Kerio Connect Krok za krokem
Kerio Technologies
2011 Kerio Technologies s.r.o. Všechna práva vyhrazena. Tento manuál popisuje produkt: Kerio Connect ve verzi 7.2. Zmˇ eny vyhrazeny. Aktuální verzi produktu a manuál˚ u naleznete na WWW stránkách http://www.kerio.cz/cz/connect/download/.
Informace o registrovaných ochranných známkách a ochranných známkách jsou uvedeny v pˇ ríloze A.
Obsah
1
Úvod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 1.1 Dˇ ríve než zaˇ cneme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2
Instalace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1 Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2 Mac OS X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3 Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4 Pr˚ uvodce poˇ cáteˇ cní konfigurací . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
Nastavení serveru . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1 Spuštˇ ení Kerio Connect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2 Rozhraní pro administraci . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3 Nastavení domény a uživatelských úˇ ct˚ u .................................. 3.4 Nastavení internetového pˇ ripojení a SMTP serveru . . . . . . . . . . . . . . . . . . . . . . . . 3.5 Antispamová kontrola SMTP serveru . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.6 Antivirová kontrola zpráv . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.7 Zálohování pošty . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.8 Založení a správa zdroj˚ u ................................................. 3.9 Nastavení veˇ rejných složek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10 10 10 11 12 13 13 14 15 15
4
Nastavení klientských aplikací a pˇ ripojení ke Kerio WebMailu . . . . . . . . . . . . . . . . . 4.1 Pˇ rihlášení ke Kerio WebMailu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2 Nastavení MS Outlooku . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3 Nastavení MS Entourage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4 Nastavení synchronizace mobilních zaˇ rízení . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
18 18 18 20 20
A
Právní doložka . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3
7 7 7 8 8
Kapitola 1
Úvod
Tato pˇ ríruˇ cka slouží jako pr˚ uvodce základní konfigurací aplikace Kerio Connect vˇ cetnˇ e instalace a spuštˇ ení v síti. Aby byl pr˚ uvodce co nesrozumitelnˇ ejší, vytvoˇ ríme modelové nasazení Kerio Connect (vizte obrázek 1.1):
Obrázek 1.1
Schéma modelového nasazení Kerio Connect
1.
Kerio Connect nainstalujeme na samostatný server (nebude provozovat žádné další služby) a spustíme jej v lokální síti chránˇ ené firewallem.
2.
Kerio Connect bude k Internetu pˇ ripojen pomocí pevné linky. Poštu bude pˇ rijímat i doruˇ covat pˇ res protokol SMTP. Z tohoto d˚ uvodu bude nezbytné nastavit antivirovou a antispamovou kontrolu.
3.
Kerio Connect bude obsluhovat jednu doménu nazvanou firma.cz. Server bude nainstalován a spuštˇ en v lokální síti na poˇ cítaˇ ci s IP adresou 192.168.1.10 a DNS jménem mail.firma.cz.
4.
V interní databázi uživatel˚ u bude založen pouze jeden lokální úˇ cet urˇ cený pro správu Kerio Connect. Ostatní uživatelské úˇ cty budou mapovány z adresᡠrové služby Microsoft Active Directory (analogicky lze postupovat i v pˇ rípadˇ e Apple Open Directory). 4
1.1 Dˇ ríve než zaˇ cneme
Název Active Directory domény bude shodný s názvem poštovní domény a názvem Kerberos realm. 5.
Server bude pˇ rístupný jak z lokální sítˇ e, tak z Internetu. Spojení z Internetu ovšem bude z bezpeˇ cnostních d˚ uvod˚ u umožnˇ eno pouze u služeb chránˇ ených SSL/TLS šifrováním.
6.
Veškerá nedoruˇ citelná pošta (pošta, s nesprávnˇ e nastavenou ˇ cástí e-mailové adresy umístˇ enou pˇ red znakem @) bude doruˇ cena na adresu
[email protected].
7.
Nastavíme duální antivirovou ochranu Kerio Connect. Použijeme integrovaný antivirus Sophos (je tˇ reba mít k dispozici licenci Kerio Connect s Sophos) a externí antivirus Clam AntiVirus, který bude nainstalován na stejném poˇ cítaˇ ci jako Kerio Connect.
8.
Veškerá pošta bude jednou týdnˇ e zálohována, a také archivována do lokální archivaˇ cní složky.
9.
Do systému zadáme zdroje sdílené spoleˇ cností (firemní automobily, zasedací místnosti, promítaˇ cky a další), aby si je uživatelé mohli rezervovat.
10. Nastavíme veˇ rejnou složku typu kalendᡠr, kam budou zadávány celofiremní akce a d˚ uležitá data, která by mˇ eli znát všichni zamˇ estnanci spoleˇ cnosti. Práva pro pˇ ridávání nových událostí budou pˇ ridˇ elena recepˇ cní spoleˇ cnosti. Dále nastavíme veˇ rejnou složku typu kontakty, které budou moci využívat pouze ˇ clenové obchodního oddˇ elení a budou do této složky pˇ ridávat kontakty zákazník˚ u spoleˇ cnosti. 11. Uživatelé budou pro pˇ rístup ke své poštˇ e používat Kerio WebMail, Kerio Outlook Connector (Offline Edition), MS Entourage a pro pˇ rímý pˇ rístup ke schránce z mobilních zaˇ rízení budou používat nˇ ekterou z aplikací založených na protokolu ActiveSync. Uvedenou modelovou konfiguraci lze snadno pˇ rizp˚ usobit konkrétním podmínkám a požadavk˚ um. Podrobné informace o nastavení jednotlivých funkcí aplikace Kerio Connect lze najít v manuálu Kerio Connect 7, Pˇ ríruˇ cka administrátora v kapitole Pˇ ríklady nastavení. Celý manuál si m˚ užete stáhnout na stránkách spoleˇ cnosti Kerio Technologies (http://www.kerio.cz/cz/connect/manual).
