jména uživatele je nepovinné). Jedná-li se o uživatele v nˇ ekteré z lokálních domén, lze jej zvolit v dialogu Najít uživatele, který otevˇ reme pomocí tlaˇ cítka Vybrat.

4.

Nastavení potvrdíme tlaˇ cítkem OK.

Pˇ ridání moderátora/ˇ clena konference výbˇ erem ze seznamu Tuto možnost doporuˇ cujeme v pˇ rípadˇ e, že pˇ ridávaní uživatelé mají schránku v nˇ ekteré z lokálních domén a je jich více najednou. Moderátora/ˇ clena konference lze výbˇ erem ze seznamu pˇ ridat takto: 1.

Klikneme na tlaˇ cítko Pˇ ridat.

2.

Vybereme možnost Vybrat... (vizte obrázek 21.5).

3.

Otevˇ re se dialog Najít uživatele, který obsahuje seznam domén a uživatel˚ u. Pro vybranou doménu m˚ užeme vybrat více uživatel˚ u najednou pomocí standardní klávesy Ctrl (v pˇ rípadˇ e aplikace Kerio Connect na systému Mac OS X použijte samozˇ rejmˇ e klávesu Command). Pokud nem˚ užete najít správného uživatele, nebo pokud je seznam uživatel˚ u pˇ ríliš dlouhý, lze použít pole Zobrazit pouze záznamy obsahující podˇ retˇ ezec.

4.

Nastavení potvrdíme tlaˇ cítkem OK.

249


Import nových ˇ clen˚ u konference z CSV souboru Jak už bylo ˇ reˇ ceno v úvodu kapitoly, ˇ cleny konference se mohou stát i uživatelé, kteˇ rí nemají založen úˇ cet v Kerio Connect. Do konference se uživatelé mohou hlásit pomocí pˇ rihlašovacího e-mailu sami, nebo je moderátor konference pˇ ridá ruˇ cnˇ e, a nebo — zejména pokud je takových uživatel˚ u více — je importuje ze souboru. Aby bylo možné import ze souboru provést, je tˇ reba zajistit nˇ ekolik technických detail˚ u: 1.

Soubor s uživateli musí být uložen ve formátu CSV (takový soubor lze vytvoˇ rit v kterémkoliv tabulkovém editoru).

2.

Oddˇ elovaˇ cem dat v souboru musí být ˇ cárka ( , ) nebo stˇ redník ( ; ).

3.

Nadpisy jednotlivých sloupc˚ u musí korespondovat s položkami v Kerio Connect. Podporovány jsou následující: • Email — e-mailová adresa uživatele. Povinná položka. • FullName — celé jméno uživatele. Volitelná položka. Email

FullName

[email protected]

Eva Bílá

[email protected]

Lenka Nová

[email protected]

David Bílek

[email protected] Lubomír Opletal

Tabulka 21.1 Pˇ ríklad obsahu CSV souboru

Sloupce lze do tabulky poskládat podle potˇ reby, na jejich poˇ radí nezáleží. Také je možné využít pouze sloupec Email, FullName je nepovinná položka. Po správném vytvoˇ rení a uložení souboru m˚ užeme bud’ pokraˇ covat v zakládání konference, nebo pokud už byla konference založena a uložena, otevˇ reme ji pomocí tlaˇ cítka Zmˇ enit a ˇ pˇ repneme se do záložky Clenové: 1.

Klikneme na tlaˇ cítko Pˇ ridat a z menu tlaˇ cítka vybereme možnost Importovat z CSV souboru (vizte obrázek 21.7).

2.

Otevˇ re se dialog (vizte obrázek 21.8), kam zadáme cestu k souboru.

250

21.4 Moderátoˇ ri a ˇ clenové

Obrázek 21.7

Vytvoˇ rení konference — zadávání ˇ clen˚ u konference

Obrázek 21.8

3.

Import ze souboru — výbˇ er souboru

Klikneme na tlaˇ cítko OK a uživatelé se zkopírují do seznamu ˇ clen˚ u konference. Pokud se nepodaˇ rí data naˇ císt, d˚ uvody mohou být následující: • Soubor není uložen ve formátu CSV. • Sloupce v souboru nejsou správnˇ e oznaˇ ceny nebo nejsou oznaˇ ceny v˚ ubec. CSV soubor musí obsahovat úvodní ˇ rádek s názvy sloupc˚ u, jinak Kerio Connect data nepˇ reˇ cte. Správnˇ e: Email;FullName [email protected];Eva Bílá [email protected];Lenka Nová Špatnˇ e: 251


[email protected];Eva Bílá [email protected];Lenka Nová • Jako oddˇ elovaˇ c pro data je použit jiný znak než ˇ cárka ( , ) nebo stˇ redník ( ; ).

Export ˇ clen˚ u e-mailové konference do CSV souboru Stejnˇ e jako si m˚ užete ˇ cleny do konference z CSV souboru importovat, je možné si seznam ˇ clen˚ u do CSV souboru exportovat. Exportovat ˇ cleny m˚ uže administrátor (s právy ˇ ctení/zápisu nebo s právy pouze ˇ ctení). Data budou v CSV souboru uložena následovnˇ e: • jednotlivé položky budou od sebe oddˇ eleny stˇ redníky, • obsahuje-li nˇ ekterá položka více údaj˚ u, budou tyto oddˇ eleny ˇ cárkou. Chceme-li exportovat ˇ cleny e-mailové konference, postupujeme následujícím zp˚ usobem: 1.

Pˇ repneme se do sekce Úˇ cty → E-mailové konference.

2.

Oznaˇ címe skupinu, jejíž ˇ cleny chceme exportovat, a uˇ ciníme dvojklik (nebo klikneme na tlaˇ cítko Zmˇ enit.

3.

ˇ V dialogu Zmˇ enit e-mailovou konferenci se pˇ repneme na záložku Clenové, kde stiskneme tlaˇ cítko Export (vizte obrázek 21.9).

Obrázek 21.9

Export ˇ clen˚ u e-mailové konference

252

21.5 Archivace konference

4.

V otevˇ reném dialogu si vybereme, zda chceme soubor otevˇ rít nebo uložit. Název souboru bude vypadat následovnˇ e: users_nazevDomeny_nazevKonference_datum.CSV.


21.5 Archivace konference Poslední krok pr˚ uvodce nastavení konference umožˇ nuje archivaci pˇ ríspˇ evk˚ u. Archiv je speciální složka, ke které lze pˇ ristupovat pˇ res službu NNTP.

Obrázek 21.10

Vytvoˇ rení konference — povolení archivace konference

Udržovat archiv této e-mailové konference Volba aktivuje archivaci konference. K archivu konference budou mít standardnˇ e pˇ rístup všichni uživatelé pˇ ríslušné konference. Archiv této konference m˚ uže ˇ císt libovolný uživatel tohoto serveru Po zaškrtnutí volby bude povoleno ˇ ctení archivu všem uživatel˚ um, kteˇ rí mají založen v Kerio Connect úˇ cet.

253


Povolit ˇ ctení tohoto archivu tˇ emto uživatel˚ um ˇ Ctení archivu konference bude povoleno pouze uživatel˚ um explicitnˇ e zadaným do seznamu. ctení Je-li povolen službˇ e NNTP anonymní pˇ rístup (více vizte kapitolu 6), bude mít povoleno ˇ archivu libovolný uživatel (nemusí mít založen úˇ cet v Kerio Connect).

21.6 Zprávy serveru V e-mailových konferencích je použita celá ˇ rada automaticky generovaných zpráv (informativní zprávy, chybové zprávy, požadavky moderátor˚ um atd.). Každá konference umožˇ nuje nastavit jazyk, v nˇ emž budou tyto zprávy zobrazovány (výbˇ er z nˇ ekolika jazyk˚ u, které jsou definovány). Šablony tˇ echto zpráv jsou uloženy v podadresáˇ ri reports adresáˇ re, kde je Kerio Connect nainstalován. Adresáˇ r reports obsahuje další podadresáˇ re podle jazyk˚ u (napˇ r. cs pro ˇ ceštinu, en pro angliˇ ctinu atd.). V tˇ echto podadresáˇ rích jsou již uloženy jednotlivé šablony zpráv. Šablony zpráv je možno upravovat v libovolném editoru podporujícím kódování UTF-8 (v nˇ em jsou zprávy uloženy). Správce aplikace Kerio Connect tak m˚ uže dát tˇ emto zprávám novou podobu, pˇ rípadnˇ e dle popsaného schématu vytvoˇ rit novou jazykovou verzi.

21.7 Používání konference Pˇ rihlášení a odhlášení ˇ clena konference Pokud to politika konference (vizte kapitolu 21.2) povoluje, mohou se ˇ clenové pˇ rihlašovat do konference pomocí e-mailu. Pˇ rihlášení se provede zasláním prázdného e-mailu (resp. e-mailu libovolného obsahu) na adresu v následujícím formátu: <jméno_konference>-subscribe@<doména> Pˇ ríklad: Uživatel se chce pˇ rihlásit do konference diskuze v doménˇ e firma.cz. Ze své e-mailové adresy pošle prázdný e-mail na adresu [email protected]. rednˇ e po odeslání této zprávy uživatel obdrží zprávu, v níž je požadováno ovˇ eˇ rení Bezprostˇ pˇ rihlášení. D˚ uvodem je ochrana proti nežádoucímu odeslání požadavku (napˇ r. cizí osobou, která zfalšovala e-mailovou adresu odesílatele). Na tuto zprávu staˇ cí jednoduše odpovˇ edˇ et — pak bude požadavek uživatele pˇ rijat ke zpracování. V závislosti na nastavené politice konference bude uživatel bud’ pˇ rímo pˇ rihlášen, nebo bude muset vyˇ ckat na potvrzení pˇ rihlašovacího požadavku nˇ ekterým z moderátor˚ u konference. Po úspˇ ešném pˇ rihlášení obdrží nový ˇ clen uvítací zprávu. Odhlášení ˇ clena z konference e-mailem je možné vždy, bez ohledu na nastavenou politiku pˇ rihlašování. Odhlášení se provede zasláním prázdného e-mailu (resp. e-mailu s libovolným obsahem) na adresu v následujícím formátu: <jméno_konference>-unsubscribe@<doména>. 254

21.7 Používání konference

Pˇ ríklad: Uživatel se chce odhlásit z konference diskuse v doménˇ e firma.cz. Ze své e-mailové adresy pošle prázdný e-mail na adresu [email protected]. Bezprostˇ rednˇ e po odeslání této zprávy uživatel obdrží zprávu, v níž je požadováno ovˇ eˇ rení odhlášení. D˚ uvodem je ochrana proti nežádoucímu odeslání požadavku (napˇ r. cizí osobou, která zfalšovala e-mailovou adresu odesílatele). Na tuto zprávu staˇ cí jednoduše odpovˇ edˇ et — pak bude požadavek uživatele na odhlášení vyˇ rízen a uživatel obdrží informaci, že byl z konference odhlášen.

Posílání zpráv Chce-li uživatel pˇ ridat do konference pˇ ríspˇ evek, odešle jej na adresu konference (napˇ r.: [email protected]). V závislosti na nastavené politice bude pˇ ríspˇ evek bud’ ihned zaslán všem ˇ clen˚ um konference (vˇ cetnˇ e odesílatele, pokud je rovnˇ ež ˇ clenem), nebo pˇ redán moderátor˚ um k odsouhlasení. V tomto pˇ rípadˇ e odesílatel obdrží informativní zprávu (je-li to nastaveno — vizte kapitolu 21.2) a pˇ ríspˇ evek bude do konference zaslán, až jej nˇ ekterý z moderátor˚ u potvrdí. Bude-li zaslání pˇ ríspˇ evku zamítnuto nebo žádný z moderátor˚ u na požadavek neodpoví ve stanoveném ˇ case (7 dní), bude o tom odesílatel rovnˇ ež informován.

Aliasy v rámci konference V každé e-mailové konferenci jsou automaticky vytvoˇ reny urˇ cité e-mailové adresy, které slouží pro speciální funkce (napˇ r. pˇ rihlášení ˇ clena, kontakt na moderátory konference atd.). Všechny tyto adresy mají následující formát: -@<doména> (napˇ r. pro žádost o nápovˇ edu ke konferenci diskuze v doménˇ e firma.cz pošleme e-mail na adresu: [email protected]). Zde uvádíme pˇ rehled pˇ rípon, které m˚ uže uživatel v adrese konference použít: • subscribe — požadavek na pˇ rihlášení uživatele do konference, • unsubscribe — požadavek na odhlášení uživatele z konference, • help — žádost o nápovˇ edu pro použití konference, • owner, owners — zaslání zprávy moderátor˚ um konference (uživatel nemusí znát jejich e-mailové adresy).

255

Kapitola 22

Plánování zdroj˚ u

Kerio Connect poskytuje nástroj pro sdílení a rezervaci zdroj˚ u vaší spoleˇ cnosti. Jednotlivými zdroji jsou mínˇ eny místnosti a zaˇ rízení, jako jsou konferenˇ cní místnosti, projektory, sdílené firemní automobily atd. Uživatelé mohou rezervovat zdroje pomocí kalendáˇ rových klient˚ u, které umí pracovat s událostmi a pozvánkami. Oficiálnˇ e podporované jsou následující: • MS Outlook s Kerio v pˇ ríruˇ cce uživatele.

Outlook

Connectorem

—

konkrétní

nastavení

najdete

• Kerio WebMail — konkrétní nastavení najdete v pˇ ríruˇ cce uživatele. • Microsoft Entourage • Apple iCal Plánování zdroj˚ u se v poštovních klientech provádí pomocí zakládání událostí v kalendáˇ ri a funguje na stejném principu jako plánování sch˚ uzek. Kromˇ e pˇ ripojení úˇ castník˚ u ke sch˚ uzce lze nyní pˇ ripojit i libovolný zdroj, který je uveden v seznamu zdroj˚ u v Kerio Connect. Podrobnˇ e je plánování zdroj˚ u popsáno v pˇ ríruˇ cce uživatele. Aby bylo plánování zdroj˚ u efektivní, je d˚ uležité, aby uživatelé pˇ ri jeho rezervaci vidˇ eli, zda je na danou dobu již obsazen ˇ ci zda je volný. Tuto možnost zajišt’uje Free/Busy kalendáˇ r, který se standardnˇ e používá pˇ ri plánování sch˚ uzek. Aby se rezervace zdroj˚ u ve Free/Busy kalendáˇ ri zobrazovaly, musí existovat kalendáˇ r každého zdroje. Z toho d˚ uvodu byla v Kerio Connect zabudována podpora pro zdroje a jejich správu. V administraˇ cním rozhraní existuje sekce Zdroje, kam je tˇ reba pˇ ridat všechny zdroje vaší spoleˇ cnosti.

22.1 Princip funkce plánování zdroj˚ u Založením nového zdroje v Kerio Connect vytvoˇ ríte podobnˇ e jako pˇ ri zakládání uživatele úˇ cet, který bude obsahovat kalendáˇ r zdroje. Do tohoto kalendáˇ re se budou zaznamenávat veškeré rezervace. Ve veˇ rejných složkách se pˇ ri založení prvního zdroje vytvoˇ rí nová složka s kontakty nazvaná Zdroje. Tato složka bude obsahovat jednotlivé zdroje, pˇ riˇ cemž každému zdroji je pˇ ridˇ elena e-mailová adresa složená z jeho jména a domény (napˇ ríklad [email protected]). Veˇ rejná složka Zdroje slouží pˇ redevším k tomu, aby si uživatelé nemuseli názvy zdroj˚ u pamatovat, ale pˇ ri rezervaci je vybírali z nabízených podobnˇ e jako e-mailové adresy úˇ castník˚ u pˇ ri zakládání sch˚ uzek. 256

22.1 Princip funkce plánování zdroj˚ u

Plánování zdroj˚ u je založeno na fungujícím Free/Busy kalendáˇ ri v poštovním klientovi uživatele. Díky Free/Busy je hned pˇ ri zakládání události zˇ rejmé, zda je zdroj na danou dobu již rezervován nˇ ekým jiným ˇ ci nikoliv. Pokud uživatelé nemají funkˇ cní Free/Busy kalendáˇ r, lze si kalendáˇ re zdroj˚ u jednoduše pˇ rihlásit pomocí klasického sdílení nebo delegace složek. Uživatelé, kteˇ rí mají rezervaci daného zdroje povolenou si mohou kalendáˇ r pˇ rihlásit s právy pro ˇ ctení, takže vidí ve svých poštovních schránkách, kdy je zdroj volný.

Správce zdroj˚ u Jak je popsáno výše, plánování zdroj˚ u je ˇ rešeno tak, aby systém rezervace zdroj˚ u spravoval samostatnˇ e. Pˇ resto v systému existuje uživatel se speciálními právy — správce zdroj˚ u, který má pˇ ristup ke kalendáˇ ru ˚m zdroj˚ u a m˚ uže mˇ enit jejich události, posouvat je, mazat a i vytváˇ ret nové. Správce zdroj˚ u má tato práva pˇ redevším kv˚ uli ˇ rešení pˇ rípadných kolizí a priorit v rezervacích.

Doˇ casné vypnutí zdroje Zdroj, který je již založen, lze ze systému vyjmout, aniž by bylo tˇ reba jej mazat. Tuto vlastnost lze využít zejména tehdy, je-li zdroj doˇ casnˇ e nevyužitelný (napˇ ríklad je-li firemní automobil v servisu). Pokud zdroj vypnete, stane se následující: • uživatel˚ um se takový zdroj pˇ restane zobrazovat ve veˇ rejné složce Zdroje, • kalendáˇ r zdroje si nebude možné pˇ rihlásit nebo delegovat, • již pˇ rihlášené kalendáˇ re budou automaticky odpojeny od schránek uživatel˚ u, • pokud si daný zdroj uživatel vybere pro rezervaci, ve Free/Busy kalendáˇ ri se vypnutý zdroj zobrazí jako permanentnˇ e zaneprázdnˇ ený, • pokud uživatel vypnutý zdroj zarezervuje, bude mu doruˇ cena DSN zpráva o nedoruˇ citelnosti rezervace.

Podrobnosti zdroj˚ u V kalendáˇ rích zdroj˚ u se standardnˇ e nezobrazují pˇ rípadné komentáˇ re, které událost obsahuje a pˇ redmˇ et zprávy. Je-li pro vás d˚ uležité, aby rezervace v kalendáˇ rích zdroj˚ u tyto informace obsahovaly, proved’te následující: 1.

Zastavte Kerio Connect.

2.

Pˇ repnˇ ete se do adresáˇ re, kde je nainstalován Kerio Connect (Kerio\MailServer) a otevˇ rete soubor mailserver.cfg.

3.

Najdˇ ete v konfiguraˇ cním souboru zdroj, kterému chcete zobrazovat podrobnosti.

257

Plánování zdroj˚ u

4.

Hodnotu promˇ enné ClearEventSubject nastavte na 0 a zmˇ enu uložte.

5.

Spust’te Kerio Connect.

22.2 Založení nového zdroje Nastavení zdroj˚ u lze provést v záložce Úˇ cty → Zdroje: 1.

Kliknˇ ete na tlaˇ cítko Pˇ ridat.

2.

Do dialogu v záložce Obecné doplˇ nte název zdroje (vizte obrázek 22.1). Pamatujte na to, že název bude sloužit jako ˇ cást e-mailové adresy pˇ red zavináˇ cem. Z toho d˚ uvodu není dovoleno, aby název obsahoval diakritiku, mezery a speciální znaky.

3.

V položce Typ vyberte, zda jde o místnost ˇ ci zaˇ rízení. Zdroje jsou dˇ eleny na místnosti a zaˇ rízení z toho d˚ uvodu, že v rozhraní Kerio WebMail lze místnosti vybírat jako Umístˇ ení událostí a sch˚ uzek. Proto jako místnosti oznaˇ cte d˚ uslednˇ e všechny místnosti a jako zaˇ rízení oznaˇ cte všechny ostatní typy zdroj˚ u (napˇ ríklad projektory, tabule, mikrofony, sdílené firemní automobily atd.).

Obrázek 22.1

4.

Nastavení nového zdroje — záložka Obecné

Pˇ repnˇ ete se do záložky Oprávnˇ ení a pˇ ridejte ke zdroji všechny uživatele, kteˇ rí mají nárok zdroj rezervovat (vizte obrázek 22.2). Tito uživatelé budou zdroj moci vidˇ et a vybrat v dialozích pro plánování ve svých klientech. Pˇ ridˇ elit práva je možné následujícím subjekt˚ um: • Kdokoliv — zdroj si m˚ uže zarezervovat jakýkoliv uživatel. • Všichni uživatelé ze serveru — zdroj si m˚ uže zarezervovat libovolný uživatel mající poštovní úˇ cet v dané aplikaci Kerio Connect. 258

22.2 Založení nového zdroje

• Všichni uživatelé z domény — zdroj si m˚ uže zarezervovat libovolný uživatel ze zadané poštovní domény. • Skupina — zdroj si m˚ uže zarezervovat libovolný ˇ clen zadané skupiny (nové skupiny lze definovat v administraˇ cním rozhraní v sekci Úˇ cty → Skupiny). • Uživatel — zdroj si m˚ uže zarezervovat zadaný uživatel.

Obrázek 22.2

5.

Nastavení nového zdroje — záložka Oprávnˇ ení

Nastavte správce rezervací. Správcem rezervací zdroj˚ u je uživatel, kterému je umožnˇ eno zasahovat do kalendáˇ re zdroj˚ u. Rezervace m˚ uže v pˇ rípadˇ e potˇ reby mazat nebo pˇ resouvat na jinou dobu. Výchozím správcem zdroj˚ u je správce domény. Pokud má zdroje spravovat jiná osoba, vyberte ji jako správce rezervací (tlaˇ cítko Vybrat).

Poznámka: Kromˇ e zadávání a mazání zdroj˚ u lze zdroj doˇ casnˇ e vyˇ radit ze seznamu (napˇ ríklad v pˇ rípadˇ e nutnosti opravy zdroje). V takové situaci staˇ cí otevˇ rít dialog pro editaci daného zdroje a v záložce Obecné odškrtnout Zdroj je dostupný.

259

Kapitola 23

Stavové informace

Kerio Connect umožˇ nuje správci (popˇ r. jiné oprávnˇ ené osobˇ e) pomˇ ernˇ e detailnˇ e sledovat jeho ˇ cinnost. V podstatˇ e se jedná o tˇ ri druhy informací: sledování stavu, záznamy a statistiky. • Sledovat je možno stav fronty odchozích e-mail˚ u, pˇ ripojení k jednotlivým službám Kerio Connect a doruˇ cující procesy (tj. procesy odesílající jednotlivé zprávy z fronty na cílové SMTP servery). • Záznamy jsou soubory, do nichž se postupnˇ e pˇ ridávají informace o urˇ citých událostech (napˇ r. chybová ˇ ci varovná hlášení, ladicí informace atd.). O záznamech se dozvíte více v kapitole 24. • Statistiky obsahují podrobné informace o používání jednotlivých služeb Kerio Connect, pˇ rijatých a odmítnutých zprávách, chybách atd. Kerio Connect také umí graficky vyhodnocovat poˇ cet pˇ ripojení k jednotlivým službám a poˇ cet zpracovaných zpráv za urˇ cité ˇ casové období. Jaké informace lze sledovat a jak lze pˇ rizp˚ usobit sledování potˇ rebám uživatele je popsáno v následujících kapitolách.

23.1 Fronta zpráv Veškeré e-maily, které pˇ res Kerio Connect procházejí, jsou ˇ razeny do tzv. fronty zpráv. Fyzicky se jedná o adresáˇ r store/queue v adresáˇ ri, kde je Kerio Connect nainstalován. Do tohoto adresáˇ re je každá zpráva uložena jako dva soubory: • Soubor s pˇ ríponou .eml je vlastní odesílaný e-mail • Soubor s pˇ ríponou .env je jeho SMTP obálka. Ta se používá pouze pˇ ri komunikaci mezi SMTP servery a pˇ ri uložení zprávy do cílové schránky je oˇ ríznuta (tj. zahozena). Oba tyto soubory mají shodný název, pˇ redstavující jednoznaˇ cný identifikátor zprávy. Odeslání zprávy z fronty se provádí bud’ bezprostˇ rednˇ e po jejím pˇ ríchodu do fronty, nebo v ˇ casech ˇ rízených plánovaˇ cem — dle nastaveného typu internetového pˇ ripojení — vizte kapitolu 12.7. Odesílá-li SMTP server zprávy pˇ rímo do cílových domén (tzn. nepoužívá se žádný nadˇ razený SMTP server), m˚ uže také nastat situace, že zprávu nelze odeslat (žádný ze server˚ u cílové domény není dostupný). V tomto pˇ rípadˇ e se zpráva vrací do fronty a její odeslání je pˇ replánováno na pozdˇ ejší dobu.

260

23.1 Fronta zpráv

Poznámka: Pracuje-li server v režimu Offline, pak se zpráva zaˇ radí zpˇ et do fronty a další pokus o odeslání zprávy se provede až v nejbližším ˇ case stanoveném plánovaˇ cem (Další pokus se tedy nastavuje na konkrétní ˇ cas pouze v režimu Online). V režimu Offline (který se používá typicky u pˇ ripojení vytáˇ cenou linkou) je proto výhodnˇ ejší odesílat zprávy pˇ res nadˇ razený SMTP server.

Prohlížení fronty zpráv Potˇ reba zkontrolovat frontu zpráv vzniká typicky pˇ ri podezˇ rení, že zprávy ze serveru neodcházejí. Prohlížení fronty pˇ rímo v adresáˇ ri na disku není pˇ ríliš komfortní, navíc zpravidla v˚ ubec není možné, jestliže je Kerio Connect spravován vzdálenˇ e (musel by být k dispozici nˇ ejaký další nástroj pro vzdálený pˇ rístup na poˇ cítaˇ c, na nˇ emž Kerio Connect bˇ eží). Z tohoto d˚ uvodu je možné sledovat frontu také pˇ rímo v Kerio Connect Administration, a to v sekci Stav → Fronta zpráv. Záložka kromˇ e fronty zpráv obsahuje také statistické údaje o aktuálním poˇ ctu zpráv ve frontˇ e a jejich celkové velikosti.

Obrázek 23.1

Fronta zpráv

Na každé ˇ rádce tohoto okna je zobrazena jedna zpráva ve frontˇ e. Sloupce obsahují následující informace: ID fronty Jedineˇ cný identifikátor zprávy. Tento identifikátor také tvoˇ rí názvy soubor˚ u, v nichž je zpráva a její obálka uložena v adresáˇ ri mail/queue. Vytvoˇ reno Datum a ˇ cas uložení zprávy do fronty. Další pokus Datum a ˇ cas dalšího pokusu o odeslání zprávy (interval pokus˚ u a dobu, po níž budou provádˇ eny, lze nastavit v sekci Konfigurace → SMTP server — vizte kapitolu 12.2). Zkratka ASAP znamená As Soon As Possible — ˇ cili „ihned, jakmile to bude možné“. Takto je 261

Stavové informace

plánováno odeslání zpráv, které jsou do fronty zaˇ razeny poprvé — v módu Online jsou odeslány okamžitˇ e a v módu Offline v nejbližším ˇ case daném plánovaˇ cem. Velikost Velikost zprávy (nezahrnuje SMTP obálku). Od, Komu E-mailová adresa odesílatele a pˇ ríjemce zprávy. Pokud je položka Od prázdná, pak je to systémová DSN zpráva odeslaná aplikací Kerio Connect. Stav Sloupec popisuje stav odeslání zprávy, resp. d˚ uvod, proˇ c zpráva nebyla odeslána.

Manipulace se zprávami ve frontˇ e Tlaˇ cítky po oknem Fronta zpráv je možno ruˇ cnˇ e spustit následující akce: Obnovit K obnovení informací v oknˇ e Fronta zpráv dochází vždy, když nastane ve frontˇ e nˇ ejaká zmˇ ena. Kromˇ e toho je možné zobrazení obnovit ruˇ cnˇ e tlaˇ cítkem Obnovit. Odstranit zprávy Odstranˇ ení zpráv z fronty. Tlaˇ cítko obsahuje menu, kde je možné vybrat, zda mají být odstranˇ eny z fronty vybrané zprávy, všechny zprávy nebo zprávy odpovídající kritériím (elektronické adresy odesílatele a pˇ ríjemce). Zkus odeslat okamžitˇ e Pokus o okamžité odeslání vybrané zprávy. Odeslat zprávy z fronty Zahájení odesílání zpráv z odchozí fronty.

23.2 Zpracování fronty zpráv Pˇ ri zpracování fronty zpráv vytvoˇ rí Kerio Connect pro každou zprávu nový proces, který provede její zpracování (doruˇ cení do lokální schránky nebo na vzdálený SMTP server, antivirovou kontrolu atd.), a poté se ukonˇ cí. Takovýchto proces˚ u m˚ uže být spuštˇ eno nˇ ekolik souˇ casnˇ e (paralelnˇ e) — z toho vyplývá, že Kerio Connect je schopen odesílat více odchozích zpráv souˇ casnˇ e. Maximální poˇ cet odesílajících proces˚ u lze nastavit v sekci Konfigurace → SMTP server, záložka Volby pro frontu zpráv, parametr Maximální poˇ cet doruˇ cujících vláken (výchozí hodnota je 32). V sekci Stav → Fronta zpráv v záložce Zpracování fronty zpráv je možno tyto procesy sledovat (kdy byl proces vytvoˇ ren, jakou zprávu zpracovává, na který SMTP server je odesílána...) a zjišt’ovat jejich stav (antivirová kontrola, odesílání, lokální doruˇ cování...).

262

23.3 Aktivní spojení

Obrázek 23.2

Zpracování fronty zpráv

Jednotlivé sloupce okna mají následující význam: ID Jednoznaˇ cný identifikátor zprávy, kterou proces zpracovává (odpovídá ID zprávy ve frontˇ e a názvu souboru v adresáˇ ri mail/queue). Velikost Velikost doruˇ cované zprávy (v bytech). Od, Komu E-mailová adresa odesílatele a pˇ ríjemce zprávy. Stav Stav procesu: Spouští se, Zálohování , Filtrování obsahu (kontrola na zakázané typy pˇ ríloh), Antivirová kontrola, Lokální doruˇ cování (jestliže se zpráva ukládá do lokální schránky), SMTP doruˇ cování (jestliže se odesílá na jiný SMTP server), Ukonˇ cuje se (závˇ ereˇ cná fáze, ukonˇ cení procesu). Proces nemusí nutnˇ e projít všemi uvedenými fázemi — je-li napˇ r. vypnuto zálohování pošty, fáze Zálohování se pˇ reskoˇ cí. Server SMTP server, na nˇ ejž je zpráva doruˇ cována (pouze ve fázi SMTP doruˇ cování ). ˇ Cas Doba bˇ ehu procesu (ˇ cas od jeho vytvoˇ rení). Procent Informace o pr˚ ubˇ ehu odesílání zprávy (jaká ˇ cást zprávy již byla odeslána). Informace v oknˇ e Doruˇ cující procesy jsou automaticky obnovovány, navíc je také možno je aktualizovat ruˇ cnˇ e tlaˇ cítkem Obnovit.

23.3 Aktivní spojení V sekci Stav → Aktivní spojení lze sledovat veškerá sít’ová pˇ ripojení ke Kerio Connect — k jednotlivým službám (SMTP, IMAP atd.) a k rozhraní pro správu.

263

Stavové informace

Aktivní spojení Na každé ˇ rádce této záložky je zobrazeno jedno spojení. Jedná se o sít’ová spojení, nikoliv pˇ ripojení uživatel˚ u (každý klientský program m˚ uže napˇ r. z d˚ uvodu pˇ rijímání a odesílání zpráv najednou navázat více spojení souˇ casnˇ e). Sloupce zobrazují následující informace:

Obrázek 23.3

Aktivní spojení

Protokol Typ protokolu, který klient používá (resp. služby, k níž je pˇ ripojen). Pojmenování koresponduje s názvy služeb v sekci Konfigurace → Služby, ADMIN znamená pˇ ripojení ke správˇ e programem Kerio Connect Administration. Rozšíˇ rení Informace, zda pˇ ripojený uživatel používá k pˇ ripojení nˇ ekterý ze speciálních modul˚ u. Zabezpeˇ cený Volba umožˇ nuje zabezpeˇ cení spojení protokolem SSL (technická poznámka: vzdálená správa umožˇ nuje pouze zabezpeˇ cené pˇ ripojení). ˇ Cas Doba pˇ ripojení klienta. U nˇ ekterých služeb funguje timeout — automatické odpojení klienta pˇ ri neˇ cinnosti (jestliže se spojením nepˇ renášejí žádná data). Od IP adresa, z níž se klient pˇ ripojuje. Namísto IP adresy je zde možné zobrazit DNS jméno klienta získané reverzním DNS dotazem, jestliže je zapnuta volba Provádˇ et reverzní DNS dotazy na pˇ ríchozí spojení v sekci Konfigurace → Upˇ resˇ nující nastavení (vizte též kapitolu 12.8). Doporuˇ cujeme zapínat tuto volbu pouze v pˇ rípadˇ e, chcete-li cílenˇ e sledovat, odkud se klienti pˇ ripojují — reverzní dotazy zpomalují ˇ cinnost serveru. Uživatel Jméno pˇ rihlášeného uživatele. V nˇ ekterých pˇ rípadech se jméno nezobrazuje (napˇ r. pˇ ripojení k SMTP serveru, není-li vyžadováno ovˇ eˇ rení uživatele — klient je anonymní).

264

23.3 Aktivní spojení

Informace Další informace o pˇ ripojení (napˇ r. IMAP složka, verze administraˇ cního programu atd.). Informace v oknˇ e Aktivní spojení jsou automaticky obnovovány, navíc je také možno je obnovit ruˇ cnˇ e tlaˇ cítkem Obnovit.

Aktivní pˇ ripojení k WWW serveru V této záložce jsou zobrazováni uživatelé pˇ ripojení k rozhraní Kerio WebMail. Každý ˇ rádek zaznamenává jednoho uživatele (jeho elektronickou adresu), IP adresu, ze které se pˇ ripojuje ke Kerio Connect a ˇ cas automatického konce pˇ ripojení.

Obrázek 23.4

Aktivní pˇ ripojení k WWW serveru

Uživatel Uživatel pˇ ripojený pˇ res Kerio WebMail ke Kerio Connect. Adresa klienta IP adresa poˇ cítaˇ ce, ze kterého se uživatel pˇ ripojuje ke Kerio Connect. Skonˇ cí Rozhraní Kerio WebMail provádí z bezpeˇ cnostních d˚ uvod˚ u automatické odhlášení uživatele po urˇ cité dobˇ e neˇ cinnosti (1 hodina). Komponenta Uživatel m˚ uže být k serveru pˇ ripojen tˇ remi r˚ uznými komponentami — Kerio WebMailem (WebMail), Kerio WebMailem Mini (WebMail Mini) a Kerio Connect Administration (Správa). Protokol Typ protokolu, kterým je uživatel pˇ ripojen — HTTP nebo HTTPS.

265

Stavové informace

23.4 Otevˇ rené složky Sekce Stav → Otevˇ rené složky zobrazuje všechny uživatele, kteˇ rí mají ve svých poštovních klientech otevˇ reny nˇ ejaké složky. Tato sekce zobrazuje o složkách následující informace:

Obrázek 23.5

Otevˇ rené složky

Jméno Název uživatelské složky ve tvaru ~uzivatelske_jmeno@domena/nazev slozky Uživatelé Položka obsahuje všechny uživatele, kteˇ rí mají v daném ˇ case složku otevˇ renou. Uživatel˚ u m˚ uže být více najednou v pˇ rípadˇ e veˇ rejných nebo sdílených složek. Poˇ cet referencí Položka zobrazuje poˇ cet uživatel˚ u, kteˇ rí mají v daném ˇ case složku otevˇ renou. Uživatel˚ u m˚ uže být více najednou v pˇ rípadˇ e veˇ rejných nebo sdílených složek. Stejnˇ e tak m˚ uže být jedna složka otevˇ rena vícekrát jedním uživatelem. Index naˇ cten Položka signalizuje, zda byl serverem naˇ cten soubor index.fld, díky kterému se uživateli správnˇ e zobrazují r˚ uzné informace ke zprávám (pˇ ríznaky, informace o tom, zda je zpráva oznaˇ cena jako smazaná nebo pˇ reˇ ctená, atd.). Tlaˇ cítko Obnovit v levém dolním rohu sekce ruˇ cnˇ e aktualizuje zobrazení otevˇ rených složek.

23.5 Grafy pˇ renesených dat V Kerio Connect Administration v sekci Stav → Grafy pˇ renesených dat je možno graficky sledovat poˇ cet pˇ ripojení k jednotlivým službám aplikace Kerio Connect a poˇ cet zpracovaných zpráv (pˇ ríchozích i odchozích) za urˇ cité ˇ casové období.

266

23.5 Grafy pˇ renesených dat

Obrázek 23.6

Grafy v Kerio Connect

Graf umožˇ nuje nastavení následujících parametr˚ u: Sledovaný parametr První pole slouží pro výbˇ er sledovaného parametru: • • • • • • • • •

•

Pˇ ripojení / HTTP — poˇ cet pˇ ripojení ke službˇ e HTTP Pˇ ripojení / IMAP — poˇ cet pˇ ripojení ke službˇ e IMAP Pˇ ripojení / LDAP — poˇ cet pˇ ripojení ke službˇ e LDAP Pˇ ripojení / NNTP — poˇ cet pˇ ripojení ke službˇ e NNTP Pˇ ripojení / Odchozí SMTP — poˇ cet odchozích spojení služby SMTP Pˇ ripojení / Odmítnuté SMTP — poˇ cet odmítnutých pˇ ripojení ke službˇ e SMTP (pˇ ripojení odmítnutá spamovým filtrem Odrazování spammer˚ u) Pˇ ripojení / POP3 — poˇ cet pˇ ripojení ke službˇ e POP3 Pˇ ripojení / SMTP — poˇ cet pˇ ripojení ke službˇ e SMTP Zprávy / Pˇ rijaté — poˇ cet zpráv zpracovaných poštovním serverem (souˇ cet odchozích a pˇ ríchozích SMTP zpráv a zpráv stažených ze vzdálených POP3 schránek) Zprávy / Spam — poˇ cet zpráv oznaˇ cených antispamovým filtrem jako spam

267

Stavové informace

ˇ Casové období Ve druhém poli je možno vybrat ˇ casové období, ve kterém má být sledování provádˇ eno (v rozsahu 2 hodiny — 30 dní). Zvolené ˇ casové období je vždy bráno od aktuálního ˇ casu do minulosti („poslední 2 hodiny“, „posledních 30 dní“, apod.). Komentáˇ r pod grafem zobrazuje interval vzorkování (tj. interval, za který se hodnoty seˇ ctou a zaznamenají do grafu). Pˇ ríklad: Je-li zvoleno ˇ casové období 2 hodiny, provádí se vzorkování po 20 sekundách. To znamená, že se každých 20 sekund zaznamená do grafu poˇ cet pˇ ripojení (resp. zpráv) za uplynulých 20 sekund. Pod grafem je umístˇ eno tlaˇ cítko Obnovit, které umožˇ nuje okamžitou aktualizaci grafu.

23.6 Statistiky K zobrazení statistických údaj˚ u slouží sekce Stav → Statistiky. Pro lepší pˇ rehlednost jsou informace v této sekci rozdˇ eleny do tabulek (napˇ r. „Využití diskového prostoru“, „Zprávy odeslané na nadˇ razený SMTP server“, „Statistika POP3 klienta“ apod.). Každá tabulka zobrazuje data, která k sobˇ e tématicky patˇ rí. Sekce Statistiky obsahuje nˇ ekolik tlaˇ cítek:

Obrázek 23.7

Zobrazení statistik

268

23.6 Statistiky

Obnovit Tlaˇ cítko slouží k pr˚ ubˇ ežným obnovám dat ve statistikách. Základní režim/Rozšíˇ rený režim Statistiky mají dva režimy: • Základní režim — obsahuje pouze ˇ ctyˇ ri nejpoužívanˇ ejší statistiky: Stav serveru, Využití diskového prostoru, Statistika antivirové kontroly a Statistika spamového filtru. • Rozšíˇ rený režim — obsahuje všechny statistiky.

269

Kapitola 24

Záznamy

Záznamy jsou soubory, do nichž se postupnˇ e pˇ ridávají informace o urˇ citých událostech (napˇ r. chybová ˇ ci varovná hlášení, ladicí informace atd.). Každá položka je zapsána na jedné ˇ rádce a uvozena ˇ casovou znaˇ ckou (datum a ˇ cas, kdy událost nastala, s pˇ resností na sekundy). Zprávy vypisované v záznamech jsou ve všech jazykových verzích aplikace Kerio Connect anglicky (generuje je pˇ rímo Kerio Connect Engine).

