Kerio MailServer 5.0.2 Kerio, větší než malý mailserver Na výstavě Invex 2001 představila firma Tiny Software mimo jiné i nový produkt s názvem Tiny MailServer 5.0, jenž byl krátce poté přejmenován na Kerio MailServer 5.0. Jde o plnohodnotný poštovní server s možností antivirové kontroly, určený pro malé a střední firmy. Společnost Tiny Software je celosvětově známá svým firewallem WinRoute s integrovanou službou pro poštu, proxy, DHCP a DNS proxy. Kerio MailServer 5.0 (dále jen KMS) vychází z produktu WinRoute Pro 4.1 (WRP). Označení verze 5.0 je odvozeno z faktu, že se KMS "odštěpil" z WRP, a proto má jako partnerská aplikace jeho další verze stejné číslo, ačkoli je to vlastně verze první. WRP 5.0 již poštovní server obsahovat nebude. KMS je k dispozici ve dvou verzích: pro platformu Win32 a Linux (výrobce jej testoval na Red Hatu 7.x). Zda bude v prodeji i WRP 5 pro Linux, zatím není jisté, záleží na zájmu zákazníků. Pro instalaci je vyžadován operační systém Windows 98/Me nebo Windows NT/2000/XP, pro linuxovou verzi OS Linux na platformě Intel (x86). Připravuje se verze pro Linux/PowerPC, Solaris a Mac OS X. Nebude-li dále řečeno jinak, budeme hovořit o verzi pro Windows. Instalace Instalace je bezproblémová. Během ní lze vybrat cestu pro uložení souborů, ve volbě Custom (setup není lokalizován) je možno vybrat instalaci serverové a/nebo administrační části produktu. Ve verzi pro Linux se tyto části instalují ze dvou samostatných RPM balíků. Při instalaci je uživateli nabídnut import uživatelů z WRP. Převod se provádí utilitou Wrimport. Přenáší se definice uživatelů, jejich hesla, zařazení do skupin a aliasy. Počet převedených uživatelů, skupin a aliasů lze po skončení převodu zkontrolovat v DOS okně. Pokud již soubor uživatelů existuje, nepřepíše se. Nepřenáší se nastavení ostatních souvisejících věcí, jako je plánování, stahování POP3 schránek, definice skupin IP adres a časových intervalů ani e-mailové zprávy jednotlivých uživatelů. Ve WRP byly všechny údaje uloženy do registrů systému, v KMS jsou pro zajištění nezávislosti na operačním systému uloženy do dvou textových souborů (users.cfg a mailserver.cfg) formátu XML, shodných na obou platformách. Převod zpráv se provádí pouhým překopírováním obsahu adresáře mail z WRP do stejného adresáře KMS. Mailserver si je automaticky konvertuje do nového formátu. Po instalaci se v oblasti systray usídlí sympatická ikonka KMS Monitoru. Umožňuje spuštění administrační konzoly, zastavení a spuštění KMS a nastavení automatického spuštění KMS a KMS Monitoru po startu počítače. Nabízené služby Kromě základních služeb elektronické pošty SMTP (port 25) a POP3 (port 110) nabízí KMS služby další, které u WRP nebyly k dispozici: Secure POP3 - server POP3 se zabezpečeným přístupem na portu 995. Šifrování SSL znemožňuje odposlech. IMAP4 - server protokolu IMAP (Internet Message Access Protocol) na portu 143. Zprávy uživatelů zůstávají uloženy na serveru. Umožňuje sdílení složek jiným uživatelům. Secure IMAP - IMAP se zabezpečeným přístupem, port 993. Webmail/WAPmail - umožňuje přístup ke schránce uživatele přes rozhraní WWW prohlížeče nebo WAP prohlížeče mobilního telefonu prostřednictvím internetu odkudkoli na světě. Standardně je na portu 80. Přes rozhraní Webmailu lze také provádět veškeré operace se zprávami (čtení, psaní, mazání, ukládání do složek), se složkami (vytváření a sdílení), třídění a filtrování zpráv, změny hesla atp. Secure Webmail/WAPmail - Webmail s přístupem zabezpečeným SSL (protokol HTTPS) na portu 443. Remote filter management - služba umožňující správu uživatelských filtrů (třídění zpráv na straně serveru). Třídicí pravidla jsou interně napsána ve standardním jazyce Sieve (RFC 3028). Grafický editor ve Webmailu je rozhraním k tomuto frameworku. Správa filtru je možná také vzdáleně protokolem Managesieve (port 2000). Některé e-mailové klienty mají remote editor zabudovaný (např. Mulberry). Jde o celkem novou věc, která ještě nepronikla do povědomí odborné veřejnosti. Tiny Software pracuje na