1.1 Dˇ ríve než zaˇ cneme Než zaˇ cneme s instalací a konfigurací, pˇ ripravíme si následujícím zp˚ usobem prostˇ redí:
Nastavení DNS MX záznam˚ u Kerio Connect je umístˇ en v privátní síti, ovšem pˇ rijímat a doruˇ covat poštu bude i z/k Internetu. To znamená, že je tˇ reba nastavit pˇ ríslušný záznam ve veˇ rejné DNS na veˇ rejnou IP adresu pˇ ridˇ elenou poskytovatelem (v tomto pˇ ríkladu to bude adresa 215.75.128.33). V privátní síti jménu mail.firma.cz pˇ riˇ radíme lokální IP adresu 192.168.1.10. Privátní adresu nastavíme na lokálním DNS serveru. 5
Úvod
Záznam pro veˇ rejný server m˚ uže vypadat napˇ ríklad takto: firma.cz mail.firma.cz
MX A
10
mail.firma.cz 215.75.128.33
Máte-li k dispozici také záložní poštovní server, pˇ ridejte záznam i pro nˇ ej.
Nastavení firewallu Kerio Connect je nainstalován v lokální síti chránˇ ené firewallem. Kromˇ e vlastní konfigurace poštovního serveru tedy musíme provést doplˇ nující nastavení firewallu. Má-li být poštovní server pˇ rístupný z Internetu, je tˇ reba ve firewallu otevˇ rít (tzv. mapovat) nˇ ekteré porty. Každý mapovaný port znamená potenciální problém se zabezpeˇ cením. Namapujeme tedy porty jen pro služby, které chceme zpˇ rístupnit z Internetu. V pˇ rípadˇ e naší modelové sítˇ e bude nezbytnˇ e nutné namapovat port 25, což je standardní port pro službu SMTP. Toto nastavení je potˇ rebné vždy, když je na server nasmˇ erován MX záznam pro danou doménu. Na port SMTP serveru se m˚ uže legálnˇ e pˇ ripojit libovolný SMTP server v Internetu, chce-li odeslat e-mail do nˇ ekteré z jeho domén. Z tohoto d˚ uvodu nesmí být na mapovaný port 25 omezen pˇ rístup dle IP adres. Dále bude tˇ reba namapovat porty, na které se budou pˇ ripojovat uživatelé mimo lokální sít’. Protože se zde zvyšuje bezpeˇ cnostní riziko, budeme mapovat pouze služby zabezpeˇ cené SSL/TLS šifrováním. Nastavení znázorˇ nuje tabulka 1.1. Služba (standardní port)
Odchozí spojení
Pˇ ríchozí spojení
SMTP (25)
povolit
povolit
SMTPS (465)
povolit
povolit
POP3 (110)
povolit
zakázat
POP3S (995)
povolit
povolit
IMAP (143)
povolit
zakázat
IMAPS (993)
povolit
povolit
NNTP (119)
povolit
zakázat
NNTPS (563)
povolit
povolit
LDAP (389)
povolit
zakázat
LDAPS (636)
povolit
povolit
HTTP (80)
povolit
zakázat
HTTPS (443)
povolit
povolit
Tabulka 1.1
Služby, které je tˇ reba povolit na firewallu
6
Kapitola 2
Instalace
Kerio Connect lze nainstalovat a provozovat na tˇ rech typech operaˇ cních systém˚ u. Vybrat si m˚ užeme ze systém˚ u Windows, Mac OS X nebo Linux. Seznam verzí (pˇ rípadnˇ e distribucí) tˇ echto operaˇ cních systém˚ u, na které je možné Kerio Connect nainstalovat, najdeme na stránkách spoleˇ cnosti Kerio Technologies. Na každý operaˇ cní systém je tˇ reba nainstalovat speciální instalaˇ cní balík (v pˇ rípadˇ e Linuxu jsou to balíky dva). Všechny typy instalaˇ cních balík˚ u lze získat na stránce (http://www.kerio.cz/cz/connect/download). Máme-li stažený správný instalaˇ cní balík, m˚ užeme zaˇ cít s instalací. Instalace se liší podle typu operaˇ cního systému:
2.1 Windows Po stažení balíku instalaci spustíme pod uživatelem, který má nastavena administraˇ cní práva k systému. Instalace probˇ ehne pomocí standardního instalaˇ cního pr˚ uvodce. Kerio Connect se typicky nainstaluje do následujícího adresᡠre: C:\Program Files\Kerio\Mailserver Po instalaci se automaticky otevˇ re pr˚ uvodce poˇ cáteˇ cní konfigurací (vizte sekci 2.4).
2.2 Mac OS X Po stažení balíku instalaci spustíme pod uživatelem, který má nastavena administraˇ cní práva k systému (instalaˇ cní program bude vyžadovat ovˇ eˇ rení). Instalaˇ cní balík se otevˇ re v aplikaci Finder jako disk a nabídne spustitelný instalaˇ cní soubor. Instalace probíhá pomocí standardního instalaˇ cního pr˚ uvodce, kde vybereme volbu Easy Install, která provede kompletní instalaci produktu do adresᡠre /usr/local/kerio/mailserver. Po instalaci se automaticky otevˇ re pr˚ uvodce poˇ cáteˇ cní konfigurací (vizte sekci 2.4).