24.1 Nastavení záznam˚ u V oknˇ e každého záznamu se po stisknutí pravého tlaˇ cítka myši zobrazí kontextové menu, v nˇ emž lze zvolit r˚ uzné funkce nebo zmˇ enit parametry záznamu (zobrazení, pˇ ríp. sledované informace).

Obrázek 24.1

Kontextové menu v záznamech

Uložit záznam Pomocí volby Uložit záznam je možno celý záznam nebo jeho ˇ cást uložit do libovolného souboru na disku. Volby dialogu jsou následující: • Formát — Záznam m˚ uže být uložen bud’ formou prostého textu (TXT) nebo ve formátu HTML. Bude-li záznam uložen v HTML formátu, z˚ ustane zachováno nastavené kódování a také barva, pokud bylo nastaveno zvýrazˇ nování. Záznam v textovém formátu m˚ uže být lepší volbou, pokud bude záznam dále zpracováván nˇ ejakým skriptem. • Zdroj — Volba umožní uložit bud’ celý záznam nebo také vybraný text záznamu oznaˇ cený kurzorem. Volba Pouze vybraný text standardnˇ e není aktivní. Pouze v pˇ rípadˇ e, že je ˇ cást záznamu oznaˇ cena kurzorem, bude možné vyznaˇ cenou ˇ cást uložit.

270

24.1 Nastavení záznam˚ u

Obrázek 24.2

Uložit záznam

Zvýrazˇ nování Kerio Connect umožˇ nuje zvýraznit jakýkoliv text v záznamu. Toto zvýraznˇ ení slouží pˇ redevším ke zlepšení orientace v záznamu. Po kliknutí na volbu Zvýraznˇ ení se otevˇ re okno, kde je možno zadávat, mˇ enit a mazat zvýraznˇ ení pomocí standardních tlaˇ cítek Pˇ ridat, Odebrat a Zmˇ enit barvu.

Obrázek 24.3

Zvýrazˇ nování

Nastavit parametry nového zvýraznˇ ení lze v oknˇ e Pˇ ridat zvýraznˇ ení : • Popis — zvýraznˇ ení m˚ uže být libovolné množství, a proto lze pro lepší orientaci každé výstižnˇ e popsat. • Podmínka (podˇ retˇ ezec) — v záznamu bude barevnˇ e odlišen každý ˇ rádek, který bude obsahovat ˇ retˇ ezec zadaný do tohoto pole. Po zaškrtnutí možnosti Regulérní výraz, lze do pole zapsat libovolný regulární výraz (komplexní definice, pro zkušené uživatele). Regulární výrazy (regular expression) jsou speciální jazyky standardu POSIX pro popis ˇ retˇ ezce. Jsou tvoˇ reny sadou flexibilních vzor˚ u, které programy porovnávají s r˚ uznými ˇ retˇ ezci. 271

Záznamy

• Barva — menu obsahuje barevnou škálu, kterou je možno použít ke zvýraznˇ ení textu. Každé nastavené zvýraznˇ ení platí pro všechny typy záznamu. Nastavené zvýraznˇ ení se projeví na všech ˇ rádcích vyhovujících podmínce v celém záznamu. Nastavení záznamu Tato volba otevírá dialog, kde je možné nastavit podmínky, za jakých bude záznam vymazán nebo uložen, a kam bude uložen. Záložka Záznam do souboru

Obrázek 24.4

Ukládání záznam˚ u

• Povolit záznam do souboru — volba umožní zápis záznamu do souboru. Do pole Cesta lze zapsat cestu k souboru, kam se budou záznamy zapisovat. • Rotovat pravidelnˇ e — vyberete jeden z následujících ˇ casových údaj˚ u: • Každou hodinu — záznam je každou hodinu archivován a zaˇ cne se zapisovat do nového souboru. • Každý den — záznam je rotován každých 24 hodin. • Každý týden — záznam je rotován vždy jednou týdnˇ e. • Každý mˇ esíc — záznam je rotován každý mˇ esíc. • Rotovat, jestliže velikost souboru pˇ resáhne — v poli Max. velikost souboru záznamu lze nastavit archivaci záznam˚ u podle velikosti souboru (v kB). • Uchovávat nejvýše ... soubor˚ u záznamu. — poˇ cet soubor˚ u záznamu, které mají z˚ ustat uchovány. Pˇ ri každé rotaci záznamu se vždy nejstarší soubor smaže. Záložka Externí záznam Záložka Externí záznam umožˇ nuje nastavení parametr˚ u pro odesílání záznamu na Syslog

272

24.2 Config

server.

Obrázek 24.5

Ukládání logu na Syslog server

• Povolit záznam na Syslog server — volba umožˇ nuje zapnout/vypnout záznam na server Syslog. • Syslog server — DNS jméno nebo IP adresa Syslog serveru. • Typ záznamu — slouží mimo jiné k rozlišení, odkud záznam pˇ rišel (Syslog server m˚ uže pˇ rijímat záznamy z mnoha r˚ uzných zdroj˚ u). • D˚ uležitost — nastavení d˚ uležitosti záznamu (Syslog server umožˇ nuje filtrování záznam˚ u podle stupnˇ e d˚ uležitosti). Smazat záznam Smazání okna záznamu (informace se smažou i z pˇ ríslušného souboru). Zprávy Možnost detailního nastavení informací, které mají být sledovány (podrobnosti vizte dále). Pouze v sekci Debug.

24.2 Config Záznam Config uchovává kompletní historii konfiguraˇ cních zmˇ en — z tohoto záznamu lze zjistit, který uživatel kdy provádˇ el jaké administraˇ cní úkony. Do okna Config jsou zapisovány tˇ ri druhy záznam˚ u: Informace o pˇ rihlašování uživatel˚ u ke správˇ e Kerio Connect Pˇ ríklad: [30/Jun/2004 09:09:18] Admin - session opened for host 127.0.0.1 • [30/Jun/2004 09:09:18] — datum a ˇ cas, kdy byl záznam zapsán • Admin — jméno uživatele pˇ rihlášeného ke správˇ e Kerio Connect. • session opened for host 127.0.0.1 — informace o zahájení komunikace a IP adrese poˇ cítaˇ ce, ze kterého se uživatel pˇ ripojuje 273

Záznamy

Zmˇ eny v konfiguraˇ cní databázi Jedná se o zmˇ eny provedené v konfiguraci Kerio Connect. Pro pˇ ríklad si uved’me založení nového uživatelského úˇ ctu. [30/Jun/2004 13:09:48] Admin - insert User set Name=’tjandak’, Domain=’firma.cz’, Account_enabled=’1’, Auth_type=’0’, Password=xxxxxx, Rights=’1’, ForwardMode=’0’, Qstorage=’10485760’, Qmessage=’5000’ • [30/Jun/2004 13:09:48] — datum a ˇ cas, kdy byl záznam zapsán • Admin — jméno uživatele pˇ rihlášeného ke správˇ e Kerio Connect. • insert User set Name=’tjandak’... — zápis parametr˚ u, které byly novému uživatelskému úˇ ctu nastaveny Ostatní konfiguraˇ cní zmˇ eny Typickým pˇ ríkladem je zálohovací cyklus. Po stisknutí tlaˇ cítka Použít v sekci Konfigurace → Zálohování se do záznamu Config vypíše datum a ˇ cas každé zálohy. [30/Jun/2004 09:29:08] Admin - Store backup started • [30/Jun/2004 09:29:08] — datum a ˇ cas zaˇ cátku zálohování • Admin — jméno uživatele pˇ rihlášeného ke správˇ e Kerio Connect. • Store backup started — informace o spuštˇ ení zálohy

24.3 Mail Záznam Mail obsahuje informace o jednotlivých zprávách, které byly aplikací Kerio Connect zpracovány. Záznam obsahuje všechny typy zpráv: • pˇ ríchozí zprávy, • odchozí zprávy, • zprávy e-mailových konferencí, • DSN (Delivery Status Notification). Pˇ ríchozí a odchozí zprávy Všechny zprávy, které byly pˇ rijaty serverem pˇ res protokoly SMTP, HTTP nebo byly staženy protokolem POP3. Pro pˇ ríklad m˚ užeme uvést dva ˇ rádky patˇ rící k jedné zprávˇ e a blíže si rozebereme jejich jednotlivé položky: [30/Nov/2005 17:57:14] Recv: Queue-ID: 438dd9ea-00000000, [30/Nov/2005 17:57:14] Recv: Queue-ID: 438dd9ea-00000000, Service: SMTP, From: <[email protected]>, To: <[email protected]>, Size: 1229, User: [email protected], Sender-Host: 195.39.55.2, SSL: yes

274

24.3 Mail

[30/Nov/2005 17:57:15] Sent: Queue-ID: 438dd9ea-00000000, Recipient: <[email protected]>, Result: delivered, Status: 2.0.0 • [30/Nov/2005 17:57:14] — datum a ˇ cas, kdy byla doruˇ cena nebo odeslána zpráva. • Recv/Sent — toto pole obsahuje informaci, zda server zprávu pˇ rijal, ˇ ci zda ji odesílá. Proto se zde mohou vyskytovat dvˇ e položky: Sent nebo Recv (received). • Queue-ID: 438d6fb6-00000003 — ˇ císlo, které od serveru zpráva obdržela ve frontˇ e odchozích zpráv. Slouží jako identifikátor, který oznaˇ cuje stejným ˇ císlem všechny ˇ rádky patˇ rící k jedné zprávˇ e. Každá zpráva je serverem nejprve pˇ rijata, a poté odeslána. V záznamu se tedy objeví ke každé zprávˇ e nejménˇ e dva ˇ rádky (pˇ ríjem zprávy a její odeslání). Nejménˇ e proto, že zpráva m˚ uže být doruˇ cena více pˇ ríjemc˚ um (každý další pˇ ríjemce znamená další ˇ rádek v záznamu). • Service: HTTP — protokol, pˇ res který byla zpráva pˇ rijata serverem (HTTP, SMTP). Tuto informaci lze najít pouze u pˇ ríchozích zpráv. U odchozích zpráv se tato informace nezobrazuje, protože nemá smysl. Všechny odchozí zprávy jsou odesílány protokolem SMTP. • From: <[email protected]> — elektronická adresa odesílatele. • To: <[email protected]> — elektronická adresa pˇ ríjemce. • Size: 378 — velikost zprávy v bytech. • User: [email protected] — uživatelský úˇ cet, ze kterého byla zpráva odeslána. • Sender-Host: 195.39.55.2 — IP adresa poˇ cítaˇ ce, ze kterého byla zpráva odeslána. • SSL: yes — informuje o použití šifrovaného spojení (zobrazuje se pouze u protokolu SMTP). • Recipient: <[email protected]> — elektronická adresa pˇ ríjemce. • Result: delivered — výsledek pokusu o doruˇ cení zprávy. • Status: 2.0.0 — kód odpovˇ edi protokolu SMTP (více vizte RFC 821 a 1893). Pokud kód zaˇ cíná ˇ císlicí 2, zpráva byla úspˇ ešnˇ e doruˇ cena. Zaˇ cíná-li kód ˇ císlicí 4 nebo 5, pak zpráva doruˇ cena nebyla. Zprávy generované serverem Tento typ zprávy generuje Kerio Connect. Napˇ ríklad pokud zpráva nem˚ uže být doruˇ cena, server tuto skuteˇ cnost formou DSN sdˇ elí odesílateli. [30/Nov/2005 15:31:40] Recv: Queue-ID: 438db7cc-00000000, Service: DSN, From: <>, To: <[email protected]>, Size: 1650, Report: failed • [30/Nov/2005 15:31:40] — datum a ˇ cas, kdy byla zpráva vygenerována • Recv: — toto pole obsahuje informaci, zda server zprávu pˇ rijal, ˇ ci zda ji odesílá. Proto se zde mohou vyskytovat dvˇ e položky: Sent nebo Received. • Queue-ID: 438db7cc-00000000 — ˇ císlo, které od serveru zpráva obdržela ve frontˇ e odchozích zpráv. • Service: DSN — Delivery Status Notification; zprávy generované aplikací Kerio 275

Záznamy

• • • •

Connect. From: <> — položka je prázdná, protože zpráva je generována serverem. To: <[email protected]> — elektronická adresa pˇ ríjemce. Size: 1650 — velikost zprávy v bytech. Report: failed — typ hlášení.

Zprávy konferencí Mail záznam obsahuje všechny zprávy e-mailových konferencí. Zaznamenány jsou jak jednotlivé pˇ ríspˇ evky do konferencí, tak ˇ rídící zprávy konference. [30/Nov/2005 19:09:11] Recv: Queue-ID: 438deac7-00000009, Service: List, From: , To: <[email protected]>, Size: 3302, Answer: subscribe response • [30/Nov/2005 19:09:11] — datum a ˇ cas pˇ rijetí zprávy. • Recv: — toto pole obsahuje informaci, zda server zprávu pˇ rijal, ˇ ci zda ji odesílá. Proto se zde mohou vyskytovat dvˇ e položky: Sent nebo Received. • Queue-ID: 438deac7-00000009 — ˇ císlo, které od serveru zpráva obdržela ve frontˇ e odchozích zpráv. • Service: List — pˇ ríznak konference. • — elektronická adresa odesílatele. • To: <[email protected]> — elektronická adresa pˇ ríjemce. • Size: 1397 — velikost zprávy v bytech. • Answer: subscribe response — typ zprávy. Sieve Zprávy generované uživatelským filtrem (napˇ r. autoreplay).

24.4 Security Záznam Security obsahuje informace, které souvisejí s bezpeˇ cností aplikace Kerio Connect. Také obsahuje záznam o všech zprávách, které nebylo možno doruˇ cit. Jedná se zejména o tyto typy událostí: Nalezené viry a zakázané pˇ rílohy Pro pˇ ríklad uved’me zprávu, v níž byl obsažen vir: [16/Jun/2004 18:37:17] Found virus in mail from <[email protected]> to <[email protected]>: W32/Netsky.p@MM • • • • •

[16/Jun/2004 18:37:17] — datum a ˇ cas, kdy byl virus nalezen. Found virus in mail — provedená akce (zpráva o nalezení viru). from <[email protected]> — elektronická adresa odesílatele. to <[email protected]> — elektronická adresa pˇ ríjemce. W32/Netsky.p@MM — typ nalezeného viru.

276

24.4 Security

Odmítnutí spam filtrem Zpráva s pˇ ríliš vysokým hodnocením spamového filtru: [16/Jun/2004 18:37:17] Message from <[email protected]> to <[email protected]> rejected by spam filter: score 9.74, threshold 5.00 [16/Jun/2004 18:37:17] — datum a ˇ cas, kdy byla zpráva odmítnuta. from <[email protected]> — elektronická adresa odesílatele. to <[email protected]> — elektronická adresa pˇ ríjemce. rejected by spam filter — provedená akce (odmítnutí zprávy spamovým filtrem). • score 9.74, threshold 5.00 — hodnocení spamového filtru SpamAssassin. • • • •

Neúspˇ ešné pokusy o pˇ rihlášení Záznam obsahuje neplatné pokusy o pˇ rihlášení. Obvyklou pˇ ríˇ cinou bývá neplatné jméno/heslo nebo nepovolená IP adresa. D˚ uvod neúspˇ ešného pokusu o pˇ rihlášení m˚ užete nalézt také v záznamu Warning (kapitola 24.5). [13/Apr/2004 17:35:49] Failed IMAP login from 192.168.36.139, missing parameter in AUTHENTICATE header • [13/Apr/2004 17:35:49] — datum a ˇ cas neúspˇ ešného pokusu o pˇ rihlášení. • Failed IMAP login — provedená akce (neúspˇ ešný pokus o pˇ rihlášení). • from 192.168.36.139 — IP adresa, ze kterého byl pokus uˇ cinˇ en. D˚ uvod˚ u neúspˇ echu pˇ rihlášení m˚ uže být nˇ ekolik: • missing parameter in AUTHENTICATE header — byla poslána špatná nebo neplatná hlaviˇ cka s pˇ rihlašovacími informacemi, • authentication method PLAIN is disabled — použitá autentizaˇ cní metoda je v Kerio Connect vypnutá, • authentication method CRAM_MD5 is invalid or unknown — Kerio Connect neumí nebo nezná tuto metodu ovˇ eˇ rování, • error during authentication with method CRAM-MD5 — došlo k chybˇ e pˇ ri ovˇ eˇ rování hesla, napˇ r. chyba pˇ ri komunikaci s ovˇ eˇ rovacím serverem, • authentication with method CRAM-MD5 cancelled by user — uživatel (klient) pˇ rerušil ovˇ eˇ rování, • (Failed IMAP login from 127.0.0.1), authentication method PLAIN — uživatel nebyl ovˇ eˇ ren (uživatel neexistuje, špatnˇ e zadané heslo, uživatelský úˇ cet v Kerio Connect je vypnutý nebo nelze ovˇ eˇ rit jméno a heslo uživatele, protože daná metoda ovˇ eˇ rování neposkytuje dostatek údaj˚ u pro ovˇ eˇ rení uživatele v Active Directory). Pokusy o zneužití serveru (relaying) Pro pˇ ríklad pokusu o relaying si uved’me: [11/Jun/2004 00:36:07] Relay attempt from IP address 61.216.46.197, mail from <[email protected]> to 277

Záznamy

rejected • • • • • •

[11/Jun/2004 00:36:07] — datum a ˇ cas pokusu o zneužití serveru. Relay attempt — provedená akce (neúspˇ ešný pokus relaying). 61.216.46.197 — IP adresa, ze které byl pokus o relaying uˇ cinˇ en. from <[email protected]> — adresa odesílatele. to — adresa adresáta. rejected — provedená akce (odmítnutí zprávy).

Antibombing Ochrana proti zahlcení serveru — vizte kapitolu 12.2, sekce Bezpeˇ cnostní volby. [16/Jun/2004 18:53:43] Directory harvest attack from 213.7.0.87 detected • • • •

[16/Jun/2004 18:53:43] — datum a ˇ cas neúspˇ ešného útoku. Directory harvest attack — typ útoku. cinˇ en. from 213.7.0.87 — IP adresa, ze které byl pokus o útok uˇ detected — provedená akce (zjištˇ eno a zakázáno).

Nalezení odesílatele v databázích zakázaných server˚ u Odesílatel byl nalezen v databázi zakázaných server˚ u (ORDB, vlastní skupina IP adres). [13/Apr/2004 17:44:02] IP address 212.76.71.93 found in DNS blacklist ORDB, mail from <[email protected]> to <[email protected]> • [13/Apr/2004 17:44:02] — datum a ˇ cas pˇ rijetí zprávy. • 212.76.71.93 — IP adresa, ze které byla zpráva odeslána. • found in DNS blacklist ORDB — typ akce (adresa byla nalezena v databázi zakázaných server˚ u). • from <[email protected]> — elektronická adresa odesílatele. • to <[email protected]> — elektronická adresa pˇ ríjemce. Vzdálené vyˇ cištˇ ení mobilního zaˇ rízení Uživateli bylo odcizeno mobilní zaˇ rízení (nebo ho ztratil) a správce odstranil ze zaˇ rízení všechna data uživatele (více vizte sekci 35.5). V záznamu Security se mohou objevit v podstatˇ e tˇ ri typy záznamu o vyˇ cištˇ ení mobilního zaˇ rízení. První záznam se týká zahájení vyˇ cištˇ ení. Tento záznam se pˇ ri vyˇ cištˇ ení zaˇ rízení objevuje vždy. V této fázi lze obvykle vyˇ cištˇ ení ještˇ e stornovat. Druhý typ záznamu se tedy objeví právˇ e pˇ ri stornování vyˇ cištˇ ení zaˇ rízení. Tˇ retí záznam se vyskytne, pokud vyˇ cištˇ ení nebylo stornováno a vyˇ cištˇ ení se skuteˇ cnˇ e provede. To probˇ ehne pˇ ri prvním následujícím pˇ ripojení zaˇ rízení k serveru. • První pˇ ríklad záznamu zobrazuje jeho iniciaci: [22/Aug/2006 12:30:23] Device with id C588E60FCF2FB2C107FBF2ABE09CA557(user: [email protected]) will be wiped out by request Admin 278

24.5 Warning

• Druhý pˇ ríklad záznamu zobrazuje jeho stornování: [22/Aug/2006 12:36:51] Wiping out of the device C588E60FCF2FB2C107FBF2ABE09CA557 (user: [email protected]) has been cancelled by Admin • Tˇ retí pˇ ríklad zobrazuje oznámení o vymazání zaˇ rízení: [22/Aug/2006 12:31:11] Device C588E60FCF2FB2C107FBF2ABE09CA557 (user: [email protected]), connected from: 192.168.44.178 has been irrecoverable wiped out

24.5 Warning Záznam Warning zobrazuje varovná hlášení, což jsou ve své podstatˇ e chyby, které nemají závažný charakter. Typickým pˇ ríkladem takového varování m˚ uže být napˇ r. zpráva, že uživatel s administrátorskými právy má prázdné heslo, že uživatelský úˇ cet tohoto jména neexistuje, nebo že vzdálený POP3 server je nedosažitelný. Události, které zp˚ usobují varovná hlášení v tomto záznamu, nemají zásadní vliv na ˇ cinnost aplikace Kerio Connect, mohou však signalizovat urˇ cité (pˇ rípadnˇ e potenciální) problémy, napˇ r. u konkrétních uživatel˚ u. Záznam Warning m˚ uže pomoci napˇ r. v pˇ rípadˇ e, jestliže si jeden uživatel stˇ ežuje na nefunkˇ cnost nˇ ekterých služeb.

24.6 Operations Záznam Operations ukládá informace o mazání a pˇ resunu položek (zpráv, kontakt˚ u, událostí, úkol˚ u a poznámek) v uživatelských schránkách. Je výhodný hlavnˇ e tehdy, nem˚ uže-li uživatel najít nˇ ejakou zprávu ve své schránce. Ze záznamu lze snadno zjistit, zda si ji nesmazal. Kromˇ e položek je v záznamu vedena informace také o mazání a pˇ resunu všech složek v poštovních schránkách. Kromˇ e mazání ukládá také záznam o pˇ resunu položek (eviduje je jako smazané ze složky, odkud byla položka pˇ resunuta). Pˇ resun složek je oznaˇ cen zvláštním pˇ ríznakem. Informace jsou ukládány v následujícím tvaru: Smazání (pˇ resunutí) položky [07/Aug/2008 11:07:02] {DELETE} Protocol: HTTP/WebMail, User: [email protected], IP: 127.0.0.1, Folder: [email protected]/Deleted Items, From: "Josef ˇ Cerný" <[email protected]>, Subject: "Dovolená", Delivered: 07/Aug/2008 11:05:27, Size: 1320 • [07/Aug/2008 11:07:02] — datum a ˇ cas akce (mazání nebo pˇ resunu položky). • {DELETE} — typ akce. Položka byla smazána nebo pˇ resunuta. • Protocol — typ protokolu, pˇ res který bylo vymazání nebo pˇ resun odesláno. Podle typu protokolu lze zjistit, z jakého poštovního klienta uživatel pˇ ristupoval k serveru (napˇ ríklad: HTTP/WebMail — rozhraní Kerio WebMail, SYSTEM — 279

Záznamy

• • • • • •

automatické mazání položek, HTTP/WebDAV — MS Outlook s Kerio Outlook Connectorem nebo MS Entourage). User — uživatelská schránka, kde byla provedena akce. IP — IP adresa poˇ cítaˇ ce, ze kterého byla akce provedena. Folder — složka, ve které byla akce provedena. Subject — pˇ redmˇ et položky. Delivered — datum doruˇ cení, pokud se jedná o e-mail. Size — velikost položek.

Smazání složky [07/Aug/2008 12:14:57] {DELETE_FOLDER} Folder: [email protected]/Deleted Items/Pracovní deleted • • • •

[07/Aug/2008 12:14:57] — datum a ˇ cas akce (mazání složky). {DELETE_FOLDER} — typ akce. Složka byla smazána. Folder — název mazané složky. deleted — akce.

Pˇ resun složky [07/Aug/2008 12:14:26] {MOVE_FOLDER} Protocol: HTTP/WebMail, User: [email protected], IP: 127.0.0.1, Old location: [email protected]/INBOX/Pracovn&AO0-, New location: [email protected]/Deleted Items/Pracovní, Items count: 3 • [07/Aug/2008 12:14:26] — datum a ˇ cas akce (pˇ resunutí složky). • {MOVE_FOLDER} — typ akce. Složka byla pˇ resunuta. • Protocol — typ protokolu, pˇ res který byl pˇ resun složky odeslán. Podle typu protokolu lze zjistit, z jakého poštovního klienta uživatel pˇ ristupoval k serveru. • User — uživatel, který složku pˇ resunul. • IP — IP adresa poˇ cítaˇ ce, ze kterého byla akce provedena. • Old location — p˚ uvodní umístˇ ení složky. • New location — nové umístˇ ení složky. • Items count — poˇ cet položek (napˇ ríklad e-mail˚ u) umístˇ ených ve složce.

24.7 Error Na rozdíl od záznamu Warning, záznam Error zobrazuje závažné chyby, které mají zpravidla vliv na chod celého serveru. Správce aplikace Kerio Connect by mˇ el tento záznam pravidelnˇ e sledovat a zjištˇ ené chyby v co nejkratší možné dobˇ e napravit. V opaˇ cném pˇ rípadˇ e hrozí nejen nebezpeˇ cí, že uživatelé nebudou moci využívat nˇ ekteré (ˇ ci dokonce všechny) služby, ale m˚ uže dojít také ke ztrátˇ e zpráv ˇ ci k bezpeˇ cnostním problém˚ um (napˇ r. ke zneužití serveru k rozesílání nevyžádaných e-mail˚ u nebo doruˇ cování zpráv obsahujících viry). Typickým chybovým hlášením v záznamu Error bývá napˇ ríklad: problém se spuštˇ ením nˇ ekteré služby (vˇ etšinou z d˚ uvodu kolize na pˇ ríslušném portu), problém se zápisem na disk, 280

24.8 Spam

s inicializací antivirové kontroly, s externím ovˇ eˇ rením uživatele apod.

24.8 Spam Do záznamu Spam jsou zapisovány informace o veškeré nevyžádané poštˇ e, která je uložena v Kerio Connect. Každý ˇ rádek záznamu obsahuje informace o jednom konkrétním spamu. Jednotlivé záznamy se liší podle toho, jak bylo zjištˇ eno, že je zpráva nevyžádaná. Záznam Spam zaznamenává také zprávy, které byly z nˇ ejakého d˚ uvodu aplikací Kerio Connect oznaˇ ceny jako spam, ale uživatel je urˇ cil jako korektní. Nevyžádaná zpráva detekovaná filtrem Zpráva vyhodnocená jako nevyžádaná spamovým filtrem aplikace Kerio Connect: [06/Sep/2004 08:43:17] Message marked as spam with score: 8.00, To: [email protected], Message size: 342, From: [email protected], Subject: • [06/Sep/2004 08:43:17] — datum a ˇ cas detekce spamu. • Message marked as spam with score: 8.00 — typ akce (zpráva byla oznaˇ cena jako spam, protože jí bylo spamovým filtrem pˇ ridˇ eleno pˇ ríliš vysoké skóre). • To: [email protected] — elektronická adresa pˇ ríjemce. • Message size: 342 — velikost zprávy v bytech. • From: [email protected] — elektronická adresa odesilatele. • Subject: — pˇ redmˇ et zprávy (v tomto pˇ rípadˇ e prázdný). Nevyžádaná zpráva detekovaná uživatelem Zpráva, která byla uživatelem oznaˇ cena jako nevyžádaná: [06/Sep/2004 08:40:39] User [email protected] marked a message as spam, Folder: [email protected]/INBOX, Size: 462, From: "Jan Novák" <[email protected]>, Subject: Hallo • [06/Sep/2004 08:40:39] — datum a ˇ cas, kdy byla zpráva oznaˇ cena jako spam. • User [email protected] — elektronická adresa uživatele, kterému byla zpráva doruˇ cena. • marked a message as spam — typ akce (zpráva byla uživatelem oznaˇ cena jako spam). • Folder: [email protected]/INBOX — složka, ve které je zpráva uložena • Size: 462 — velikost zprávy v bytech. • From: "Jan Novák" <[email protected]> — elektronická adresa odesilatele . • Subject: Hallo — pˇ redmˇ et zprávy. Zpráva není spam Zpráva, která byla uživatelem oznaˇ cena jako korektní: [06/Sep/2004 08:43:32] User [email protected] marked a message as not spam, Folder: [email protected]/Junk E-mail, Size: 500, 281

Záznamy

From: "Jan ˇ Cerný" <[email protected]>, Subject: *SPAM* • [06/Sep/2004 08:43:32] — datum a ˇ cas, kdy byla zpráva oznaˇ cena, že není spam. • User: [email protected] — elektronická adresa uživatele, kterému byla zpráva doruˇ cena. • marked a message as not spam — typ akce (zpráva byla uživatelem oznaˇ cena jako korektní). • Folder: [email protected]/Junk E-mail — složka, ve které je zpráva uložena (v tomto pˇ rípadˇ e je to vždy složka pro nevyžádanou poštu). • Size: 500 — velikost zprávy v bytech. • From: "Jan ˇ Cerný" <[email protected]> — elektronická adresa, ze které byla zpráva odeslána. • Subject: **SPAM** — pˇ redmˇ et zprávy.

24.9 Debug Debug (ladicí informace) je speciální záznam, který slouží zejména k detailnímu sledování urˇ citých informací. Proto m˚ uže významnˇ e pomoci pˇ ri odstraˇ nování problém˚ u. Standardnˇ e obsahuje informace o startu a ukonˇ cení aplikace Kerio Connect, výpis služeb s informací o adresách a portech, na kterých navazují spojení. Dále zapisuje zprávy zpracovávající se ve frontˇ e a podobnˇ e. Ostatní informace se týkají služeb a proces˚ u, které provádˇ ejí veškerou ˇ cinnost serveru. Tˇ echto informací je pomˇ ernˇ e velké množství, což by zp˚ usobilo naprostý nepˇ rehled, pokud by byly zobrazovány všechny najednou. Zpravidla je však tˇ reba sledovat pouze informace týkající se konkrétní služby ˇ ci funkce. Upozornˇ ení: Zobrazování velkého množství informací navíc zpomaluje ˇ cinnost aplikace Kerio Connect. Doporuˇ cujeme tedy zapínat sledování pouze tˇ ech informací, které vás skuteˇ cnˇ e zajímají, a to pouze po dobu nezbytnˇ e nutnou.

Nastavení záznamu Debug Z výše uvedených d˚ uvod˚ u umožˇ nuje záznam Debug nastavit, jaké informace v nˇ em mají být zobrazovány. Toto se provádí volbou Zprávy v kontextovém menu okna Debug (nabídka, která se otevˇ re po kliknutí pravým tlaˇ cítkem myši v logu). Otevˇ re se okno Zaznamenávané informace, kde je k dispozici mnoho voleb pro zapnutí konkrétních záznam˚ u: Services Sekce Services obsahuje možnost zapnutí záznam˚ u týkajících se služeb spuštˇ ených v Kerio Connect: 282

24.9 Debug

Obrázek 24.6

Nastavení záznamu Debug

• SMTP Server — Detailní výpis komunikace klient˚ u a SMTP serveru. Záznam je vhodné použít pˇ ri problémech s pˇ ríjmem pošty pˇ res MX záznamy. • IMAP Server — Detailní výpis komunikace klient˚ u s IMAP serverem. Záznam také poskytuje informace o komunikaci pˇ res rozhraní MAPI. • POP3 Server — Detailní výpis komunikace klient˚ u s POP3 serverem. Spolu s následujícími dvˇ ema záznamy (IMAP server session, HTTP server session) napomáhá ˇ rešení problém˚ u s vybíráním schránek. • HTTP Server — Komunikace klient˚ u s HTTP serverem pro rozhraní Kerio WebMail. • LDAP Server — Detailní sledování komunikace klient˚ u s LDAP serverem a vyhledávání kontakt˚ u v databázi. • NNTP Server — Detailní výpis komunikace klient˚ u s news serverem. Message Delivery Sekce Message Delivery obsahuje volby pro zaznamenávání pr˚ ubˇ ehu doruˇ cování zpráv: • Queue Processing — Zpracování odchozí fronty (odesílání a pˇ ríjem zpráv, plánování apod.). • Remote POP3 Download — Vybírání vzdálených POP3 schránek (Kerio Connect je v roli POP3 klienta) a tˇ rídicích pravidel (pˇ ri pˇ rijetí zprávy ˇ ci jejím stažení ze vzdálené POP3 schránky). Záznam Remote POP3 download slouží spolu se 283

Záznamy

•

• •

•

záznamem Alias Expansion k ˇ rešení problém˚ u s tˇ rídˇ ením doménového koše. SMTP Client — Odesílání odchozích zpráv (komunikace Kerio Connect s nadˇ razeným SMTP serverem nebo serverem cílové domény). Záznam obsahuje pˇ ríkazy a odezvy serveru a klienta pˇ resnˇ e podle poˇ radí jednotlivých událostí. Proto tento záznam m˚ uže pomoci pˇ ri problémech s odesíláním pošty. Mailing List Processing — Sledování e-mailových konferencí (pˇ rihlašování a odhlašování ˇ clen˚ u, posílání zpráv, akce moderátor˚ u apod.). Alias Expansion — Zpracování alias˚ u (pˇ ri pˇ rijetí zprávy ˇ ci jejím stažení ze vzdálené POP3 schránky). Záznam Alias processing slouží spolu se záznamem Remote POP3 download k ˇ rešení problém˚ u s tˇ rídˇ ením doménového koše. Sieve Filters — Filtrování zpráv dle uživatelských filtr˚ u.

Content Filters Sekce Content Filters obsahuje volby k zapnutí/vypnutí záznam˚ u o pr˚ ubˇ ehu antivirové a antispamové kontroly: • Antivirus Checking — Antivirová kontrola zpráv (komunikace s antivirovým programem, zpracování jednotlivých pˇ ríloh zprávy). Záznam lze použít, pokud zavirované zprávy nejsou rozpoznávány antivirovým programem a prochází až k uživateli. • Spam Filter — Zaznamenává hodnocení každé zprávy hodnocené spamovým filtrem aplikace Kerio Connect. • SPF Record Lookup — Volba vypisuje informace o SPF dotazech na SMTP servery. Lze využít pˇ ri problémech s SPF kontrolou. • SpamAssassin Processing — volba umožˇ nuje sledování proces˚ u, ke kterým dochází pˇ ri testování zpráv spamovým filtrem SpamAssassin. Message Store Sekce Message Store umožˇ nuje zaznamenávat operace týkající se úložištˇ e dat, vyhledávání, zálohování atd.: • Message Folder Operation — Operace s uživatelskými a veˇ rejnými složkami (otevírání, ukládání zpráv, uzavírání). Tento záznam lze použít napˇ ríklad pˇ ri problémech s mapováním veˇ rejných složek. • Searching and Sorting — záznam obsahuje operace, které server provádí pˇ ri vyhledávání v poštovních, kalendáˇ rových, kontaktních nebo úkolových složkách. Zaznamenávají se také operace, které jsou provádˇ eny pˇ ri tˇ rídˇ ení (napˇ r. email˚ u podle abecedy nebo data pˇ rijetí). • Quota and Login Statistics— záznam lze dobˇ re využít zejména v pˇ rípadˇ e, že se objevuje nˇ ejaký problém s nastavenými uživatelskými kvótami a podobnˇ e. • Store Backup — Výpis mapuje pr˚ ubˇ eh zálohy, procházení a zálohovaní všech složek. Pomocí tohoto záznamu lze získat informaci, zda záloha probíhá správnˇ e, a zda nebyla pˇ rerušena. • Messages decoding — Tento záznam m˚ uže pomoci pˇ ri identifikaci problém˚ u s dekódováním TNEF a uuencode zpráv. 284

24.9 Debug

• Items clean-out — Záznam napomáhá pˇ ri odhalení problém˚ u s automatickým mazáním zpráv ze složek Odstranˇ ená pošta a Nevyžádaná pošta. HTTP Server Modules Sekce HTTP Server Modules poskytuje volby, které umožˇ nují zaznamenávat informace o komunikaci pˇ res rozhraní HTTP: • WebDAV Server Requests — Záznam vypisuje všechny akce rozhraní WebDAV. Tento záznam je užiteˇ cný pˇ ri ˇ rešení problém˚ u v komunikaci mezi Kerio Connect a MS Entourage, NotifyLink, Kerio Sync Connector a iCal klienty. • PHP Engine Messages — Záznam zapisuje informace z rozhraní Kerio WebMail. Tyto informace jsou rozšíˇ rením záznamu Error a lze je využít pˇ ri ˇ rešení problém˚ u v Kerio WebMailu. • ActiveSync Synchronization — Záznam vypisuje komunikaci protokolu ActiveSync mezi mobilními zaˇ rízeními a aplikací Kerio Connect. • KOC Offline Requests — Záznam napomáhá pˇ ri ˇ rešení problém˚ u, které mohou nastat pˇ ri komunikaci mezi Kerio Outlook Connectorem (Offline Edition) a aplikací Kerio Connect. • Kerio Blackberry Connector — Záznam napomáhá pˇ ri ˇ rešení problém˚ u, které mohou nastat pˇ ri synchronizaci dat mezi Kerio Connectorem for BlackBerry a aplikací Kerio Connect Auxiliary Modules Sekce Auxiliary Modules obsahuje následující možnosti zaznamenávání informací: • User Authentication — Externí ovˇ eˇ rování uživatel˚ u (NT doména, Kerberos, PAM). • Network Connections and SSL — Navazování spojení na vzdálené servery (na úrovni TCP), DNS dotazy, SSL šifrování apod. • DNS Resolver— Zjišt’ování server˚ u cílových domén z DNS MX záznam˚ u, záznamy nalezené v interní DNS cache. • Directory Service Lookup — Dotazy do externí databáze uživatel˚ u (Active Directory). Tento záznam m˚ uže pomoci pˇ ri ˇ rešení problém˚ u s importem uživatel˚ u z domény. • Update Checker Activity — Vypisuje komunikaci se serverem update.kerio.com, kde se nacházejí nové verze Kerio Connect. • Thread Pool Activity — vypisuje navazování, pr˚ ubˇ eh i ukonˇ cení všech vláken, která Kerio Connect zpracovává. • Administration Console Connections — zaznamenává pˇ ripojení a ˇ cinnost Kerio Administration Console. • Domain rename — záznam vypíše akce spojené s pˇ rejmenováním domény. • Connection Pool — vypisuje informace o aktivních a neaktivních HTTP spojeních aplikace Kerio Connect. • Crash Management Activity — volba se zobrazuje pouze je-li Kerio Connect nainstalován na systému ˇ rady Mac OS X. Záznam monitoruje funkci utility Mac Assist, která shromažd’uje informace o pádu nˇ ekterého z proces˚ u spamserver, avserver nebo mailserver a odesílá je do spoleˇ cnosti Kerio Technologies 285

Záznamy

k dalším analýzám. Local Services Sekce Local Services spravuje lokální služby aplikace Kerio Connect: • Service Manager — M˚ uže vám pomoci s ˇ rešením problém˚ u s lokálními službami obecnˇ e (s frontou zpráv nebo plánováním zdroj˚ u). • Resource Service — M˚ uže vám pomoci pˇ ri ˇ rešení problém˚ u s plánováním zdroj˚ u. • GAL Service — Zapnutí této volby vám m˚ uže pomoci s ˇ rešením problém˚ u pˇ ri synchronizaci kontakt˚ u s Global Address Listem. • Distributed Domain Service — umožˇ nuje zaznamenávání všech operací spojených s distribuovanou doménou.

24.10 Sledování výkonu (Windows) Je-li Kerio Connect instalován na operaˇ cní systém Windows ˇ rady 2000, nebo XP, je možno také nainstalovat volitelnou komponentu Performance Monitor (detaily naleznete v kapitole 2.4). Performance Monitor je modul do systémového nástroje Výkon (Performance), který naleznete v Nástrojích pro správu (Administrative Tools). V aplikaci Performance Monitor se pˇ repneme do sekce System Monitor. Tlaˇ cítkem + v nástrojovém panelu této sekce otevˇ reme dialog pro pˇ ridání nových sledovaných objekt˚ u.

Obrázek 24.7

Performance Monitor

286

24.10 Sledování výkonu (Windows)

V položce Performance object vybereme položku Kerio Connect. V levém dolním poli je pak možno vybrat statistiky, které chceme sledovat. K dispozici jsou všechny ukazatele, které cního Kerio Connect sleduje (vizte též kapitolu 23.6, resp. sekci Stav → Statistiky administraˇ rozhraní). Tlaˇ cítkem Explain lze získat podrobnˇ ejší informace o vybraném objektu. Poznámka: • Pokud se v seznamu objekt˚ u v poli Performance object neobjeví položka Kerio Connect, pak zˇ rejmˇ e není komponenta Performance Monitor nainstalována, nebo je poškozena. V tom pˇ rípadˇ e doporuˇ cujeme znovu spustit instalaˇ cní program aplikace Kerio Connect (vizte kapitolu 2.4). • Detailní informace o aplikaci Performance Monitor naleznete v nápovˇ edˇ e systému Windows.

287

Kapitola 25

Správa složek

Kerio Connect podporuje následující typy složek: • poštovní složky • kontakty • kalendáˇ re • úkoly • poznámky Záleží na výbˇ eru poštovního klienta, zda budete moci využít všech typ˚ u složek. Kerio Connect oficiálnˇ e podporuje produkty MS Outlook a MS Entourage, které dovedou pracovat se složkami všech typ˚ u. Ke všem typ˚ um složek budete mít pˇ rístup také pˇ res rozhraní Kerio WebMail a nˇ ekterá podporovaná mobilní zaˇ rízení. Kromˇ e výše zmínˇ ených typ˚ u složek existuje dˇ elení na osobní a veˇ rejné složky. Osobními složkami nazýváme takové, které si uživatelé spravují, vidí, zakládají a ruší ve svých uživatelských schránkách. Veˇ rejné složky jsou takové, které vytváˇ rí a spravuje uživatel se speciálními pˇ rístupovými právy, a které mají k dispozici pro ˇ ctení všichni uživatelé. Veˇ rejné složky jsou detailnˇ e popsané v následující sekci.

25.1 Veˇ rejné složky Veˇ rejné složky jsou speciálním typem složek, které jsou pˇ rístupné všem uživatel˚ um z domény nebo všem uživatel˚ um celého Kerio Connect (ve výchozím nastavení se vytváˇ rejí veˇ rejné složky pro každou doménu zvlášt’). Výchozí nastavení veˇ rejných složek po jejich založení je, že jsou všem uživatel˚ um k dispozici pro ˇ ctení. Samozˇ rejmˇ e je možné jim práva zmˇ enit stejným zp˚ usobem jako u jakýchkoliv jiných složek. A k ˇ cemu vlastnˇ e veˇ rejné složky slouží? Vhodné jsou zejména ke sdílení informací napˇ ríˇ c celou spoleˇ cností. Nejˇ castˇ eji používanou veˇ rejnou složkou je složka s kontakty všech zamˇ estnanc˚ u spoleˇ cnosti, kterou lze navíc automaticky vygenerovat z uživatelských úˇ ct˚ u Kerio Connect. Dalším vhodným pˇ ríkladem m˚ uže být napˇ ríklad celofiremní kalendáˇ r, kam jsou zaznamenávány spoleˇ cné akce, školení nebo rezervace zdroj˚ u (projektor˚ u, zasedacích místností, a podobnˇ e).

288

25.1 Veˇ rejné složky

Veˇ rejné složky m˚ uže vytváˇ ret pouze uživatel s pˇ ríslušnými právy. Tato práva jsou standardnˇ e pˇ ridˇ elena administrátorovi primární domény v Kerio Connect (speciální administrátorský úˇ cet uže pˇ ridˇ elit práva libovolným dalším uživatel˚ um. a jeho možnosti popisuje sekce 8.1), který m˚ 25.1.1 Globální vs. doménové složky Jak již bylo ˇ reˇ ceno v úvodu, lze si vybrat, zda mají být veˇ rejné složky vytváˇ reny pro každou doménu zvlášt’, nebo zda mají být pˇ rístupné globálnˇ e pro všechny uživatele Kerio Connect. Toto nastavení se provádí následovnˇ e: 1.

V administraˇ cním rozhraní se pˇ repnˇ ete do sekce Konfigurace → Domény.

2.

Kliknˇ ete na tlaˇ cítko Veˇ rejné složky umístˇ ené v pravém dolním rohu okna.

3.

Otevˇ re se dialog, kde m˚ užete vybrat zvolenou možnost (vizte obrázek 25.1).

Obrázek 25.1

Upˇ resˇ nující nastavení pro veˇ rejné složky

Výstraha: Pokud potˇ rebujete pˇ repnout tuto vlastnost v dobˇ e, kdy již byl vytvoˇ ren systém veˇ rejných složek, pak vˇ ezte, že se veˇ rejné složky nebudou zobrazovat uživatel˚ um a bude potˇ reba vytvoˇ rit nové.

25.1.2 Vytváˇ rení veˇ rejných složek Vytvoˇ rit veˇ rejnou složku je možné v klientovi MS Outlook (s Kerio Outlook Connectorem), v rozhraní Kerio WebMail nebo v MS Entourage. V obou pˇ rípadech založíte nové veˇ rejné složky stejným zp˚ usobem jako se vytváˇ rejí osobní složky. Postup je následující: 1.

Otevˇ rete MS Outlook s funkˇ cním Kerio Outlook Connectorem nebo Kerio WebMail jako administrátor primární domény nebo jako uživatel, který má pˇ ridˇ elena práva pro vytváˇ rení veˇ rejných složek (nastavení tˇ echto práv popisuje sekce 25.1.3).

2.

Ve stromu složek vyberte koˇ ren Veˇ rejné složky a založte novou složku stejným zp˚ usobem, jako se vytváˇ rejí osobní složky (pˇ res kontextovou nabídku).

3.

Po vytvoˇ rení složky ji mají všichni uživatelé automaticky pro ˇ ctení. Chcete-li pˇ ridat nˇ ejakému uživateli vyšší práva, je to možné provést standardnˇ e pomocí mechanismu sdílení (detaily jsou popsány v manuálu Kerio Connect 7, Pˇ ríruˇ cka uživatele). 289

Správa složek

Každá veˇ rejná složka bude všem nasdíleným uživatel˚ um zobrazena automaticky jako podsložka koˇ rene Veˇ rejné složky.

25.1.3 Pˇ ridˇ elení práv k veˇ rejným složkám Práva k veˇ rejným složkám m˚ uže nastavit uživatel s administrátorskými právy pro správu aplikace Kerio Connect: 1.

Otevˇ rete administraˇ cní rozhraní a pˇ repnˇ ete se do sekce Úˇ cty → Uživatelé.

2.

Oznaˇ cte kurzorem uživatele, kterému chcete práva pˇ ridˇ elit a otevˇ rete dialog jeho nastavení (napˇ ríklad tlaˇ cítkem Zmˇ enit).

3.

V dialogu se pˇ repnˇ ete do záložky Práva a zaškrtnˇ ete volbu Tento uživatel má právo spravovat veˇ rejné složky.

25.2 Zobrazení veˇ rejných složek v jednotlivých typech úˇ ct˚ u Jednoduchá tabulka zobrazuje, které veˇ rejné složky se uživateli zobrazí v závislosti na typu používaného poštovního úˇ ctu, potažmo klienta. Úˇ cet

a b

Pošta

Kontakty

Kalendáˇ r

Úkoly

Poznámky

Kerio Outlook Connector (Offline Edition)

ANO

ANO

ANO

ANO

ANO

Kerio Outlook Connector

ANO

ANO

ANO

ANO

ANO

Kerio WebMail

ANO

ANO

ANO

ANO

ANO

Úˇ cet typu Exchange v MS Entourage

ANO

ANO a

ANO a

NE

NE

Úˇ cet typu Exchange v Apple Mail b

ANO

ANO

ANO

ANO

ANO

IMAP (libovolný klient podporující protokol IMAP)

ANO (pokud je klient umí zobrazit)

NE

NE

NE

NE

POP3 (libovolný klient podporující protokol POP3)

NE

NE

NE

NE

NE

Pouze verze MS Entourage 2004 SP2. Platí pouze v pˇ rípadˇ e nastavení plné podpory IMAP v konfiguraˇ cním souboru Kerio Connect (více vizte kapitolu 41). Tabulka 25.1 Zobrazení veˇ rejných složek v jednotlivých typech úˇ ct˚ u

290

Kapitola 26

Ovˇ eˇ rování pˇ res Kerberos

Tato kapitola slouží jako jednoduchý a pˇ rehledný pr˚ uvodce nastavením ovˇ eˇ rování uživatel˚ u pˇ res systém Kerberos. Kerberos je systém založený na architektuˇ re klient — server, která umožˇ nuje autentizaci a autorizaci uživatel˚ u a zvyšuje tak bezpeˇ cí pˇ ri využívání zdroj˚ u v poˇ cítaˇ cové síti. Kerberos je popsán standardem IETF RFC 4120. Kerio Connect má implementovánu podporu pro Kerberos V5. Pˇ ri ˇ rešení pˇ rípadných problém˚ u s konfigurací vám mohou pomoci následující záznamy: • MS Windows — logy jsou umístˇ eny v menu Start → Nastavení → Ovládací panely → Nástroje pro správu → Prohlížeˇ c událostí • Linux — logy ve standardním adresáˇ ri /var/log/syslog To se ovšem týká pouze Kerberos klienta. Logování komunikace na stranˇ e serveru lze zajistit pˇ ridáním následující konfigurace do souboru /etc/krb5.conf: [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE: /var/log/kadmind.log Poznámka: Nastavení logování na stranˇ e serveru se týká Kerberos MIT (US implementace Kerberosu aplikovaná v Active Directory a Apple Open Directory). Nastavení logování Kerberos Heimdal (evropská implementace Kerberosu, kterou m˚ užete nalézt v nˇ ekterých linuxových distribucích) se m˚ uže lišit. 7 • Mac OS X Server — záznamy v aplikaci Server Admin (více vizte kapitolu 26.4) • Kerio Connect — záznamy najdete v administraˇ cním rozhraní, v sekci Záznamy. Relevantní jsou v tomto pˇ rípadˇ e záznamy Warning, Error a Debug (musí být spuštˇ eno sledování modulu User Authentication). Bližší popis jednotlivých záznam˚ u obsahuje kapitola 24.

7

Klient Kerberos Heimdal je také standardní souˇ cástí instalace aplikace Kerio Connect pro linuxové distribuce. Není ovšem podstatné, jaká z obou forem je použita na serveru (Key Distribution Center), a jaká na klientovi (v tomto pˇ rípadˇ e Kerio Connect), protože protokol je tentýž a server i klientská ˇ cást budou bez problém˚ u spolupracovat.

291


26.1 Kerio Connect na systému Windows Ovˇ eˇ rování proti Active Directory V pˇ rípadˇ e ovˇ eˇ rování v Active Directory je tˇ reba uvést název Active Directory domény v Kerio Connect. Toto lze nastavit v Kerio Connect Administration v nastavení domény (vizte obrázek 26.1).

Obrázek 26.1

Doplnˇ ení Active Directory domény do Kerio Connect

Kromˇ e uvedení názvu domény v dialogu Upˇ resnˇ ení (vizte obrázek 26.1) je tˇ reba zajistit aby: 1.

Kerio Connect byl ˇ clenem domény, proti které se ovˇ eˇ ruje. Pokud Kerio Connect nebude ˇ clenem domény, pak Kerberos nebude fungovat a uživatelé budou muset používat lokální heslo — tedy jiné než mají nastaveno v doménˇ e.

2.

Kerio Connect používal jako primární DNS server doménový ˇ radiˇ c (Active Directory Controller) — to by mˇ elo být automaticky zajištˇ eno pˇ ridáním poˇ cítaˇ ce do domény (vizte bod 1). Pokud konfigurace sítˇ e vyžaduje ovˇ eˇ rování proti více doménovým ˇ radiˇ cu ˚m zároveˇ n, potom pˇ ridáme jako DNS servery všechny doménové ˇ radiˇ ce, proti kterým se bude Kerio 292

26.1 Kerio Connect na systému Windows

Connect ovˇ eˇ rovat. V tomto pˇ rípadˇ e je však vyžadována speciální konfigurace DNS server˚ u. Bud’ je tˇ reba nastavit DNS servery tak, že si budou navzájem dotazy pˇ reposílat (pokud daný dotaz není nalezen ve vlastní databázi, je pˇ reposlán dalšímu doménovému ˇ radiˇ ci) nebo musí mít všechny DNS servery nadˇ razený spoleˇ cný primární DNS server. 3.

byl synchronizován ˇ cas Kerio Connect a Active Directory — to by mˇ elo být automaticky zajištˇ eno pˇ ridáním poˇ cítaˇ ce do domény (vizte bod 1).

Ovˇ eˇ rování proti Open Directory V pˇ rípadˇ e ovˇ eˇ rování v Open Directory je tˇ reba uvést Kerberos realm v Kerio Connect (vizte obrázek 26.1). Kromˇ e uvedení názvu Open Directory domény (Kerberos realm) v Kerio Connect je tˇ reba zajistit aby: 1.

byl Kerio Connect ˇ clenem Apple Open Directory domény, proti které se ovˇ eˇ ruje. Pokud Kerio Connect nebude ˇ clenem domény, pak Kerberos nebude fungovat a uživatelé budou muset používat lokální heslo — tedy jiné než mají nastaveno v doménˇ e.

2.

poˇ cítaˇ c s aplikací Kerio Connect mˇ el správnˇ e nastavený DNS server (IP adresa nebo DNS jméno poˇ cítaˇ ce, na kterém je spuštˇ en Apple Open Directory).

3.

byl synchronizován ˇ cas Kerio Connect a Open Directory — to by mˇ elo být automaticky zajištˇ eno pˇ ridáním poˇ cítaˇ ce do domény (vizte bod 1).

Ovˇ eˇ rování proti samostatnému Kerberos serveru Chcete-li použít pro ovˇ eˇ rování samostatný Kerberos server (Key Distribution Center), potom bude nutno udržovat databázi uživatelských jmen a hesel v Key Distribution Center i v Kerio Connect. Kromˇ e uvedení názvu Kerberos oblasti (Kerberos realm) v Kerio Connect (vizte obrázek 26.1) je tˇ reba zajistit následující: 1.

Kerio Connect musí být ˇ clenem Kerberos oblasti, proti které se ovˇ eˇ ruje. Jména a hesla všech uživatel˚ u založených v Kerio Connect musí být definována v Key Distribution Center (pokud se mají ovˇ eˇ rovat pˇ res Kerberos).

2.

Poˇ cítaˇ c s aplikací Kerio Connect musí mít správnˇ e nastavený DNS server (Key Distribution Center vyhledává na základˇ e DNS dotaz˚ u).

3.

Poˇ cítaˇ c s aplikací Kerio Connect musí mít synchronizován ˇ cas s Key Distribution Center (všechny poˇ cítaˇ ce v Kerberos oblasti musí mít synchronizován ˇ cas).

Vyzkoušet si, že Kerio Connect je schopen ovˇ eˇ rovat se proti Key Distribution Center, je možné pomocí utility Kerbtray. 293


Kontrolu lze provést z poˇ cítaˇ ce, kam budete instalovat Kerio Connect. Ze systému MS Windows zkontrolujeme ovˇ eˇ rování pomocí utility Kerbtray (vizte obrázek 26.2), která je k dispozici zdarma na stránkách firmy Microsoft. Pokud po instalaci a spuštˇ ení aplikace Kerbtray nenalezne žádné pˇ ridˇ elené lístky (tickety), potom ovˇ eˇ rování funkˇ cní není a je tˇ reba jej v KDC nastavit a spustit.

Obrázek 26.2

Kerberos lístky zobrazené v aplikaci Kerbtray

Teprve poté doporuˇ cujeme nastavit ovˇ eˇ rování v Kerio Connect v sekci Konfigurace → Domény, v záložce Upˇ resnˇ ení (více vizte kapitolu 7.7).

26.2 Kerio Connect na systému Linux Ovˇ eˇ rování proti Active Directory Pˇ red nastavením pˇ rihlašování uživatel˚ u do Linuxu pˇ res Kerberos doporuˇ cujeme nejprve zkontrolovat správnou funkci ovˇ eˇ rování proti doménˇ e (pˇ rihlášením se do systému úˇ ctem definovaným v Active Directory). Dále je nutno zajistit následující: 1.

Poˇ cítaˇ c s aplikací Kerio Connect musí mít nastavený jako primární DNS server doménový ˇ radiˇ c Active Directory domény. 294

26.2 Kerio Connect na systému Linux

Pokud konfigurace sítˇ e vyžaduje ovˇ eˇ rování proti více doménovým ˇ radiˇ cu ˚m zároveˇ n, pˇ ridáme jako DNS servery všechny doménové ˇ radiˇ ce, proti kterým se bude Kerio Connect ovˇ eˇ rovat. 2.

Na poˇ cítaˇ ci s aplikací Kerio Connect musí být synchronizován ˇ cas s Active Directory.

Dále je nutné pro správnou funkci ovˇ eˇ rování nastavit soubor /etc/krb5.conf Pˇ ríklad nastavení souboru krb5.conf: [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] ticket_lifetime = 24000 default_realm = FIRMA.CZ dns_lookup_realm = false dns_lookup_kdc = yes [realms] FIRMA.CZ = { kdc = server.firma.cz admin_server = server.firma.cz default_domain = firma.cz } [domain_realm] .firma.cz = FIRMA.CZ firma.cz = FIRMA.CZ [kdc] profile = /var/kerberos/krb5kdc/kdc.conf [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false } Pokud je ovˇ eˇ rování proti Kerberos serveru plnˇ e funkˇ cní, potom je možné nastavit ovˇ eˇ rování

295


v Kerio Connect. Tato nastavení lze provést v sekci Konfigurace → Domény, v záložkách Adresáˇ rová služba a Upˇ resnˇ ení .

Ovˇ eˇ rování proti Open Directory Pˇ red nastavením pˇ rihlašování uživatel˚ u do Linuxu pˇ res Kerberos doporuˇ cujeme nejprve zkontrolovat správnou funkci ovˇ eˇ rování proti doménˇ e (pˇ rihlášením se do systému úˇ ctem definovaným v Open Directory). Pokud se toto nepodaˇ rí, zkontrolujte prosím následující: 1.

Kerio Connect musí být ˇ clenem Kerberos oblasti (Open Directory domény), proti které se ovˇ eˇ ruje. Pokud Kerio Connect nebude ˇ clenem oblasti, pak Kerberos nebude fungovat a uživatelé budou muset používat lokální heslo — tedy jiné než mají nastaveno v doménˇ e.

2.

Poˇ cítaˇ c s aplikací Kerio Connect musí mít správnˇ e nastavenou službu DNS.

3.

Na poˇ cítaˇ ci s aplikací Kerio Connect musí být synchronizován ˇ cas s Open Directory.

Dále je nutné pro správnou funkci ovˇ eˇ rování nastavit soubor /etc/krb5.conf Pˇ ríklad nastavení souboru krb5.conf: [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] ticket_lifetime = 24000 default_realm = FIRMA.CZ dns_lookup_realm = false dns_lookup_kdc = yes [realms] FIRMA.CZ = { kdc = server.firma.cz admin_server = server.firma.cz default_domain = firma.cz } [domain_realm] .firma.cz = FIRMA.CZ firma.cz = FIRMA.CZ [kdc] profile = /var/kerberos/krb5kdc/kdc.conf

296

26.2 Kerio Connect na systému Linux

[appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false } Je-li ovˇ eˇ rování proti Kerberos serveru plnˇ e funkˇ cní, potom je možné nastavit ovˇ eˇ rování v Kerio Connect. Tato nastavení lze provést v sekci Konfigurace → Domény, v záložkách Adresáˇ rová služba a Upˇ resnˇ ení .

Ovˇ eˇ rování proti samostatnému Kerberos serveru (KDC) Chcete-li použít pro ovˇ eˇ rování samostatný Kerberos server (Key Distribution Center), potom bude nutno udržovat databázi uživatelských jmen a hesel v Key Distribution Center i v Kerio Connect. Pˇ red nastavením pˇ rihlašování uživatel˚ u do Linuxu pˇ res Kerberos doporuˇ cujeme nejprve zkontrolovat správnou funkci ovˇ eˇ rování proti Kerberos oblasti (pˇ rihlášením se do systému úˇ ctem definovaným v Key Distribution Center. Pokud se toto nepodaˇ rí, zkontrolujte prosím následující: 1.

Kerio Connect musí být ˇ clenem Kerberos oblasti, proti které se ovˇ eˇ ruje: • na stanici musí být nainstalován Kerberos klient, • jména a hesla všech uživatel˚ u založených v Kerio Connect musí být definována v Key Distribution Center (pokud se mají ovˇ eˇ rovat pˇ res Kerberos).

2.

Poˇ cítaˇ c s aplikací Kerio Connect musí mít správnˇ e nastavenou službu DNS (Key Distribution Center se orientuje na základˇ e DNS dotaz˚ u).

3.

Na poˇ cítaˇ ci s aplikací Kerio Connect musí být synchronizován ˇ cas s Key Distribution Center (všechny poˇ cítaˇ ce v Kerberos oblasti musí mít synchronizovaný ˇ cas).

Dále je nutné pro správnou funkci ovˇ eˇ rování nastavit soubor /etc/krb5.conf Pˇ ríklad nastavení souboru krb5.conf: [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] ticket_lifetime = 24000 297


default_realm = FIRMA.CZ dns_lookup_realm = false dns_lookup_kdc = yes [realms] FIRMA.CZ = { kdc = server.firma.cz admin_server = server.firma.cz default_domain = firma.cz } [domain_realm] .firma.cz = FIRMA.CZ firma.cz = FIRMA.CZ [kdc] profile = /var/kerberos/krb5kdc/kdc.conf [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false } Vyzkoušet si, že je Kerio Connect schopen ovˇ eˇ rovat se proti Key Distribution Center, je možné pomocí utility kinit. Staˇ cí otevˇ rít terminál (pˇ ríkazovou ˇ rádku) a zadat následující pˇ ríkaz: kinit -S host/nazev_serveru@KERBEROS_REALM uzivatelske_jmeno napˇ ríklad: kinit -S host/[email protected] jnovak Pokud dotaz probˇ ehl v poˇ rádku, budete požádáni o heslo zadaného uživatele. Pokud ne, jako odpovˇ ed’ bude doruˇ ceno chybové hlášení. Teprve poté doporuˇ cujeme provést pˇ ríslušná nastavení v Kerio Connect (více vizte kapitolu 7.7).

26.3 Kerio Connect na systému Mac OS X Ovˇ eˇ rování proti Active Directory Pokud je Kerio Connect nainstalován na systému Mac OS X a uživatelské úˇ cty jsou mapovány z Active Directory, potom je nutno provést následující nastavení: 298

26.3 Kerio Connect na systému Mac OS X

Konfigurace DNS Aby se mohl systém Mac OS X pˇ ripojit do Active Directory, nastavíme pˇ revod DNS jmen poˇ cítaˇ cu ˚ z Active Directory. Z tohoto d˚ uvodu nastavíme Active Directory jako primární DNS server:

Obrázek 26.3

Konfigurace DNS

1.

Otevˇ reme aplikaci System Preferences a klikneme na ikonku Network (vizte obrázek 26.3).

2.

Otevˇ re se okno Network. V záložce TCP/IP doplníme do položky DNS servers IP adresu Active Directory serveru. Pokud konfigurace sítˇ e vyžaduje ovˇ eˇ rování proti více doménovým ˇ radiˇ cu ˚m zároveˇ n, potom pˇ ridáme jako DNS servery všechny doménové ˇ radiˇ ce, proti kterým se bude Kerio Connect ovˇ eˇ rovat.

Pˇ ripojení poˇ cítaˇ ce s Kerio Connect do Active Directory domény 299


Poˇ cítaˇ c do Active Directory domény pˇ ripojíme pomocí utility Directory Access (Applications → Utilities), která je standardní souˇ cástí systém˚ u Apple Mac OS X. Konfigurace je následující: 1.

Otevˇ reme aplikaci Directory Access a zaškrtneme v záložce Services službu Active Directory (více vizte obrázek 26.4). Nejprve ovšem zadáme jméno a heslo pro ovˇ eˇ rení. Uživatel, který bude provádˇ et v aplikaci zmˇ eny, musí mít nastavena práva k administraci systému.

Obrázek 26.4

2.

Directory Access — záložka Services

Po zaškrtnutí služby klikneme na tlaˇ cítko Configure a do dialogu doplníme název Active Directory domény (vizte obrázek 26.5).

Obrázek 26.5

Directory Access — konfigurace

300


3.

Klikneme na tlaˇ cítko Bind a nastavíme jméno a heslo administrátora Active Directory, který m˚ uže pˇ ridat poˇ cítaˇ c do Active Directory domény (vizte obrázek 26.6).

Obrázek 26.6

Directory Access — zadání jména a hesla administrátora

Je-li vše nastaveno správnˇ e, poˇ cítaˇ c se po nˇ ekolika vteˇ rinách do domény úspˇ ešnˇ e pˇ ripojí. Nastavení Kerberosu Jakmile se Mac OS X úspˇ ešnˇ e pˇ ripojí k Active Directory doménˇ e, vytvoˇ rí se v adresáˇ ri /Library/Preferences/ speciální soubor edu.mit.Kerberos. Pˇ resvˇ edˇ cte se, že soubor byl vytvoˇ ren, a že byl vytvoˇ ren správnˇ e. Pro porovnání uvádíme následující pˇ ríklad obsahu souboru: # WARNING This file is automatically created by Active Directory # do not make changes to this file; # autogenerated from : /Active Directory/firma.cz # generation_id : 0 [libdefaults] default_realm = FIRMA.CZ ticket_lifetime = 600 dns_fallback = no [realms] FIRMA.CZ = { kdc = server.firma.cz.:88 admin_server = server.firma.cz. } Vyzkoušet si, že Kerio Connect je schopen ovˇ eˇ rovat se proti Active Directory, je možné pomocí utility kinit. Staˇ cí otevˇ rít terminál (pˇ ríkazovou ˇ rádku) a zadat následující pˇ ríkaz: kinit -S host/nazev_serveru@KERBEROS_REALM uzivatelske_jmeno napˇ ríklad: kinit -S host/[email protected] jnovak

301


Pokud dotaz probˇ ehl v poˇ rádku, budete požádáni o heslo zadaného uživatele. Pokud ne, jako odpovˇ ed’ bude doruˇ ceno chybové hlášení.

Ovˇ eˇ rování proti Apple Open Directory Kerio Connect je možno nainstalovat bud’ na stejný server, kde je umístˇ ena také adresáˇ rová služba Apple Open Directory nebo je možno Kerio Connect nainstalovat na jakýkoliv jiný server. Je-li Kerio Connect umístˇ en na stejném serveru jako Open Directory, potom není nutné kromˇ e instalace Kerio Open Directory Extension provádˇ et jakoukoliv další konfiguraci. Je-li však fyzicky umístˇ en na jiném stroji, pak je tˇ reba nastavit externí ovˇ eˇ rování pˇ res Kerberos do Open Directory. Kerio Connect je možno nainstalovat na server se systémem Mac OS X 10.3 a vyšší. Nastavení probíhá na obou verzích systému velmi podobnˇ e. Z toho d˚ uvodu zde bude popsán postup pouze pro verzi Mac OS X 10.4 s tím, že pˇ rípadné odchylky nastavení na systému Mac OS X 10.3 budou explicitnˇ e zmínˇ eny. Nastavení externího ovˇ eˇ rování se provádí pomocí speciální aplikace Directory Access, která se nachází v Applications → Utilities → Directory Access. Tato aplikace v podstatˇ e slouží k vytvoˇ rení speciálního ovˇ eˇ rovacího souboru edu.mit.Kerberos, který najdete v adresáˇ ri /Library/Preferences. Aby ovˇ eˇ rování fungovalo správnˇ e, je tˇ reba provést následující nastavení: 1.

Otevˇ reme aplikaci Directory Access.

2.

V první záložce Services zaškrtneme položku LDAPv3 (vizte obrázek 26.7).

3.

V záložce Services oznaˇ címe kurzorem položku LDAPv3 a stiskneme tlaˇ cítko Configure umístˇ ené pod seznamem služeb.

4.

V dialogu, který se otevˇ rel, najdeme tlaˇ cítko New a stiskneme ho.

5.

Otevˇ re se okno pro zadání názvu nebo IP adresy serveru. Doplníme IP adresu nebo DNS název serveru, kde je spuštˇ ena služba Apple Open Directory. Po zadání serveru klikneme v levém dolním rohu na tlaˇ cítko Manual (v systému Mac OS X 10.3 toto není potˇ reba) a doplníme libovolný název do pole Configuration name (položka slouží pouze pro lepší orientaci).

6.

Konfiguraci uložíme a v menu LDAP Mappings nastavíme Open Directory Server.

7.

Po zvolení Open Directory Server se automaticky otevˇ re okno pro zadání pˇ rípony pro hledání (Search Base Suffix). Pˇ ríponu pro hledání je tˇ reba vyplnit tak, jak to zobrazuje pˇ ríklad na obrázku 26.8: od.firma.cz → dc=od,dc=firma,dc=cz

302


Obrázek 26.7

Obrázek 26.8

Directory Access — Výbˇ er služby LDAP

Directory Access — Nastavení serveru s Open Directory

303


Z výše uvedeného pˇ ríkladu tedy vyplývá, že pˇ ríponu je tˇ reba vždy zapsat ve tvaru dc=subdomena,dc=domena. Kolik subdomén v názvu server obsahuje, tolik jich je nutno do pˇ rípony zapsat. 8.

Nyní je tˇ reba nastavit serveru s Open Directory ovˇ eˇ rování. K tomuto úˇ celu nám dobˇ re poslouží záložka Authentication (vizte obrázek 26.9).

Obrázek 26.9

9.

Directory Access — Nastavení ovˇ eˇ rování

V menu Search musí být zvolena možnost Custom path.

10. Do seznamu Directory Domains je tˇ reba zadat název serveru s Open Directory. Klikneme na tlaˇ cítko Add. Aplikace Directory Access automaticky doplní název Open Directory, který jsme zadali v pˇ redchozí záložce. Nabídnutý název serveru staˇ cí pouze potvrdit. 11. Celé nastavení uložíme tlaˇ cítkem Apply. Directory Access vytvoˇ rí v adresáˇ ri /Library/Preferences soubor edu.mit.Kerberos. Tento soubor je nutno zkontrolovat, zda jsou v nˇ em uvedena správná data. Soubor by mˇ el obsahovat následující parametry: # WARNING This file is automatically created by Open Directory # do not make changes to this file; # autogenerated from : /Open Directory/firma.cz # generation_id : 0 [libdefaults] 304


default_realm = FIRMA.CZ ticket_lifetime = 600 dns_fallback = no [realms] FIRMA.CZ = { kdc = server.firma.cz.:88 admin_server = server.firma.cz. } Vyzkoušet si, že je Kerio Connect schopen ovˇ eˇ rovat se proti Kerberos serveru, je možné pomocí utility kinit. Staˇ cí otevˇ rít terminál (pˇ ríkazovou ˇ rádku) a zadat následující pˇ ríkaz: kinit -S host/nazev_serveru@KERBEROS_REALM uzivatelske_jmeno@REALM napˇ ríklad: kinit -S host/[email protected] [email protected] Pokud dotaz probˇ ehl v poˇ rádku, budete požádáni o heslo zadaného uživatele. Pokud ne, jako odpovˇ ed’ bude doruˇ ceno chybové hlášení. Nyní staˇ cí provést nastavení v Kerio Connect: • V administraˇ cním rozhraní aplikace Kerio Connect v sekci Domény nastavíme záložky Adresáˇ rová služba a Upˇ resnˇ ení (v poli Kerberos 5 musí být zadán realm Apple Open Directory). Upozornˇ ení: Kerberos realm doplnˇ ený v záložce Upˇ resnˇ ení musí být shodný s názvem Kerberos oblasti, který je uveden v souboru /Library/Preferences/edu.mit.Kerberos Konkrétnˇ e musí souhlasit s hodnotou default_realm v tomto souboru. Pˇ ríslušný ˇ rádek tedy m˚ uže vypadat napˇ ríklad takto default_realm = FIRMA.CZ • V administraˇ cním rozhraní aplikace Kerio Connect nastavíme uživatelským úˇ ct˚ um typ ovˇ eˇ rování Apple Open Directory.

Ovˇ eˇ rování proti samostatnému Kerberos serveru (KDC) Chcete-li použít pro ovˇ eˇ rování samostatný Kerberos server (Key Distribution Center), potom bude nutno udržovat databázi uživatelských jmen a hesel v Key Distribution Center i v Kerio Connect. Pˇ red nastavením pˇ rihlašování uživatel˚ u do Kerio Connect pˇ res Kerberos doporuˇ cujeme nejprve zkontrolovat správnou funkci ovˇ eˇ rování proti Kerberos oblasti (pˇ rihlášením se do

305


systému úˇ ctem definovaným v Key Distribution Center na poˇ cítaˇ ci, kam budete Kerio Connect instalovat. Pokud se toto nepodaˇ rí, zkontrolujte prosím následující: 1.

Kerio Connect musí být ˇ clenem Kerberos oblasti, proti které se ovˇ eˇ ruje: • na stanici musí být nainstalován Kerberos klient, • jména a hesla všech uživatel˚ u založených v Kerio Connect musí být definována v Key Distribution Center (pokud se mají ovˇ eˇ rovat pˇ res Kerberos).

2.

Poˇ cítaˇ c s aplikací Kerio Connect musí mít správnˇ e nastavenou službu DNS (Key Distribution Center se orientuje na základˇ e DNS dotaz˚ u).

3.

Na poˇ cítaˇ ci s aplikací Kerio Connect musí být synchronizován ˇ cas s Key Distribution Center (všechny poˇ cítaˇ ce v Kerberos oblasti musí mít synchronizovaný ˇ cas).

Ovˇ eˇ rit správnou funkci Kerberosu lze zkontrolováním souboru /Library/Preferences/edu.mit.Kerberos. Tento soubor by mˇ el obsahovat následující parametry: # # # #

WARNING This file is automatically created by KERBEROS do not make changes to this file; autogenerated from : /KERBEROS/firma.cz generation_id : 0 [libdefaults] default_realm = FIRMA.CZ ticket_lifetime = 600 dns_fallback = no [realms] FIRMA.CZ = { kdc = server.firma.cz.:88 admin_server = server.firma.cz. }

Vyzkoušet si, že Kerio Connect je schopen ovˇ eˇ rovat se proti Kerberosu, je možné pomocí utility kinit. Staˇ cí otevˇ rít terminál (pˇ ríkazovou ˇ rádku) a zadat následující pˇ ríkaz: kinit -S host/nazev_serveru@KERBEROS_REALM username@REALM napˇ ríklad: kinit -S host/[email protected] [email protected] Pokud dotaz probˇ ehl v poˇ rádku, budete požádáni o heslo zadaného uživatele. Pokud ne, jako odpovˇ ed’ bude doruˇ ceno chybové hlášení. Potom teprve doporuˇ cujeme nastavit ovˇ eˇ rování v Kerio Connect v sekci Konfigurace → Domény, v záložce Upˇ resnˇ ení (více vizte kapitolu 7.7).

306

26.4 Spuštˇ ení služby Open Directory a nastavení systému Kerberos

26.4 Spuštˇ ení služby Open Directory a nastavení systému Kerberos V Open Directory je možné ovˇ eˇ rovat uživatele proti password serveru (více vizte kapitolu 10) nebo proti Kerberos serveru (více vizte kapitolu 26). Jak již bylo ˇ reˇ ceno v kapitole 10, ovˇ eˇ rování proti password serveru nevyžaduje témˇ eˇ r žádná nastavení, zatímco ovˇ eˇ rování pˇ res Kerberos není vždy snadné nakonfigurovat. Tato kapitola se tedy bude vˇ enovat správnému nastavení ovˇ eˇ rování proti Kerberos serveru v Open Directory. Po spuštˇ ení Mac OS X Serveru je tˇ reba d˚ ukladnˇ e se pˇ resvˇ edˇ cit, zda je spuštˇ ena adresáˇ rová služba Open Directory a zároveˇ n, zda je spuštˇ en Kerberos server. To lze uˇ cinit v aplikaci Server Admin (Applications → Server → Server Admin). Úvodní okno aplikace Server Admin je rozdˇ eleno na dvˇ e základní ˇ cásti. Levá obsahuje seznam poˇ cítaˇ cu ˚ a služeb, které jsou na tˇ echto poˇ cítaˇ cích spuštˇ eny. V této ˇ cásti je zobrazen poˇ cítaˇ c, kde je, nebo má být spuštˇ ena služba Open Directory. Pokud je služba spuštˇ ena, je zvýraznˇ ena tuˇ cným písmem a zeleným symbolem (vizte obrázek 26.10).

Obrázek 26.10

Služba Open Directory

307


Pravá strana okna obvykle obsahuje informace o službˇ e, záznamy a pˇ rípadná nastavení vybrané služby. Adresáˇ rová služba by mˇ ela být spuštˇ ena automaticky po prvním startu Mac OS X Serveru. Pokud spuštˇ ena není, oznaˇ címe ji kurzorem a použijeme tlaˇ cítko Start Service umístˇ ené na panelu nástroj˚ u. V pravé ˇ cásti okna se pˇ resvˇ edˇ címe, které služby Open Directory jsou spuštˇ eny, a které nikoliv (vizte obrázek 26.10). D˚ uležitá je poslední položka Kerberos. Je-li Kerberos server spuštˇ en, vše je v poˇ rádku a není tˇ reba provádˇ et další nastavení. Není-li služba spuštˇ ena, zkontrolujte prosím následující: 1.

V pravé ˇ cásti okna v záložce Settings musí být server nastaven jako Open Directory Master. Toto nastavení vyžaduje ovˇ eˇ rení. Je nutno použít jméno a heslo administrátora, který je založen v Open Directory, napˇ ríklad uživatel diradmin (vizte obrázek 26.11).

Obrázek 26.11

Nastavení jména a hesla administrátora

2.

Musí být správnˇ e nastavena služba DNS.

3.

Musí být správnˇ e nastaveno DNS jméno (hostname) serveru, kde je spuštˇ ena Open Directory.

Po úspˇ ešném spuštˇ ení Kerberos serveru doporuˇ cujeme pˇ resvˇ edˇ cit se o jeho správném nastavení utilitou kinit. Staˇ cí otevˇ rít terminál (pˇ ríkazovou ˇ rádku) a zadat následující pˇ ríkaz: kinit -S host/nazev_serveru@KERBEROS_REALM uzivatelske_jmeno 308

26.4 Spuštˇ ení služby Open Directory a nastavení systému Kerberos

napˇ ríklad: kinit -S host/[email protected] diradmin Pokud dotaz probˇ ehl v poˇ rádku, budete požádáni o heslo zadaného uživatele. Pokud ne, jako odpovˇ ed’ bude doruˇ ceno chybové hlášení. Poznámka: S odstraˇ nováním pˇ rípadných potíží pˇ ri nastavování ovˇ eˇ rování pˇ res Kerberos vám mohou pomoci záznamy v záložce Logs.

309

Kapitola 27

Nastavení NTLM ovˇ eˇ rování

NTLM (NT LAN Manager) je název pro typ ovˇ eˇ rování, kterým je možné se na systémech Windows ovˇ eˇ rovat proti Active Directory (pˇ rípadnˇ e NT) doménˇ e. Nejprve musíme dodržet následující podmínky: • NTLM ovˇ eˇ rování je možno v Kerio Connect využít pouze v pˇ rípadˇ e, že se uživatelé ovˇ eˇ rují proti Active Directory doménˇ e. To znamená, že lze takto ovˇ eˇ rovat pouze úˇ cty, které jsou bud’ mapovány nebo importovány z Active Directory (vizte kapitoly 10 a 8.9). • Aby bylo NTLM ovˇ eˇ rování funkˇ cní, musí být poˇ cítaˇ ce i uživatelské úˇ cty souˇ cástí domény, proti které se uživatelé ovˇ eˇ rují. • Aby mˇ elo nastavení NTLM ovˇ eˇ rování smysl, musí uživatelé používat poštovní klienty, které podporují NTLM (SPA) ovˇ eˇ rování (napˇ r. MS Outlook). Správné nastavení NTLM ovˇ eˇ rování v Kerio Connect je následující: 1.

V administraˇ cním rozhraní otevˇ reme sekci Domény (Konfigurace → Domény) Otevˇ reme dialog s podrobnostmi nastavení domény a pˇ repneme se do záložky Upˇ resnˇ ení (vizte obrázek 27.1). Do ˇ rádku Doména Windows NT je tˇ reba nejprve doplnit název NT domény (obvykle název Active Directory domény bez domény první úrovnˇ e — CZ, COM, atd.).

2.

V administraˇ cním rozhraní se pˇ repneme do sekce Konfigurace → Další volby do záložky Bezpeˇ cnostní politika a zde zaškrtneme volbu Povolit NTLM ovˇ eˇ rování pro uživatele, kteˇ rí jsou ovˇ eˇ rováni systémem Kerberos. Zaškrtnutím této volby bude uživatel˚ um z Active Directory domény umožnˇ eno ovˇ eˇ rovat se pˇ ri pˇ rihlášení ke Kerio Connect.