7
Instalace
2.3 Linux Instalaci je tˇ reba provádˇ et s právy superuživatele (root). Kerio Connect Engine se instaluje do adresᡠre /opt/kerio/mailserver. Instalaci RPM balíˇ cku provedeme pˇ ríkazem: # rpm -i
U novˇ ejších verzí distribucí se pˇ ri instalaci mohou vyskytnout problémy se závislostmi balíˇ cku. V tomto pˇ rípadˇ e nainstalujte balíˇ cek compat-libstdc++ Instalaci DEB balíˇ cku provedeme pˇ ríkazem: # dpkg -i Bezprostˇ rednˇ e po instalaci doporuˇ cujeme d˚ ukladnˇ e proˇ císt LINUX-README soubor, který najdete v adresᡠri: /opt/kerio/mailserver/doc
2.4 Pr˚ uvodce poˇ cáteˇ cní konfigurací Pr˚ uvodce poˇ cáteˇ cní konfigurací je shodný na všech tˇ rech operaˇ cních systémech, proto si pr˚ ubˇ eh popíšeme pro všechny platformy spoleˇ cnˇ e. Konfiguraˇ cní pr˚ uvodce se na platformách Windows a Mac OS X otevˇ re automaticky po instalaci aplikace Kerio Connect. Pouze na Linuxu je tˇ reba jej explicitnˇ e spustit pomocí pˇ ríkazu: ./cfgwizard Pˇ ríkaz spust’te z adresᡠre, /opt/kerio/mailserver).
kam
byl
Kerio
Connect
nainstalován
(typicky
Upozornˇ ení: Po dobu, kdy je spuštˇ en konfiguraˇ cní pr˚ uvodce, nesmí být spuštˇ en Kerio Connect Engine. V konfiguraˇ cním pr˚ uvodci nastavíme následující parametry: 1.
V prvním dialogu založíme poštovní doménu (jednoznaˇ cný identifikátor, podle kterého lze poznat, na jaký server má být pošta doruˇ cena. U e-mailových adres se doménová ˇ cást vyskytuje vždy za znakem @) a doplníme internetové jméno serveru. Internetové jméno serveru je DNS název poˇ cítaˇ ce, na který jste Kerio Connect nainstalovali. Jméno serveru se používá pro identifikaci serveru pˇ ri navazování SMTP komunikace. Upozornˇ ení: Je-li Kerio Connect umístˇ en za NAT, je nutné jako internetové jméno serveru doplnit jméno, které je možné zpˇ etnˇ e pˇ revést na IP adresu odesílajícího serveru, tj. internetové jméno firewallu.
2.
V dalším kroku pr˚ uvodce vytvoˇ ríme administrátorský úˇ cet. Jméno Admin ponecháme a doplníme heslo. Jméno a heslo zadané do tohoto dialogu pozdˇ eji použijeme pro pˇ rihlášení k administraˇ cnímu rozhraní aplikace Kerio Connect, proto je tˇ reba si pˇ rihlašovací údaje dobˇ re zapamatovat. 8
2.4 Pr˚ uvodce poˇ cáteˇ cní konfigurací
3.
Další krok pr˚ uvodce umožˇ nuje nastavení umístˇ ení datového adresᡠre. V tomto adresᡠri budou umístˇ eny všechny uživatelské schránky a záznamy (logy) serveru.
4.
V posledním kroku pr˚ uvodce následuje pouze oznámení o právˇ e nastavených parametrech. Po jeho ukonˇ cení se zobrazí oznámení o úspˇ ešnosti instalace.
9
Kapitola 3
Nastavení serveru
3.1 Spuštˇ ení Kerio Connect Kerio Connect se po instalaci spustí automaticky na systémech Windows a Mac OS X. Na Linuxu je tˇ reba spustit server ruˇ cnˇ e. Spouštˇ ení/zastavování se liší podle operaˇ cního systému, kde je Kerio Connect nainstalován: Windows Kerio Connect spustíme nebo zastavíme pomocí ikonky, která se po instalaci objevila v oznamovací oblasti v nástrojové lištˇ e. Pokud na ikonku klikneme pravým tlaˇ cítkem, otevˇ re se kontextové menu. Volbou Start/Stop Kerio Connect m˚ užeme server zastavit nebo spustit. Linux Kerio Connect lze zastavit, spustit nebo restartovat pomocí následujících pˇ ríkaz˚ u: sudo /etc/init.d/kerio-connect start sudo /etc/init.d/kerio-connect stop sudo /etc/init.d/kerio-connect restart Mac OS X Na systémech Mac OS X m˚ užeme Kerio Connect zastavit nebo spustit pomocí Kerio Connect Monitoru (jeho ikonu pro spuštˇ ení najdeme v System Preferences v sekci Other). Pro zastavení nebo spuštˇ ení služby je nutné zadat uživatelské jméno (musí být souˇ cástí skupiny Admins) a heslo. Poté staˇ cí použít tlaˇ cítko Stop (pro zastavení služby) nebo Start (pro spuštˇ ení služby).
3.2 Rozhraní pro administraci Ke konfiguraci Kerio Connect slouží webové rozhraní Kerio Connect Administration. Kerio Connect Administration používá pouze zabezpeˇ cený protokol HTTPS a bˇ eží na portu 4040. Pro pˇ rístup k tomuto rozhraní staˇ cí zadat do prohlížeˇ ce URL ve tvaru http://DNS.nazev.serveru/admin (http://IP.adresa/admin, není-li jméno ještˇ e zaneseno v DNS) a Kerio Connect se automaticky pˇ resmˇ eruje na https://DNS.nazev.serveru:4040/admin (https://IP.adresa:4040/admin). URL tedy m˚ uže vypadat napˇ ríklad takto: https://mail.firma.cz:4040/admin nebo https://192.168.1.1:4040/admin). Je-li URL zadáno správnˇ e, zobrazí se v prohlížeˇ ci pˇ rihlašovací stránka, kde je tˇ reba doplnit jméno a heslo primárního administrátora, které jste doplnili do konfiguraˇ cního pr˚ uvodce. 10
3.3 Nastavení domény a uživatelských úˇ ct˚ u
Pˇ ri prvním pˇ rihlášení se nejprve zobrazí dialog pro registraci produktu. Registrovat lze nejen plnou verzi produktu, ale také trial verzi — registrací trial verze vzniká nárok na bezplatnou technickou podporu. Tento nárok trvá po celou dobu platnosti trial verze.