310

Obrázek 27.1

Nastavení názvu Windows NT domény

311


Obrázek 27.2

eˇ rování Zaškrtnutí volby Povolit NTLM ovˇ

pro uživatele, kteˇ rí jsou ovˇ eˇ rováni systémem Kerberos

3.

V administraˇ cním rozhraní se pˇ repneme do sekce Úˇ cty → Uživatelé a uživatel˚ um nastavíme jako typ ovˇ eˇ rování volbu Doména Windows NT . Toto nastavení se v uživatelských úˇ ctech provádí v záložce Obecné (vizte obrázek 27.3).

312

27.1 Nastavení NTLM v aplikaci MS Outlook s Kerio Outlook Connectorem

Obrázek 27.3

eˇ rování uživatele Nastavení ovˇ

27.1 Nastavení NTLM v aplikaci MS Outlook s Kerio Outlook Connectorem Kromˇ e nastavení na serveru je tˇ reba povolit NTLM (SPA) ovˇ eˇ rování v poštovních klientech. Obvykle se toto nastavení provádí v nastavení e-mailového úˇ ctu uživatele. Jak nastavit napˇ ríklad MS Outlook s Kerio Outlook Connectorem se dozvíme v následujícím návodu: 1.

V menu Nástroje → Nastavení úˇ ctu se pˇ repneme do záložky E-mail.

2.

Vybereme Kerio Connect (MAPI) úˇ cet a stiskneme tlaˇ cítko Zmˇ enit (vizte obrázek 27.4).

3.

Otevˇ re se nastavení úˇ ctu, kde v záložce Úˇ cet zaškrtneme volbu Bezpeˇ cné ovˇ eˇ rování hesla (SPA) (vizte obrázek 27.5).

313


Obrázek 27.4

Obrázek 27.5

Zmˇ ena e-mailového úˇ ctu


314

Kapitola 28

Nastavení poštovních klient˚ u a firewallu

28.1 Nastavení poštovních klient˚ u Tato kapitola obsahuje základní informace o tom, jak nastavit poštovní klienty (tj. programy, které slouží ke ˇ ctení a psaní e-mailových zpráv). Nezamˇ eˇ ruje se na konkrétního klienta, ale uvádí obecné zásady, které by mˇ ely být dodrženy, aby klient spolupracoval správnˇ e s aplikací Kerio Connect.

Poštovní úˇ cet Poštovní úˇ cet je skupina parametr˚ u, které popisují server pˇ ríchozí a odchozí pošty a podmínky jejich použití. Vˇ etšina poštovních klient˚ u umožˇ nuje pˇ repínat mezi více úˇ cty. Vytvoˇ ríme tedy nový úˇ cet, který bude používán pro pˇ ríjem zpráv a odesílání zpráv pˇ res Kerio Connect. Poznámka: Následující popis nastavení byl vytvoˇ ren podle klienta MS Outlook Express 6.0. Základní nastavení úˇ ctu jsou však ve všech poštovních klientech velmi podobná. Odchozí (osobní) e-mailová adresa Tato adresa by mˇ ela být tvoˇ rena jménem uživatele a doménou tak, jak je úˇ cet nastaven v Kerio Connect, tedy napˇ r. [email protected]. Jméno uživatele M˚ uže být nastaveno libovolnˇ e, slouží pouze pro zobrazení v hlaviˇ cce zprávy v klientovi. Doporuˇ cujeme ale nepoužívat v tomto jménˇ e diakritiku, zejména pokud je známo, že uživatel bude komunikovat s partnery v zahraniˇ cí. Toto jméno nemá žádnou souvislost s plným jménem ˇ ci popisem uživatele v Kerio Connect. Slušný uživatel ale odesílá zprávy výhradnˇ e pod svým vlastním jménem! Server odchozí pošty (SMTP) IP adresa nebo DNS jméno poˇ cítaˇ ce, na nˇ emž Kerio Connect bˇ eží (napˇ r. 192.168.1.1 nebo mail.firma.cz). Server pˇ ríchozí pošty cítaˇ ce, na nˇ emž Kerio Connect bˇ eží (napˇ r. Rovnˇ ež IP adresa nebo DNS jméno poˇ 192.168.1.1 nebo mail.firma.cz). Typ serveru pˇ ríchozí pošty POP3 nebo IMAP. Bˇ eží-li v aplikaci Kerio Connect obˇ e služby, m˚ uže si uživatel dle vlastního uvážení vybrat, který protokol bude používat (podle toho, co je pro nˇ ej výhodnˇ ejší). Typ protokolu nelze již pozdˇ eji zmˇ enit, pouze smazáním úˇ ctu a vytvoˇ rením nového. Je však tˇ reba si uvˇ edomit, že pokud bylo ke schránce dˇ ríve pˇ ristupováno

315


protokolem IMAP, a nyní má být používán protokol POP3, nebude možno stáhnout zprávy z jiné složky než INBOX. Uživatelské jméno a heslo Jméno a heslo k uživatelskému úˇ ctu vytvoˇ renému v Kerio Connect. Není-li úˇ cet vytvoˇ ren v primární doménˇ e, musí se jako uživatelské jméno použít celá e-mailová adresa. Ovˇ eˇ rení na odchozím (SMTP) serveru Toto ovˇ eˇ rení je tˇ reba nastavit, jestliže je v Kerio Connect zapnuta antispamová ochrana (kapitola 13) a ˇ rízení pˇ rístupu — z IP adresy klienta není povoleno odesílání pošty do libovolné domény (vizte kapitolu 12.2). Jinak by klient mohl odesílat zprávy pouze do lokálních domén. Odchozí, resp. pˇ ríchozí server vyžaduje zabezpeˇ cení Tyto volby urˇ cují, zda má být pˇ ri odesílání, resp. pˇ ríjmu pošty použito nešifrované spojení nebo spojení zabezpeˇ cené SSL. S aplikací Kerio Connect je možno použít v obou pˇ rípadech zabezpeˇ cené spojení (bˇ eží-li pˇ ríslušné služby), což je doporuˇ ceno. Bezpeˇ cné ovˇ eˇ rování hesla (SPA/NTLM) Tuto funkci je možno použít, jestliže se uživatel klientského poˇ cítaˇ ce pˇ rihlašuje do NT domény a jeho úˇ cet v Kerio Connect je nastaven tak, aby byl ovˇ eˇ rován v této doménˇ e. Pak není nutné zadávat v klientovi heslo, místo nˇ ej se použijí stejné ovˇ eˇ rovací údaje jako pˇ ri pˇ rihlášení do domény.

Adresáˇ rová služba Jako adresáˇ rovou službu je možno využít LDAP server v Kerio Connect (podrobnosti v kapitole 20).

Práce s IMAP složkami Po vytvoˇ rení poštovního úˇ ctu používajícího protokol IMAP klient stáhne ze serveru seznam složek a zobrazí jej. Uživatel si m˚ uže vybrat složky, které se mají zobrazovat (toto nastavení lze i pozdˇ eji zmˇ enit). V klientovi m˚ uže uživatel vytváˇ ret, pˇ rejmenovávat a mazat složky, stejnˇ e jako v rozhraní Kerio WebMail. Vždy je ale tˇ reba si uvˇ edomit, že se jedná o složky na serveru, nikoliv o lokální složky klienta, jak je tomu pˇ ri použití protokolu POP3! Dále je tˇ reba zajistit, aby poštovní klient i rozhraní Kerio WebMail používali stejné názvy složek pro odeslanou poštu (Sent Items) a koncepty zpráv (Drafts). Poštovní klient také umožˇ nuje nastavit u každé složky tzv. synchronizaci. Je-li složka synchronizována se serverem, znamená to, že každá novˇ e pˇ ríchozí zpráva se okamžitˇ e zobrazí také na klientovi. To ale vyžaduje trvalé pˇ ripojení klienta k serveru. Je-li klient napˇ r. pˇ ripojen vytáˇ cenou linkou, je možno provádˇ et jednorázovou synchronizaci složek ruˇ cnˇ e nebo v urˇ citých intervalech.

316

28.2 WWW prohlížeˇ ce

28.2 WWW prohlížeˇ ce Podporované prohlížeˇ ce pro plnou verzi Kerio WebMailu jsou: • Internet Explorer 6, 7 a 8 • Firefox 3 a vyšší • Safari 4 • Safari na Apple iPhone Ve starších verzích výše jmenovaných prohlížeˇ cu ˚ a ve všech ostatních typech není možné z technických d˚ uvod˚ u spustit plnou verzi Kerio WebMailu, lze však spustit jeho zjednodušenou verzi Kerio WebMail Mini. Kerio WebMail Mini se automaticky spouští na všech typech starších prohlížeˇ cu ˚, v prohlížeˇ cích založených na textovém režimu jako jsou napˇ ríklad Lynx nebo Links, na PDA zaˇ rízeních, v mobilních telefonech atd. Kerio WebMail Mini pro zobrazení nevyužívá CSS a JavaScript. Chcete-li využívat zabezpeˇ cený pˇ rístup k rozhraní Kerio WebMail (protokolem HTTPS), musí prohlížeˇ c podporovat zabezpeˇ cení SSL. Je-li možno jej konfigurovat (napˇ r. v prohlížeˇ ci Microsoft Internet Explorer), doporuˇ cuje se zapnout podporu verzí SSL 3.0 a TLS 1.0.

28.3 Firewall Pomˇ ernˇ e ˇ castým pˇ rípadem bývá, že je Kerio Connect nainstalován v lokální síti chránˇ ené firewallem, pˇ rípadnˇ e pˇ rímo na poˇ cítaˇ ci, kde firewall bˇ eží. Správce systému pak musí, kromˇ e vlastní konfigurace poštovního serveru, provést ještˇ e nˇ ekterá doplˇ nující nastavení. Porty Má-li být poštovní server pˇ rístupný z Internetu, je tˇ reba ve firewallu otevˇ rít (tzv. mapovat) nˇ ekteré porty. Obecnˇ e lze ˇ ríci, že každý mapovaný port znamená díru v zabezpeˇ cení, a tedy ˇ cím ménˇ e mapovaných port˚ u, tím lépe. Pˇ ri mapování port˚ u pro Kerio Connect je vhodné dodržet následující pravidla a doporuˇ cení: • Port 25 musí být mapován, jestliže má být zvenˇ cí pˇ rístupný SMTP server. To je nutné, je-li na tento server nasmˇ erován primární MX záznam pro danou doménu (ˇ ci více domén). V tomto pˇ rípadˇ e je bezpodmíneˇ cnˇ e nutné nastavit antispamovou ochranu (vizte kapitolu 13) a ˇ rízení pˇ rístupu (vizte kapitolu 12.2), aby nemohlo dojít ke zneužití serveru. Na port SMTP serveru se m˚ uže legálnˇ e pˇ ripojit libovolný SMTP server v Internetu, chce-li odeslat e-mail do nˇ ekteré z lokálních domén. Z tohoto d˚ uvodu nesmí být na mapovaný port 25 omezen pˇ rístup pouze z vybrané skupiny IP adres. Je-li veškerá pˇ ríchozí pošta pouze vybírána ze vzdálených POP3 schránek, není tˇ reba port 25 mapovat. • Porty ostatních služeb (POP3, IMAP, HTTP, LDAP a Secure LDAP) je tˇ reba mapovat tehdy, pokud chtˇ ejí klienti pˇ ristupovat ke svým schránkám odjinud než z chránˇ ené 317


lokální sítˇ e (typický pˇ rípad je mobilní uživatel s notebookem). V tomto pˇ rípadˇ e je silnˇ e doporuˇ ceno používat výhradnˇ e zabezpeˇ cené verze všech služeb a na firewallu povolit pouze porty pro tyto služby (tedy 636, 443, 993, 995). • Je-li možné definovat subsítˇ eˇ ci rozsahy IP adres, odkud se vzdálení klienti pˇ ripojují, doporuˇ cuje se také omezit pˇ rístup k mapovaným port˚ um pouze z tˇ echto adres. Toto je bohužel nerealizovatelné, pokud se zmínˇ ený mobilní uživatel pohybuje po celém svˇ etˇ e a pˇ ripojuje se náhodnˇ e k r˚ uzným poskytovatel˚ um Internetu.

Telefonické pˇ ripojení Bˇ eží-li Kerio Connect a firewall na tomtéž poˇ cítaˇ ci, který je pˇ ripojen k Internetu vytáˇ cenou linkou, m˚ uže vzniknout požadavek, aby poštovní server používal jiné telefonické pˇ ripojení (napˇ r. k jinému poskytovateli) než firewall pro pˇ rístup k Internetu. Pak ale firewall musí znát obˇ e tato pˇ ripojení — v opaˇ cném pˇ rípadˇ e by blokoval pakety jdoucí pˇ ripojením, které využívá poštovní server (firewall nesmí propustit žádný neznámý paket v žádném smˇ eru).

318

Kapitola 29

Pˇ ríklady nastavení

Tato kapitola ukazuje na nˇ ekolika modelových pˇ ríkladech praktické nasazení aplikace Kerio Connect v konkrétních podmínkách. Každý pˇ ríklad je v podstatˇ e aplikací postupu Rychlé nastavení (vizte kapitolu 1.3) na danou situaci. Tyto pˇ ríklady by vám mˇ ely pomoci rychle a jednoduše nasadit Kerio Connect ve vaší firmˇ e.

29.1 Trvalé pˇ ripojení k Internetu Informace a požadavky 1.

Firma má vlastní doménu firma.cz, primární MX záznam je nasmˇ erován na poˇ cítaˇ c, kde bude nainstalován Kerio Connect (ten má v DNS pˇ riˇ razeno jméno mail.firma.cz).

2.

Pˇ ripojení k Internetu je realizováno pevnou linkou.

3.

Nadˇ razený SMTP server není k dispozici.

4.

Firma má NT doménu DOMENA, uživatelé mají být ovˇ eˇ rováni v této doménˇ e.

5.

Výrobní oddˇ elení má mít speciální adresu [email protected], obchodní oddˇ elení [email protected]

6.

Nˇ ekteˇ rí uživatelé si pˇ rejí, aby Kerio Connect vybíral jejich soukromé schránky v Internetu a doruˇ coval je do lokálních schránek.

7.

Pro antivirovou kontrolu pošty má být použit program AVG 7.0, nesmˇ ejí být posílány žádné pˇ rílohy typu EXE, COM, BAT a VBS.

8.

Vzdálená správa aplikace Kerio Connect smí být povolena pouze z adresy 67.34.112.2 (externí správce).

Realizace 1.

V sekci Konfigurace → Domény vytvoˇ ríme primární lokální doménu firma.cz a zadáme internetové jméno serveru mail.firma.cz. V záložce Ovˇ eˇ rování zadáme jméno NT domény DOMENA.

2.

V sekci Úˇ cty → Uživatelé tlaˇ cítkem Import a export importujeme požadované uživatele z domény DOMENA. Tak nebude nutno definovat úˇ cty ruˇ cnˇ e. 319


3.

V sekci Úˇ cty → Skupiny vytvoˇ ríme skupiny Vyroba a Obchod a zaˇ radíme do nich pˇ ríslušné uživatele.

4.

V sekci Úˇ cty → Aliasy definujeme aliasy vyroba a obchod doruˇ cované pˇ ríslušným skupinám uživatel˚ u.

5.

Pˇ ripojení k Internetu je trvalé. V sekci Konfigurace → Doruˇ cování → Internetové pˇ ripojení tedy vybereme volbu Online.

6.

Odchozí pošta bude odesílána pˇ rímo do cílových domén. V sekci Konfigurace → SMTP server v záložce SMTP doruˇ cování vybereme volbu Doruˇ covat pˇ rímo dle DNS MX záznam˚ u.

7.

V sekci Konfigurace → Doruˇ cování → Stahování POP3 schránek definujeme vybírání požadovaných externích schránek. U každé z nich vybereme uživatele, kterému má být její obsah doruˇ cován.

8.

Nastavíme plánování pro vybírání vzdálených schránek. Pevná linka je rychlá a za pˇ ripojení se nic neúˇ ctuje, proto mohou být schránky vybírány pomˇ ernˇ eˇ casto. Nastavíme plánování: Každých 10 minut. Odchozí e-maily jsou odesílány okamžitˇ e a pomocí ETRN se žádná pošta nepˇ rijímá — staˇ cí tedy zaškrtnout akci Stáhnout zprávy ze vzdálených POP3 schránek.

9.

V sekci Konfigurace → Filtrování obsahu → Antivirus povolíme antivirovou kontrolu a vybereme modul AVG 7.0. V sekci Konfigurace → Filtrování obsahu — Filtrování pˇ ríloh povolíme filtrování a nastavíme názvy zakázaných soubor˚ u — tedy *.exe, *.com, *.bat a *.vbs.

10. V sekci Konfigurace → Definice → Skupiny IP adres vytvoˇ ríme skupinu Vzdálená správa a pˇ ridáme do ní jedineˇ cnou IP adresu (Poˇ cítaˇ c ) 67.34.112.2. 11. V sekci Konfigurace → Vzdálená správa zaškrtneme volbu Povolit vzdálenou správu po síti i volbu Pouze z této skupiny IP adres. Zde vybereme vytvoˇ renou skupinu Vzdálená správa.

29.2 Vytáˇ cená linka + doménový koš Informace a požadavky 1.

Firma má vlastní doménu jinafirma.cz, veškeré zprávy poslané na tuto adresu jsou ukládány do doménové schránky jinafirma na serveru pop3.poskytovatel.cz s pˇ rístupovým heslem heslo.

2.

Pˇ ripojení k Internetu je realizováno vytáˇ cenou linkou.

3.

Poskytovatel Internetu umožˇ nuje odesílat odchozí poštu pˇ res sv˚ uj server smtp.poskytovatel.cz, 320

29.2 Vytáˇ cená linka + doménový koš

jestliže se na nˇ em odesílatel ovˇ eˇ rí jménem a heslem (shodné jako pro POP3). 4.

V pracovní dobˇ e (pondˇ elí až pátek 8:00-17:00 hod) se má pošta stahovat každou hodinu, mimo pracovní dobu ve 20:00, 0:00 a 5:00 hod.

Realizace 1.

V sekci Konfigurace → Domény vytvoˇ ríme primární lokální doménu jinafirma.cz a zadáme internetové jméno serveru mail.jinafirma.cz (to je v tomto pˇ rípadˇ e víceménˇ e fiktivní, ale obsahuje název naší domény). Tím, že je zde doména definována jako lokální, se dosáhne toho, že pošta posílaná mezi lokálními uživateli nebude odesílána do Internetu a odtud stahována zpˇ et.

2.

V sekci Úˇ cty → Uživatelé vytvoˇ ríme uživatelské úˇ cty všem lokálním uživatel˚ um.

3.

Server se bude pˇ ripojovat k Internetu vytáˇ ceným pˇ ripojením (které je již v systému vytvoˇ reno). V sekci Konfigurace → Doruˇ cování → Internetové pˇ ripojení vybereme volbu Offline, zaškrtneme volbu Použít vytáˇ cené pˇ ripojení do Internetu, vybereme požadovanou položku telefonického pˇ ripojení (RAS) a zadáme pˇ ríslušné jméno a heslo pro toto pˇ ripojení.

4.

Veškerá odchozí pošta bude odesílána pˇ res nadˇ razený SMTP server. V sekci Konfigurace → SMTP server v záložce SMTP doruˇ cování vybereme volbu Použít nadˇ razený SMTP server a zadáme jeho jméno — smtp.poskytovatel.cz. Server vyžaduje ovˇ eˇ rení, proto zapneme volbu Nadˇ razený server vyžaduje ovˇ eˇ rování a vyplníme zde pˇ ríslušné jméno a heslo. Typ ovˇ eˇ rování nastavíme Pˇ ríkaz SMTP AUTH (pˇ rihlášení na SMTP server).

5.

V sekci Konfigurace → Doruˇ cování → Stahování POP3 schránek, záložka Úˇ cty, definujeme vybírání doménové schránky jinafirma na serveru pop3.poskytovatel.cz. Zprávy z této schránky mají být rozdˇ elovány podle tˇ rídicích pravidel — zvolíme Použít tˇ rídicí pravidla. Výbˇ er preferované hlaviˇ cky doporuˇ cujeme konzultovat se správcem serveru, na nˇ emž schránka leží. Výchozí hlaviˇ cka Received by ale mˇ ela vyhovˇ et ve vˇ etšinˇ e situací.

6.

V sekci Konfigurace → Doruˇ cování → Stahování POP3 schránek, záložka Tˇ rídicí pravidla, nastavíme tˇ rídicí pravidla pro e-mailové adresy jednotlivých uživatel˚ u.

7.

ˇ V sekci Konfigurace → Definice → Casové intervaly si vytvoˇ ríme ˇ casový interval Pracovní doba, obsahující rozsah hodin 8:00-17:00 a platný ve dnech Po-Pá, který využijeme pˇ ri definici plánování.

8.

Nastavíme plánování pro vybírání POP3 schránky a odesílání zpráv z odchozí fronty: Pˇ ridáme jedno plánování pro každou hodinu (Každých 1 hodin) platné v intervalu Pracovní doba a tˇ ri plánování pro konkrétní ˇ casy (V ), platné vždy. U všech plánování zaškrtneme nejen volbu

321


Stáhnout zprávy ze vzdálených POP3 schránek, ale také Odeslat zprávy z odchozí fronty, aby se odeslaly všechny pˇ rípadné odchozí zprávy.

29.3 Vytáˇ cená linka + ETRN Informace a požadavky 1.

Firma má vlastní doménu tretifirma.cz, primární MX záznam je nasmˇ erován na poˇ cítaˇ c, kde bude nainstalován Kerio Connect (ten má v DNS pˇ riˇ razeno jméno mail.tretifirma.cz).

2.

Sekundární MX záznam pro doménu je nasmˇ erován na SMTP server etrn.poskytovatel.cz, který podporuje pˇ ríkaz ETRN a vyžaduje ovˇ eˇ rení jménem a heslem.

3.

Pˇ ripojení k Internetu je realizováno vytáˇ cenou linkou (pˇ ridˇ eluje se pevná IP adresa, na niž je v DNS nastaveno jméno mail.tretifirma.cz).

4.

Poskytovatel Internetu umožˇ nuje odesílat odchozí poštu pˇ res sv˚ uj server smtp.poskytovatel.cz, jestliže se na nˇ em odesílatel ovˇ eˇ rí jménem a heslem.

5.

V pracovní dobˇ e (pondˇ elí až pátek 8:00-17:00 hod) se má pošta stahovat každou hodinu, mimo pracovní dobu ve 20:00, 0:00 a 5:00 hod.

Realizace 1.

V sekci Konfigurace → Domény vytvoˇ ríme primární lokální doménu tretifirma.cz a zadáme internetové jméno serveru mail.tretifirma.cz. V dobˇ e, kdy bude linka vytoˇ cena, bude Kerio Connect fungovat jako primární server této domény. Bude-li linka zavˇ ešena, e-maily budou posílány na sekundární server.

2.

V sekci Úˇ cty → Uživatelé vytvoˇ ríme uživatelské úˇ cty všem lokálním uživatel˚ um.

3.

Server se bude pˇ ripojovat k Internetu vytáˇ ceným pˇ ripojením (které je již v systému vytvoˇ reno). V sekci Konfigurace → Doruˇ cování → Internetové pˇ ripojení vybereme volbu Offline, zaškrtneme volbu Použít vytáˇ cené pˇ ripojení k Internetu, vybereme požadovanou položku telefonického pˇ ripojení (RAS) a zadáme pˇ ríslušné jméno a heslo pro toto pˇ ripojení.

4.

Veškerá odchozí pošta bude odesílána pˇ res nadˇ razený SMTP server. V sekci Konfigurace → SMTP server v záložce SMTP doruˇ cování vybereme volbu Použít nadˇ razený SMTP server a zadáme jeho jméno — smtp.poskytovatel.cz. Server vyžaduje ovˇ eˇ rení, proto zapneme 322

29.3 Vytáˇ cená linka + ETRN

volbu Nadˇ razený server vyžaduje ovˇ eˇ rování a vyplníme zde pˇ ríslušné jméno a heslo. Typ ovˇ eˇ rování nastavíme Pˇ ríkaz SMTP AUTH (pˇ rihlášení na SMTP server). 5.

V sekci Konfigurace → Doruˇ cování → Pˇ ríjem pomocí ETRN , definujeme položku: server: etrn.poskytovatel.cz, doména: tretifirma.cz, Server vyžaduje ovˇ eˇ rení , zadáme pˇ ríslušné jméno a heslo.

6.

ˇ V sekci Konfigurace → Definice → Casové intervaly si vytvoˇ ríme ˇ casový interval Pracovní doba, obsahující rozsah hodin 8:00:00-17:00:00 a platný ve dnech pondˇ elí až pátek, který využijeme pˇ ri definici plánování.

7.

Nastavíme plánování pro pˇ ríjem a odesílání zpráv: Pˇ ridáme jedno plánování pro každou hodinu (Každých 1 hodin) platné v intervalu Pracovní doba a tˇ ri plánování pro konkrétní ˇ casy (V ), platné vždy. U všech plánování zaškrtneme nejen volbu Poslat pˇ ríkaz ETRN na definované SMTP servery, ale také Odeslat zprávy z odchozí fronty, aby se odeslaly všechny pˇ rípadné odchozí zprávy.

323

Kapitola 30

ˇešení možných problém˚ R u v Kerio Connect

30.1 Reindexace poštovních složek Problém Uživatel má problém se zobrazením poštovní složky nebo dokonce celého mailboxu. Poškozená složka se jeví jako prázdná nebo jsou v ní zobrazeny jen nˇ ekteré zprávy. Velmi pravdˇ epodobnou pˇ ríˇ cinou tohoto problému je nesouhlasící obsah speciálního souboru index.fld s adresáˇ rem #msgs v nˇ ekteré z poštovních složek aplikace Kerio Connect. Pro lepší orientaci v celém problému si musíme nejprve vysvˇ etlit, jak Kerio Connect pracuje se zprávami. E-mailové zprávy, kontakty, události, úkoly a poznámky jsou fyzicky ukládány do úložištˇ e ve formˇ e stromové struktury složek. Tímto úložištˇ em je adresáˇ r \store, který se dále ˇ clení na domény, poštovní schránky uživatel˚ u a složky v tˇ echto schránkách. Každá poštovní složka obsahuje nˇ ekolik adresáˇ ru ˚ a soubor˚ u, kam jsou fyzicky ukládány e-mailové zprávy a také r˚ uzné informace o nich. Pro nás je d˚ uležitý adresáˇ r #msgs, kam jsou fyzicky ukládány zprávy ve formátu .eml soubor˚ u a speciální soubor index.fld, pomocí kterého se Kerio Connect orientuje v adresáˇ ri #msgs pˇ ri komunikaci s poštovními klienty. Tento soubor se vytváˇ rí pro každou poštovní složku hned pˇ ri prvním spuštˇ ení Kerio Connect. Soubor index.fld obsahuje seznam zpráv, které daná složka obsahuje, a specifické informace k nim. Každý ˇ rádek v souboru pˇ redstavuje záznam o jedné e-mailové zprávˇ e, která je ve složce uložena. Soubor index.fld a adresáˇ r #msgs jsou oba uloženy v každé složce, kterou má uživatel ve schránce vytvoˇ renu. Jako pˇ ríklad si m˚ užeme uvést následující cestu: \Kerio\MailServer\store\mail\firma.cz\jnovak\INBOX

ˇešení R Následující ˇ rešení je velmi jednoduché: 1.

Zastavíme Kerio Connect Engine.

2.

V úložišti Kerio Connect, v adresáˇ ri store najdeme doménu uživatele, který má problémy s nˇ ekterou ze svých složek. V této složce najdeme a otevˇ reme složku nazvanou jeho/jejím uživatelským jménem. Tato složka fyzicky obsahuje celou poštovní schránku. Podsložky,

324

30.2 Pˇ renos konfigurace a dat serveru na jiný poˇ cítaˇ c

které si uživatelé sami vytvoˇ rili jsou vnoˇ reny do hlavních složek — jsou uspoˇ rádány ve stejné hierarchii jako se zobrazují v rozhraní Kerio WebMail. 3.

Ze složek vybereme tu, se kterou mˇ el uživatel problémy, otevˇ reme ji a pˇ rejmenujeme soubor index.fld na index.bad

4.

Spustíme Kerio Connect Engine.

Pˇ ri prvním následném pˇ rihlášení uživatele k jeho schránce se soubor automaticky znovu vytvoˇ rí — tentokráte podle aktuálního stavu složky a zároveˇ n pˇ revezme flagy (pˇ ríznaky zpráv, které zobrazují napˇ ríklad zda zpráva nebyla oznaˇ cena jako smazaná, nebo zda byla pˇ reposlána) z p˚ uvodního souboru pˇ rejmenovaného na index.bad. Po spuštˇ ení Kerio Connect se v záznamu Error objeví záznam: [23/Jun/2005 12:12:47] mail_folder.cpp: Folder [email protected]/Contacts has corrupted status and index files, going to restore them. Some flag information may be lost

30.2 Pˇ renos konfigurace a dat serveru na jiný poˇ cítaˇ c Tato sekce popisuje situaci, kdy je potˇ reba pˇ reinstalovat operaˇ cní systém na poˇ cítaˇ ci, kde je provozován Kerio Connect, nebo pˇ renést data i konfiguraci Kerio Connect fyzicky na jiný poˇ cítaˇ c. Nejjednodušším zp˚ usobem, jak pˇ renést data i konfiguraˇ cní soubory do nového úložištˇ e, je provést kompletní zálohu stávající aplikace Kerio Connect a tu pozdˇ eji rozbalit v novém úložišti nového Kerio Connect. Plná záloha obsahuje všechna data (složka store) i konfiguraˇ cní soubory vˇ cetnˇ e licence a používaných SSL certifikát˚ u (vizte sekci 15.2). Obnovení obsahu a konfigurace serveru ze zálohy Pro pˇ renos konfigurace a dat aplikace Kerio Connect na jiný poˇ cítaˇ c je potˇ reba následující: 1.

Proved’te kompletní zálohu v p˚ uvodním Kerio Connect (vizte kapitolu 15.2).

2.

Nainstalujte nový Kerio Connect.

3.

Zastavte Kerio Connect Engine nového Kerio Connect.

4.

Nástrojem Kerio Connect Recover rozbalte zálohu do nového úložištˇ e nového Kerio Connect.

5.

(Nepovinné) Pˇ red pˇ renosem konfigurace doporuˇ cujeme zazálohovat adresáˇ r myspell, a poté ho vkopírovat do nového úložištˇ e, pokud využíváte jiné než výchozí slovníky pro kontrolu pravopisu v rozhraní Kerio WebMail (o slovnících myspell se dozvíte více v sekci 17.3).

6.

Spust’te Kerio Connect Engine.

325

Kapitola 31


Kerio Outlook Connector je speciální modul pro MS Outlook, který rozšiˇ ruje spolupráci mezi aplikací Kerio Connect a MS Outlookem. Tento modul umožˇ nuje, aby data, která uživatelé potˇ rebují ke své práci, z˚ ustávala uložena na serveru. Tˇ emito daty jsou myšleny poštovní složky, kalendáˇ re, úkoly, kontakty, poznámky a samozˇ rejmˇ e také veˇ rejné složky. Spoleˇ cnost Kerio Technologies vyvinula kromˇ e standardního Kerio Outlook Connectoru nový Kerio Outlook Connector (Offline Edition). Kerio Outlook Connector (Offline Edition) má proti Kerio Outlook Connectoru mnoho výhod. Hlavní z nich asi nejvíce využijí uživatelé s notebooky, protože jak napovídá název produktu, Kerio Outlook Connector (Offline Edition) umožˇ nuje v MS Outlooku pracovat offline. K dalším výhodám bezesporu patˇ rí možnost vyhledávání v tˇ elech zpráv nebo takzvané seskupování. O Kerio Outlook Connectoru (Offline Edition) se dozvíte více v sekci 31.1.

31.1 Kerio Outlook Connector (Offline Edition) Kerio Outlook Connector (Offline Edition) — pro zjednodušení jen Kerio Outlook Connector — je rozšiˇ rující modul pro MS Outlook, který umožˇ nuje širokou spolupráci mezi Kerio Connect a MS Outlookem. Tato spolupráce nabízí následující možnosti: • Pošta, události, poznámky, kontakty a úkoly jsou ukládány v Kerio Connect, a proto jsou dostupné odkudkoliv, kde máme k dispozici internetové pˇ ripojení. Pˇ ripojit se m˚ užeme nejen pomocí MS Outlooku, ale také pˇ res rozhraní Kerio WebMail nebo jiným poštovním klientem. • MS Outlook lze pˇ repnout do režimu offline. To znamená, že m˚ užeme poštu vyˇ rizovat i z domova nebo tˇ reba z autobusu. Tedy z míst, kde nemáme k dispozici internetové pˇ ripojení nebo kde je pˇ ríliš pomalé. Po opˇ etovném pˇ ripojení do režimu online Kerio Outlook Connector synchronizuje s poštovním serverem všechny zmˇ eny a odešle poštu z Outboxu. • Kerio Outlook Connector podporuje práci se složkami. • V kalendáˇ rích je podporována vlastnost plánování sch˚ uzek a ve složkách s úkoly pˇ riˇ razování úkol˚ u dalším osobám. • Kerio Outlook Connector umožˇ nuje nastavení pravidel pro pˇ ríchozí poštu, která jsou umístˇ ena na serveru, a proto jsou platná globálnˇ e — pošta se bude tˇ rídit stejnˇ e v rozhraní Kerio WebMail i v jiných poštovních klientech. 326

31.1 Kerio Outlook Connector (Offline Edition)

• Kerio Outlook Connector nabízí spolu s Kerio Connect vlastní antispamovou strategii. • Kerio Outlook Connector umožˇ nuje vyhledávání v tˇ elech zpráv. • Kerio Outlook Connector podporuje seskupování zpráv. Poznámka: Tento manuál popisuje: • pouze taková nastavení MS Outlook, která pˇ rímo souvisí s aplikací Kerio Outlook Connector. Popis nastavení MS Outlook a jeho funkcí najdete napˇ ríklad na http://office.microsoft.com/cs-cz/outlook/FX100647191029.aspx. • nastavení v MS Outlooku 2007. Na starších verzích MS Outlooku se nastavení m˚ uže mírnˇ e lišit. Pro správnou funkci modulu musí být v Kerio Connect spuštˇ ena služba HTTP(S) — pˇ res tento protokol probíhá veškerá komunikace s aplikací Kerio Connect. Kerio Outlook Connector je lokalizován do jazyk˚ u vyjmenovaných v tabulce 31.1. Angliˇ ctina


Ruština

ˇ Ceština


Slovenština

ˇ Cínština

Italština

Španˇ elština

Polština



Tabulka 31.1 Podporované jazyky

Lokalizace Kerio Outlook Connectoru se nastavuje automaticky podle lokalizace aplikace MS Outlook. V pˇ rípadˇ e, že je MS Outlook v lokalizaci, kterou Kerio Outlook Connector nemá k dispozici, bude automaticky lokalizován do anglického jazyka. Konkrétní možnosti a nastavení Kerio Connect 7, Pˇ ríruˇ cka uživatele).

v

MS

Outlooku

jsou

popsána

v

manuálu

31.1.1 Ruˇ cní instalace na uživatelské stanici Instalaci Kerio Outlook Connectoru je možno spustit na tˇ echto verzích operaˇ cního systému: • Windows XP • Windows Vista (32 a 64 bit˚ u) s poslední nainstalovanou aktualizací Service Pack • Windows 7 Instalaci Kerio Outlook Connectoru je možno spustit s tˇ emito verzemi MS Outlooku: • Outlook XP s poslední aktualizací Service Pack. • Outlook 2003 s poslední aktualizací Service Pack. 327


• Outlook 2007 s poslední aktualizací Service Pack. • Outlook 2010. Kerio Outlook Connector (Offline Edition) vyžaduje Internet Explorer 6.0 a vyšší. Upozornˇ ení: Kerio Outlook Connector (Offline edition) komunikuje se serverem pˇ res rozhraní MAPI, které je založeno na protokolu HTTP(S). Z toho d˚ uvodu je tˇ reba na serveru spustit službu HTTP(S) a namapovat pˇ ríslušný port nebo porty na firewallu, kterým je server chránˇ en. Instalaˇ cní balíˇ cek Kerio Outlook Connectoru lze snadno získat takto: 1.

Otevˇ rete prohlížeˇ c a zadejte do nˇ ej URL adresu vašeho poštovního serveru ve tvaru http://nazev_serveru/ (napˇ ríklad: http://mail.firma.cz/).

2.

Pokud jste adresu zadali správnˇ e, zobrazí se pˇ rihlašovací stránka do rozhraní Kerio WebMail. Zde kliknˇ ete na odkaz Integrace s Windows, který je umístˇ en pod pˇ rihlašovacím dialogem.

3.

Otevˇ re se webová stránka Integrace s Windows, kde staˇ cí kliknout na odkaz Stáhnout Kerio Outlook Connector.

Instalace Kerio Outlook Connectoru probíhá standardnˇ e pomocí instalaˇ cního pr˚ uvodce. Po instalaci je zapotˇ rebí explicitnˇ e nastavit profil a poštovní úˇ cet. Upozornˇ ení:

• Na poˇ cítaˇ ci nejprve musí být nainstalován a alespoˇ n jednou spuštˇ en MS Outlook, a teprve poté Kerio Outlook Connector (Offline Edition). V opaˇ cném pˇ rípadˇ e nebude aplikace funkˇ cní. • Pˇ ri zmˇ enˇ e verze aplikace MS Outlook je nutné Kerio Outlook Connector ruˇ cnˇ e pˇ reinstalovat. • Pˇ recházíte-li z jiného poštovního serveru (napˇ r. Exchange) na Kerio Connect, je tˇ reba v MS Outlook vytvoˇ rit zcela nový profil.

Instalace na stanice kde byl nainstalován Kerio Outlook Connector Upgrade Kerio Outlook Connectoru na Kerio Outlook Connector (Offline Edition) je ve vˇ etšinˇ e pˇ rípad˚ u bezproblémový. Po spuštˇ ení instalace se automaticky spustí konvertor, který pˇ revede všechny Kerio profily pˇ rihlášeného uživatele na profily pro Kerio Outlook Connector . Je-li 328


stanice online pˇ ripojena ke Kerio Connect, automaticky se vytvoˇ rí a aktualizuje lokální databáze Kerio Outlook Connector . Speciální pˇ rípady: Jednu uživatelskou stanici využívá více uživatel˚ u Využívá-li uživatelskou stanici více uživatel˚ u, provedeme instalaci jednou a pod každým z ostatních uživatel˚ u spustíme pouze konvertor, který je umístˇ en v menu Start → Programy → Kerio → Outlook Profile Conversion Utility. Kerio Outlook Connector je instalován bez pˇ rístupu ke Kerio Connect V takovém pˇ rípadˇ e jsou profily zmˇ enˇ eny, avšak je tˇ reba je po pˇ ripojení k serveru dokonˇ cit: V dialogu pro obsluhu profil˚ u (Start → Nastavení → Ovládací panely → Pošta → Zobrazit profily) vybereme Kerio profil a stiskneme tlaˇ cítko Vlastnosti. 2. V pr˚ uvodci klikneme na tlaˇ cítko Uživatelské úˇ cty. 3. V dalším kroku poklepeme na Kerio úˇ cet a jeho údaje potvrdíme tlaˇ cítkem OK. Dále se automaticky provede dokonˇ cení konverze na profil Kerio Outlook Connector . Tuto proceduru je tˇ reba provést s každým profilem, kde je založen Kerio úˇ cet.

1.

Nastavení profilu a poštovního úˇ ctu Uživatel si pro MS Outlook m˚ uže vytvoˇ rit libovolné množství profil˚ u. Využívání více profil˚ u je nezbytné zejména ve dvou pˇ rípadech. Bud’ má k poˇ cítaˇ ci pˇ rístup více lidí najednou, a každý z nich potˇ rebuje vlastní e-mailovou schránku, nebo uživatel používá více r˚ uzných poštovních schránek a chce pro nˇ e mít odlišná nastavení. V ostatních pˇ rípadech staˇ cí vytvoˇ rit pouze jeden profil pro jeden ˇ ci více poštovních úˇ ct˚ u. Nový profil lze nastavit v menu Start → Nastavení → Ovládací panely → Pošta: 1.

V dialogu Nastavení pošty vybereme tlaˇ cítko Zobrazit profily.

2.

Nový profil pˇ ridáme tlaˇ cítkem Pˇ ridat. Jméno profilu m˚ uže být libovolné.

3.

Otevˇ re se pr˚ uvodce pro založení nového poštovního úˇ ctu. Do dialogu není tˇ reba nic zapisovat, staˇ cí jen zaškrtnout volbu Konfigurovat ruˇ cnˇ e nastavení serveru nebo další typy server˚ u umístˇ enou vlevo dole.

4.

V dialogu Zvolit e-mailovou službu vybereme možnost Jiné a oznaˇ címe Kerio Connect (KOC Offline Edition) (vizte obrázek 31.1). Poté stiskneme tlaˇ cítko Další .

5.

V dialogu v záložce Úˇ cty nastavíme základní parametry pro pˇ ripojení k poštovnímu serveru (vizte obrázek 31.2):

329


Obrázek 31.1

Nastavení nového úˇ ctu — výbˇ er e-mailové služby

330


Obrázek 31.2

Nastavení nového úˇ ctu

Název serveru DNS jméno nebo IP adresa poštovního serveru (to nám obvykle sdˇ elí správce sítˇ e). Bezpeˇ cné ovˇ eˇ rování hesla Volba umožˇ nuje využití NTLM ovˇ eˇ rování. Po jejím zaškrtnutí uživatel nemusí nastavovat uživatelské jméno a heslo — místo jména a hesla bude použito ovˇ eˇ rování proti doménˇ e. Aby bylo SPA ovˇ eˇ rování funkˇ cní, je nutné, aby poˇ cítaˇ c i uživatelský úˇ cet byly souˇ cástí domény, proti které se uživatel ovˇ eˇ ruje. Uživatelské jméno Uživatelské jméno používané pro pˇ rihlášení k poštovnímu serveru. Pokud uživatel není zaˇ razen do primární domény, musí být uživatelské jméno zadáno vˇ cetnˇ e domény (pˇ ríklad: [email protected]). Heslo Zadáme své uživatelské heslo. Uložit heslo Zakšrtnete-li tuto volbu, MS Outlook si heslo zapamatuje a pˇ ri dalším pˇ rihlášení je již nebude nutné zadávat. Má-li k poˇ cítaˇ ci pˇ rístup více osob, doporuˇ cujeme tuto volbu z bezpeˇ cnostních d˚ uvod˚ u nezaškrtávat. 331


Tlaˇ cítko Zjistit ze serveru umožˇ nuje vyzkoušet, zda byly údaje vyplnˇ eny správnˇ e, a zda je spojení s Kerio Connect v poˇ rádku. Pokud test probˇ ehne bez problém˚ u, pole Jméno a Elektronická adresa budou automaticky vyplnˇ ena správnými údaji. 6.

Výchozí konfigurace zabezpeˇ cuje veškerou komunikaci mezi Kerio Connect a MS Outlookem protokolem SSL. Doporuˇ cujeme toto nastavení nemˇ enit, pokud nemáte s šifrovanou komunikací problémy.

31.1.2 Automatická instalace a nastavení profilu uživatel˚ u Spoleˇ cnost Kerio Technologies pˇ ripravila svým zákazník˚ um nástroj ProfileCreator, který umožˇ nuje automatické vytvoˇ rení poštovního profilu uživatele na klientských stanicích. Hlavní výhodou tohoto nástroje je možnost vytváˇ ret profily uživatel˚ u dávkovˇ e pomocí jednoduchého skriptu. Jak pˇ resnˇ e lze ProfileCreator použít najdete ve scénáˇ rích použití umístˇ ených níže v textu. ProfileCreator je nástrojem pro Windows spustitelný z pˇ ríkazové ˇ rádky, který najdete v adresáˇ ri, kde je nainstalován Kerio Outlook Connector. Spustit jej lze pˇ ríkazem ProfileCreator.exe. Po zavolání pˇ ríkazu se vypíše nápovˇ eda k jeho použití. ProfileCreator lze spustit ve dvou základních režimech podle typu ovˇ eˇ rování: • Ovˇ eˇ rování uživatelským jménem a heslem: PROFILECREATOR /profile=<profile> /host= /user=<user> [/password=<password>] [/port=<port>] [/tlimit=] [/quiet] [/nossl] [/nocompression] [/offline] [/rename] • Ovˇ eˇ rování pomocí SPA (Secure Password Authentication): PROFILECREATOR /profile=<profile> /host= /spa [/port=<port>] [/tlimit=] [/quiet] [/nossl] [/nocompression] [/offline] [/rename] Poznámka: • Volby v hranatých závorkách nejsou povinné. • Parametr /password je v pˇ rípadˇ e režimu online povinný. Chcete-li heslo zadat pozdˇ eji, použijte volbu /offline (heslo v takovém pˇ rípadˇ e zadáte až pˇ ri spuštˇ ení aplikace MS Outlook). Tabulka 31.2 struˇ cnˇ e rozebere volby, kterými lze ovlivnit chování programu. Použití programu ProfileCreator osvˇ etlí následující scénáˇ re:

332


Volba

Popis

/help

Zobrazí nápovˇ edu k programu.

/profile

Název profilu, který má být nastaven.

/host

DNS jméno, kde je spuštˇ en Kerio Connect.

/user

Uživatelské jméno do Kerio Connect.

/password

Heslo do Kerio Connect.

/port

Použijte v pˇ rípadˇ e, že je protokol HTTP(S) spuštˇ en na nestandardním portu

/tlimit

Nastaví ˇ casový limit pro HTTP spojení. Pokud máte pomalé pˇ ripojení, zvyšte limit. Výchozí hodnotou je 180 ms.

/quiet

Potlaˇ cení veškerých hlášení do pˇ ríkazové ˇ rádky.

/nossl

Zákaz použití spojení zabezpeˇ ceného SSL.

/nocompression Zákaz komprese HTTP dat. /offline

Bˇ ehem vytváˇ rení profilu se MS Outlook nebude pokoušet pˇ ripojit se ke Kerio Connect. Pokusí se pˇ ripojit až bˇ ehem prvního spuštˇ ení MS Outlooku. Tuto volbu doporuˇ cujeme využít zejména tehdy, nejste-li si jisti, že váš Kerio Connect bude bˇ ehem konfigurace profilu dostupný.

/rename

Standardnˇ e je názvem profilu uživatelské jméno daného uživatele. /rename umožˇ nuje explicitnˇ e zadat jiné jméno profilu.

/spa

Tuto funkci je možno použít, jestliže se uživatel klientského poˇ cítaˇ ce pˇ rihlašuje do NT domény. Pak není nutné zadávat v klientovi heslo, místo nˇ ej se použijí stejné ovˇ eˇ rovací údaje jako pˇ ri pˇ rihlášení do domény.

Tabulka 31.2

Volby nástroje ProfileCreator

Lokální automatická konfigurace profilu Na uživatelské stanici je nainstalován MS Outlook a uživatel si stáhne a nainstaluje Kerio Outlook Connector a spustí ProfileCreator pro vytvoˇ rení poštovního profilu a pˇ rednastavení Kerio úˇ ctu. ProfileCreator lze získat a spustit následovnˇ e: 1.

Otevˇ rete prohlížeˇ c a zadejte do nˇ ej URL adresu vašeho poštovního serveru ve tvaru http://nazev_serveru/ (napˇ ríklad: http://mail.firma.cz/).

2.

Pokud jste adresu zadali správnˇ e, zobrazí se pˇ rihlašovací stránka do rozhraní Kerio WebMail. Zde kliknˇ ete na odkaz Integrace s Windows, který je umístˇ en pod pˇ rihlašovacím dialogem.

3.

Otevˇ re se stránka Integrace s Windows, kde vyberete odkaz Kliknˇ ete zde pro automatickou konfiguraci doplˇ nku Kerio Outlook Connector. 333


4.

Podle typu prohlížeˇ ce, který jste použili, se nástroj stáhne a automaticky spustí, nebo pouze stáhne a spustíte ji poklikáním na ikonu nástroje.

5.

Skript vytvoˇ rí nový profil a pˇ rednastaví váš Kerio úˇ cet.

6.

Kliknutím na tlaˇ cítko Zjistit ze serveru v konfiguraci profilu ovˇ eˇ ríte, zda je heslo zadáno správnˇ e, a zda se lze pˇ ripojit zadanými údaji k serveru.

Vzdálená konfigurace profilu na více uživatelských stanicích Na uživatelských stanicích nejsou nainstalovány MS Outlooky ani Kerio Outlook Connectory a vše bude instalováno vzdálenˇ e prostˇ rednictvím služeb Active Directory. Tato možnost se týká spoleˇ cností, které využívají adresáˇ rovou službu Active Directory, mapují uživatelské úˇ cty z adresáˇ rové služby do Kerio Connect a chtˇ ejí uživatel˚ um vzdálenˇ e instalovat Kerio Outlook Connector (Offline Edition) ve formˇ e MSI balíˇ cku. To je standardní možnost nabízená servery spoleˇ cnosti Microsoft Corporation. Po vzdálené instalaci obou aplikací lze vzdálenˇ e uživatel˚ um nastavit nový profil v MS Outlooku a pˇ rednastavit Kerio úˇ cet. Uživatel˚ um potom bude staˇ cit pˇ ri prvním pˇ rihlášení ke stanici zadat heslo ke schránce v Kerio Connect (v pˇ rípadˇ e, že není použito NTLM ovˇ eˇ rování) , aniž by museli doplˇ novat své uživatelské jméno nebo adresu Kerio Connect. Pˇ ríprava distribuce MSI balíˇ ck˚ u Než zaˇ cnete, pˇ ripravte si prosím následující: MSI balíˇ cek Kerio Outlook Connectoru (Offline Edition) MS Outlook nainstalovaný na uživatelské stanice. Pokud uživatelé Outlook ještˇ e nepoužívají, lze podle návodu na instalaci Kerio Outlook Connectoru nainstalovat vzdálenˇ e také MS Outlook. 3. Uživatelské úˇ cty musí být umístˇ eny v Active Directory. Pokud si budete vytváˇ ret vlastní skript, pˇ redcházející podmínky jsou postaˇ cující. Chcete-li však použít skript z tohoto návodu, proved’te prosím ještˇ e následující:

1. 2.

Na doménovém serveru musí být nainstalován doplnˇ ek Kerio Active Directory Extension. 2. V síti musí být nainstalován plnˇ e funkˇ cní Kerio Connect a uživatelské úˇ cty z domény Active Directory jsou do nˇ ej mapovány (mapování uživatel˚ u podrobnˇ e popisuje kapitola 10). Následující text popisuje standardní kroky pro distribuci MSI balíˇ cku. Pokud jste již podobnou akci provádˇ eli a umíte provádˇ et vzdálené instalace na stanice uživatel˚ u, m˚ užete jej pˇ reskoˇ cit. 1.

Upozornˇ ení: Níže popsaným zp˚ usobem lze instalovat na stanice klient˚ u jak MS Outlook tak Kerio Outlook Connector. Pokud chcete instalovat oba balíky, musí být na stanice vždy nejprve nainstalován MS Outlook, a teprve poté Kerio Outlook Connector.

334


1.

2. 3. 4. 5.

Na jakémkoliv poˇ cítaˇ ci dostupném prostˇ rednictvím sítˇ e vytvoˇ rte nový adresáˇ r. Nastavte tomuto adresáˇ ri pˇ rístupová práva tak, aby k nˇ emu mˇ ely pˇ rístup pro ˇ ctení všichni doménoví uživatelé (pravým tlaˇ cítkem myši otevˇ rete místní nabídku, vyberete volbu Sdílet a nastavíte práva v záložkách Sdílení a Zabezpeˇ cení ). Do vytvoˇ reného adresáˇ re zkopírujte/pˇ resuˇ nte MSI balíˇ cek Kerio Outlook Connectoru. Ovˇ eˇ rte dostupnost balíˇ cku z nˇ ekterého klientského poˇ cítaˇ ce. V doménovém serveru se pˇ repnˇ ete do menu Start → Ovládací panely → Nástroje pro správu → Uživatelé a poˇ cítaˇ ce služby Active Directory. Zde je tˇ reba nastavit zásady pro instalaci MSI balíˇ cku. Zásady mohou být nastaveny pro celou doménu nebo lze vytvoˇ rit organizaˇ cní jednotku pro vybrané uživatele. Poznámka: Novou organizaˇ cní jednotku vytvoˇ rte takto: Na jménu domény kliknˇ ete pravým tlaˇ cítkem a v místní nabídce vyberte Nová → Organizaˇ cní jednotka. b. Zadejte jméno nové organizaˇ cní jednotky a uložte ji tlaˇ cítkem OK. Na názvu domény nebo vytvoˇ rené organizaˇ cní jednotce kliknˇ ete pravým tlaˇ cítkem a v kontextové nabídce vyberte Vlastnosti. V zobrazeném dialogu vyberte záložku Zásady skupiny. Stisknˇ ete tlaˇ cítko Nová a zadejte jméno nové zásady skupiny (vizte obrázek 31.3). a.

6.

Obrázek 31.3

Dialog Zásady skupiny

335


Stisknˇ ete tlaˇ cítko Upravit (zároveˇ n musí být oznaˇ cená vaše nová položka). Otevˇ re se editor pro zásady skupiny. 8. Pˇ repnˇ ete se do nové zásady skupiny Konfigurace uživatele → Nastavení softwaru → Instalace softwaru. 9. Na Instalace softwaru kliknˇ ete pravým tlaˇ cítkem a vyberte Nový → Balíˇ cek. 10. Zadejte cestu k balíˇ cku ve tvaru UNC (napˇ ríklad \\nazev_serveru\share\koff-6.7.0.msi). 11. Vyberte metodu zavedení (vizte obrázek 31.4). Lze zvolit libovolnou, avšak doporuˇ cujeme použít Pˇ riˇ razené.

7.

Obrázek 31.4

Dialog Zavedení aplikace

Poznámka: • Publikované — uživatel se m˚ uže rozhodnout, zda chce program instalovat ˇ ci ne. Aplikace se sama nenabídne k instalaci. • Pˇ riˇ razené — instalace probˇ ehne automaticky bezprostˇ rednˇ e po jeho prvním pˇ rihlášení. Konfigurace uživatelských profil˚ u Po instalaci MSI balíˇ cku s Kerio Outlook Connectorem musí být vytvoˇ ren uživatel˚ um jejich profil a Kerio úˇ cet. Toto nelze provést pˇ rímo po instalaci, proto je tˇ reba souˇ casnˇ e s instalací vytvoˇ rit uživatelský skript pro pˇ rihlášení: 1.

2. 3. 4. 5.

6.

Pˇ repnˇ ete se do zásad skupiny, která byla vytvoˇ rena za úˇ celem instalace Kerio Outlook Connectoru a vyberte: Konfigurace uživatele → Nastavení systému Windows → Skripty (pro pˇ rihlášení nebo odhlášení). Poklikejte na ikonu Pˇ rihlášení . Stisknˇ ete tlaˇ cítko Pˇ ridat a v dalším dialogu Procházet. Kliknˇ ete v oknˇ e pravým tlaˇ cítkem a v kontextové nabídce vyberte Nový → Textový dokument (vizte obrázek 31.5). ˇte pˇ Pˇ rejmenujte soubor a zmˇ en ríponu na .BAT (napˇ ríklad ProfileCreator.bat). Ovˇ eˇ rte, zda mají uživatelé z Active Directory práva pro ˇ ctení (pravým tlaˇ cítkem kliknete na souboru, vyberete Vlastnosti, kde se pˇ repnete do záložky Zabezpeˇ cení a v ní pˇ ridáte skupinu uživatel˚ u z domény). Kliknˇ ete na soubor pravým tlaˇ cítkem a v kontextové nabídce vyberete možnost Upravit. 336


Obrázek 31.5

7.

8.

9.

Založení konfiguraˇ cního skriptu

Otevˇ re se Poznámkový blok, ve kterém m˚ užete pˇ ripravit konfiguraˇ cní skript. Pokud nevíte, jak si takový skript pˇ ripravit, pˇ ripravili jsme pro vás kompletní pˇ ríklad (vizte text níže). Po vytvoˇ rení skriptu jej uložte a stisknˇ ete tlaˇ cítko Otevˇ rít. Poznámka: Pokud využíváte referenˇ cní skript níže, zadejte do pole Parametry skriptu adresu, kde je spuštˇ en váš Kerio Connect. Tato adresa se ve skriptu doplní do parametru /host=%1 Potvrd’te nastavení a zavˇ rete Active Directory konzoli.

Test správnosti nastavení 1. 2. 3.

V Active Directory založte nového uživatele v organizaˇ cní jednotce, pro kterou byly vytvoˇ reny zásady skupiny pro instalaci Kerio Outlook Connectoru. Pokuste se tímto uživatelem pˇ rihlásit z klientského poˇ cítaˇ ce. Po pˇ rihlášení by se mˇ el zobrazit pr˚ uvodce instalací, vytvoˇ rí se profil a nakonec se otevˇ re MS Outlook. Zobrazí se dialog pro zadání uživatelského úˇ ctu, kde pouze zadáte uživatelské heslo a MS Outlook i Kerio úˇ cet budou kompletnˇ e funkˇ cní.

337


Upozornˇ ení: Nepodaˇ rí-li se celý proces, zkontrolujte prosím, zda je MSI balíˇ cek a skript pro vytvoˇ rení profilu pˇ rístupný ze všech klientských poˇ cítaˇ cu ˚, a zda jim jsou nastavena pˇ ríslušná práva. Poznámka: Vhodný pˇ ríklad skriptu najdete na adrese http://server/integration (napˇ ríklad tedy http://mail.firma.cz/integration). Zde, na stránce Integrace s Windows, je umístˇ en odkaz na stažení skriptu, který je pˇ ripraven pro autokonfiguraci profilu na stanici. Pˇ red tvoˇ rením vašeho vlastního skriptu doporuˇ cujeme si tuto verzi d˚ ukladnˇ e prostudovat. 31.1.3 Poznámky k instalaci a upgradu na terminálovém serveru • Instalace na terminálovém serveru musí být provedena administrátorem. • Kdykoliv je provedena aktualizace Kerio Connect, je tˇ reba, aby administrátor ruˇ cnˇ e provedl aktualizaci Kerio Outlook Connectoru na terminálovém serveru. V opaˇ cném pˇ rípadˇ e se uživatelé nebudou moci ke svému Kerio úˇ ctu pˇ rihlásit. • Poštovní profil uživatel˚ u je ukládán vždy lokálnˇ e na jejich pracovních stanicích.

31.1.4 Automatická aktualizace Upgrade nových verzí Kerio Outlook Connectoru je provádˇ en automaticky. Je-li k dispozici nová verze, potom se bezprostˇ rednˇ e po spuštˇ ení aplikace MS Outlook Kerio Outlook Connector aktualizuje. Upozornˇ ení: Po dokonˇ cení aktualizace následuje automatický restart aplikace MS Outlook. Celá aktualizace vˇ cetnˇ e restartu aplikace trvá maximálnˇ e jednu až dvˇ e minuty. Automatická aktualizace obsahuje kontrolu verzí Kerio Connect a Kerio Outlook Connectoru. To znamená, že pokud verze serveru a klienta nesouhlasí, uživatel je informován o tom, že je na serveru nainstalována jiná verze Kerio Connect, a že je tˇ reba klienta aktualizovat. Po odsouhlasení bude verze okamžitˇ e aktualizována (nebo proveden downgrade — snížení verze). Poznámka: Pokud se server od klienta liší jenom v ˇ císle buildu (ˇ císla verzí v upozorˇ nujícím oknˇ e se neliší), bude klient funkˇ cní i v pˇ rípadˇ e, že aktualizaci odmítnete. Pokud se server od klienta liší ˇ císlem verze (napˇ ríklad 6.7.0 a 6.7.1), potom se Kerio Outlook Connector bez pˇ ríslušné aktualizace odmítne spustit. 31.1.5 Online/Offline režim Kerio Outlook Connector podporuje režimy online a offline. Online režim je standardní režim MS Outlooku, který pˇ redpokládá pˇ ripojení ke Kerio Connect. Offline režim umožˇ nuje spustit 338


MS Outlook a pracovat v nˇ em bez pˇ ripojení ke Kerio Connect. Znamená to, že je tˇ reba mít veškerou poštu, události, úkoly, atd. uložené v lokálním úložišti na klientské stanici. Po pˇ ripojení ke Kerio Connect je možné veškerá zmˇ enˇ ená data synchronizovat s poštovní schránkou umístˇ enou v Kerio Connect. Režim offline lze prakticky využít zejména na notebooku, protože to umožˇ nuje práci napˇ ríklad v dopravních prostˇ redcích nebo na jiných místech bez internetového pˇ ripojení. Nové zprávy, události nebo úkoly se po pˇ repojení zpˇ et do online režimu automaticky synchronizují s úložištˇ em na serveru. Kerio Outlook Connector informuje o zmˇ enˇ e režimu z online do offline a o probíhající synchronizaci prostˇ rednictvím speciální ikony, která se zobrazuje v oznamovací oblasti systému (vizte obrázek 31.6). Ikona upozorˇ nuje na následující situace:

Obrázek 31.6

Stav — online / synchronizace / offline

• Probíhá synchronizace — u ikony se zobrazí modrá šipka zobrazující smˇ er vpravo. • MS Outlook je spuštˇ en v režimu offline — u ikony se zobrazí ˇ cervená šipka zobrazující smˇ er dol˚ u.

Nastavení offline režimu Standardním nastavením MS Outlooku je režim online. Do režimu offline se pˇ repneme jednoduše. V menu Soubor na hlavním panelu klikneme na možnost Pracovat offline. Ztratí-li MS Outlook spojení s Kerio Connect, automaticky se do pˇ repne do režimu offline. Zavˇ reme-li MS Outlook v režimu offline, bude pˇ ri následujícím spuštˇ ení opˇ et v režimu offline. Offline režim je tˇ reba vypnout explicitnˇ e v menu Soubor.

Synchronizace Po spuštˇ ení MS Outlooku se primárnˇ e zaˇ cne synchronizovat složka, kterou má uživatel zrovna otevˇ renou. Každou složku uloženou v Kerio Connect lze synchronizovat v jednom ze dvou režim˚ u: • Plná synchronizace položky. • Synchronizace hlaviˇ cky a tˇ ela zprávy v prostém textu — tato možnost je úspornˇ ejší z hlediska velikosti synchronizovaných dat, avšak je tˇ reba si rozmyslet, zda nám zprávy prohlížené v režimu offline opravdu postaˇ cují bez pˇ ripojených pˇ ríloh. Po pˇ ripojení online se bˇ ehem prohlížení zprávy samozˇ rejmˇ e stáhne i pˇ ríloha. 339


Synchronizace mezi Kerio Connect a Kerio Outlook Connectorem probíhá ve výchozím režimu takto: • Doruˇ cená pošta — synchronizovány jsou celé zprávy. • Ostatní poštovní složky — synchronizovány jsou pouze hlaviˇ cky zpráv a tˇ elo v prostém textu. • Události — synchronizovány jsou celé události. • Kontakty — synchronizovány jsou celé kontakty. • Úkoly — synchronizovány jsou celé úkoly. • Poznámky — synchronizovány jsou celé poznámky. Výchozí režim synchronizace lze zmˇ enit (pˇ rizp˚ usobit) ve vlastnostech každé složky: 1.

Na vybranou složku klikneme pravým tlaˇ cítkem myši a v kontextovém menu zvolíme možnost Vlastnosti.

2.

V oknˇ e Vlastnosti vybereme záložku Synchronizace složek (vizte obrázek 31.7).

Obrázek 31.7

Nastavení synchronizace složky

Upozornˇ ení: V pˇ rípadˇ e, že nechceme složku synchronizovat, staˇ cí vypnout volbu Povolit synchronizaci této složky. Všechny zprávy, které daná složka již obsahuje, však budou nadále synchronizovány.

340

31.2 Kerio Outlook Connector

Konflikty Konflikt synchronizace je situace, kdy je zpráva, událost nebo jakákoliv další položka zmˇ enˇ ena na serveru i v Kerio Outlook Connectoru v intervalu mezi synchronizacemi. Kerio Outlook Connector v takovém pˇ rípadˇ e nerozezná pˇ resnˇ e, která ze zmˇ en dané položky je aktuální a žádoucí. Pokud konflikt pˇ ri synchronizaci nastane, zvítˇ ezí položka uložená na serveru. Vítˇ ezná položka je uložena do pˇ ríslušné složky, kam mˇ ela být doruˇ cena. Verze položky, která prohrála, je umístˇ ena do speciální složky nazvané Konflikty. Tato složka se zobrazuje pouze v MS Outlooku. V rozhraní Kerio WebMail ani v jiném poštovním klientovi se nezobrazí. Obˇ e položky, vyhrávající i prohrávající m˚ užeme porovnat a rozhodnout se, která z nich je aktuální. V pˇ rípadˇ e, že je aktuální položka ze složky Konflikty, jednoduše ji pˇ resuneme do správné složky a druhou verzi vymažeme. Každý konflikt oznamuje speciální zpráva doruˇ cená do MS Outlooku. Obsahem pˇ redmˇ etu zprávy je Zpráva v konfliktu!. Zpráva o konfliktu uvádí název zprávy, události, kontaktu nebo jiné položky, která se do konfliktu dostala a její umístˇ ení v poštovní schránce (ve které složce je umístˇ ena). Lokální verze položky je pˇ resunuta do složky Konflikty. Pokud je tato verze aktuální, prostˇ e ji zamˇ eníme za verzi v pˇ ríslušné složce.

31.2 Kerio Outlook Connector Kerio Outlook Connector nabízí následující možnosti: • Pošta, události, poznámky, kontakty a úkoly jsou ukládány v Kerio Connect, a proto jsou dostupné odkudkoliv, kde máme k dispozici internetové pˇ ripojení. Pˇ ripojit se m˚ užeme nejen pomocí MS Outlooku, ale také pˇ res rozhraní Kerio WebMail nebo jiným poštovním klientem. • Kerio Outlook Connector podporuje práci se složkami. V MS Outlooku m˚ užeme tvoˇ rit hierarchicky uspoˇ rádané stromy složek s libovolnou hloubkou. Dále je podporováno sdílení složek, zobrazení veˇ rejných složek atd. • V kalendáˇ rích je podporována vlastnost plánování sch˚ uzek a ve složkách s úkoly pˇ riˇ razování úkol˚ u dalším osobám. • Kerio Outlook Connector umožˇ nuje nastavení pravidel pro pˇ ríchozí poštu, která jsou umístˇ ena na serveru, a proto jsou platná globálnˇ e — pošta se bude tˇ rídit stejnˇ e v rozhraní Kerio WebMail i v jiných poštovních klientech. • Kerio Outlook Connector nabízí vlastní antispamovou strategii. Upozornˇ ení: Kerio Outlook Connector nelze používat na terminálovém serveru.

341


Souˇ cástí Kerio Outlook Connectoru je také standardní Nápovˇ eda pro uživatele, která je umístˇ ena v aplikaci MS Outlook na panelu nástroj˚ u (Nápovˇ eda → Nápovˇ eda ke Kerio Outlook Connectoru). Kerio Outlook Connector pro spolupráci aplikací Kerio Connect a MS Outlook využívá otevˇ rené rozhraní MAPI vyvinuté spoleˇ cností Microsoft. MAPI (Messaging Application Programming Interface) je univerzální rozhraní pro pˇ renos zpráv. Je to softwarové rozhraní, které umožˇ nuje libovolnému MAPI klientskému programu komunikovat s libovolným poštovním serverem (v našem pˇ rípadˇ e MS Outlook — Kerio Connect). V souˇ casné dobˇ e se MAPI používá zejména pro psaní r˚ uzných modul˚ u do aplikace MS Outlook. Pro správnou funkci Kerio Outlook Connectoru musí být v Kerio Connect spuštˇ eny všechny pˇ ríslušné služby: • HTTP(S) — pˇ res protokol probíhá automatická aktualizace verzí Kerio Outlook Connectoru a pˇ res protokol HTTP také probíhá komunikace s Free/Busy serverem. • IMAP(S) — rozhraní MAPI využívá v Kerio Connect protokol IMAP. • SMTP(S) — pˇ res protokol probíhá odesílání pošty. Upozornˇ ení: Kromˇ e výše zmínˇ ených služeb je nutné namapovat pˇ ríslušné porty na firewallu, kterým je server chránˇ en, jinak služby nebudou pˇ rístupné z Internetu (více vizte sekci 2.3). Instalaci Kerio Outlook Connectoru je možno spustit na tˇ echto verzích operaˇ cního systému: Windows 2000 Professional (aktualizace Service Pack 4), XP (aktualizace Service Pack 1 nebo Service Pack 2) a Windows Vista (Home, Business, Enterprise nebo Ultimate edice). Systém Windows musí obsahovat Internet Explorer ve verzi 6.0 a vyšší. Kerio Outlook Connector podporuje tyto verze poštovního klienta: • MS Outlook XP + aktualizace Service Pack 3 (verze Outlook XP musí mít následující tvar: 10.0.6515.xyz). • MS Outlook 2003 + aktualizace Service Pack 3 (nebude-li instalace opatˇ rena pˇ ríslušnou aktualizací, Kerio Outlook Connector se odmítne nainstalovat). • MS Outlook 2007 + aktualizace Service Pack 1 Poznámka: • Všechna nastavení jsou popisována na Windows XP a MS Outlook 2003. • Kerio Outlook Connector podporuje digitální podepisování zpráv. Funkce a nastavení digitálního podpisu je podrobnˇ e popsána ve standardní nápovˇ edˇ e pro MS Outlook. Konkrétní možnosti a nastavení Kerio Outlook Connectoru na stranˇ e klienta jsou popsána v manuálu Kerio Connect 7, Pˇ ríruˇ cka uživatele. 342


TIP: ˇte klasickou verzi Potˇ rebujete-li pracovat se svou poštou také v režimu offline, pak zamˇ en Kerio Outlook Connectoru za Kerio Outlook Connector (Offline Edition) (vizte kapitolu 31.1). Kerio Outlook Connector je lokalizován do jazyk˚ u vyjmenovaných v tabulce 31.3. Angliˇ ctina


Ruština

ˇ Ceština


Slovenština

ˇ Cínština

Italština

Španˇ elština

Polština



Tabulka 31.3 Podporované jazyky

Lokalizace Kerio Outlook Connectoru se nastavuje automaticky podle lokalizace aplikace MS Outlook. V pˇ rípadˇ e, že je MS Outlook v lokalizaci, kterou Kerio Outlook Connector nemá k dispozici, bude automaticky lokalizován do anglického jazyka.

31.2.1 Instalace a konfigurace bez použití migraˇ cního nástroje Ruˇ cní instalace Kerio Outlook Connectoru pro Kerio Connect probíhá standardnˇ e pomocí instalaˇ cního pr˚ uvodce. Po instalaci je zapotˇ rebí explicitnˇ e nastavit profil a poštovní úˇ cet. Upozornˇ ení:

• Na poˇ cítaˇ ci nejprve musí být nainstalován MS Outlook, a teprve poté Kerio Outlook Connector. V opaˇ cném pˇ rípadˇ e nebude aplikace funkˇ cní. • Pˇ ri zmˇ enˇ e verze aplikace MS Outlook je nutné Kerio Outlook Connector ruˇ cnˇ e pˇ reinstalovat.

Tvorba profilu Uživatelský profil je soubor, který ukládá osobní nastavení v MS Outlook. Profil je nezbytný zejména ve dvou pˇ rípadech. Bud’ má k poˇ cítaˇ ci pˇ rístup více lidí najednou a každý z nich potˇ rebuje vlastní e-mailovou schránku a osobní nastavení aplikace, nebo uživatel používá více r˚ uzných poštovních schránek a chce mít pro nˇ e odlišná osobní nastavení. Nový profil lze nastavit v menu Start → Nastavení → Ovládací panely → Pošta: 1.

Otevˇ re se dialog Nastavení pošty — MS Outlook, kde klikneme na tlaˇ cítko Zobrazit profily (vizte obrázek 31.8).

343


Obrázek 31.8

2.

Nastavení profilu

Otevˇ re se dialog Pošta (vizte obrázek 31.9). Dialog slouží ke správˇ e profil˚ u a uživatelských úˇ ct˚ u.

Obrázek 31.9

Vytvoˇ rení profilu

344


3.

Klikneme na tlaˇ cítko Pˇ ridat. Otevˇ re se okno s jediným volným polem pro zadání názvu nového profilu. Název profilu lze zadat zcela libovolnˇ e.

4.

V novém profilu ještˇ e není založen žádný poštovní úˇ cet. Proto se po vytvoˇ rení profilu automaticky spustí pr˚ uvodce založením nového úˇ ctu.

Obrázek 31.10 Nastavení úˇ ctu — pˇ ridání nového úˇ ctu

Standardní pr˚ uvodce nabízí v prvním kroku možnost pˇ ridat nebo zmˇ enit úˇ cet elektronické pošty nebo adresáˇ r. Pro vytvoˇ rení úˇ ctu vybereme první možnost — Pˇ ridat nový e-mailový úˇ cet (vizte obrázek 31.10). 5.

Ve druhém kroku pr˚ uvodce vybereme volbu Další typy server˚ u (vizte obrázek 31.11) a klikneme na tlaˇ cítko Další .

6.

Další krok pr˚ uvodce umožˇ nuje pˇ rímo zvolit typ serveru. Zvolíme volbu Kerio Connect.

7.

Dalším krokem je nastavení Kerio Outlook Connectoru. Toto lze provést ve dvou záložkách okna Kerio Outlook Connector:

345


Obrázek 31.11

Nastavení úˇ ctu — zvolení typu serveru

Obrázek 31.12

Nastavení úˇ ctu — základní údaje

Název serveru DNS jméno nebo IP adresa poštovního serveru. 346


Zabezpeˇ cené ovˇ eˇ rování hesla Volba umožˇ nuje využití NTLM ovˇ eˇ rování. Po jejím zaškrtnutí uživatel nemusí nastavovat uživatelské jméno a heslo — místo jména a hesla bude použito ovˇ eˇ rování proti Active Directory doménˇ e. Aby bylo NTLM ovˇ eˇ rování funkˇ cní, je nutné, aby poˇ cítaˇ c i uživatelský úˇ cet byly souˇ cástí domény, proti které se uživatel ovˇ eˇ ruje. Upozornˇ ení: NTLM (SPA) ovˇ eˇ rování lze využít pouze v pˇ rípadˇ e, že je Kerio Connect nainstalován na operaˇ cním systému Windows. Uživatelské jméno Uživatelské jméno používané pro pˇ rihlášení k poštovnímu serveru. Pokud uživatel není zaˇ razen do primární domény, musí být zadána celá elektronická adresa uživatele ([email protected]). Heslo Heslo uživatele. Tlaˇ cítko Test spojení umožˇ nuje vyzkoušet, zda byly údaje vyplnˇ eny správnˇ e, a zda je spojení s aplikací Kerio Connect v poˇ rádku. Pokud test probˇ ehne bez problém˚ u, pole Jméno a Elektronická adresa budou automaticky vyplnˇ ena správnými údaji.

Obrázek 31.13

Nastavení úˇ ctu — porty

347


Rozšíˇ rené nastavení ve druhé záložce umožˇ nuje zmˇ enit nˇ ekterá nastavení týkající se komunikace. IMAP a SMTP port ˇ Porty, které jsou využívány protokoly IMAP a SMTP pro komunikaci se serverem. Císla port˚ u musí vždy souhlasit s ˇ císly port˚ u nastavenými v Kerio Connect. HTTP port Protokol HTTP(S) využívá Free/Busy kalendáˇ r a aplikace pro automatickou aktualizaci ˇ Kerio Outlook Connectoru. Císlo portu musí souhlasit s ˇ císlem portu pro HTTP(S) službu v Kerio Connect. ˇ Casový limit Doba, po kterou aplikace ˇ ceká na odezvu aplikace Kerio Connect. Zabezpeˇ cené pˇ ripojení (SSL) Volba umožˇ nuje šifrovanou komunikaci služeb IMAP, SMTP a HTTP. Tlaˇ cítkem Výchozí nastavení lze vrátit nastavené hodnoty na p˚ uvodní. Název pˇ ripojení Standardním názvem pˇ ripojení je Kerio Outlook Connector Store. Tento název lze podle libosti zmˇ enit. Záložka Odesílatel obsahuje možnost konfigurace zobrazení jména, odchozí adresy a adresy pro odpovˇ edi.

Obrázek 31.14

Nastavení úˇ ctu — nastavení informací o odesílateli

Jméno Jméno uživatele pro odchozí poštu. Elektronická adresa Elektronická adresa, ze které mají být zprávy odesílány. Adresa pro odpovˇ edi Adresa pro odpovˇ edi na odeslané zprávy (položka Reply-To: ve zprávˇ e).

348


Poznámka: Používáte-li MS Outlook 2000, potom se zmˇ eny nastavené v záložce Odesílatel projeví až po restartu aplikace. 8.

Po odsouhlasení celého nastavení tlaˇ cítkem OK se pr˚ uvodce založením nového úˇ ctu uzavˇ re. Novˇ e založený profil najdeme v seznamu v dialogu Pošta. Nyní máme dvˇ e možnosti nastavení práce s profily (vizte obrázek 31.9): • Vždy používat profil — Náš novˇ e vytvoˇ rený profil m˚ užeme nastavit jako výchozí. To znamená, že pˇ ri každém spuštˇ ení aplikace MS Outlook se automaticky otevˇ re právˇ e vytvoˇ rený profil s právˇ e vytvoˇ reným úˇ ctem. • Nabídnout výbˇ er profilu — Dialog m˚ užeme nastavit tak, aby se pˇ ri každém spuštˇ ení aplikace MS Outlook zobrazilo výbˇ erové menu se všemi profily, které jsou v nˇ em založeny (vizte obrázek 31.15).

Obrázek 31.15

Výbˇ er profilu

Upozornˇ ení: Každý profil v MS Outlooku m˚ uže obsloužit pouze jeden úˇ cet pˇ ripojený pˇ res Kerio Outlook Connector. Funkci POP3 a IMAP úˇ ct˚ u umístˇ ených ve stejném profilu Kerio Outlook Connector Store neovlivní. Poznámka: Používáte-li MS Outlook 2000, je nutné pˇ ri konfiguraci profilu pˇ ridat položky Kerio Connect a MS Outlook Address Book. Vyšší verze aplikace MS Outlook pˇ ridávají Outlook Address Book automaticky. Nastavení datového souboru Pro správnou funkci Kerio Outlook Connectoru je tˇ reba, aby výchozím datovým souborem v profilu byl Kerio Outlook Connector Store. Pokud tento datový soubor nebyl nastaven automaticky, lze tak uˇ cinit pomocí menu Nástroje → Úˇ cty elektronické pošty → Zobrazit nebo zmˇ enit existující úˇ cty elektronické pošty. Okno Úˇ cty elektronické pošty obsahuje menu Doruˇ covat nový e-mail do následujícího umístˇ ení , kde je možné vybrat správný datový soubor (Kerio Outlook Connector Store). 349


Obrázek 31.16

Nastavení datového souboru

Kerio Outlook Connector obsahuje kontrolu, zda je Kerio Outlook Connector Store zvolen jako výchozí úložištˇ e zpráv. Tato kontrola je standardnˇ e zapnuta, a v pˇ rípadˇ e, že pˇ ri spuštˇ ení aplikace MS Outlook není Kerio Outlook Connector Store zvolen jako výchozí úložištˇ e, otevˇ re se varovný dialog.

Obrázek 31.17

Kontrola úložištˇ e

Zapnout/vypnout tuto kontrolu je možno v menu Nástroje → Možnosti → Pˇ redvolby (se znakem Kerio Technologies).

350


31.2.2 Aktualizace nových verzí Kerio Outlook Connectoru Upgrade nových verzí Kerio Outlook Connectoru je provádˇ en naprosto automaticky. Je-li k dispozici nová verze Kerio Outlook Connectoru, potom se bezprostˇ rednˇ e po spuštˇ ení aplikace MS Outlook Kerio Outlook Connector aktualizuje. Po dokonˇ cení aktualizace následuje automatický restart aplikace MS Outlook. Celá aktualizace vˇ cetnˇ e restartu aplikace trvá maximálnˇ e jednu až dvˇ e minuty. Automatická aktualizace obsahuje kontrolu verzí Kerio Connect a Kerio Outlook Connectoru. To znamená, že pokud verze serveru a klienta nesouhlasí, uživatel je informován o tom, že je na serveru nainstalována jiná verze Kerio Connect, a že je tˇ reba klienta aktualizovat (vizte obrázek 12.24). Po odsouhlasení tlaˇ cítkem ANO bude verze okamžitˇ e aktualizována (nebo proveden downgrade — snížení verze).

Obrázek 31.18

Upozornˇ ení na nutnost aktualizace

Pokud se server od klienta liší jenom v ˇ císle buildu (ˇ císla verzí v upozorˇ nujícím oknˇ e se neliší), bude klient funkˇ cní i v pˇ rípadˇ e, že aktualizaci odmítnete. Pokud se server od klienta liší ˇ císlem verze (napˇ ríklad 6.4.0 a 6.4.1), potom se Kerio Outlook Connector bez pˇ ríslušné aktualizace odmítne spustit.