3.3 Nastavení domény a uživatelských úˇ ct˚ u Nastavení poštovních domén se provádí v sekci Konfigurace → Domény. Sekce již obsahuje doménu, kterou jsme založili v konfiguraˇ cním pr˚ uvodci. Mapování uživatelských úˇ ct˚ u a skupin z adresᡠrové služby 1.
Na doménový server nainstalujeme aplikaci Kerio Active Directory Extension, která je volnˇ e k dispozici na stránkách spoleˇ cnosti Kerio Technologies. Tato aplikace slouží k rozšíˇ rení adresᡠrové služby o nˇ ekteré položky Kerio Connect.
2.
V administraˇ cním rozhraní Kerio Connect otevˇ reme sekci Konfigurace → Domény. Doménu, kterou jsme založili pˇ ri instalaci, otevˇ reme tlaˇ cítkem Zmˇ enit.
3.
Pˇ repneme se do záložky Adresᡠrová služba a doplníme údaje doménového serveru. Mapování aktivujeme volbou Mapovat uživatelské úˇ cty a skupiny z adresᡠrové služby do této domény. Jako typ adresᡠrové služby zvolíme Active Directory. Do položky Jméno poˇ cítaˇ ce doplníme DNS název nebo IP adresu doménového serveru. Do položky Uživatelské jméno je tˇ reba zadat takové uživatelské jméno, které má nastavena práva pro ˇ ctení a zápis do LDAP databáze v Active Directory. Tlaˇ cítkem Test pˇ ripojení vyzkoušíme , zda jsme všechny parametry nastavili správnˇ e tak, aby se Kerio Connect mohl pˇ ripojit k doménovému ˇ radiˇ ci Active Directory.
4.
Pˇ repneme se do záložky Upˇ resnˇ ení . V této záložce musí být v položce Kerberos 5 doplnˇ en Kerberos realm. Název se automaticky zapíše velkými písmeny.
Po nastavení mapování se pˇ repneme do sekce Úˇ cty → Uživatelé. Seznam uživatel˚ u bude zobrazovat všechny namapované uživatele a jeden lokální úˇ cet pro administraci Kerio Connect. Podobnˇ e jako uživatelé se namapují také uživatelské skupiny. Ty se zobrazí v sekci Úˇ cty → Skupiny. Nastavení aliasu pro nedoruˇ citelnou poštu Definici aliasu provedeme v sekci Úˇ cty → Aliasy: 1.
Klikneme na tlaˇ cítko Pˇ ridat.
2.
Otevˇ re se dialog pro pˇ ridání nového aliasu. Do položky Alias doplníme znak *. Do položky E-mailová adresa napíšeme adresu uživatelské schránky, do které má být veškerá nedoruˇ citelná pošta smˇ erována (v našem pˇ rípadˇ e je to [email protected]).
3.
Po uložení aliasu m˚ užeme také vyzkoušet jeho funkci tlaˇ cítkem Zkontrolovat adresu umístˇ eným v sekci Aliasy vpravo dole pod seznamem alias˚ u. 11
Nastavení serveru
Alias pro nedoruˇ citelnou poštu (nebo také hvˇ ezdiˇ ckový alias) se použije tehdy, pokud ˇ cást e-mailové adresy umístˇ ené pˇ red znakem @ nenalezne shodu s žádným uživatelským jménem ani aliasem v dané doménˇ e.
3.4 Nastavení internetového pˇ ripojení a SMTP serveru Na SMTP server se m˚ uže pˇ ripojit kdokoliv, aby poslal zprávu do nˇ ekteré z lokálních domén. Odesílání zpráv do jiných domén omezíme pouze na uživatele v lokální síti. Pro uživatele pˇ ripojené z Internetu nastavíme povinnost ovˇ eˇ rit se na SMTP serveru uživatelským jménem a ˇ heslem. K tomuto nastavení slouží záložka Rízení pˇ rístupu v sekci Konfigurace → SMTP server: 1.
V záložce zaškrtneme možnost Odesílat poštu mimo lokální domény smˇ ejí pouze: Upozornˇ ení: D˚ uraznˇ e doporuˇ cujeme nepˇ repínat SMTP server do režimu Open Relay, pokud je Kerio Connect dostupný z Internetu (tzn. má veˇ rejnou IP adresu a port 25 není blokován firewallem). Pokud režim Open Relay nastavíte, bude Kerio Connect pravdˇ epodobnˇ e zneužit spammery k rozesílání nevyžádané pošty, ˇ címž zahltí vaší internetovou linku. M˚ uže se také dostat do veˇ rejných blacklist˚ u SMTP server˚ u.
2.
Zaškrtneme položku Uživatelé z této skupiny IP adres a vybereme skupinu Local Clients, do které jsou zahrnuty všechny privátní rozsahy IP adres.
3.
Zaškrtneme položku Uživatelé ovˇ eˇ rení na SMTP serveru, aby mohli poštu odesílat i uživatelé pˇ ripojení z Internetu. Poznámka: Ovˇ eˇ rování na SMTP serveru je tˇ reba nastavit v poštovním klientovi. Nastavení nˇ ekterých bˇ ežných klient˚ u popisuje sekce 4.2).
Dále pro SMTP server nastavíme nˇ ekterá bezpeˇ cnostní omezení v záložce Bezpeˇ cnostní volby: 1.
Max. poˇ cet zpráv za hodinu z jedné IP adresy nastavte na 100 zpráv.