351

Kapitola 32

Podpora standardu iCalendar

Podpora formátu iCalendar ze strany produktu Kerio Connect umožˇ nuje r˚ uzným aplikacím, které formát iCalendar podporují (napˇ ríklad MS Outlook 2007, Apple iCal, Windows Calendar, Mozilla Calendar, Lotus Notes nebo Ximian Evolution) publikovat a pˇ rihlašovat kalendáˇ re pˇ res Kerio Connect. Kerio Connect explicitnˇ e podporuje kalendáˇ re v MS Outlook 2007, Windows Calendar ve Windows Vista a aplikaci Apple iCal na systémech Apple Mac OS X.

32.1 Internetové kalendáˇ re v MS Outlooku 2007 MS Outlook 2007 umožˇ nuje sdílení kalendáˇ ru ˚ pˇ res Internet. Kalendáˇ re je možné poskytnout pomocí pˇ rihlášení a publikace: • Pˇ rihlášení kalendáˇ re — pˇ rihlášení kalendáˇ re znamená stažení kalendáˇ re z webového úložištˇ e do lokálního. • Publikace kalendáˇ re — publikace kalendáˇ re znamená poskytnutí kalendáˇ re do webového úložištˇ e. K manipulaci s kalendáˇ ri využívá MS Outlook 2007 standard pro výmˇ enu kalendáˇ rových dat iCalendar (dále iCal). Kerio Connect podporuje formát iCal, a proto je možné pˇ rihlašovat si do MS Outlooku kalendáˇ re uložené v Kerio Connect a stejnˇ e tak je možné kalendáˇ re do schránek Kerio Connect publikovat. Uživatelé si mohou pˇ rihlašovat nejen vlastní kalendáˇ re, ale také kalendáˇ re nasdílené jinými uživateli. Upozornˇ ení: Pˇ rihlášené kalendáˇ re jsou v MS Outlooku k dispozici pouze pro ˇ ctení. Publikované kalendáˇ re jsou k dispozici pouze pro ˇ ctení na serveru (napˇ ríklad pˇ ri pˇ rístupu ke kalendáˇ ru ˚m pomocí rozhraní Kerio WebMail nebude možné publikované kalendáˇ re mˇ enit). Komunikace pˇ ri pˇ rihlášení probíhá pomocí protokolu HTTP. Z toho vyplývá, že je tˇ reba spustit tuto službu v Kerio Connect. Kromˇ e toho je nutné namapovat pˇ ríslušný port na firewallu, kterým je server chránˇ en, jinak služba nebude pˇ rístupná z Internetu (více vizte sekci 2.3). Používání pˇ rihlašování a publikování kalendáˇ ru ˚ m˚ uže být výhodné zejména v tˇ ech pˇ rípadech, kdy uživatelé chtˇ ejí zobrazit kalendáˇ r osoby, která nemá založen úˇ cet v Kerio Connect nebo v pˇ rípadˇ e, kdy chce naopak sv˚ uj kalendáˇ r poskytnout kalendáˇ r veˇ rejnˇ e na Internetu. 352

32.2 Windows Calendar

Konkrétní možnosti a nastavení Kerio Connect 7, Pˇ ríruˇ cka uživatele).

v

MS

Outlooku

jsou

popsána

v

manuálu

32.2 Windows Calendar Windows Calendar je aplikace pro správu kalendáˇ ru ˚ vyvinutá firmou Microsoft Corporation pro operaˇ cní systém Windows Vista. Tato aplikace umožˇ nuje promítnutí událostí z více kalendáˇ ru ˚ do jednoho rozvrhu a identifikovat tak rychle konflikty v ˇ casovém plánu. Kalendáˇ re mohou být umístˇ eny bud’ pˇ rímo na disku, nebo je možno pˇ rihlásit si kalendáˇ re umístˇ ené na webovém serveru. Kalendáˇ re je možné na webový server také publikovat. Podpora ze strany Kerio Connect spoˇ cívá v možnosti publikovat kalendáˇ re do své poštovní schránky na serveru nebo si do Windows Calendar kalendáˇ re z poštovní schránky pˇ rihlašovat. Uživatelé si mohou pˇ rihlašovat nejen vlastní kalendáˇ re, ale také kalendáˇ re nasdílené jinými uživateli. Upozornˇ ení: Pˇ rihlášené kalendáˇ re jsou ve Windows Calendar k dispozici pouze pro ˇ ctení. Publikované kalendáˇ re jsou k dispozici pouze pro ˇ ctení na serveru (napˇ ríklad pˇ ri pˇ rístupu ke kalendáˇ ru ˚m pomocí rozhraní Kerio WebMail nebude možné publikované kalendáˇ re mˇ enit). Komunikace pˇ ri pˇ rihlášení (subskripce) probíhá pomocí protokolu HTTP nebo HTTPS. Publikace kalendáˇ ru ˚ probíhá pouze pˇ res HTTPS. Z toho vyplývá, že je tˇ reba spustit tuto službu v Kerio Connect a na poˇ cítaˇ c s Windows Calendar nainstalovat validní SSL certifikát aplikace Kerio Connect. Kromˇ e toho je nutné namapovat pˇ ríslušný port na firewallu, kterým je server chránˇ en, jinak služba nebude pˇ rístupná z Internetu (více vizte sekci 2.3). Aplikace Windows Calendar podporuje formát iCalendar. iCalendar je standard pro výmˇ enu kalendáˇ rových dat. Zabudováním podpory standardu iCalendar do Kerio Connect vznikla možnost spolupráce Kerio Connect a Windows Calendar. Poznámka: Budou-li kalendáˇ re publikované jako podsložky hlavního kalendáˇ re Calendar, budou se všechny události zobrazovat také ve Free/Busy kalendáˇ ri. Konkrétní možnosti a nastavení Kerio Connect 7, Pˇ ríruˇ cka uživatele).

Windows

Calendar

jsou

popsána

v

manuálu

32.3 Apple iCal Apple iCal je aplikace vyvinutá firmou Apple Computer pro operaˇ cní systémy ˇ rady Mac OS X. Aplikace umožˇ nuje správu libovolného množství kalendáˇ ru ˚ a také promítnutí událostí z více kalendáˇ ru ˚ do jednoho rozvrhu a identifikovat tak rychle konflikty v ˇ casovém plánu. Kalendáˇ re mohou být umístˇ eny bud’ pˇ rímo na disku, nebo je možno pˇ rihlásit si s právy pro ˇ ctení kalendáˇ re umístˇ ené na webovém serveru. Dále je možné kalendáˇ re na webový server publikovat. 353

Podpora standardu iCalendar

Podpora ze strany Kerio Connect spoˇ cívá v možnosti publikovat kalendáˇ re do své poštovní schránky na serveru nebo si do Apple iCal kalendáˇ re z poštovní schránky pˇ rihlašovat. Uživatelé si mohou pˇ rihlašovat nejen vlastní kalendáˇ re, ale také kalendáˇ re nasdílené jinými uživateli. Upozornˇ ení: Pˇ rihlášené kalendáˇ re jsou v Apple iCal k dispozici pouze pro ˇ ctení. Publikované kalendáˇ re jsou k dispozici pouze pro ˇ ctení na serveru (napˇ ríklad pˇ ri pˇ rístupu ke kalendáˇ ru ˚m pomocí rozhraní Kerio WebMail nebude možné publikované kalendáˇ re mˇ enit). Od verze Apple iCal pro Mac OS X Tiger je možné synchronizovat lokálnˇ e uložené kalendáˇ re s kalendáˇ ri umístˇ enými v Kerio Connect. K tomu je potˇ reba nainstalovat aplikaci Kerio Sync Connector (více vizte kapitolu 40). Pˇ rihlášení (subskripce) i publikace kalendáˇ ru ˚ jsou provádˇ eny pomocí protokolu HTTP (použití HTTPS není v tomto pˇ rípadˇ e možné). Z toho vyplývá, že je tˇ reba v Kerio Connect spustit službu en, HTTP. Kromˇ e toho je nutné namapovat pˇ ríslušný port na firewallu, kterým je server chránˇ jinak služba nebude pˇ rístupná z Internetu (více vizte sekci 2.3). Ke správˇ e kalendáˇ ru ˚ využívá Apple iCal, jak ostatnˇ e vyplývá již z názvu, formát iCalendar (vyskytuje se také pod názvem iCal). iCalendar je standard pro výmˇ enu kalendáˇ rových dat. Zabudováním podpory standardu iCalendar do Kerio Connect vznikla možnost spolupráce aplikace Kerio Connect a Apple iCal. Poznámka: Budou-li kalendáˇ re publikované jako podsložky hlavního kalendáˇ re Calendar, budou se všechny události zobrazovat také ve Free/Busy kalendáˇ ri. Konkrétní možnosti a nastavení Kerio Connect 7, Pˇ ríruˇ cka uživatele).

Apple

v

iCal

jsou

popsána

v

manuálu

Vytváˇ rení veˇ rejných kalendáˇ ru ˚ Vytvoˇ rit veˇ rejný kalendáˇ r v Kerio Connect m˚ uže pouze uživatel s pˇ ríslušnými pˇ rístupovými právy. Tato práva m˚ uže uživateli pˇ ridˇ elit pouze správce aplikace Kerio Connect. Pokud máme práva pˇ ridˇ elena, je postup k založení veˇ rejného iCal kalendáˇ re následující: 1.

Pˇ rihlásíme se do rozhraní Kerio WebMail.

2.

Ve složce Veˇ rejné složky založíme novou složku typu kalendáˇ r. Poznámka: Doporuˇ cujeme nepoužívat národní znaky v názvu kalendáˇ re z d˚ uvodu nesnadnosti správného zadání URL pˇ ri publikaci kalendáˇ re. Ideálním názvem pro nás m˚ uže být napˇ ríklad Calendar.

3.

Složce jsou automaticky nastavena práva pro ˇ ctení všem uživatel˚ um z dané domény, pˇ rípadnˇ e všem uživatel˚ um Kerio Connect. Standardnˇ e nastavená pˇ rístupová práva lze zmˇ enit v kontextovém menu novˇ e vytvoˇ rené složky (kontextové menu → Pˇ rístupová práva). 354

32.3 Apple iCal

4.

Po vytvoˇ rení kalendáˇ rové složky otevˇ reme aplikaci Apple iCal.

5.

Vytvoˇ ríme nový kalendáˇ r, který má sloužit jako veˇ rejný.

6.

Kalendáˇ r publikujeme do složky vytvoˇ rené v Kerio Connect. Pro úspˇ ešnou publikaci je tˇ reba použít následující URL: http://nazev_serveru/ical/public/nazev_slozky konkrétní pˇ ríklad by tedy mohl vypadat takhle: http://mail.firma.cz/ical/public/Calendar

7.

Znovu pomocí prohlížeˇ ce otevˇ reme Kerio WebMail a provedeme kontrolu o úspˇ ešnosti publikace.

355

Kapitola 33

Podpora protokolu CalDAV

Kerio Connect obsahuje podporu protokolu CalDAV, což je rozšíˇ rení rozhraní WebDAV, které bylo navrženo speciálnˇ e pro výmˇ enu kalendáˇ rových dat. Více se o tomto protokolu dozvíte na stránkách http://www.caldav.org/. CalDAV standard je definován v RFC 4791. CalDAV je protokol založený na protokolu HTTP, proto pokud jej budete chtít používat, je tˇ reba provozovat v Kerio Connect službu HTTP(S). Pomocí protokolu lze synchronizovat kalendáˇ re, plánovat sch˚ uzky za pomoci Free/Busy serveru nebo delegovat kalendáˇ re dalším uživatel˚ um aplikace Kerio Connect.

33.1 Nastavení CalDAV úˇ ct˚ u Aby se klient mohl pˇ ripojit ke Kerio Connect, je nutné nastavit správnou URL adresu pro pˇ ripojení. Apple iCal http(s)://<servername>/caldav napˇ ríklad: http(s)://mail.firma.cz/caldav Upozornˇ ení: Pokud nemáte pro ruˇ cní nastavení úˇ ctu závažný d˚ uvod, proved’te konfiguraci CalDAV úˇ ctu pomocí nástroje iCal Config Tool (vizte sekci 33.2). Tento nástroj kromˇ e samotného nastavení úˇ ctu zkonfiguruje také Directory Utility, kde nastaví Kerio Connect jako Open Directory server. Toto nastavení umožní plnou funkˇ cnost delegace kalendáˇ ru ˚. Bez tohoto nastavení bude možné pouze pˇ rihlašování delegovaných složek. Ostatní klienti (napˇ ríklad Mozilla Sunbird) http(s)://<servername>/calendars/<domain>/<user>/ napˇ ríklad: http(s)://mail.firma.cz/calendars/firma.cz/jnovak/Calendar

356

33.2 CalDAV úˇ cet v Apple iCal

33.2 CalDAV úˇ cet v Apple iCal Apple iCal je program pro správu kalendáˇ ru ˚, který umožˇ nuje jejich synchronizaci pˇ res protokol CalDAV. Apple iCal podporuje protokol CalDAV od verze Mac OS X 10.5 Leopard. Podpora ze strany Kerio Connect v souˇ casné dobˇ e umožˇ nuje: • synchronizaci kalendáˇ ru ˚, • synchronizaci To Do se složkou Úkoly, • plánování sch˚ uzek, • delegaci kalendáˇ ru ˚, • poskytování Free/Busy informací o uživatelích, kteˇ rí mají založen úˇ cet v Kerio Connect, • nastavení dostupnosti uživatele (Calendar Availability). • nastavení soukromých událostí v kalendáˇ rích (vlastnost na Apple iCal 3.0.3 a vyšších). Upozornˇ ení: Po spuštˇ ení synchronizace pˇ res CalDAV v Apple iCal se automaticky vypne synchronizace kalendáˇ ru ˚ pˇ res Kerio Sync Connector. Synchronizace kontakt˚ u, pokud je nakonfigurována, z˚ ustane spuštˇ ena.

33.2.1 Automatické nastavení CalDAV úˇ ctu Spoleˇ cnost Kerio Technologies vyvinula nástroj iCal Config Tool pro automatickou konfiguraci CalDAV úˇ ctu v Apple iCal na Mac OS X 10.5 Leopard a vyšších. Kromˇ e konfigurace CalDAV úˇ ctu nástroj nastaví Kerio Connect jako Open Directory server v Directory Utility na klientském poˇ cítaˇ ci. Díky tomuto nastavení bude mít uživatel plnˇ e funkˇ cní delegaci ve svém Apple iCal. Spuštˇ ení iCal Config Tool 1.

Nástroj lze stáhnout a spustit na speciální stránce Integrace s Mac OS X, kterou otevˇ rete zadáním následující adresy do prohlížeˇ ce: http://nazev_serveru/integration (napˇ ríklad http://mail.firma.cz/integration) nebo staˇ cí na pˇ rihlašovací stránce Kerio WebMailu kliknout na odkaz Integrace s Mac OS X .

2.

Otevˇ re se stránka Integrace s Mac OS X, kde kliknete na první odkaz Nastavit iCal automaticky. Nástroj se stáhne do pracovní stanice a prostˇ rednictvím instalaˇ cního pr˚ uvodce provede konfiguraci CalDAV úˇ ctu. 357

Podpora protokolu CalDAV

Pr˚ uvodce bude vyžadovat následující: • uživatelské jméno a heslo k poštovní schránce, • uživatelské jméno a heslo úˇ ctu s administrátorskými právy k pracovní stanici. Poznámka: Podrobný popis automatické konfigurace CalDAV úˇ ctu v Apple iCal najdete v manuálu Kerio Connect 7, Pˇ ríruˇ cka uživatele.

358

Kapitola 34

Podpora protokolu CardDAV

Kerio Connect obsahuje podporu protokolu CardDAV, který byl navržen speciálnˇ e pro výmˇ enu kontakt˚ u. CardDAV je protokol založený na protokolu HTTP, proto pokud jej budete chtít používat, je tˇ reba provozovat v Kerio Connect službu HTTP(S). Pomocí protokolu lze synchronizovat všechny vaše kontakty. Synchronizaci lze nastavit pouze automaticky pomocí Automatická konfigurace aplikace Address Book.

34.1 Automatické nastavení CardDAV úˇ ctu Spoleˇ cnost Kerio Technologies vyvinula nástroj Automatická konfigurace aplikace Address Book pro automatickou konfiguraci CardDAV úˇ ctu na Mac OS X 10.6 Snow Leopard. Upozornˇ ení: Nastavení CardDAV úˇ ctu je možné pouze pomocí autokonfiguraˇ cního nástroje. Manuální konfigurace není možná.

Upozornˇ ení: Má-li uživatel nainstalovanou a nakonfigurovanou aktuální verzi Kerio Sync Connectoru, po nastavení CardDAV úˇ ctu se synchronizace kontakt˚ u pˇ res Kerio Sync Connector automaticky zastaví. Doporuˇ cujeme však pˇ red spuštˇ ením autokonfiguraˇ cního programu Kerio Sync Connector odinstalovat. 1.

Nástroj lze stáhnout a spustit na speciální stránce Integrace s Mac OS X, kterou otevˇ rete zadáním následující adresy do prohlížeˇ ce: http://nazev_serveru/integration (napˇ ríklad http://mail.firma.cz/integration) nebo staˇ cí na pˇ rihlašovací stránce Kerio WebMailu kliknout na odkaz Integrace s Mac OS X . Upozornˇ ení: Autokonfiguraˇ cní nástroj je potˇ reba stáhnout ze serveru se shodným jménem, na které je vystaven SSL certifikát. Pokud si nejste jisti, stáhnˇ ete z integraˇ cní stránky na uživatelské stanice nejprve certifikát nový a teprve potom nainstalujte autokonfiguraˇ cní soubor pro Apple Address Book.

359

Podpora protokolu CardDAV

2.

Otevˇ re se stránka Integrace s Mac OS X, kde kliknete na odkaz Automatická konfigurace aplikace Address Book. Nástroj se stáhne do pracovní stanice a prostˇ rednictvím instalaˇ cního pr˚ uvodce provede konfiguraci CardDAV úˇ ctu.

Pr˚ uvodce bude vyžadovat následující: • uživatelské jméno a heslo k poštovní schránce, • uživatelské jméno a heslo úˇ ctu s administrátorskými právy k pracovní stanici. Poznámka: Podrobný popis automatické konfigurace CardDAV úˇ ctu najdete v manuálu Kerio Connect 7, Pˇ ríruˇ cka uživatele.

360

Kapitola 35

Podpora pro ActiveSync

Podpora protokolu ActiveSync umožˇ nuje uživatel˚ um synchronizovat jejich e-maily, kalendáˇ r, kontakty a pˇ rípadnˇ e také úkoly a poznámky s mobilními zaˇ rízeními založenými na systémech Windows Mobile, Palm OS, Symbian a OS X (aktuální seznam podporovaných mobilních zaˇ rízení obsahuje sekce 35.2). ActiveSync protokol je založen na protokolu HTTP(S). Pro sít’ové pˇ ripojení využívá technologie WiFi, GPRS, UMTS, a další. Kerio Connect podporuje protokol pˇ rímo, takže pokud podporu ActiveSync obsahuje také zaˇ rízení, není tˇ reba do zaˇ rízení instalovat žádnou utilitu. Pokud zaˇ rízení protokol nepodporuje, potom je tˇ reba do nˇ ej nainstalovat aplikaci, která synchronizaci umožní. Popis nastavení všech konkrétních zaˇ rízení obsahuje pˇ ríruˇ cka k danému zaˇ rízení, ale také uživatelská pˇ ríruˇ cka, která v kapitole Synchronizace dat s mobilními zaˇ rízeními soustˇ red’uje jednoduché návody nastavení synchronizace všech podporovaných zaˇ rízení. Podpora protokolu nevyžaduje žádná nastavení ani na stranˇ e Kerio Connect. Jedinou podmínkou je spuštˇ ení služby HTTP(S) na standardním portu (v pˇ rípadˇ e HTTP je to port 80 a v pˇ rípadˇ e verze šifrované SSL je to port 443). Porty ve vˇ etšinˇ e podporovaných mobilních zaˇ rízeních nelze mˇ enit na nestandardní. Upozornˇ ení: Kromˇ e spuštˇ ení služeb na serveru je také nutné namapovat pˇ ríslušný port nebo porty pro HTTP a HTTPS na firewallu, kterým je server chránˇ en, jinak služba nebude pˇ rístupná z Internetu (více vizte sekci 2.3).

35.1 Typy synchronizace Synchronizovat data Kerio Connect s mobilním zaˇ rízením lze dvˇ ema r˚ uznými zp˚ usoby: 1.

Pˇ rímá synchronizace se serverem.

2.

Synchronizace pomocí desktopové aplikace, kterou nainstalujeme na svou pracovní stanici.

Oba zp˚ usoby synchronizace je obvykle možné kombinovat.

361


Pˇ rímá synchronizace s aplikací Kerio Connect Tímto typem synchronizace, jejím nastavením, možnostmi a praktickým využitím se budeme vˇ enovat v celé kapitole Podpora pro ActiveSync. Pˇ ri pˇ rímé synchronizaci odpadá nutnost pˇ ripojit se zaˇ rízením ke svému osobnímu poˇ cítaˇ ci. Technologie umožˇ nuje pˇ ripojit se pˇ res HTTP(S) protokolem ActiveSync pˇ rímo k poštovnímu serveru a synchronizovat složky v poštovní schránce se složkami v mobilním zaˇ rízení. Pokud má zaˇ rízení nastaveno také pˇ rístup na Internet, m˚ uže si uživatel data synchronizovat kdykoliv, v novˇ ejších typech zaˇ rízení díky takzvané DirectPush technologii dokonce online. Tento typ synchronizace umožˇ nuje synchronizovat následující typy složek: • poštovní složky, • kontakty, • kalendáˇ r, • úkoly — synchronizaci úkol˚ u umožˇ nují pouze zaˇ rízení se systémem Windows Mobile 5.0 a vyšší. K pˇ rímé synchronizaci se serverem je potˇ reba nastavit následující: • V Kerio Connect musí být spuštˇ ena služba HTTP(S). Pokud se uživatel bude chtít pˇ ripojit k serveru z Internetu, potom bude tˇ reba také povolit pˇ ríslušný port (obvykle pouze pro službu HTTPS) na firewallu, za kterým je Kerio Connect spuštˇ en. • V zaˇ rízení musí být správnˇ e nastaveno sít’ové pˇ ripojení. • Bude-li se uživatel pˇ ripojovat pˇ res protokol HTTPS (doporuˇ ceno z bezpeˇ cnostních d˚ uvod˚ u), pak je tˇ reba mít v zaˇ rízení nainstalován d˚ uvˇ eryhodný certifikát (více vizte kapitolu 35.4). • Zaˇ rízení musí být nastaveno tak, aby se mohlo pˇ ripojit ke Kerio Connect. To závisí na typu zaˇ rízení: Windows Mobile V systémech Windows Mobile je tˇ reba nastavit aplikaci ActiveSync tak, aby se mohla pˇ ripojit k serveru. Toto nastavení je pro r˚ uzné verze Windows Mobile odlišné. V zásadˇ e ale otevˇ reme v zaˇ rízení aplikaci ActiveSync, v Menu vyhledáme položku Add Server Source a zde doplníme internetové jméno Kerio Connect a uživatelské jméno a heslo pro pˇ ripojení ke schránce. Podrobnˇ e ríruˇ cka. Zde lze najít jednoduché návody tato nastavení popisuje uživatelská pˇ nastavení aplikace ActiveSync pro všechny podporované verze Windows Mobile.

362

35.1 Typy synchronizace

Nokia E-series Mobilní zaˇ rízení ˇ rady Nokia Eseries a nˇ ekterých typ˚ u Nokia Nseries podporují protokol ActiveSync, pokud do zaˇ rízení nainstalujeme aplikaci Mail For Exchange vyvinutou spoleˇ cností Nokia. Instalaci a nastavení popisuje uživatelská pˇ ríruˇ cka. Mobilní zaˇ rízení s RoadSync Aplikace RoadSync spoleˇ cnosti DataViz umožˇ nuje synchronizaci pošty, kalendáˇ re a kontakt˚ u pˇ res ActiveSync protokol. O aplikaci a nastavení mobilních zaˇ rízení lze najít pˇ ríslušné informace na http://www.dataviz.com/. Apple iPhone OS 2.0 V zaˇ rízení Apple iPhone 2.0 a 3.0 musí být vytvoˇ ren úˇ cet typu Exchange, který podporuje synchronizaˇ cní protokol ActiveSync 2.5. Tato nastavení podrobnˇ e popisuje uživatelská pˇ ríruˇ cka. Apple iPhone OS 3.0 V zaˇ rízení Apple iPhone OS 3.0 musí být vytvoˇ ren úˇ cet typu Exchange, který podporuje synchronizaˇ cní protokol ActiveSync 12.1. Tato nastavení podrobnˇ e popisuje uživatelská pˇ ríruˇ cka.

Synchronizace pomocí desktopové aplikace ActiveSync Tuto možnost synchronizace pouze zmiˇ nujeme, protože synchronizace probíhá nezávisle na Kerio Connect a její nastavení lze najít v uživatelských pˇ ríruˇ ckách k desktopové aplikaci ActiveSync, pˇ rípadnˇ e v manuálu k danému zaˇ rízení. Upozornˇ ení: Zde uvedená nastavení platí pouze pro Windows Mobile. Pro úspˇ ešnou synchronizaci dat pomocí desktopové aplikace ActiveSync je potˇ reba následující: • Mobilní zaˇ rízení musí obsahovat nˇ ekterou verzi aplikace ActiveSync (všechny podporované verze systém˚ u Windows Mobile ji mají ve standardní výbavˇ e). • Osobní poˇ cítaˇ c uživatele musí být vybaven aplikací MS Outlook. V MS Outlooku musí být založen úˇ cet pˇ ripojený ke Kerio Connect (doporuˇ cujeme nastavit Kerio úˇ cet doplnˇ ený o Kerio Outlook Connector, protože pak je možné synchronizovat také složky typu Poznámky). • Osobní poˇ cítaˇ c uživatele musí obsahovat desktopovou aplikaci ActiveSync. Synchronizace se serverem pˇ res desktopovou aplikaci probíhá tak, že data ze serveru má díky pˇ rihlášenému poštovnímu úˇ ctu k dispozici MS Outlook. MS Outlook se synchronizuje s desktopovou aplikací ActiveSync a desktopová aplikace se po pˇ ripojení k zaˇ rízení m˚ uže synchronizovat se zaˇ rízením. Celý proces funguje samozˇ rejmˇ e i obrácenˇ e. Po pˇ ripojení 363


zaˇ rízení se nová data synchronizují pˇ res desktopovou aplikaci ActiveSync s aplikací MS Outlook a ta data promítne i do složek v Kerio Connect. Nespornou výhodou synchronizace pˇ res MS Outlook a desktopovou aplikaci je možnost synchronizace všech typ˚ u složek, které se na serveru nacházejí (tedy i úkoly a poznámky ve všech verzích zaˇ rízení).

35.2 Podporované verze ActiveSync a mobilních zaˇ rízení Kerio Connect podporuje tyto verze protokolu ActiveSync: • ActiveSync 2.5 (Windows Mobile 5.0, Windows Mobile 6.0, Apple iPhone OS 2.0) • ActiveSync 12 (Windows Mobile 6.0, 6.1 a 6.5, Apple iPhone OS 3.0) ˇ Poznámka: Císlo verze ActiveSync je v tomto pˇ rípadˇ e ˇ císlo verze protokolu, ne ˇ císlo verze desktopové aplikace. rehled Kerio Connect podporuje celou ˇ radu mobilních zaˇ rízení. Tabulka 35.1 obsahuje pˇ podporovaných zaˇ rízení založených na systému Windows Mobile. Verze Windows Mobile 5.0

Založeno na

Datum vydání

Windows CE 5.0 Kvˇ eten 2005

Windows Mobile 5.0 AKU2 Windows CE 5.1 Únor 2006 Windows Mobile 6.0

Windows CE 5.2 Únor 2007

Windows Mobile 6.1

Windows CE 5.2 Duben 2008

Windows Mobile 6.5

ˇ íjen 2009 Windows CE 5.2 R

Tabulka 35.1

Pˇ rehled podporovaných systém˚ u založených na systému MS Windows Mobile

Poznámka: Kerio Connect podporuje jak Windows Mobile pro Pocket PC, tak edici pro Smartphone (systém pro zaˇ rízení bez dotykového displeje). Podrobnosti o jednotlivých funkcích zaˇ rízení a jeho nastavení lze získat z originálního manuálu k danému zaˇ rízení. Nastavení aplikace ActiveSync v zaˇ rízení, tak aby se toto zaˇ rízení mohlo pˇ ripojit ke Kerio Connect a úspˇ ešnˇ e synchronizovat data, popisuje samostatná kapitola Synchronizace dat s mobilními zaˇ rízeními v manuálu Kerio Connect 7, Pˇ ríruˇ cka uživatele. R˚ uzné verze systém˚ u poskytují r˚ uzné možnosti spolupráce. Starší verze Windows Mobile neumožˇ nují využití všech možností aplikace Kerio Connect. Vlastnosti využitelné na jednotlivých verzích podporovaných operaˇ cních systém˚ u znázorˇ nuje tabulka 35.2. Následující vlastnosti Kerio Connect nepodporuje: • Nastavení bezpeˇ cnostní politiky ze serveru (Enforce Security Policy) • SMS-based Always Up-To-Date (AUTD) 364

35.3 RoadSync

Typ zaˇ rízení

a

c d e

f

Kalendáˇ r

Kontakty

Úkoly

Direct Push

Global Address Lookup

Kerio Smart Wipe

WM 5.0

ANO

ANO

ANO

ANO

WM 5.0 AKU2

ANO

ANO

ANO

ANO

ANO

ANO

ANO

WM 6.0 a 6.1

ANO

ANO

ANO

ANO

ANO

ANO

ANO

WM 6.5

ANO

ANO

ANO

ANO

ANO

ANO

ANO

Palm Treo 750v

ANO

ANO

ANO

ANO

ANO

ANO

ANO

Palm Pre

ANO

ANO

ANO

ANO

ANO

ANO

ANO

Nokia Eseries a

ANO

ANO

ANO

ANO

ANO

ANO

Nokia N73, N95 a N900 b

ANO

ANO

ANO

ANO

ANO

ANO

Sony Ericsson M600 a P990i c

ANO

ANO

ANO

ANO

ANO

ANO

HTC Nexus One d HTC Hero DROID by Motorola

ANO

ANO

ANO

ANO

ANO

ANO

Apple iPhone OS X 2.0 a vyšší

ANO

ANO

ANO

ANO

ANO

ANO

Apple iPad

ANO

ANO

ANO

ANO

ANO

ANO

ANO

ANO

ANO

BlackBerry b

Pošta

e

ANO

ANO

ANO

ANO

ANO

ANO

f

Zaˇ rízení Nokia Eseries jsou podporována po instalaci externí aplikace Mail for Exchange 1.3.0 a vyšší. Nokia N73 a N95 jsou podporována po instalaci externí aplikace Mail for Exchange 1.6.1 a vyšší. Sony Ericsson M600 a P990i jsou podporovány po instalaci externí aplikace Exchange ActiveSync 2.10 a vyšší. Telefony HTC Nexus One, HTC Hero a DROID by Motorola používají operaˇ cní systém Android. Zaˇ rízení BlackBerry jsou podporována pouze po instalaci NotifySync 4.6.9.3 a vyšší nebo AstraSync 2.2.13 a vyšší. Doporuˇ cujeme však použít Kerio Connector for BlackBerry. Úkoly jsou podporovány pouze ze strany NotifySync nebo pˇ ri použití Kerio Connectoru for BlackBerry. Tabulka 35.2

Podpora vlastností mobilních zaˇ rízení

35.3 RoadSync Kerio Connect podporuje aplikaci RoadSync 4.0 a vyšší vyvinutou spoleˇ cností DataViz. RoadSync umožˇ nuje synchronizaci dat mezi aplikací Kerio Connect a mobilními zaˇ rízeními. Synchronizace probíhá pomocí protokolu ActiveSync. RoadSync podporuje synchronizaci následujících typ˚ u složek: • Pošta, • Kalendáˇ r,

365


• Kontakty, • Úkoly (pouze Symbian S60), Aplikaci RoadSync lze nainstalovat na následující typy mobilních zaˇ rízení: • Symbian UIQ, • Symbian S80, • Symbian S60 3rd Edition, • Palm OS (synchronizace je omezena pouze na e-maily), • Java MIDP 2.0 (synchronizace je omezena pouze na e-maily). Více informací o produktu RoadSync a konkrétnˇ e podporovaných zaˇ rízeních lze najít na stránkách spoleˇ cnosti DataViz http://www.dataviz.com/.

35.4 SSL šifrování ActiveSync m˚ uže pro komunikaci využívat protokol HTTP nebo jeho šifrovanou verzi HTTPS. Upozornˇ ení: Z bezpeˇ cnostních d˚ uvod˚ u d˚ uraznˇ e doporuˇ cujeme používat pro synchronizaci výhradnˇ e protokol HTTPS, protože ActiveSync používá k ovˇ eˇ rení na serveru pouze nešifrované pˇ rihlašovací údaje uživatele. Princip šifrování služeb spuštˇ ených v Kerio Connect popisuje kapitola 16. Tento princip mimo jiné pˇ redpokládá instalaci validního SSL certifikátu do zaˇ rízení. Validní certifikát musí obsahovat tyto náležitosti: • Certifikát musí být vydán d˚ uvˇ eryhodnou certifikaˇ cní autoritou. To znamená, že mobilní zaˇ rízení musí znát koˇ renový certifikát serveru. Windows Mobile standardnˇ e obsahuje koˇ renové certifikáty nˇ ekolika certifikaˇ cních autorit. Jejich seznam lze najít na stránkách spoleˇ cnosti Microsoft Corporation. • Musí být platné datum certifikátu, a zároveˇ n je tˇ reba mít nastavené správné datum a ˇ cas v zaˇ rízení. • Certifikát musí obsahovat platný název poštovní domény, kterou Kerio Connect obsluhuje. Jako validní certifikát lze pro šifrovanou komunikaci využít bud’ certifikát vydaný d˚ uvˇ eryhodnou certifikaˇ cní autoritou (ten je sice pomˇ ernˇ e drahý, ale na druhou stranu s ním nejsou žádné problémy pˇ ri instalaci), nebo certifikát vydaný interní certifikaˇ cní autoritou, a 366

35.4 SSL šifrování

nebo lze využít takzvaný self-signed certifikát vytvoˇ rený pˇ rímo v Kerio Connect (více vizte kapitolu 16). V pˇ rípadˇ e certifikátu od certifikaˇ cní autority, kterou zaˇ rízení podporuje, není potˇ reba nic nastavovat ani instalovat. V pˇ rípadˇ e interních nebo self-signed certifikát˚ u je tˇ reba do zaˇ rízení koˇ renový certifikát nainstalovat. Windows Mobile potˇ rebuje certifikát kódovaný v DER X.509 formátu. Soubor musí mít pˇ ríponu .cer. Nejsnadnˇ ejším zp˚ usobem, jak certifikát do zaˇ rízení nainstalovat, je stáhnout ho pomocí prohlížeˇ ce v zaˇ rízení. Kerio Connect sv˚ uj certifikát ve zmiˇ novaném http://nazev_serveru/server.cer

formátu

poskytuje

na

URL

adrese

Upozornˇ ení: Bezpeˇ cnostní pravidla v zaˇ rízeních typu Smartphone s Windows Mobile 2005 zakazují instalaci nových koˇ renových certifikát˚ u. V takových pˇ rípadech je nutné nejprve povolit instalaci koˇ renových certifikát˚ u v registru zaˇ rízení (postup vizte níže).

Instalace self-signed certifikátu Kerio Connect Instalaci self-signed certifikátu Kerio Connect lze provést následovnˇ e: 1.

V pˇ rípadˇ e, že chceme certifikát nainstalovat do zaˇ rízení Windows Mobile 5.0 Smartphone Edition, je tˇ reba se nejprve ˇ rídit návody v další sekci Povolení instalace koˇ renového certifikátu ve WM 5.0 Smartphone Edition. V ostatních pˇ rípadech zaˇ cneme instalaci certifikátu bodem 2 tohoto návodu.

2.

V mobilním zaˇ rízení spustíme internetový prohlížeˇ c.

3.

Do adresního ˇ rádku zadáme adresu serveru ve tvaru http://nazev_serveru/server.cer (napˇ ríklad http://mail.firma.cz/server.cer) nebo https://nazev_serveru/server.cer (napˇ ríklad https://mail.firma.cz/server.cer)

4.

Prohlížeˇ c se zeptá, zda chceme certifikát stáhnout do zaˇ rízení. Tlaˇ cítkem OK stažení certifikátu potvrdíme.

5.

Dále se zaˇ rízení zeptá, zda chceme certifikát nainstalovat a používat jej. I toto okno potvrdíme tlaˇ cítkem OK.

Nyní je certifikát nainstalován. 367


Povolení instalace koˇ renového certifikátu ve WM 5.0 Smartphone Edition Zaˇ rízení typu Smartphone s operaˇ cním systémem Windows Mobile 5.0 a Windows Mobile 5.0 AKU2 mají jako souˇ cást své bezpeˇ cnostní politiky zakázáno instalovat koˇ renové certifikáty, které nebyly vydány d˚ uvˇ eryhodnými certifikaˇ cními autoritami. Abychom mohli do zaˇ rízení nainstalovat koˇ renový certifikát od autority, kterou dané zaˇ rízení nepodporuje (certifikát vydaný interní certifikaˇ cní autoritou nebo self-signed certifikát Kerio Connect), je potˇ reba do mobilního zaˇ rízení nainstalovat nˇ ekterý z editor˚ u registr˚ u mobilních zaˇ rízení a pomocí tohoto editoru instalaci koˇ renového certifikátu povolit. Jednou z možností m˚ uže být napˇ ríklad aplikace regeditSTG.zip (24.01 kB). Pomocí tohoto editoru registr˚ u provedeme následující zmˇ enu: 1.

Vyhledáme a stáhneme aplikaci regeditSTG.zip (je k dispozici zdarma) a rozbalíme ji.

2.

Pˇ resuneme editor do mobilního telefonu (napˇ ríklad pomocí desktopové aplikace MS ActiveSync). Upozornˇ ení: Soubor je tˇ reba pˇ resunout skuteˇ cnˇ e do telefonu a ne na pamˇ et’ovou kartu.

3.

Na soubor v telefonu klikneme a spustíme ho.

4.

Spustíme regeditSTG.exe a najdeme uzel HKLM\Security\Policies\Policies

5.

Zmˇ eníme tˇ ri následující položky registru: • 00001001 ze 2 na 1 • 00001005 ze 16 na 40 • 00001017 ze 128 na 144

6.

Nyní bude možné certifikát bez problém˚ u stáhnout ze serveru a nainstalovat jej podle návodu v sekci 35.4. Upozornˇ ení: Takzvaný „tvrdý reset“ zaˇ rízení zmˇ enu registru vymaže a je potˇ reba ji provést znovu.

368

35.5 Vzdálené vymazání obsahu zaˇ rízení

SSL šifrování v zaˇ rízeních Sony Ericsson Instalace self-signed certifikátu Kerio Connect zp˚ usobí, že zaˇ rízení bude vyžadovat souhlas s každou synchronizací se serverem: [Security Information ?] The certificate could not be verified. Select ’Certificate details’ to get more information about the certificate. Do you want to accept the certificate and proceed? [ Yes ] [ No ] [ Details ] Z tohoto d˚ uvodu doporuˇ cujeme instalovat do zaˇ rízení certifikát podepsaný d˚ uvˇ eryhodnou certifikaˇ cní autoritou.

35.5 Vzdálené vymazání obsahu zaˇ rízení Vzdálené vymazání obsahu zaˇ rízení umožˇ nuje správci Kerio Connect pomocí jednoho kliknutí v administraˇ cním rozhraní odstranit obsah synchronizovaných složek nebo dokonce obsah celého mobilního zaˇ rízení (takzvaný „tvrdý“ restart zaˇ rízení). Tato vlastnost m˚ uže být velmi užiteˇ cná v pˇ rípadˇ e, že uživatel mobilní zaˇ rízení ztratil nebo pokud mu bylo odcizeno. Data na zaˇ rízení jsou takto více chránˇ ena a nemohou se dostat do rukou nepovolaným osobám. Kromˇ e vymazání dat tento úkon zamezí také dalšímu pˇ ripojení zaˇ rízení ke Kerio Connect, protože kromˇ e vymazání synchronizovaných dat v zaˇ rízení Kerio Connect zakáže pˇ rístup tohoto zaˇ rízení p˚ uvodními pˇ rihlašovacími údaji uživatele. Zda bude možné provést restart zaˇ rízení nebo pouze odstranˇ ení složek podléhajících synchronizaci záleží na typu zaˇ rízení a hlavnˇ e systému. Tvrdý restart po síti totiž podporuje pouze systém Windows Mobile 5.0 AKU2 a vyšší. Nižší verze Windows Mobile tuto vlastnost nepodporují, a proto lze pouze vzdálenˇ e odstranit všechna data podléhající synchronizaci aplikací ActiveSync. Poznámka: Vzdálené vymazání zaˇ rízení neumožˇ nuje vymazání pamˇ et’ových karet. Na pamˇ et’ovou kartu se však standardnˇ e nahrávají pˇ rílohy e-mailových zpráv. ActiveSync umožˇ nuje vymazání veškerých synchronizovaných dat, vˇ cetnˇ e zmínˇ ených pˇ ríloh. Takže po vzdáleném vymazání obsahu zaˇ rízení budou vymazána všechna data v zaˇ rízení a zároveˇ n pˇ rílohy e-mailových zpráv uložené v pamˇ et’ové kartˇ e. Vzdálené vymazání obsahu zaˇ rízení m˚ užeme provést v administraˇ cním rozhraní v sekci Úˇ cty → Uživatelé: 1.