2.
Max. poˇ cet souˇ casných pˇ ripojení k SMTP serveru z jedné IP adresy nastavte na 20.
3.
Max. poˇ cet neznámých pˇ ríjemc˚ u nastavte na 10.
4.
V položce Tato omezení neplatí pro tuto skupinu IP adres nastavte skupinu IP adres s lokálními uživateli aplikace Kerio Connect, aby se na nˇ e výše nastavená pravidla nevztahovala. Pokud ve vaší vnitˇ rní síti používáte privátní IP adresy, staˇ cí vybrat výchozí skupinu Local Clients, která je definována všemi rozsahy privátních IP adres.
Podrobnosti nastavení bezpeˇ cnosti SMTP serveru najdeme v kapitole SMTP server v manuálu Kerio Connect 7, Pˇ ríruˇ cka administrátora.
12
3.5 Antispamová kontrola SMTP serveru
3.5 Antispamová kontrola SMTP serveru SMTP server je pˇ rístupný z Internetu, a proto je nezbytnˇ e nutné nakonfigurovat antispamovou kontrolu SMTP serveru. Antispamové filtry lze nastavit v sekci Konfigurace → Filtrování obsahu → Filtr spamu: 1.
Ke spuštˇ ení a nastavení hodnocení antispamovými filtry slouží záložka Hodnocení spamu. Nastavení této záložky m˚ užeme nechat ve výchozím stavu.
2.
V záložce Zakázaní odesílatelé doporuˇ cujeme zapnout kontrolu pomocí internetových databází spammer˚ u a nastavit každé databázi spamové skóre +2 body.
3.
Pˇ repneme se do záložky SpamAssassin a zaškrtneme volbu Kontrolovat každou pˇ ríchozí zprávu v databázi Spam URI Realtime Blocklist (SURBL).
4.
V záložkách Caller ID a SPF nastavíme kontrolu e-mail policy záznam˚ u odesílajícího SMTP serveru a nastavíme spamové skóre na +2 body. Tato kontrola umožˇ nuje odfiltrování zpráv s podvrženou adresou odesílatele.
5.
V záložce Odrazování spammer˚ u zapneme zpoždˇ ení pˇ ri navazování SMTP komunikace (ponecháme pˇ rednastavených 25 vteˇ rin). Tento filtr velmi úˇ cinnˇ e odmítá spam již na úrovni SMTP komunikace a server tudíž není tolik zatˇ ežován provádˇ ením dalších spamových test˚ u.
Antispamové filtry SMTP serveru podrobnˇ e popisuje manuál Kerio Connect 7, Pˇ ríruˇ cka administrátora v kapitole Antispamová kontrola SMTP serveru.
3.6 Antivirová kontrola zpráv Dalším nezbytným nastavením aplikace Kerio Connect je spuštˇ ení antivirové kontroly a filtrování pˇ ríloh, které m˚ užeme provést v následujících sekcích:
Antivirus Kerio Connect umožˇ nuje zvolit r˚ uzné konfigurace antivirové ochrany. Kerio Connect lze zakoupit s integrovaným antivirem Sophos nebo bez nˇ eho. Mimo to Kerio Connect podporuje ˇ radu dalších externích antivir˚ u (aktuální podporované antiviry jsou uvedeny na stránkách užeme využívat bud’ integrovaný Sophos antivirus, spoleˇ cnosti Kerio Technologies). Takže m˚ nebo nˇ ekterý z podporovaných externím antivir˚ u. Nejbezpeˇ cnˇ ejší variantou je duálnˇ e zkombinovat ochranu pomocí Sophos a externího antiviru. Jak bylo ˇ reˇ ceno v úvodní kapitole 1, popíšeme si zde variantu aplikace Kerio Connect s integrovaným antivirem Sophos a pˇ ridaným externím antivirem Clam AntiVirus.
13
Nastavení serveru
Ke spuštˇ ení antivirové kontroly slouží sekce Konfigurace → Filtrování obsahu → Antivirus: 1.
Zkontrolujeme, zda je spuštˇ ena volba Použít integrovaný antivirový modul Sophos.
2.
Na poˇ cítaˇ c s aplikací Kerio Connect nainstalujeme externí antivirus Clam AntiVirus.
3.
V sekci Konfigurace → Filtrování obsahu → Antivirus zaškrtneme volbu Použít externí antivirový program a v menu vybereme Clam AntiVirus.
Filtrování pˇ ríloh Filtrování pˇ ríloh nastavíme v sekci Konfigurace → Filtrování obsahu → Filtrování pˇ ríloh, kde zaškrtneme volbu Povolit filtrování pˇ ríloh. V seznamu typ˚ u pˇ ríloh m˚ užeme navíc vybrat/odebrat další pˇ rílohy, které chceme odfiltrovat, nebo pomocí tlaˇ cítka Pˇ ridat doplnit typy pˇ ríloh, které seznam neobsahuje.
3.7 Zálohování pošty Zálohování pošty a archivaci zpráv nastavíme v sekci Konfigurace → Zálohování .
Archivace všech zpráv Archivaci zpráv nastavíme v záložce Archivace: 1.
Archivaci aktivujeme volbou Povolit archivaci pošty.
2.
Cestu k adresᡠri pro archivaci ponecháme ve výchozím nastavení.
3.
Zaškrtneme volbu Archivovat do lokální složky.
4.
Interval vytvᡠrení složek nastavíme na jeden týden.
Archivaˇ cní složky budou zobrazeny jako souˇ cást poštovní schránky Administrátora Kerio Connect. Zobrazit je bude možné napˇ ríklad v rozhraní Kerio WebMail.
Zálohování datového adresᡠre a konfiguraˇ cních soubor˚ u Zálohování nastavíme v záložce Zálohování : 1.
Zálohování aktivujeme volbou Povolit zálohování datového adresᡠre a konfigurace serveru.
2.
V tabulce Plán zálohování nastavíme jednu plnou zálohu na nedˇ elní p˚ ulnoc, aby provádˇ ení zálohy nezatˇ ežovalo server v pracovní dobˇ e.
14
3.8 Založení a správa zdroj˚ u
3.
Do pole Adresᡠr pro zálohu nastavíme cestu k adresᡠri, do kterého se budou zálohy ukládat. Cestu je tˇ reba zadat v takovém tvaru, aby vyhovoval konvenci operaˇ cního systému, na kterém je Kerio Connect spuštˇ en.
4.
Do pole E-mailová adresa doplníme svou adresu. Kerio Connect bude automaticky generovat výsledek každé zálohy a odešle je na zadanou adresu.
3.8 Založení a správa zdroj˚ u Kerio Connect umožˇ nuje rezervaci zdroj˚ u (automobil˚ u, místností a dalšího zaˇ rízení). Aby byla rezervace možná, musí mít každý zdroj vlastní kalendᡠr. Z toho d˚ uvodu je nutné všechny zdroje zadat do Kerio Connect v administraˇ cním rozhraní v sekci Úˇ cty → Zdroje: 1.
Klikneme na tlaˇ cítko Pˇ ridat.
2.
Do dialogu v záložce Obecné doplníme název zdroje. Název bude sloužit jako ˇ cást e-mailové adresy pˇ red zavinᡠcem. Z toho d˚ uvodu není dovoleno, aby název obsahoval diakritiku, mezery a speciální znaky.
3.
V položce Typ vybereme, zda jde o místnost ˇ ci zaˇ rízení.
4.
Pˇ repneme se do záložky Oprávnˇ ení a pˇ ridáme ke zdroji všechny uživatele, kteˇ rí mají nárok jej rezervovat.
5.
Nastavíme správce rezervací. Správcem rezervací zdroj˚ u je uživatel, kterému je umožnˇ eno zasahovat do kalendᡠre zdroj˚ u. Rezervace m˚ uže v pˇ rípadˇ e potˇ reby mazat nebo pˇ resouvat na jinou dobu.
Po založení zdroje zkontrolujeme v poštovním klientovi nebo Kerio WebMailu zdali: • se pˇ ri plánování sch˚ uzky zobrazí jeho free/busy kalendᡠr, • si kalendᡠr zdroje m˚ užeme pˇ rihlásit standardním sdílením, • se ve veˇ rejných složkách zobrazila složka Zdroje, která obsahuje kontakty všech založených zdroj˚ u, aby je uživatelé mohli snadno zadávat pˇ ri plánování sch˚ uzek. Rezervaci zdroj˚ u podrobnˇ e popisují manuály Kerio Connect 7, Pˇ ríruˇ cka administrátora i Kerio Connect 7, Pˇ ríruˇ cka uživatele
3.9 Nastavení veˇ rejných složek Kerio Connect podporuje veˇ rejné složky. Této možnosti využijeme a vytvoˇ ríme veˇ rejný firemní kalendᡠr nazvaný Akce a veˇ rejnou složku Zákazníci s kontakty firemních zákazník˚ u, kterou však uvidí a bude ji moci editovat pouze obchodní oddˇ elení vaší spoleˇ cnosti.
15
Nastavení serveru
Poznámky: • Veˇ rejná složka je speciální složka, která se po svém vytvoˇ rení zobrazí ve schránkách všem uživatel˚ um z domény s právy pro ˇ ctení (pˇ rístupová práva lze samozˇ rejmˇ e upravit). • Veˇ rejné složky m˚ uže vytvᡠret a spravovat pouze uživatel se speciálními pˇ rístupovými právy. Po instalaci Kerio Connect je má pˇ ridˇ elena pouze primární administrátor.
Veˇ rejný kalendᡠr 1.
Pˇ rihlaste se do rozhraní Kerio WebMail jako primární administrátor aplikace Kerio Connect (použijte jméno a heslo zadané v konfiguraˇ cním pr˚ uvodci pˇ ri instalaci serveru).
2.
Ve stromu složek kliknˇ ete pravým tlaˇ cítkem myši na uzel Veˇ rejné složky.
3.
V kontextovém menu kliknˇ ete na Nová podsložka a zadejte jméno kalendᡠre Akce a typ nové veˇ rejné složky Kalendᡠr.
4.
Kliknˇ ete na novˇ e vytvoˇ renou složku pravým tlaˇ cítkem myši a v kontextovém menu zvolte Pˇ rístupová práva.
5.
Standardnˇ e mají všichni uživatelé z domény práva pro ˇ ctení. Toto nastavení ponechte a kliknˇ ete na tlaˇ cítko Pˇ ridat.
6.
V menu Typ sdílení ponechte volbu Uživatel a do pole Uživatelské jméno pˇ ridejte e-mailovou adresu správce kalendᡠre (v našem pˇ rípadˇ e adresu recepˇ cní). Kliknˇ ete na tlaˇ cítko OK.
7.
V tabulce práv vybranému uživateli pˇ ridejte typ oprávnˇ ení Správa.
Adresᡠr zákazník˚ u 1.
V administraˇ cním rozhraní Kerio Connect se pˇ repnˇ ete do složky Úˇ cty → Skupiny a založte skupinu OBCHOD, jejímiž ˇ cleny budou všichni z obchodního oddˇ elení vaší spoleˇ cnosti.
2.
Pˇ rihlaste se do rozhraní Kerio WebMail jako primární administrátor Kerio Connect (použijte jméno a heslo zadané v konfiguraˇ cním pr˚ uvodci pˇ ri instalaci serveru).
3.
Ve stromu složek kliknˇ ete pravým tlaˇ cítkem myši na uzel Veˇ rejné složky.