Oznaˇ címe uživatele, který potˇ rebuje vymazat obsah zaˇ rízení.

2.

Pravým tlaˇ cítkem myši otevˇ reme kontextové menu a vybereme v nˇ em položku Další akce → Mobilní zaˇ rízení .

3.

Otevˇ re se okno pro správu mobilních zaˇ rízení daného uživatele (vizte obrázek 35.1). 369


Obrázek 35.1

4.

Dialog pro správu mobilních zaˇ rízení

Oznaˇ címe zaˇ rízení, kterému chceme vymazat obsah a stiskneme tlaˇ cítko Vyˇ cistit.

Upozornˇ ení: K vymazání obsahu dojde pˇ ri následujícím pˇ ripojení zaˇ rízení ke Kerio Connect. Takže pokud uživatel zaˇ rízení ztratil, informujte ho o tom, že pˇ ri pˇ rípadném nalezení zaˇ rízení nesmí spustit synchronizaci a zároveˇ n se musí ihned obrátit na správce, aby vymazání obsahu pˇ red použitím zaˇ rízení nejprve zrušil. Ke zrušení slouží tlaˇ cítko Zrušit ˇ cištˇ ení , které se objeví po použití tlaˇ cítka Vyˇ cistit. Informace o pr˚ ubˇ ehu vyˇ cištˇ ení zaˇ rízení se vypisují do záznamu Security (popisem záznamu Security se podrobnˇ e zabývá sekce 24.4).

Souhlas uživatele s možností vzdáleného vymazání obsahu zaˇ rízení V operaˇ cních systémech Windows Mobile vyžaduje vzdálené vymazání obsahu zaˇ rízení explicitní souhlas uživatele s bezpeˇ cnostními pravidly synchronizace. Jinými slovy, uživatel musí odsouhlasit, že správce serveru m˚ uže vzdálené vymazání provést. Z toho d˚ uvodu se bˇ ehem první synchronizace, která mezi zaˇ rízením a aplikací Kerio Connect probˇ ehne (obvykle po nastavení pˇ rihlašovacích údaj˚ u aplikace Kerio Connect do aplikace ActiveSync), zobrazí v zaˇ rízení dialog (vizte obrázek 35.2), který uživatel musí odsouhlasit. Bez tohoto odsouhlasení nebude možné synchronizaci dokonˇ cit. Kerio Connect tento souhlas na uživateli vyžaduje pˇ ri první synchronizaci zaˇ rízení se serverem proto, aby se souhlas nezobrazil až ve chvíli, kdy zaˇ rízení m˚ uže držet nepovolaná osoba.

370

35.6 Odstranˇ ení zaˇ rízení ze správce mobilních zaˇ rízení

Obrázek 35.2

Souhlas s vymazáním obsahu zaˇ rízení

35.6 Odstranˇ ení zaˇ rízení ze správce mobilních zaˇ rízení Uživatelé mohou svá mobilní zaˇ rízení v pr˚ ubˇ ehu ˇ casu mˇ enit za novˇ ejší typy. Ty starší jsou ovšem i nadále pˇ ripojeny ke Kerio Connect. Toto není žádný velký problém. Ovšem už z d˚ uvodu pˇ rehlednosti a orientace v zaˇ rízeních doporuˇ cujeme vymazat zaˇ rízení, která již nejsou používána. Nepoužívaná mobilní zaˇ rízení lze vymazat následujícím zp˚ usobem: 1.

V sekci Úˇ cty → Uživatelé vybereme uživatele, který už nepoužívá dané zaˇ rízení.

2.

Klikneme na schránce pravým tlaˇ cítkem myši a otevˇ reme kontextové menu, kde vybereme položku Mobilní zaˇ rízení .

3.

Otevˇ re se okno pro správu mobilních zaˇ rízení uživatele (vizte obrázek 35.1).

4.

Oznaˇ címe zaˇ rízení, kterému chceme vymazat obsah a stiskneme tlaˇ cítko Smazat.

35.7 Záznamy synchronizace Celý proces synchronizace lze sledovat pomocí nástroj˚ u k zaznamenávání komunikace. Tyto nástroje jsou umístˇ eny jak v administraˇ cním rozhraní Kerio Connect, tak pˇ rímo v mobilním zaˇ rízení. Tato sekce obsahuje popis a nastavení tˇ echto nástroj˚ u: Záznam synchronizace v Kerio Connect Kerio Connect vAdministration obsahuje pro záznam komunikace speciální volbu v záznamu Debug (záznam Debug a jeho volby popisuje sekce 24.9). Záznam komunikace lze spustit následovnˇ e: 1.

V administraˇ cním rozhraní aplikace Kerio Connect se pˇ repneme do sekce Záznamy → Debug.

2.

Klikneme pravým tlaˇ cítkem myši v oknˇ e záznamu a vyvoláme kontextové menu.

3.

V kontextovém menu klikneme na volbu Zprávy.

4.

Otevˇ re se dialog Zaznamenávané informace, kde zaškrtneme volbu ActiveSync Synchronization. 371


Obrázek 35.3

5.

Dialog pro nastavení záznamu Debug

Nastavení uložíme tlaˇ cítkem OK.

Po nastavení záznamu je tˇ reba spustit synchronizaci mezi zaˇ rízením a serverem, aby se mohl vytvoˇ rit záznam. V pˇ rípadˇ e potˇ reby lze záznam synchronizace také uložit: 1.

Záznam lze do souboru uložit v sekci Záznamy → Debug.

2.

Na vytvoˇ reném záznamu klikneme pravým tlaˇ cítkem myši a v kontextovém menu vybereme volbu Uložit záznam.

3.

V dialogu Uložit záznam zvolíme místo uložení souboru, vybereme formát souboru (na výbˇ er máme mezi formáty TXT a HTML) a dialog odsouhlasíme (vizte obrázek 35.4).

372


Obrázek 35.4

Dialog pro uložení záznamu

Záznam synchronizace v mobilních zaˇ rízeních Aplikace ActiveSync v systémech Windows Mobile obsahuje vlastní záznamy každé synchronizace, které mohou napomoci pˇ ri ˇ rešení problém˚ u s komunikací. Záznamy lze zapnout v Advanced dialogu aplikace ActiveSync. Windows Mobile záznamy ukládá do adresáˇ re \Windows\Activesync. Každá synchronizace je uložena v samostatném souboru, pˇ riˇ cemž se ve zmínˇ eném adresáˇ ri nacházejí vždy poslední tˇ ri záznamy. Soubory se záznamy se nazývají: Exchange Server0.txt Exchange Server1.txt Exchange Server2.txt Tyto záznamy mohou být potˇ reba napˇ ríklad pˇ ri ˇ rešení problém˚ u s technickou podporou spoleˇ cnosti Kerio Technologies.

ˇešení pˇ rípadných problém˚ u 35.8 R Problémy se synchronizací jedné složky ve Windows Mobile Problém Uživateli se m˚ uže stát, že se mu nebude daˇ rit synchronizovat nˇ ekterou ze složek, kterou má k synchronizaci pˇ rihlášenu. ˇešení R V nastavení aplikace ActiveSync provedeme následující: 1.

V nastavení aplikace ActiveSync odebereme složku ze seznamu synchronizovaných složek.

373


Obrázek 35.5

2. 3. 4. 5.

Odebrání poškozené složky ze seznamu synchronizovaných složek

Provedeme takzvaný „Soft reset“ zaˇ rízení. Provedeme synchronizaci zaˇ rízení se serverem bez oné poškozené složky. Pokud nyní probˇ ehla synchronizace bez problém˚ u, složku opˇ et do seznamu synchronizovaných složek pˇ ridáme a zkusíme synchronizovat. V pˇ rípadˇ e neúspˇ echu kontaktujeme technickou podporu spoleˇ cnosti Kerio Technologies.

Problémy se synchronizací všech složek ve Windows Mobile Problém Uživateli se nedaˇ rí synchronizovat složky pˇ rihlášené k synchronizaci. ˇešení R V nastavení aplikace ActiveSync provedeme následující: 1.

V nastavení aplikace ActiveSync odebereme (odškrtneme) všechny složky ze seznamu synchronizovaných složek (vizte obrázek 35.6) a nastavení uložíme.

Obrázek 35.6

Odebrání složek ze seznamu synchronizovaných složek

374


2. 3.

Provedeme takzvaný „Soft reset“ zaˇ rízení. Složky do seznamu synchronizovaných složek opˇ et pˇ ridáme a zkusíme synchronizovat. 4. V pˇ rípadˇ e neúspˇ echu kontaktujeme technickou podporu spoleˇ cnosti Kerio Technologies. Poznámka: Kromˇ e tohoto postupu je možné také zrušit v ActiveSync úˇ cet celý a po restartu zaˇ rízení ho znovu nastavit. Data podléhající synchronizaci se ze zaˇ rízení vymažou. Po založení nového úˇ ctu se všechna data naˇ ctou znovu, obvykle již správnˇ e.

Zaˇ rízení se nem˚ uže pˇ ripojit k serveru ˇ ešení tohoto problému m˚ R uže být nˇ ekolik. Pˇ redevším je tˇ reba zkontrolovat následující: • V zaˇ rízení musí být správnˇ e nastaven pˇ rístup k síti, aby se zaˇ rízení mohlo pˇ ripojit ke Kerio Connect. • V nastavení aplikace ActiveSync je tˇ reba zjistit, zda jsou správnˇ e zadány pˇ rihlašovací údaje. • V Kerio Connect musí být povolena služba HTTP(S) na standardních portech (na vˇ etšinˇ e zaˇ rízení nelze nastavit nestandardní port pro komunikaci). • Komunikuje-li zaˇ rízení pˇ res protokol zabezpeˇ cený SSL, je tˇ reba zkontrolovat, zda problém není v SSL certifikátu (více vizte sekci 35.4). • Pokud se uživatel pˇ ripojuje k serveru z Internetu, je tˇ reba mít na firewallu povoleny standardní porty protokolu HTTP(S).

375

Kapitola 36

Podpora pro zaˇ rízení BlackBerry

36.1 NotifySync NotifySync je implementací ActiveSync pro zaˇ rízení BlackBerry a umožˇ nuje synchronizaci: • pošty — synchronizovány jsou všechny osobní složky vˇ cetnˇ e podsložek, • kalendáˇ re — synchronizován je pouze hlavní osobní kalendáˇ r, • kontakt˚ u — synchronizovat je možné všechny složky, které si uživatel vybere pˇ ri konfiguraci, • úkol˚ u — synchronizována je pouze hlavní osobní složka s úkoly, Více se dozvíte na stránkách spoleˇ cnosti Notify Technology.

36.2 AstraSync AstraSync je implementací ActiveSync pro zaˇ rízení BlackBerry a umožˇ nuje synchronizaci: • pošty — synchronizovány jsou všechny osobní složky vˇ cetnˇ e podsložek, • kalendáˇ re — synchronizován je pouze hlavní osobní kalendáˇ r, • kontakt˚ u — synchronizovat je možné všechny složky, které si uživatel vybere pˇ ri konfiguraci, Více se dozvíte na stránkách spoleˇ cnosti http://www.astrasync.com/

376

Kapitola 37

Kerio Connector for BlackBerry

Kerio Connector for BlackBerry je speciální modul, který zajišt’uje spolupráci mezi aplikací Kerio Connect a zaˇ rízením BlackBerry.

Obrázek 37.1

Pˇ ríklad zapojení modulu Kerio Connector for BlackBerry

Upozornˇ ení: Pˇ restože mohou být BlackBerry Enterprise Server, Kerio Connector for BlackBerry a Kerio Connect instalovány na jednom poˇ cítaˇ ci, doporuˇ cujeme z d˚ uvodu výkonnosti a nárok˚ u na operaˇ cní pamˇ et’ nainstalovat Kerio Connect na jiný poˇ cítaˇ c.

37.1 Systémové požadavky Doporuˇ cená konfigurace poˇ cítaˇ ce, na který mají být nainstalovány BlackBerry Enterprise Server (BES), Kerio Connector for BlackBerry a pˇ rípadnˇ e i Kerio Connect: • CPU 2 GHz, 2 GB RAM pro BES server (je-li nainstalovaný na stejném poˇ cítaˇ ci i Kerio Connect, vizte kapitolu 2.1). • Serverová verze operaˇ cního systému Microsoft Windows. • Administrátorský úˇ cet na tomto poˇ cítaˇ ci (BESadmin). M˚ uže se jednat i o lokálního uživatele na tomto poˇ cítaˇ ci. 377


• Active Directory. Poznámka: Adresáˇ rová služba Active Directory je vyžadována pouze pro instalaci BES serveru. Nemusí obsahovat žádné uživatele. • Instalaˇ cní balíˇ cek BlackBerry Enterprise Server pro Exchange verze 5.0 nebo pozdˇ ejší nebo BlackBerry Enterprise Server Express verze 5.0 nebo pozdˇ ejší a pˇ ríslušné licenˇ cní klíˇ ce. Instalaˇ cní balík a licenˇ cní klíˇ ce BES Express je možné získat zde: http://na.blackberry.com/eng/services/business/server/express/ • Nainstalovanou aplikaci Kerio Connect verze 7.1.0 a pozdˇ ejší. • Administrátorský pˇ rístup k aplikaci Kerio Connect. • Instalaˇ cní soubor modulu Kerio Connector for BlackBerry stejné verze jako Kerio Connect. Poznámka: BlackBerry Enterprise Server ani Kerio Connector for BlackBerry nevyžadují pevnou IP adresu ani port pro pˇ ríchozí komunikaci. Pouze zajistíme otevˇ renou odchozí komunikaci.

37.2 Instalace Abychom mohli zaˇ cít synchronizovat zaˇ rízení BlackBerry s aplikací Kerio Connect, je tˇ reba nainstalovat moduly v tomto poˇ radí: 1.

Kerio Connect 7.1 (pro informace o systémových požadavcích a instalaci vizte kapitolu 2)

2.

Kerio Connector for BlackBerry Poznámka: Jelikož BlackBerry Enterprise Server vyžaduje serverovou verzi operaˇ cního systému Microsoft Windows, je nutné spustit instalaci Kerio Connectoru for BlackBerry právˇ e na serverové verzi Microsoft Windows.

3.

BlackBerry Enterprise Server

Pokud již máme BlackBerry Enterprise Server nainstalovaný a/nebo pˇ ripojený k Exchange serveru, je tˇ reba ho kompletnˇ e odinstalovat (vˇ cetnˇ e SQL databází). Upozornˇ ení: Následující podkapitoly obsahují informace o instalaci a konfiguraci modulu Kerio Connector for BlackBerry a pro usnadnˇ ení vaší práce také BlackBerry Enterprise Serveru. Na BlackBerry Enterprise Server však není poskytována technická podpora. V pˇ rípadˇ e jakýchkoliv problém˚ u s BES serverem se obrat’te na technickou podporu výrobce (Research In Motion Limited).

378

37.2 Instalace

37.2.1 Instalace modulu Kerio Connector for BlackBerry Instalaˇ cní balíˇ cek Kerio Connectoru for BlackBerry lze získat na produktových stránkách spoleˇ cnosti Kerio Technologies (http://www.kerio.cz/cz/connect/download/). Pˇ ri instalaci modulu Kerio Connector for BlackBerry postupujeme následovnˇ e: 1.

Pˇ rihlásíme se na administrátorský úˇ cet BESadmin (vizte sekci 37.1).

2.

Spustíme instalaci modulu Kerio Connector for BlackBerry a provedeme následující kroky: a.

Nainstalujeme Microsoft Exchange MAPI redistributable.

b.

Vyplníme heslo BESadmin úˇ ctu.

c.

Vyplníme uživatelské jméno a heslo administrátora aplikace Kerio Connect. Poznámka: uživatelské jméno a heslo administrátora aplikace Kerio Connect jsou použity pouze pro instalaci a nejsou bˇ ehem instalace nikam ukládány.

Máme-li Kerio Connector for BlackBerry nainstalovaný, pokraˇ cujeme instalací BlackBerry Enterprise Server.

37.2.2 Instalace BlackBerry Enterprise Server Detailní informace o instalaci naleznete na stránkách BlackBerry: http://docs.blackberry.com/en/admin/deliverables/14347/ (Installing the BlackBerry Enterprise Server software) Bˇ ehem instalace doporuˇ cujeme nemˇ enit pˇ rednastavené hodnoty, kromˇ e následujících: • Pokud nemáme nainstalovaný vhodný MS SQL Server, nainstalujeme ho. • Vytvoˇ ríme novou konfiguraˇ cní databázi pro BlackBerry. • Až se bˇ ehem instalace otevˇ re dialogové okno pro nastavení modulu Kerio Connector for BlackBerry, potvrdíme kliknutím na tlaˇ cítko OK — modul je již nastaven. • Vytvoˇ ríme lokální úˇ cet pro administraci BES serveru. Upozornˇ ení: Nepoužívejte pro pˇ ripojení k BlackBerry Administration Service mapovaný úˇ cet z Active Directory.

379


37.3 Licence Bˇ ehem instalace BlackBerry Enterprise Serveru je nutné zadat nˇ ekolik licenˇ cních ˇ císel, která obdržíme od Research In Motion Limited. Jelikož se jejich názvy v instalaci liší, uvádíme zde jejich seznam: • CAL Authentication Key = BlackBerry Cal Key 30 znak˚ u (5x6): besxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx • Serial Number = SRP authentication information / SRP authentication key 9 znak˚ u: Sxxxxxxxx • License Key = SRP authentication information 40 znak˚ u (4x10): xxxx-xxxx-xxxx-xxxx-xxxx-xxxx-xxxx-xxxx-xxxx-xxxx

37.4 Zaˇ cínáme s BlackBerry Enterprise Server (Express) 37.4.1 Vytvoˇ rení uživatele na BES serveru 1.

Pomocí Internet Exploreru se pˇ ripojíme k BlackBerry Administration Service (vizte kapitolu 37.5.1).

2.

Pˇ rihlásíme se k úˇ ctu uživatelským jménem a heslem vytvoˇ reným bˇ ehem instalace (vizte sekci 37.2).

3.

Zvolíme Create User. Zadáme kritéria pro zobrazení uživatel˚ u aplikace Kerio Connect. V seznamu zobrazených uživatel˚ u vybereme ty, které chceme pˇ ridat, a stiskneme Continue.

4.

Volbou Create user with activation password vytvoˇ ríme uživatele s aktivaˇ cním heslem. Utvoˇ ríme aktivaˇ cní heslo. Poznámka: Jelikož se aktivaˇ cní heslo používá pouze pro aktivaci zaˇ rízení (tj. pro spárování zaˇ rízení BlackBerry a BES serveru a nastavení synchronizace), není tˇ reba zadávat heslo zvláštˇ e zabezpeˇ cené.

5.

Pro ukonˇ cení klikneme na Create user.

Kerio Connector for BlackBerry dostane pokyn od BES serveru a stáhne následující složky uživatelského úˇ ctu: • Doruˇ cená pošta, • Odeslaná pošta,

380

37.5 Práce s BlackBerry Enterprise Sever

• Kalendáˇ r, • Kontakty, • Úkoly, • Poznámky. Zpracování požadavku na aktivaci m˚ uže nˇ ejakou dobu trvat.

37.4.2 Aktivace zaˇ rízení BlackBerry 1.

V zaˇ rízení BlackBerry otevˇ reme aplikaci Options a vybereme Advanced Options → Enterprise Activation.

2.

Zadáme e-mailovou adresu uživatele, aktivaˇ cní heslo a jméno BES serveru. Klikneme na Activate. Do složky s doruˇ cenou poštou v aplikaci Kerio Connect je zaslán e-mail ve speciálním ˇte. BES server si tento e-mail pˇ formátu. Tento e-mail nemažte ani nemˇ en reˇ cte a zahájí aktivaci. Poznámka: Ujistˇ ete se, že žádný z uživatelských filtr˚ u pošty nepˇ resune tento e-mail do jiné složky. Podrobný návod najdete na stránkách spoleˇ cnosti Research In Motion Limited: http://uk.blackberry.com/support/enterpriseactivation/ Další zp˚ usoby aktivace jsou popsány na následujícím odkazu: http://docs.blackberry.com/en/admin/deliverables/14334/ (Assigning BlackBerry devices to users)

37.5 Práce s BlackBerry Enterprise Sever 37.5.1 Pˇ rístup k BlackBerry Administration Service BlackBerry Administration Service je webová konzole pro správu BES serveru. Upozornˇ ení: Internet Explorer je jediným podporovaným prohlížeˇ cem díky podpoˇ re ovládacích prvk˚ u ActiveX. Ty jsou tˇ reba, máme-li zaˇ rízení pˇ ripojeno pˇ res USB kabel.

381


BlackBerry Administration Service nalezneme na adrese: https://pocitac_s_BES_serverem:port/webconsole/app/ Pˇ ríklad: https://bes-server.kerio.local:3443/webconsole/app/ 37.5.2 Pˇ rístup k BlackBerry Web Desktop Manager BlackBerry Web Desktop Manager je webová aplikace, která uživatel˚ um umožˇ nuje nastavení synchronizace zaˇ rízení. Upozornˇ ení: Internet Explorer je jediným podporovaným prohlížeˇ cem díky podpoˇ re ovládacích prvk˚ u ActiveX. Ty jsou tˇ reba, máme-li zaˇ rízení pˇ ripojeno pˇ res USB kabel. BlackBerry Web Desktop Manager nalezneme na adrese: https://pocitac_s_BES_serverem:port/webdesktop/ Pˇ ríklad: https://bes-server.kerio.local:3443/webdesktop/ 37.5.3 Kontrola Server Routing Protocol (SRP) a nastavení SRP ID Pˇ rihlásíme se do rozhraní BlackBerry Administration Service (vizte sekci 37.5.1). Pˇ repneme se do sekce Servers and Components → BlackBerry Solution Topology → Component View → BlackBerry Enterprise Server → . Kontrola, zda je SRP protokol správnˇ e nastaven 1. Klikneme na Edit instance. 2. Pˇ repneme se na stránku Instance Information. 3. Zkontrolujeme, zda je zobrazená hodnota stavu SRP protokolu Connected. Není-li SRP pˇ ripojen, nebudou žádná data doruˇ cována z/do zaˇ rízení. Nastavení SRP ID 1. 2. 3. 4.

Klikneme na Edit instance. Pˇ repneme se na stránku Instance Information. V sekci SRP Information vepíšeme informace o SRP ID a Authentication Key. Klikneme na Save all a uložíme nastavení.

37.5.4 Aktivace S/MIME zpráv Synchronizace S/MIME zpráv z/do zaˇ rízení je standardnˇ e na BES serveru zakázána. Chceme-li ji povolit, postupujeme následovnˇ e: 1.

Pˇ rihlásíme se do BlackBerry Administration Service (vizte sekci 37.5.1).

2.

Pˇ repneme se do sekce Servers and Components → BlackBerry Solution Topology → Component View → Email → . 382

37.5 Práce s BlackBerry Enterprise Sever

3.

Klikneme na Edit instance.

4.

Na stránce Messaging v sekci Security settings nastavíme položku Turn on S/MIME message processing na hodnotu True.

5.

Klikneme na Save all a uložíme nastavení.

37.5.5 Výbˇ er mailových složek pro synchronizaci se zaˇ rízením BlackBerry Standardnˇ e jsou synchronizovány složky Doruˇ cená pošta a Odeslaná pošta. Chceme-li synchronizovat jiné složky, postupujeme následovnˇ e: 1.

Pˇ rihlásíme se do BlackBerry Web Desktop Manager (vizte sekci 37.5.2).

2.

Pˇ repneme se do sekce Email Settings → Redirection Folders.

3.

Vybereme požadované složky.

4.

Klikneme na Save a uložíme nastavení.

37.5.6 Výbˇ er složek kontakt˚ u pro synchronizaci se zaˇ rízením BlackBerry Standardnˇ e jsou synchronizovány všechny složky s kontakty. Chceme-li synchronizovat jiné složky, postupujeme následovnˇ e: 1.

Pˇ rihlásíme se do BlackBerry Web Desktop Manager (vizte sekci 37.5.2).

2.

Pˇ repneme se do sekce Email Settings → Contact Folders.

3.

Vybereme požadované složky.

4.


37.5.7 Synchronizace smazaných zpráv ze zaˇ rízení na server Standardnˇ e z˚ ustává zpráva smazaná v zaˇ rízení BlackBerry na serveru nezmˇ enˇ ená. Chceme-li toto chování zmˇ enit, postupujeme následovnˇ e: 1.

Na zaˇ rízení BlackBerry se pˇ repneme do aplikace Message.

2.

Pˇ repneme se do Menu → Options → Emails Reconciliation.

3.

Položku Delete on nastavíme na Mailbox & Handheld nebo Prompt.

4.


383

Kapitola 38

Podpora pro Microsoft Entourage

MS Entourage je poštovní klient pro Mac OS X podporovaný ze strany Kerio Connect. Podpora využívá rozhraní pro MS Exchange v Entourage a umožˇ nuje: • práci s groupwarovými daty (pošta, kalendáˇ r, kontakty a veˇ rejné poštovní složky), • využívání Free/Busy serveru, • pˇ ripojení r˚ uzných LDAP databází pro vyhledávání kontakt˚ u, • uˇ cení bayesovského filtru pomocí pˇ resouvání složek do Junk E-mail nebo INBOXu (více vizte kapitolu 13.1). Podpora pro spolupráci Kerio Connect a MS Entourage je pˇ rímá. To znamená, že na klientské stanice se nemusí instalovat žádná rozšiˇ rující aplikace, pouze je nutné správnˇ e nastavit základní parametry úˇ ctu pro Exchange. Pro správnou funkci Microsoft Entourage musí být v Kerio Connect spuštˇ eny všechny potˇ rebné služby: • HTTP(S) — pomocí této služby Kerio Connect komunikuje s rozhraním WebDAV a Free/Busy serverem. • LDAP(S) — pokud je uživateli využíváno vyhledávání kontakt˚ u v LDAP databázi Kerio Connect. Upozornˇ ení: Kromˇ e nastavení služeb na serveru je nutné namapovat pˇ ríslušné porty na firewallu, kterým je server chránˇ en, jinak služby nebudou pˇ rístupné z Internetu (více vizte sekci 2.3). Kerio Connect podporuje tyto verze poštovního klienta: • MS Entourage 2004 + MS Office 2004 for Mac SP2 — 11.3.3 pro Mac OS X • MS Entourage 2008 + MS Office 2008 for Mac SP1 — 12.1 pro Mac OS X Upozornˇ ení: Kerio Connect nepodporuje protokol Exchange Web Services.

384

38.1 Automatická konfigurace Exchange úˇ ctu

MS Entourage musí být nainstalován na následujících verzích operaˇ cního systému Mac OS X: • Mac OS X 10.3.9 Panther • Mac OS X 10.4 Tiger • Mac OS X 10.5 Leopard • Mac OS X 10.6 Snow Leopard Podpora MS Entourage ze strany Kerio Connect se liší podle verze MS Entourage. To zohledˇ nuje tabulka 38.1. Znak

MS Entourage 2004

MS Entourage 2008

Vyhledávání kontakt˚ u pˇ res LDAP

ANO

ANO

Podpora Free/Busy

ANO

ANO

Delegace složek

ANO

ANO

Podpora veˇ rejných složek s kontakty a kalendáˇ ri ANO

ANO

Podpora více kalendáˇ rových a kontaktních složek v jednom úˇ ctu

ANO

ANO

Podpora Out-of-office

NE

ANO

Tabulka 38.1 Podporované vlastnosti

Upozornˇ ení: Každý uživatelský profil v MS Entourage m˚ uže obsloužit jen jeden Exchange úˇ cet. Každý další takový úˇ cet nebude funkˇ cní. Funkci POP3 a IMAP úˇ ct˚ u nastavení neovlivˇ nuje. Pokud se v komunikaci mezi aplikací Kerio Connect a Exchange úˇ ctem v MS Entourage objeví nˇ ejaký problém, zapnˇ ete v záznamu Debug volbu WebDAV Server Requests (jak a kde lze volbu zapnout je popsáno v kapitole 24.9). Záznam pr˚ ubˇ ehu komunikace vám m˚ uže pˇ ri ˇ rešení problému výraznˇ e napomoci. Konkrétní možnosti a nastavení Kerio Connect 7, Pˇ ríruˇ cka uživatele).

na

stranˇ e

klienta

jsou

popsána

v

manuálu

38.1 Automatická konfigurace Exchange úˇ ctu Spoleˇ cnost Kerio Technologies pro vás pˇ ripravila autokonfiguraˇ cní skript pro MS Entourage. Tento skript nastaví poštovní úˇ cet tak, aby uživatelé po jeho spuštˇ ení zadali do jednoduchého dialogu pouze své uživatelské jméno, heslo a poštovní doménu, ve které mají založen sv˚ uj úˇ cet. 385

Podpora pro Microsoft Entourage

Konfiguraˇ cní skript se pokusí nejprve nastavit úˇ cet tak, aby komunikoval pouze verzemi protokol˚ u šifrovanými SSL. K tomu potˇ rebuje validní SSL certifikát. Za tímto úˇ celem si stáhne aktivní SSL certifikát z aplikace Kerio Connect. Aby certifikát dobˇ re fungoval, musí být vystaven na DNS název poˇ cítaˇ ce, kde je Kerio Connect nainstalován. V opaˇ cném pˇ rípadˇ e se úˇ cet nastaví tak, aby certifikát nebyl potˇ reba a protokoly budou komunikovat nešifrovanˇ e. Upozornˇ ení: Pokud po probˇ ehnutí skriptu hlásí MS Entourage 2008, že komunikace nebude bezpeˇ cná, protože nem˚ uže komunikovat pˇ res SSL, restartujte prosím MS Entourage. Komunikace bude po restartu aplikace pracovat správnˇ e a šifrovanˇ e. Autokonfiguraˇ cní skript lze získat na stránce Integrace s Mac OS X . Pro otevˇ rení stránky zadejte do prohlížeˇ ce URL ve tvaru http(s)://server/integration. Podrobný popis nastavení vizte Kerio Connect 7, Pˇ ríruˇ cku uživatele.

386

Kapitola 39

Podpora pro Apple Address Book

Kerio Connect umožˇ nuje podporu standardního adresáˇ re operaˇ cního systému Mac OS X Apple Address Book. Podpora spoˇ cívá v možnosti prohledávání kontakt˚ u v LDAP databázi Kerio Connect a od verze Mac OS X 10.3 také obousmˇ ernou synchronizaci kontakt˚ u s uživatelskou schránkou v Kerio Connect. Podporu konkrétních možností v závislosti na verzi Mac OS X zobrazuje tabulka 39.1. Kerio Connect podporuje Apple Address Book v následujících verzích: • Apple Address Book pro Mac OS X 10.2 Jaguar • Apple Address Book pro Mac OS X 10.3 Panther • Apple Address Book pro Mac OS X 10.4 Tiger • Apple Address Book pro Mac OS X 10.5 Leopard • Apple Address Book pro Mac OS X 10.6 Snow Leopard

Verze OS

a

Vyhledávání v LDAP databázi Kerio Connect

Podpora synchronizace kontakt˚ u pomocí Apple iSync

Synchronizace pomocí Kerio Sync Connectoru

Synchronizace pomocí CardDAV protokolu

Mac OS X 10.2 ANO

NE

NE

NE

Mac OS X 10.3 ANO

ANO

NE

NE

Mac OS X 10.4 ANO

ANO

ANO

NE

Mac OS X 10.5 ANO

ANO

ANO

NE

Mac OS X 10.6 a

ANO

ANO

ANO

ANO

Pro synchronizaci kalendáˇ ru ˚ a kontakt˚ u doporuˇ cujeme využít místo Kerio Sync Connectoru nativní protokoly iCal (CalDAV) a Address Book (CardDAV). Tabulka 39.1

Podpora Apple Address Book na jednotlivých verzích Mac OS X

387

Podpora pro Apple Address Book

Pro komunikaci mezi aplikací Kerio Connect a aplikací Apple Address Book je tˇ reba spustit v administraˇ cním rozhraní aplikace Kerio Connect následující služby: • LDAP(S) — službu je tˇ reba spustit, pokud uživatelé chtˇ ejí využívat prohledávání v LDAP databázi Kerio Connect. • HTTP(S) — službu je tˇ reba spustit, pokud uživatelé chtˇ ejí využívat možnosti synchronizace kontakt˚ u. Upozornˇ ení: Kromˇ e nastavení služeb na serveru je nutné namapovat pˇ ríslušné porty na firewallu, kterým je server chránˇ en, jinak služby nebudou pˇ rístupné z Internetu (více vizte sekci 2.3). Nastavení aplikace Apple Address Book a pˇ rípadnˇ e také Kerio Sync Connectoru jsou popsána v manuálu Kerio Connect 7, Pˇ ríruˇ cka uživatele.

388

Kapitola 40

Kerio Sync Connector for Mac

Kerio Sync Connector je program pro obousmˇ ernou synchronizaci dat mezi aplikací Kerio Connect a aplikacemi Apple iCal a Apple Address Book: • Apple iCal — Kerio Sync Connector umožˇ nuje obousmˇ ernou synchronizaci lokálnˇ e uložených událostí a položek To Do. • Apple Address Book — Kerio Sync Connector umožˇ nuje obousmˇ ernou synchronizaci lokálnˇ e uložených kontakt˚ u. Upozornˇ ení: Kerio Sync Connector seznam˚ u.

nepodporuje

synchronizaci

distribuˇ cních

Hlavní výhodou Kerio Sync Connectoru je možnost nastavení synchronizace obou aplikací v jednom místˇ e. Kerio Sync Connector využívá pro synchronizaci dat protokol WebDAV. Z toho d˚ uvodu je tˇ reba v Kerio Connect spustit služby HTTP a HTTPS. Upozornˇ ení: Kromˇ e nastavení služeb na serveru je nutné namapovat pˇ ríslušné porty na firewallu, kterým je server chránˇ en, jinak služby nebudou pˇ rístupné z Internetu (více vizte sekci 2.3). Konkrétní možnosti Kerio Sync Kerio Connect 7, Pˇ ríruˇ cka uživatele.

Connectoru

jsou

popsány

v

manuálu

Doporuˇ cení pro Mac OS X 10.5 Leopard: Vypnˇ ete synchronizaci kalendáˇ ru ˚ v Kerio Sync Connectoru a použijte nativní synchronizaci kalendáˇ ru ˚ v Apple iCal pˇ res protokol CalDAV (vizte kapitolu 33).

Doporuˇ cení pro Mac OS X 10.6 Snow Leopard: Pro synchronizaci kalendáˇ ru ˚ a kontakt˚ u použijte nativní synchronizaci kalendáˇ ru ˚ v Apple iCal pˇ res protokol CalDAV (vizte kapitolu 33) a nativní synchronizaci kontakt˚ u v Apple Address Book pˇ res protokol CardDAV (vizte kapitolu 34).

389


40.1 Instalace Kerio Sync Connector je tˇ reba nainstalovat na pracovní stanice uživatel˚ u s operaˇ cními systémy Apple Mac OS X 10.4.11 a vyšší. K instalaci je zapotˇ rebí instalaˇ cní balík ve tvaru kerio-ksc-6.7.0-1069.mac.dmg, který lze získat zdarma na stránkách spoleˇ cnosti Kerio Technologies. Postup pˇ ri instalaci je následující: 1.

Dvojím kliknutím otevˇ reme instalaˇ cní balík.

2.

Otevˇ re se Finder, který instalaˇ cní balík otevˇ re jako disk a nabídne spustitelný instalaˇ cní soubor Kerio Connect Installer.

3.

Instalaci provedeme pomocí standardního instalaˇ cního pr˚ uvodce.

ˇešení možných problém˚ 40.2 R u se synchronizací Kerio Connect i Kerio Sync Connector poskytuje nástroje pro ˇ rešení pˇ rípadných problém˚ u se synchronizací: Záznamy komunikace Komunikaci mezi aplikací Kerio Connect a Kerio Sync Connectorem lze zaznamenávat jak na stranˇ e Kerio Connect, tak na stranˇ e Kerio Sync Connectoru: • Kerio Connect 1. 2. 3.

Otevˇ reme záznam Debug. V oknˇ e záznamu otevˇ reme pravým tlaˇ cítkem myši místní nabídku a vybereme položku Zprávy. Otevˇ re se okno Zaznamenávané informace, kde zaškrtneme volbu WebDAV Server Requests (vizte obrázek 40.1).

Obrázek 40.1

Nastavení v záznamu Debug

390

ˇešení možných problém˚ 40.2 R u se synchronizací

Po vyˇ rešení problému doporuˇ cujeme záznam opˇ et vypnout. • Kerio Sync Connector 1. 2.

Otevˇ reme System Preferences → Kerio Sync Connector a pˇ repneme se do záložky Advanced. Zaškrtneme volbu Enable debug logging (vizte obrázek 40.2).

Obrázek 40.2

Nastavení záznamu v Kerio Sync Connectoru

Záznam najdeme v aplikaci Console (Applications → Utilities → Console). Oprava synchronizace V pˇ rípadˇ e problém˚ u se synchronizovanými daty m˚ uže k ˇ rešení pomoci oprava synchronizace. Pˇ ri opravˇ e bude vytvoˇ rena kopie dat bud’ na serveru nebo v klientovi a tato kopie pˇ remaže stranu opaˇ cnou tak, aby obˇ e úložištˇ e obsahovala stejná data. Rizikem opravy m˚ uže být ztráta ˇ cásti dat, která byla uložena od poslední synchronizace. Postup pˇ ri opravˇ e synchronizace je následující: 1. 2. 3.

Otevˇ reme System Preferences → Kerio Sync Connector a pˇ repneme se do záložky Advanced. Stiskneme tlaˇ cítko Repair. Otevˇ re se okno s dotazem, zda chceme provést synchronizaci podle dat na serveru nebo podle dat na klientovi. Po výbˇ eru stiskneme tlaˇ cítko OK a data se synchronizují.

Odeslání reportu do Kerio Technologies V pˇ rípadˇ e, že problém se synchronizací zp˚ usobuje chyba v aplikaci, doporuˇ cujeme odeslat záznam synchronizace do spoleˇ cnosti Kerio Technologies, kde bude podroben analýze. Veškeré informace uložené ve výpisu budou použity pouze k odstranˇ ení problém˚ u spojených s používáním tohoto produktu. Údaje ani vaše e-mailová adresa nebudou žádným zp˚ usobem zneužity. Odeslat report m˚ užeme následujícím zp˚ usobem: 1. 2. 3.

Otevˇ reme System Preferences → Kerio Sync Connector a pˇ repneme se do záložky Advanced. Stiskneme tlaˇ cítko Send report. Otevˇ re se okno pro odeslání e-mailové zprávy se záznamem a doplnˇ enou o adresu 391


odesílatele. Zprávu staˇ cí pouze odeslat.

392

Kapitola 41

Podpora pro Apple Mail

Kerio Connect podporuje nˇ ekteré funkce pro týmovou spolupráci IMAP a Entourage úˇ ct˚ u v Apple Mail 10.4 a vyšší. Podpora umožˇ nuje zobrazení složek s událostmi, kontakty a úkoly v poštovním klientovi. Podpora pro spolupráci Kerio Connect a Apple Mail je pˇ rímá. To znamená, že na klientské stanice se nemusí instalovat žádná rozšiˇ rující aplikace, pouze je nutné podporu povolit v konfiguraˇ cním souboru aplikace Kerio Connect: 1.

Zastavíme Kerio Connect — pˇ red každou ruˇ cní editací konfiguraˇ cních soubor˚ u je tˇ reba vždy nejprve zastavit Kerio Connect Engine.

2.

V adresáˇ ri, kam je nainstalován mailserver.cfg a otevˇ reme ho.

Kerio

Connect,

najdeme

soubor

s

názvem

Pokud soubor editujeme na platformách Mac OS X nebo Linux, potom se nejprve do systému pˇ rihlásíme jako root (speciální uživatel s plnými pˇ rístupovými právy do systému). 3.

Pomocí vyhledávání najdeme ˇ rádek s hodnotou IMAPFullListing a místo ˇ císlice 0 k této hodnotˇ e pˇ riˇ radíme ˇ císlici 1.