4.
V kontextovém menu kliknˇ ete na Nová podsložka a zadejte jméno kalendᡠre Zákazníci a typ nové veˇ rejné složky Kontakty.
5.
Kliknˇ ete na novˇ e vytvoˇ renou složku pravým tlaˇ cítkem myši a v kontextovém menu zvolte Pˇ rístupová práva. 16
3.9 Nastavení veˇ rejných složek
6.
Standardnˇ e mají všichni uživatelé z domény práva pro ˇ ctení. Toto nastavení zrušte a kliknˇ ete na tlaˇ cítko Pˇ ridat.
7.
V menu Typ sdílení vyberte volbu Skupina a do pole Jméno skupiny pˇ ridejte e-mailovou adresu skupiny OBCHOD. Kliknˇ ete na tlaˇ cítko OK.
8.
V tabulce práv skupinˇ e pˇ ridejte typ oprávnˇ ení Úpravy (ˇ clenové skupiny budou moci kontakty do složky pˇ ridávat, mazat i upravovat).
17
Kapitola 4
Nastavení klientských aplikací a pˇ ripojení ke Kerio WebMailu
Uživatelé se k serveru budou pˇ ripojovat bud’ pˇ res rozhraní Kerio WebMail, nebo využijí nˇ ekterý z podporovaných klient˚ u MS Outlook (na systémech Windows) nebo MS Entourage (na systémech Mac OS X). Následující sekce obsahují návody, jak se pˇ rihlásit ke Kerio WebMailu, a jak optimálnˇ e nastavit poštovní klienty.
4.1 Pˇ rihlášení ke Kerio WebMailu Pro pˇ rístup ke službˇ e HTTP je tˇ reba do WWW prohlížeˇ ce jako URL zadat adresu poˇ cítaˇ ce, na nˇ emž je Kerio Connect spuštˇ en, nebo jeho jméno, je-li zaneseno v DNS. V URL musí být rovnˇ ež specifikován protokol, a to bud’ HTTP pro nezabezpeˇ cený pˇ rístup, nebo HTTPS pro pˇ rístup zabezpeˇ cený SSL. URL tedy bude mít tvar http://mail.firma.cz nebo https://mail.firma.cz. Pˇ ri pˇ rístupu odjinud než z lokální sítˇ e je doporuˇ ceno používat bezpeˇ cný protokol HTTPS (pˇ ri použití protokolu HTTP lze velmi snadno odposlechnout a zneužít pˇ rihlašovací údaje uživatele). Pˇ ri výchozím nastavení jsou spuštˇ eny služby HTTP a HTTPS na standardních portech (80 a 443). Budou-li tyto porty zmˇ enˇ eny, je tˇ reba pˇ ri pˇ rístupu k dané službˇ e uvést v URL také port, tedy http://mail.firma.cz:8000 nebo https://mail.firma.cz:8080. Poznámka: Pro pˇ rístup k poštˇ e pˇ res PDA zaˇ rízení platí pˇ redchozí popis. Pokud se PDA zaˇ rízení nem˚ uže ke Kerio Connect pˇ ripojit, pravdˇ epodobnˇ e neumí rozpoznat, že se musí spustit verze Kerio WebMail Mini (zkouší se pˇ ripojit k plné verzi). V tomto pˇ rípadˇ e staˇ cí zadat URL v následujícím tvaru: https://mail.firma.cz/pda. Je-li URL zadáno správnˇ e, zobrazí se v prohlížeˇ ci pˇ rihlašovací stránka, kde je tˇ reba doplnit uživatelské jméno a heslo. Ke schránce se pˇ ripojíme tlaˇ cítkem Pˇ rihlásit.
4.2 Nastavení MS Outlooku Kerio (MAPI) úˇ cet — Kerio Outlook Connector (Offline Edition) Instalaci a konfiguraci úˇ ctu provedeme následovnˇ e: 1.
Na klientskou stanici nainstalujeme MS Outlook (aktuálnˇ e podporované verze najdete na stránkách spoleˇ cnosti Kerio Technologies).
2.
Na tutéž stanici nainstalujeme Kerio Outlook Connector (Offline Edition). 18
4.2 Nastavení MS Outlooku
3.
Pˇ rihlásíme se do Kerio WebMailu (vizte sekci 4.1) a v menu Nastavení vybereme položku Integrace s Windows.
4.
Na stránce použijte odkaz Kliknˇ ete zde pro automatickou konfiguraci doplˇ nku Kerio Outlook Connector.
5.
Podle typu prohlížeˇ ce, který jste použili, se nástroj stáhne a automaticky spustí, nebo pouze stáhne a spustíte ji poklikáním na ikonu nástroje.
6.
Skript spustí MS Outlook, vytvoˇ rí nový profil a pˇ rednastaví váš Kerio úˇ cet.
7.
Do úˇ ctu je tˇ reba z bezpeˇ cnostních d˚ uvod˚ u doplnit pouze heslo k vaší uživatelské schránce. Po doplnˇ ení hesla je konfigurace MS Outlooku dokonˇ cena.
POP3 a IMAP úˇ cet Nastavení IMAP nebo POP3 úˇ ctu v MS Outlooku vypadá takto: 1.
V pr˚ ubˇ ehu vytvᡠrení profilu v MS Outlooku nastavíme pˇ ríslušný POP3 nebo IMAP úˇ cet.
2.
V pr˚ uvodci nastavením nového úˇ ctu vybereme bud’ možnost POP3 nebo IMAP podle typu úˇ ctu, který chceme nastavit.
3.