4.

Zmˇ enu v souboru uložíme a Kerio Connect opˇ et spustíme.

Nastavení plné podpory protokolu IMAP v Kerio Connect zp˚ usobí, že všichni uživatelé využívající pro pˇ rístup ke své poštˇ e protokol IMAP budou mít k dispozici všechny typy složek i podsložek (pošta, kalendáˇ re, kontakty a úkoly) ve svých poštovních klientech. Tyto složky však budou zobrazeny jako poštovní složky, kde všechny události, kontakty nebo úkoly budou zobrazeny ve formˇ e e-mailových zpráv s pˇ rílohou ve formátu .vcf v pˇ rípadˇ e kontaktu nebo .ics v pˇ rípadˇ e události a úkolu. Z tohoto d˚ uvodu je tˇ reba d˚ ukladnˇ e si rozmyslet, zda má spuštˇ ení plné podpory IMAP v Kerio Connect opravdu smysl, a zda pˇ rinese uživatel˚ um oˇ cekávanou pˇ ridanou hodnotu. Pro správnou funkci úˇ ct˚ u v Apple Mail musí být v Kerio Connect spuštˇ eny všechny pˇ ríslušné služby: • HTTP(S) — službu je nutno spustit pro Exchange úˇ cty, pokud jsou uživateli využívány. • IMAP(S) — službu je nutno spustit jak pro IMAP, tak pro Exchange úˇ cty. • SMTP(S) — pˇ res protokol probíhá odesílání pošty.

393

Podpora pro Apple Mail

Upozornˇ ení: Kromˇ e nastavení služeb na serveru je nutné namapovat pˇ ríslušné porty na firewallu, kterým je server chránˇ en, jinak služby nebudou pˇ rístupné z Internetu (více vizte sekci 2.3). Konkrétní možnosti a nastavení Kerio Connect 7, Pˇ ríruˇ cka uživatele).

v

Apple

394

Mail

jsou

popsána

v

manuálu

Kapitola 42

Podpora pro Apple iPhone

Kerio Connect podporuje Apple iPhone 2.0 a vyšší. Vlastností, které jsou ze strany Kerio Connect podporovány, je celá ˇ rada: • umožˇ nuje pˇ rímou synchronizaci pošty, kalendáˇ re a kontakt˚ u pˇ res ActiveSync. • umožˇ nuje odesílat a pˇ rijímat poštu pˇ res protokoly IMAP, POP3 a SMTP nebo synchronizovat s desktopovými aplikacemi Apple Mail a Outlook Express pˇ res Apple iTunes. • umožˇ nuje synchronizovat kontakty a kalendáˇ r s desktopovými aplikacemi pomocí Apple iTunes. Synchronizovat kalendáˇ r a kontakty je možné také s aplikacemi Apple iCal, Apple Address Book a Microsoft Outlook (XP, 2003 a 2007). • Na Safari lze spustit jak plnou verzi Kerio WebMail tak Kerio WebMail Mini. Upozornˇ ení: V plné verzi Kerio WebMailu nelze mˇ enit existující kontakty, události, úkoly ani poznámky. Podpora Apple iPhone ze strany Kerio Connect vyžaduje instalaci programu iTunes 7.3 a vyšší na stanice uživatel˚ u. iTunes slouží k synchronizaci mezi desktopovým klientem a Apple iPhone. Synchronizace mezi desktopovou aplikací a Apple iPhone vyžaduje následující operaˇ cní systémy: • Windows XP Service Pack 2 a novˇ ejší, • Mac OS X 10.4.10 a vyšší. Upozornˇ ení: Pokud komunikace mezi aplikací Kerio Connect a poštovním klientem probíhá na portu 25, m˚ uže nastat problém s odesíláním pošty. Veˇ rejné WiFi sítˇ eˇ casto nepodporují komunikaci na nešifrovaných verzích protokol˚ u, takže SMTP na portu 25 m˚ uže být blokován. Uživatelé v takovém pˇ rípadˇ e nemohou ze sítˇ e odesílat svou poštu. SMTPS na portu 465 však obvykle bývá otevˇ reno. Z toho d˚ uvodu doporuˇ cujeme uživatel˚ um nastavit jejich poštovní klienty na šifrování pomocí SMTPS.

395

Podpora pro Apple iPhone

42.1 Apple iPhone OS 2.0 a vyšší Využívají-li uživatelé k synchronizaci ActiveSync, musí být v Kerio Connect spuštˇ ena služba HTTP(S). • Apple iPhone umožˇ nuje pˇ rímou synchronizaci: • pošty, • kalendáˇ re, • kontakt˚ u. •

Apple iPhone plnˇ e podporuje vlastnost vyˇ cištˇ ení zaˇ rízení (tzv. „Device Wipe“). V pˇ rípadˇ e ztráty zaˇ rízení jej lze vzdálenˇ e vymazat (více vizte sekci 35.5).

• DirectPush Technology — tato technologie umožˇ nuje mobilnímu zaˇ rízení udržovat otevˇ rené HTTP(S) spojení se serverem a v pˇ rípadˇ e pˇ rijetí nové položky nebo zmˇ eny položky v nˇ ekteré ze synchronizovaných složek se zmˇ ena ihned synchronizuje. • Global Address Lookup — tato vlastnost umožˇ nuje vyhledávání e-mailových adres ve složkách s kontakty. Novˇ e Apple iPhone OS 3.X podporuje následující vlastnosti: • protokol CalDAV (umožˇ nuje synchronizaci kalendáˇ ru ˚), • standard iCalendar (umožˇ nuje stažení sdílených a veˇ rejných kalendáˇ ru ˚ pro ˇ ctení), • protokol LDAP (umožˇ nuje pˇ rístup ke kontakt˚ um pˇ res protokol LDAP), • protokol CardDAV (umožˇ nuje synchronizaci kontakt˚ u). Systém navíc obsahuje ˇ radu dalších drobných vylepšení jako jsou: • metoda Copy&Paste funguje pro text i grafiku pˇ ri psaní e-mail˚ u, • možnost pˇ repnutí do horizontální polohy klienta pˇ ri psaní e-mail˚ u, • vyhledávání v e-mailech na serveru (v ActiveSync úˇ ctu), • upozorˇ nování na nové e-maily doruˇ cené do jiných složek než do Inboxu, • možnost vytváˇ rení a odesílání pozvánek z ActiveSync úˇ ctu (vˇ cetnˇ e zobrazení dostupnosti uživatel˚ u), • synchronizace poznámek pˇ res Apple iTunes s desktopovými aplikacemi Apple Mail a MS Outlook. Na serveru není potˇ reba kv˚ uli tˇ emto vlastnostem cokoliv nastavovat, pouze musí být spuštˇ eny ríruˇ cce. služby LDAP(S) a HTTP(S). Nastavení zaˇ rízení je popsáno v uživatelské pˇ 396

Kapitola 43

Technická podpora

Spoleˇ cnost Kerio Technologies poskytuje registrovaným uživatel˚ um na produkt Kerio Connect bezplatnou e-mailovou a telefonickou technickou podporu. Kontakty naleznete na konci této kapitoly. Naši technici vám rádi ochotnˇ e pomohou s jakýmkoliv problémem. Znaˇ cné množství problém˚ u lze ale vyˇ rešit svépomocí (zpravidla i rychleji). Než se rozhodnete kontaktovat technickou podporu Kerio Technologies, proved’te prosím následující: • Pokuste se najít odpovˇ ed’ v tomto manuálu. Jednotlivé kapitoly obsahují velmi detailní popis funkcí aplikace Kerio Connect a možnosti jejich využití pro optimální nastavení serveru. • Nenajdete-li odpovˇ ed’ na vaši otázku zde, pokuste se ji najít: 1.

na produktových stránkách (http://www.kerio.cz/cz/connect/),

2.

na stránkách technické podpory (http://www.kerio.cz/cz/support/).

• Dalšími zdroji cenných informací m˚ uže být diskusní fórum uživatel˚ u aplikace Kerio Connect na stránkách http://forums.kerio.cz/ a znalostní databáze, kterou lze najít na stránkách http://www.kerio.cz/cz/support/. • Konkrétní dotazy na technickou podporu lze zadávat do speciálního webového formuláˇ re umístˇ eného na stránkách http://www.kerio.cz/cz/support/.

43.1 Kerio Connect Administration Kromˇ e webového formuláˇ re umístˇ eného na stránkách http://www.kerio.cz/cz/support/, m˚ užete technickou kontrolu kontaktovat i pomocí Kerio Connect Administration. V dolní ˇ cásti úvodní stránky Kerio Connect Administration, se nacházejí tlaˇ cítka Návrh na vylepšení a Nahlásit problém (vizte obrázek 43.1).

397

Technická podpora

Obrázek 43.1

Úvodní obrazovka Kerio Connect Administration

Návrh na vylepšení Spoleˇ cnost Kerio Technologies se neustále snaží svým zákazník˚ um pˇ rinášet nová a nová vylepšení svých produkt˚ u. Pokud vám i pˇ resto v Kerio Connect nˇ ejaká funkce chybí, neváhejte Kerio Technologies kontaktovat. Tlaˇ cítkem Návrh na vylepšení na úvodní stránce Kerio Connect Administration se otevˇ re dialogové okno (vizte obrázek 43.2), kde m˚ užete vyplnit své jméno a e-mail a kliknˇ ete na Vytvoˇ rit úˇ cet. Budete pˇ resmˇ erováni na novou stránku, kde napíšete sv˚ uj návrh ˇ ci pˇ ripomínku. Pokud jste v dialogu Návrh na vylepšení napsali své jméno a e-mail, budete pravidelnˇ e informováni o stavu svého požadavku a všech jeho zmˇ enách. Jméno a e-mailovou adresu m˚ užete upravovat v sekci Konfigurace → Nastavení správy v ˇ cásti Nastavení úˇ ctu pro zasílání návrh˚ u na vylepšení (vizte obrázek 43.3).

398


Obrázek 43.2

Obrázek 43.3

Návrh na vylepšení

Nastavení údaj˚ u pro Návrh na vylepšení

Nahlásit problém Jestliže pˇ ri používání Kerio Connect narazíte na problém, který se vám nepodaˇ rí vyˇ rešit, m˚ užete kontaktovat technickou podporu pomocí tlaˇ cítka Nahlásit problém. Po kliknutí na tlaˇ cítko se zobrazí dialogové okno (vizte obrázek 43.4), kde je tˇ reba vyplnit informace pro technickou podporu. 399

Technická podpora

Obrázek 43.4

Nahlásit problém

V oknˇ e již budou pˇ redvyplnˇ ené informace o: verzi Kerio Connect, vašem operaˇ cním systému, jazyce a licenˇ cním ˇ císle. Tyto informace pomohou spoleˇ cnosti Kerio Technologies v co nejkratším ˇ case váš problém vyˇ rešit. Pˇ redvyplnˇ ené bude i jméno a e-mailová adresa právˇ e pˇ rihlášeného administrátora. Pokud chcete, aby s vámi spoleˇ cnost Kerio Technologies komunikovala pomocí jiné adresy, m˚ užete ji pˇ repsat. Další položky prosím vyplˇ nte co nejd˚ ukladnˇ eji: • Shrnutí problému — doplˇ nte krátké a výstižné shrnutí problému pro lepší orientaci. • Popis problému —do textového pole co nejpodrobnˇ eji doplˇ nte informace, které pomohou problém identifikovat a vyˇ rešit. Pro usnadnˇ ení jsou pˇ redvyplnˇ eny sekce: • Steps to reproduce (Kroky pro opˇ etovné vyvolání) — popište, co pˇ redcházelo výskytu chyby nebo problému. • Expected result (Oˇ cekávaný výsledek) — jaký výsledek jste po provedení výše uvedených krok˚ u oˇ cekávali. 400

• Actual result (Skuteˇ cný výsledek) — co se skuteˇ cnˇ e stalo. • Used software (Použitý software) — jaké programy jste použili. • Stisknutím tlaˇ cítka Nahlásit problém informace odešlete do Kerio Technologies. Váš problém se tímto dostane k pracovník˚ um technické podpory, kteˇ rí vás budou kontaktovat. Upozornˇ ení: Údaje prosím vyplˇ nujte pouze v anglickém jazyce.

401

Pˇ ríloha A

Právní doložka

Microsoft , Windows , Windows NT , Windows Vista , Internet Explorer , Active Directory , Outlook , ActiveSync , Entourage  a Windows Mobile  jsou registrované ochranné známky spoleˇ cnosti Microsoft Corporation. Apple , iCal , Mac OS , Safari, Tiger, Panther , Open Directory logo, Leopard  a Snow Leopard  jsou registrované ochranné známky nebo ochranné známky spoleˇ cnosti Apple Inc. Palm , Treo, Pre a VersaMail  jsou registrované ochranné známky nebo ochranné známky spoleˇ cnosti Palm, Inc. Red Hat  a Fedora jsou registrované ochranné známky nebo ochranné známky spoleˇ cnosti Red Hat, Inc. SUSE , openSUSE  a openSUSE logo jsou registrované ochranné známky spoleˇ cnosti Novell Inc. Mozilla  a Firefox  jsou registrované ochranné známky spoleˇ cnosti Mozilla Foundation. Linux  je ochranná registrovaná známka Linuse Torvaldse. Kerberos je ochranná známka Massachusetts Institute of Technology (MIT). avast!  je registrovaná ochranná známka spoleˇ cnosti ALWIL Software. Symantec je ochranná známka spoleˇ cnosti Symantec Corporation. eTrust je ochranná známka spoleˇ cnosti Computer Associates International, Inc. ClamAV je ochranná známka spoleˇ cnosti Tomasz Kojm. Cybertrust  je registrovaná ochranná známka spoleˇ cnosti Cybertrust Holdings, Inc. a/nebo jejích poboˇ cek. Thawte  je registrovaná ochranná známka spoleˇ cnosti VeriSign, Inc. Entrust  je registrovaná ochranná známka spoleˇ cnosti Entrust, Inc. Sophos  je registrovaná ochranná známka spoleˇ cnosti Sophos Plc. ESET  a NOD32  jsou registrované ochranné známky spoleˇ cnosti ESET, LLC. AVG  je registrovaná ochranná známka spoleˇ cnosti AVG Technologies. NotifyLink  je registrovaná ochranná známka spoleˇ cnosti Notify Technology Corporation. BlackBerry  je registrovaná ochranná známka spoleˇ cnosti Research In Motion Limited (RIM). RoadSync je ochranná známka spoleˇ cnosti DataViz Inc. Nokia  a Mail for Exchange  jsou registrované ochranné známky spoleˇ cnosti Nokia Corporation. 402

Symbian je ochranná známka spoleˇ cnosti Symbian Software Limited. Sony Ericsson  je registrovaná ochranná známka spoleˇ cnosti Sony Ericsson Mobile Communications AB. SpamAssassin je ochranná známka Apache Software Foundation. SpamHAUS  je registrovaná ochranná známka spoleˇ cnosti The Spamhaus Project Ltd. Android a Nexus One je ochranná známka spoleˇ cnosti Google Inc. Užití této ochranné známky je možné pouze v souladu s Google Permissions. DROID je ochranná známka spoleˇ cnosti Lucasfilm Ltd. a jejich pˇ ríbuzných spoleˇ cností. Motorola  je registrovaná ochranná známka spoleˇ cnosti Motorola, Inc.

403

Pˇ ríloha B

Použité open-source knihovny

Tento produkt obsahuje následující knihovny volnˇ e šiˇ ritelné ve formˇ e zdrojových kód˚ u (open-source): Berkeley DB Berkeley DB je softwarová knihovna, která poskytuje integrovanou databázi s vazbou na C, C++, Javu, Perl, Python, Ruby, Tcl, Smalltalk a mnoho dalších programovacích jazyk˚ u. The Regents of the University of California. All rights reserved. Copyright 1987, 1993 The Regents of the University of California. All rights reserved. bindlib Knihovna poskytuje DNS resolver, který se používá pro PHP aplikace ve Windows. Copyright 1983, 1993 The Regents of the University of California. All rights reserved. Portions Copyright 1993 by Digital Equipment Corporation. Bluff Bluff je javascriptová verze knihovny Gruff pro vytváˇ rení graf˚ u. Knihovna Gruff je napsaná v jazyce Ruby. Copyright  2008-2009 James Coglan. Original Ruby version  2005-2009 Topfunky Corporation. excanvas Knihovna ExplorerCanvas poskytuje možnost dvourozmˇ erného kreslení v Internet Exploreru. Copyright  2006 Google Inc. Kerio Connect Configuration Wizard pro Linux Kerio Connect Configuration Wizard pro Linux je program pro poˇ cáteˇ cní konfiguraci aplikace Kerio Connect. Copyright (c) Kerio Technologies, s.r.o Kerio Connect Configuration Wizard pro Linux je šíˇ ren pod licencí GNU General Public License verze 3. Kompletní zdrojový kód spustitelného programu je k dispozici ke stažení na stránce: http://download.kerio.com/archive/ CppSQLite CppSQLite je knihovna, která zpˇ rístupˇ nuje integrovanou databázi SQLite pro jazyk C++ Copyright 2004 Rob Groves. All Rights Reserved.

404

Firebird 2 Tento produkt obsahuje pozmˇ enˇ enou verzi databázového jádra Firebird šíˇ reného v souladu s licencemi IPL a IDPL. Všechna práva vyhrazena individuálním pˇ rispˇ evatel˚ um — originální kód Copyright  2000 Inprise Corporation. Upravený zdrojový kód je dostupný na adrese http://download.kerio.com/archive/ Heimdal Kerberos Heimdal Kerberos je využíván pouze ve verzi Kerio Connect urˇ cené pro linuxové distribuce. Heimdal je implementace Kerberosu 5, psaného hlavnˇ e ve Švédsku. Je volnˇ e dostupný pod licencí podobné BSD (pozn.: balík obsahuje i ˇ cásti knihovny libdes, od Erica Younga, která je pod jinou licencí). Jiné další volné implementace jsou od MIT a Shishi. Také MS Windows a Sun Java mají implementaci Kerberosu. Copyright 1997-2000 Kungliga Tekniska Hogskolan (Royal Institute of Technology, Stockholm, Sweden). All rights reserved. Copyright 1995-1997 Eric Young. All rights reserved. Copyright 1990 by the Massachusetts Institute of Technology Copyright 1988, 1990, 1993 The Regents of the University of California. All rights reserved. Copyright 1992 Simmule Turner and Rich Salz. All rights reserved. ICU (International Components for Unicode) ICU je velmi rozšíˇ rený soubor C/C++ a Java knihoven, který nabízí podporu národních znak˚ u v Unicode pro softwarové aplikace. Copyright  1995-2009 International Business Machines Corporation and others libcurl libcurl je knihovna, která se používá pro stažení obsahu URL. Knihovna podporuje následující protokoly: FTP, FTPS, HTTP, HTTPS, GOPHER, TELNET, DICT, FILE a LDAP. Copyright 1996-2008, Daniel Stenberg. libiconv Knihovna konvertuje znaky z jednoho kódování do jiného pˇ res UNICODE. Copyright 1999-2003 Free Software Foundation, Inc. Autor: Bruno Haible Domovská stránka: http://www.gnu.org/software/libiconv/ Knihovna libiconv je šíˇ rena pod licencí GNU Lesser General Public License 3. Kerio Connect obsahuje upravenou verzi této knihovny. Kompletní zdrojové kódy upravené knihovny libiconv jsou k dispozici na adrese: http://download.kerio.com/archive/

405

Pˇ ríloha B Použité open-source knihovny

libspf2 libspf2 implementuje Sender Policy Framework, který pˇ redstavuje ˇ cást páru protokol˚ u SPF/SRS. Knihovna libspf2 umožˇ nuje poštovním server˚ um jako jsou Sendmail, Postfix, Exim, Zmailer a MS Exchange kontrolu SPF záznam˚ u. Zároveˇ n ovˇ eˇ ruje SPF záznam a kontroluje, zda je odesílající server oprávnˇ en odesílat poštu pro doménu, ze které byla zpráva odeslána. Toto opatˇ rení zabraˇ nuje podvrh˚ um bˇ ežnˇ e užívaným spammery a viry/ˇ cervy (více vizte http://www.libspf2.org/). Copyright 2004 Wayne Schlitt. All rights reserved. libstdc++ C++ standard library je kolekce tˇ ríd a funkcí, které jsou napsané v standardním jazyce a jsou souˇ cástí C++ ISO standardu. Copyright  2001, 2002, 2004 Free Software Foundation, Inc. libxml2 Knihovna je nástrojem pro práci s XML soubory. Copyright 1998-2003 Daniel Veillard. All Rights Reserved. Copyright 2000 Bjorn Reese and Daniel Veillard. Copyright 2000 Gary Pennington and Daniel Veillard Copyright 1998 Bjorn Reese and Daniel Stenberg. Mail-SpamAssassin Tento produkt obsahuje software vyvinutý Apache Software Foundation (http://www.apache.org/). SpamAssassin je registrovaná ochranná známka Apache Software Foundation. myspell Knihovna pro kontrolu pravopisu. Copyright 2002 Kevin B. Hendricks, Stratford, Ontario, Canada And Contributors. All rights reserved. OpenLDAP Volnˇ e šiˇ ritelná implementace protokolu LDAP (Lightweight Directory Access Protocol). Copyright 1998-2007 The OpenLDAP Foundation Copyright 1999, Juan C. Gomez, All rights reserved Copyright 2001 Computing Research Labs, New Mexico State University Portions Copyright1999, 2000 Novell, Inc. All Rights Reserved Portions Copyright PADL Software Pty Ltd. 1999 Portions Copyright 1990, 1991, 1993, 1994, 1995, 1996 Regents of the University of Michigan Portions Copyright The Internet Society (1997) Portions Copyright 1998-2003 Kurt D. Zeilenga Portions Copyright 1998 A. Hartgers Portions Copyright 1999 Lars Uffmann Portions Copyright 2003 IBM Corporation Portions Copyright 2004 Hewlett-Packard Company Portions Copyright 2004 Howard Chu, Symas Corp. 406

OpenSSL Implementace protokol˚ u Secure Sockets Layer (SSL v2/v3) a Transport Layer Security (TLS v1). Tento produkt obsahuje software vyvinutý sdružením OpenSSL Project pro použití v OpenSSL Toolkit (http://www.openssl.org/). Tento produkt obsahuje software, který napsal Eric Young . Tento produkt obsahuje software, který napsal Tim Hudson. PHP PHP je široce používaný obecný skriptovací jazyk, který se používá obzvláštˇ e pro vývoj web aplikací a m˚ uže být vložený pˇ rímo do HTML kódu. Copyright 1999-2006 The PHP Group. All rights reserved. Tento produkt obsahuje PHP software, který najdete volnˇ e ke stažení na adrese http://www.php.net/software/ php_mbstring PHP modul pro práci s ˇ retˇ ezci vícebytových znak˚ u. Copyright 2001-2004 The PHP Group. Copyright 1998-2002 HappySize, Inc. All rights reserved. Knihovna je upravena spoleˇ cností Kerio Technologies s.r.o. a šíˇ rena pod licencí GNU Lesser General Public License verze 2.1. Modul je ke stažení zde: http://download.kerio.com/archive/ sdbm Tento produkt obsahuje (http://www.apache.org/)

software

vyvinutý

Apache

zlib Všestrannˇ e použitelná knihovna pro kompresi a dekompresi dat. Copyright 1995-2005 Jean-Loup Gailly and Mark Adler.

407

Software

Foundation

Slovníˇ cek pojm˚ u

DoS útok DoS (Denial of Service) je typ útoku, který spoˇ cívá v zahlcení serveru požadavky jiného poˇ cítaˇ ce nebo poˇ cítaˇ cu ˚ tak, aby nestíhal plnit požadavky regulérních uživatel˚ u nebo v horším pˇ rípadˇ e útoku podlehl. DSN DSN (Delivery Status Notification) je zpráva o stavu doruˇ cení e-mailové zprávy, doruˇ cenka. Existuje nˇ ekolik druh˚ u potvrzení o doruˇ cení zprávy. Pokud není odesílatelem urˇ ceno jinak, posílá mu mailový server pouze chybové zprávy (odložení, neúspˇ ech). E-mailová adresa Urˇ cuje pˇ ríjemce a odesílatele zprávy pˇ ri komunikaci elektronickou poštou. Skládá se z lokální ˇ cásti (pˇ red znakem @) a domény (ˇ cást za znakem @). Doména urˇ cuje místo (organizaci), kam bude zpráva doruˇ cena, a lokální ˇ cást pak konkrétního pˇ ríjemce v rámci této organizace. ETRN Pˇ rijímáte-li poštu protokolem SMTP a váš server není trvale pˇ ripojen k Internetu, m˚ uže se pošta shromažd’ovat na jiném SMTP serveru (typicky sekundární server pro danou doménu). V okamžiku pˇ ripojení k Internetu vyšle váš SMTP server pˇ ríkaz ETRN (jeden z pˇ ríkaz˚ u protokolu SMTP), ˇ címž si žádá o poslání uložených e-mail˚ u. Nejsou-li na daném SMTP serveru žádné zprávy uloženy, nemusí na pˇ ríkaz ETRN v˚ ubec odpovˇ edˇ et. Proto je tˇ reba definovat dobu (timeout), po které SMTP server ukonˇ cí spojení, jestliže žádné e-maily nepˇ rijal. Firewall Software nebo hardwarové zaˇ rízení, které chrání poˇ cítaˇ c nebo poˇ cítaˇ covou sít’ pˇ red pr˚ unikem zvenˇ cí (typicky z Internetu). Free/Busy Free/Busy server zabudovaný do Kerio Connect je služba, která uživatel˚ um prostˇ rednictvím protokolu HTTP poskytuje informace o zaneprázdnˇ enosti/volném ˇ case ostatních uživatel˚ u, aniž by se zobrazily podrobnosti jednotlivých událostí. IMAP Internet Message Access Protocol (IMAP) je protokol umožˇ nující klient˚ um pracovat se svými zprávami na serveru, bez nutnosti stahování na lokální poˇ cítaˇ c. Uživatel se tak m˚ uže pˇ ripojovat k serveru z více r˚ uzných poˇ cítaˇ cu ˚ a má vždy k dispozici všechny své zprávy (pokud by byly zprávy staženy na lokální disk urˇ citého poˇ cítaˇ ce, nebyly by z ostatních poˇ cítaˇ cu ˚ dostupné). K téže schránce lze (za urˇ citých podmínek) pˇ ristupovat protokoly IMAP i POP3 souˇ casnˇ e.

408

IP IP (Internet Protocol) je protokol, který nese ve své datové ˇ cásti všechny ostatní protokoly. Nejd˚ uležitˇ ejší informací v jeho hlaviˇ cce je zdrojová a cílová IP adresa, tedy kým (jakým poˇ cítaˇ cem) byl paket vyslán a komu je urˇ cen. IP adresa 32-bitové ˇ císlo jednoznaˇ cnˇ e urˇ cující poˇ cítaˇ c v Internetu. Zapisuje v desítkové soustavˇ e jako ˇ ctveˇ rice byt˚ u (0-255) oddˇ elených teˇ ckami (napˇ r. 200.152.21.5). Každý paket obsahuje informaci, odkud byl vyslán (zdrojová IP adresa), a kam má být doruˇ cen (cílová IP adresa). Kerberos Protokol pro bezpeˇ cné ovˇ eˇ rování uživatel˚ u v sít’ovém prostˇ redí. Byl navržen organizací MIT (Massachusetts Institute of Technology) v rámci projektu Athena. Protokol je založen na principu d˚ uvˇ eryhodné tˇ retí strany. Uživatelé se pˇ rihlašují svým heslem k centrálnímu serveru (KDC, Key Distribution Center) a od nˇ eho dostávají šifrované vstupenky (tickets) pro pˇ rihlášení k r˚ uzným službám v síti. LDAP LDAP (Lightweight Directory Access Protocol) je internetový protokol pro pˇ rístup k adresáˇ rovým službám. V adresáˇ rích bývají uloženy informace o uživatelských úˇ ctech a jejich právech, poˇ cítaˇ cích v síti apod. Nejˇ castˇ eji používají LDAP e-mailové programy pro vyhledávání e-mailových adres a ˇ rízení doruˇ cování pošty (Microsoft Active Directory). MAPI MAPI (Messaging Application Programming Interface) je programovací aplikaˇ cní rozhraní (API) firmy Microsoft. Je to softwarové rozhraní, které umožˇ nuje jakémukoliv programu podporujícímu MAPI pracovat s libovolným poštovním systémem (Kerio Connect) a tedy posílat a zpracovávat data bez ohledu na typ a výrobce komunikaˇ cních prostˇ redk˚ u. Maska subsítˇ e Maska subsítˇ e rozdˇ eluje IP adresu na dvˇ eˇ cásti: adresu sítˇ e a adresu poˇ cítaˇ ce v této síti. Maska se zapisuje stejnˇ e jako IP adresa (napˇ r. 255.255.255.0), ale je tˇ reba ji vidˇ et jako 32-bitové ˇ císlo mající zleva urˇ citý poˇ cet jedniˇ cek a zbytek nul (maska tedy nem˚ uže mít libovolnou hodnotu). Jedniˇ cka v masce subsítˇ e oznaˇ cuje bit adresy sítˇ e a nula bit adresy poˇ cítaˇ ce. Všechny poˇ cítaˇ ce v jedné subsíti musejí mít stejnou masku subsítˇ e a stejnou sít’ovou ˇ cást IP adresy. MX záznamy Jeden z typ˚ u záznam˚ u, které mohou být uloženy v DNS. Obsahuje informaci o poštovním serveru pro danou doménu (tzn. na který SMTP server má být poslán e-mail pro tuto doménu). MX záznam˚ u pro jednu doménu m˚ uže být více, pak mají r˚ uznou prioritu a mohou definovat napˇ r. primární a záložní (sekundární) server. NNTP NNTP (Network News Transfer Protocol) je jednoduchý textový protokol, který rozšiˇ ruje, naˇ cítá a umist’uje zprávy na Internetu.

409

Slovníˇ cek pojm˚ u

Notifikace Struˇ cná zpráva (upozornˇ ení) na urˇ citou událost — napˇ r. pˇ rijetí e-mailu. Zpravidla se posílá formou krátké textové zprávy (SMS) na mobilní telefon. POP3 Post Office Protocol je protokol, který umožˇ nuje uživatel˚ um stahovat zprávy ze serveru na sv˚ uj lokální disk. Je vhodný zejména pro klienty, kteˇ rí nemají trvalé pˇ ripojení k Internetu. Na rozdíl od protokolu IMAP, POP3 neumožˇ nuje uživatel˚ um manipulovat se zprávami na serveru. Veškeré operace s nimi musí být provádˇ eny na poˇ cítaˇ ci klienta. POP3 umožˇ nuje pˇ rístup pouze do uživatelovy složky INBOX a nepodporuje veˇ rejné a sdílené složky. Port 16-bitové ˇ císlo (1-65535) používané protokoly TCP a UDP pro identifikaci aplikací (služeb) na daném poˇ cítaˇ ci. Na jednom poˇ cítaˇ ci (jedné IP adrese) m˚ uže být spuštˇ eno více aplikací souˇ casnˇ e (napˇ r. WWW server, poštovní klient, WWW klient — prohlížeˇ c, FTP klient atd.). Každá aplikace je však jednoznaˇ cnˇ e urˇ cena ˇ císlem portu. Porty 1-1023 jsou vyhrazené a používají je standardní, pˇ ríp. systémové služby (napˇ r. 80 = WWW). Porty nad 1024 (vˇ cetnˇ e) mohou být volnˇ e použity libovolnou aplikací (typicky klientem jako zdrojový port nebo nestandardní aplikací serverového typu). Poštovní schránka Místo, kde jsou pˇ rijaté e-maily na serveru uloženy. Poštu si klient m˚ uže ze schránky vybírat (protokolem POP3), anebo pracovat se zprávami pˇ rímo na serveru (protokolem IMAP). Fyzicky je schránka reprezentována adresáˇ rem na disku, který je vytvoˇ ren v adresáˇ ri Kerio Connect (mail/jmeno_uzivatele). V tomto adresáˇ ri jsou vytváˇ reny další podadresáˇ re, reprezentující jednotlivé složky). Schránky nejsou vytvoˇ reny pˇ ri definici uživatel˚ u, konkrétní schránka je vždy vytvoˇ rena až po pˇ rijetí prvního e-mailu, který do ní má být uložen. RFC RFC (Request For Comments) je soubor obecnˇ e a dobrovolnˇ e uznávaných standard˚ u. Je to soubor ˇ císlovaných dokument˚ u, kde každý z nich se vˇ enuje nˇ ejaké ˇ cásti sít’ové komunikace. SMTP Simple Mail Transfer Protocol je základní protokol, který se používá pro odesílání pošty v Internetu. Odesílatel a pˇ ríjemce zprávy je urˇ cen e-mailovou adresou. Spam Nevyžádaný, zpravidla reklamní e-mail. Spamy bývají rozesílány hromadnˇ e, pˇ riˇ cemž adresy pˇ ríjemc˚ u získávají rozesílatelé nelegálními cestami. SSL Protokol pro zabezpeˇ cení a šifrování TCP spojení. P˚ uvodnˇ e byl navržen firmou Netscape pro zabezpeˇ cení pˇ renosu WWW stránek protokolem HTTP, dnes je podporován témˇ eˇ r všemi standardními internetovými protokoly — SMTP, POP3, IMAP, LDAP atd. Na zaˇ cátku komunikace se nejprve asymetrickou šifrou provede výmˇ ena šifrovacího klíˇ ce, který je pak použit pro (symetrické) šifrování vlastních dat. 410

TLS Transport Layer Security. Nástupce SSL, de facto SSL verze 3.1. Tato verze je standardizována organizací IETF. WebDAV WebDAV (Web Distributed Authoring and Versioning) je rozhraní rozšiˇ rující protokol HTTP o možnost skupinovˇ e editovat a spravovat soubory umístˇ ené na serverech. WebMail Rozhraní Kerio Connect, které umožˇ nuje pˇ rístup k poštˇ e pomocí WWW prohlížeˇ ce. V Kerio WebMailu je rovnˇ ež možno mˇ enit nˇ ekterá uživatelská nastavení (napˇ r. filtrování zpráv nebo heslo).

411

Rejstˇ rík

A Active Directory 88 import uživatel˚ u 92 Active Directory Extension 108 instalace 109 ActiveSync 361 instalace SSL certifikátu 367 instalace SSL certifikátu ve WM 5.0 368 odstranˇ ení zaˇ rízení ze správy Kerio Connect 371 pˇ rímá synchronizace se serverem 362 podporovaná mobilní zaˇ rízení 364 RoadSync 365 SSL certifikáty v Sony Ericsson 369 SSL šifrování 366 synchronizace s desktopovou aplikací 363 vzdálené vymazání obsahu zaˇ rízení 369 záznam Debug 371 záznamy v mobilních zaˇ rízeních 373 aktualizace Kerio Connect 158 Kerio Outlook Connector 158 Kerio Sync Connector 158 alias 136 definice 137 kontrola 138 skupiny 99 uživatele 76 antivirus 188 filtrování pˇ ríloh 192 podporované externí antiviry 191 Sophos Anti-Virus 188, 189 statistika 194 Apple Address Book 387 Auto-configure Address Book 359 Apple iCal 353 CalDAV 357

iCal Config Tool 357 Apple iPhone 395 Apple iPhone 2.0 396 Apple iPhone 3G 396 Apple iPhone OS 3.0 396 Apple Mail nastavení mailserver.cfg 393 podpora týmové spolupráce 393 archivace 195 Auto-configure Address Book 359 avserver 31 B BES 377 BlackBerry AstraSync 376 NotifySync 376 BlackBerry Enterprise Server C CalDAV 356 Apple iCal 357 CardDAV 359 certifikát serveru 211 intermediate 214 Safari 216 D datový adresáˇ r 155 doména Windows NT 75 doménový koš 126 X-Envelope-To: 126 domény alias 59 primární 53 zápatí 54 DoS útok 408 DSN 408 412

377

E e-mailová adresa 408 e-mailové konference 240 ETRN 125, 144, 148, 408 F firewall 317, 408 Free/Busy 408 fronta zpráv 260 prohlížení fronty H HTTP 45 HTTP Proxy

261

157

I iCal Config Tool 357 IMAP 44, 315, 316, 317, 408 import uživatel˚ u 88 instalace 15 Linux DEB 19 Linux RPM 18 Mac OS X 20 MS Windows 15 internetové pˇ ripojení 145 IP 409 IP adresa 409 K Kerberos 61, 75, 409 ovˇ eˇ rování 291 Kerio Assist 31 Kerio Connect Engine 28 Kerio Connect Monitor 28, 28 Linux 31 Mac OS X 29 Windows 28 Kerio Connector for BlackBerry 377 Kerio Open Directory Extension instalace 116 nastavení ovˇ eˇ rování 113

Kerio Outlook Connector 326, 326, 341 automatická aktualizace 338, 351 instalace 327, 343 konflikt 341 MAPI 342 nastavení datového souboru 349 Offline Edition 326, 326 offline režim 338 online režim 338 profil 329 ProfileCreator 332 synchronizace 339 Kerio Sync Connector for Mac 389 Kerio WebMail 219 jazyk 222 kontrola pravopisu 223 lokalizace 222 slovníky 223 konference 240 administrátor 241 aliasy 255 archivace 253 import ˇ clen˚ u 250 ˇ clen 241 moderátor 241 nová 241 konfliktní software 14 L LDAP 105, 409 konfigurace klient˚ u 236 server 234 služba 45 linux spuštˇ ení serveru 19, 20 logo pro Kerio WebMail 219 M MAPI 409 Maska subsítˇ e 409 master ovˇ eˇ rování master password 156 metody ovˇ eˇ rování 151 Microsoft Entourage 384 413

Rejstˇ rík

MS Outlook iCal 352 iCalendar 352 internetový kalendáˇ r 352 MX záznamy 124, 409 N nastavení úˇ ctu 345 NNTP 44, 409 notifikace 410 NT doména 62 import uživatel˚ u 91 NTLM ovˇ eˇ rování 310 nastavení v aplikaci MS Outlook O obnova smazaných položek 55 Open Directory 117, 302 Kerio Open Directory Extension Open Directory Extension 302 nastavení 117 P PAM 60, 75 Performance Monitor 28, 286 pˇ ríklady nastavení 319 plánování 147 ˇ casové intervaly 147, 230, 231 plánování zdroj˚ u 256 POP3 44, 315, 317, 410 port 47, 410 porty 317 poštovní schránka 410 profil nový 343 promazávané položky 56 nastavení 57 uživatele 58 v doménˇ e 57 pˇ rístupová práva skupiny 99 R RAS

146

registrace produktu 36 import licenˇ cního klíˇ ce 40 licenˇ cní politika 42 pˇ redplatné 42 pˇ res web 36 pomocí administraˇ cního rozhraní registrace plné verze 38 registrace trial verze 37 reindexace poštovních složek 324 relaying 125 RFC 410 RoadSync 365 313

116

S skiny 219 kaskádový styl 219 skupiny IP adres 46, 130, 229, 233 uživatel˚ u 78, 99 složky veˇ rejné 288 služby 43 SMTP 43, 124, 129, 283, 410 Sony Ericsson 369 spam 161, 410 bayesovský filtr 175 Caller ID 177 email policy 176 grafy 187 hodnocení spamu 162 hodnocení zpráv 175 internetové databáze spammer˚ u logy 187 pravidla 170 SORBS 168 SpamAssassin 162, 175 SpamCop 168 SpamHAUS SBL-XBL 168 SPF 179 standardní nastavení 182 statistika 186 SURBL 176 vlastní pravidla 169 WPBL 169 414

36

165

zpoždˇ ení SMTP pozdravu 180 záznamy 187 spamserver 31 správa mobilních zaˇ rízení 86 odebrat 86 vyˇ cistit 86 SSL 211, 410 systémové požadavky 13

W Web Administration pˇ rihlášení uživatele 32 podporované prohlížeˇ ce pˇ rístupová práva 33 WebDAV 411 WebMail 411 Windows Calendar 353

T technická podpora TLS 411 TNEF 150

X X-Envelope-To:

397

U uživatelské úˇ cty 71 šablony 96 kvóta 79 Unix-to-Unix decoding 150 Unix-to-Unix encoding 150 uudecode 150 uuencode 150 V veˇ rejné složky 288 doménové 289 globální 289 nové 289 podpora klient˚ u 290 práva 290 vzdálené POP3 schránky

150

Z zdroje 256 nový 258 správa 257 vypnutí 257 zálohování 198 kmsrecover 203 obnova ze zálohy záznamy 270 Config 273 debug 282 error 280 mail 274 nastavení 270 operations 279 security 276 spam 281 warning 279

139

415

203

32

416

Kerio Connect. Kerio Technologies

Recommend Documents