Peˇ clivˇ e vyplníme krok pr˚ uvodce Nastavení e-mailu sítˇ e Internet. Do položky Jméno zadáme jméno a pˇ ríjmení uživatele a do položky E-mailová adresa doplníme adresu uživatele. Do položky Uživatelské jméno zadáme uživatelské jméno. V pˇ rípadˇ e, že uživatel nemá úˇ cet založen v primární doménˇ e, potom je tˇ reba uživatelské jméno zapsat vˇ cetnˇ e domény, tedy ve tvaru [email protected]. Do položky Heslo zadáme heslo pro pˇ rihlášení ke Kerio Connect. Nakonec do položek Server pˇ ríchozí pošty a Server pro odchozí poštu doplníme DNS jméno nebo IP adresu serveru, kde je spuštˇ en Kerio Connect.
4.
Pokud se uživatel pˇ ripojuje z Internetu, je tˇ reba vzhledem k nastavení SMTP serveru (vizte sekci 3.4) nastavit ovˇ eˇ rování. Klikneme na tlaˇ cítko Další nastavení . Otevˇ re se dialog s nˇ ekolika záložkami, kde lze nastavit další parametry úˇ ctu. Pˇ repneme se do záložky Server pro odchozí poštu, zaškrtneme volbu Server pro odchozí poštu (SMTP) požaduje ovˇ eˇ rení a zvolíme Použít stejná nastavení jako pro server pˇ ríchozí pošty.
5.
Spustíme MS Outlook v novém profilu.
Poznámka: Tento návod lze využít i pro nastavení libovolného jiného poštovního klienta, který podporuje protokoly IMAP a POP3.
19
Nastavení klientských aplikací a pˇ ripojení ke Kerio WebMailu
4.3 Nastavení MS Entourage Kerio Connect využívá rozhraní pro MS Exchange v MS Entourage a díky tomu umožˇ nuje práci s groupwarovými daty (pošta, kalendᡠr, kontakty a veˇ rejné poštovní složky), využívání Free/Busy serveru, pˇ ripojení r˚ uzných LDAP databází pro vyhledávání kontakt˚ u, atd. Nastavení úˇ ctu je následující: 1.
Nainstalujeme MS Entourage a spustíme ho. Poznámka: Aktuálnˇ e podporované verze MS Entourage najdeme na stránkách spoleˇ cnosti Kerio Technologies.
2.
Pˇ rihlásíme se do Kerio WebMailu (vizte sekci 4.1) a v menu Nastavení vybereme položku Integrace s Mac OS X .
3.
Klikneme na odkaz Nastavit Entourage automaticky.
4.
Nástroj se stáhne na stanici a automaticky se spustí.
5.
Bˇ ehem instalace je tˇ reba zadat uživatelské jméno a heslo úˇ ctu, který má nastaven práva k administraci našeho poˇ cítaˇ ce.
6.
Po dokonˇ cení instalace se otevˇ re se dialog MS Entourage pro zadání hesla k naší poštovní schránce. Zadáme jej a potvrdíme.
7.
Po dokonˇ cení pr˚ uvodce je konfigurace MS Entourage kompletní.
4.4 Nastavení synchronizace mobilních zaˇ rízení Kerio Connect umožˇ nuje pˇ rímou synchronizaci dat s mobilními zaˇ rízeními pˇ res protokol ActiveSync (aktuálnˇ e podporovaná zaˇ rízení najdete na stránkách spoleˇ cnosti Kerio Technologies). Pomocí tohoto protokolu lze synchronizovat poštu, události, kontakty a úkoly. Implementace ActiveSync aplikací v jednotlivých mobilních zaˇ rízeních se m˚ uže lišit, avšak každé zaˇ rízení obsahuje nastavení ActiveSync úˇ ctu, kam je tˇ reba zadat v r˚ uzném poˇ radí následující údaje, aby bylo možné se k poštovním serveru pˇ ripojit: 1.
Je tˇ reba zadat internetové jméno serveru (DNS) nebo IP adresu, kde je poštovní server spuštˇ en.
2.
Uživatel musí znát své uživatelské jméno a heslo k poštovní schránce v Kerio Connect serveru.
3.
Nastavení úˇ ctu vyžaduje zadání poštovní domény, ve které je uživatel na serveru založen.
4.
Pokud vaše bezpeˇ cnostní politika vyžaduje SSL komunikaci, je tˇ reba do zaˇ rízení importovat SSL certifikát ovˇ eˇ rený bud’ d˚ uvˇ eryhodnou certifikaˇ cní autoritou nebo alespoˇ n certifikát podepsaný sám sebou, který lze vytvoˇ rit pˇ rímo v Kerio Connect. Certifikát do zaˇ rízení nainstalujete snadno takto: 20
a.
Do prohlížeˇ ce v mobilním zaˇ rízení zadejte adresu, kde je spuštˇ en Kerio Connect (tatáž adresa, kterou používáme pro pˇ ripojení k rozhraní Kerio WebMail — sekce 4.1).
b.
Na pˇ rihlašovací stránce Kerio WebMailu najdete pˇ rímo pod pˇ rihlašovacím dialogem odkaz Nainstalovat SSL certifikát.
Nelze-tímto zp˚ usobem certifikát nainstalovat, pokuste se instalaci provést pomocí návod˚ u v manuálu Kerio Connect 7, Pˇ ríruˇ cka administrátora
21
Pˇ ríloha A
Právní doložka
Microsoft , Windows , Windows NT , Windows Vista , Internet Explorer , Active Directory , Outlook , ActiveSync a Windows Mobile jsou registrované ochranné známky spoleˇ cnosti Microsoft Corporation. Apple , Mac OS , Tiger, Panther , Leopard a Snow Leopard jsou registrované ochranné známky nebo ochranné známky spoleˇ cnosti Apple Inc. Linux je ochranná registrovaná známka Linuse Torvaldse. Kerberos je ochranná známka Massachusetts Institute of Technology (MIT).
22