vlastní GUI utilitě pro vzdálenou správu filtru. Na stránku bezpečnosti je kladen velký důraz. I služba SMTP používá SSL, pokud to protější strana podporuje. Konzola Proti WRP má konzola zcela jinou grafiku, založenou na knihovně QT. Díky tomu je multiplatformní (zatím Windows a Linux). Vizuální shodu konzoly ve Windows a Linuxu můžete porovnat na obrázcích. Je univerzální - kromě KMS bude po instalaci příslušného plug-inu schopna ovládat i ostatní nové produkty: WinRoute Pro 5.0, centrální správu Personal Firewallu, serverové produkty pro VoIP a další. Některé z těchto novinek již byly prezentovány na Invexu. Konzola proto umožňuje i otevření více administračních oken najednou. V menu konzoly lze nastavit primární a sekundární jazykovou mutaci (přepnutí vyžaduje restart konzoly). Není-li nalezen definiční soubor pro primární jazyk, konzola zkusí použít sekundární. Není-li nalezen ani ten, použije se mutace výchozí - anglická. V Linuxu existuje zatím jen anglická mutace. Novinkou konzoly jsou záložky, do nichž lze uložit nastavení jednotlivých připojení, dají se zde zadat i přístupová hesla. Přístup k záložkám je chráněn zvláštním heslem (passphrase). Místo ručního zadávání všech údajů (jména či IP adresy serveru, jména a hesla oprávněného uživatele) lze myší zvolit konkrétní připojení z menu nebo z nástrojové lišty. V pruhu nástrojů jsou jen tlačítka pro odpojení a připojení a případné záložky. V otevřeném administračním okně je v levém sloupci strom položek, vpravo jednotlivé volby. Vpravo dole lze tlačítkem potvrdit nové nebo obnovit původní nastavení. U voleb ve tvaru tabulek lze pravým tlačítkem myši nastavit, které informace (sloupce) se mají či nemají zobrazovat. Administrace funkcí U jednotlivých služeb lze řídit jejich spouštění, nastavení portu, na němž běží, a omezení přístupu k nim. Potřebujete-li například na jednom serveru současně používat firemní intranet a Webmail, musíte na jednom z nich nastavit jiný port (třeba 81 pro protokol HTTP a 444 pro HTTPS). Dále lze definovat i několik internetových domén a jejich aliasů, typ autentikace uživatelů v konkrétní doméně (doména NT - NMLT, Kerberos) a internetové jméno počítače. Zabudovaný SMTP server má nově možnost místo předávání veškeré pošty na nadřazený SMTP server vašeho ISP odesílat jednotlivé e-maily na server konkrétní domény podle záznamů DNS MX. Na ochranu proti virům a jiným škodlivým kódům, které jsou v současné době tak "populární", lze KMS konfigurovat tak, aby procházející poštu kontroloval váš antivirový software. KMS může spolupracovat s mnoha antivirovými programy (AVG 6.0, AVAST 4, Kaspersky AV, NOD32 a další). V tomto boji může pomoci i filtrování příloh e-mailů podle přípon souborů (např. VBS) nebo MIME typu. Lze například zakázat audio/x-wav, který používají jako trik pro automatické spuštění zavirované přílohy velmi úspěšní červi I-Worm/BadTrans.B, I-Worm/Aliz nebo I-Worm/Klez.D. Vyskytne-li se takový nebezpečný či podezřelý kód, může být zpráva odmítnuta nebo doručena bez přílohy - místo ní bude vložena informace o tom, že byla příloha odstraněna. Tato informace může být zaslána také odesilateli, administrátor může obdržet upozorňující e-mail s přiloženou původní zprávou. Abyste nebyli ochuzeni o možnost posílat například WAV soubory, můžete před zákaz MIME typu definovat povolení souborů s touto koncovkou - filtr bere v úvahu pořadí pravidel. Další nástroj pomůže proti spamerům. Omezení přístupu pro přeposílání zpráv cizího vetřelce přes vaši SMTP službu je samozřejmostí. Po zapnutí antispamové ochrany musíte definovat, komu povolíte posílat zprávy mimo svou lokální doménu - lze zvolit uživatele ze skupiny IP adres a uživatele autentikované na SMTP serveru. Novinkou je blokování spamů určených uživatelům vaší domény. Zprávy budou blokovány a/nebo logovány na základě blacklistu Mail Abuse Prevention Systems (MAPS http://www.mail-abuse.org). Můžete také definovat vlastní IP adresy, které chcete blokovat. V neposlední řadě lze použít i globální filtr zpráv podle obsahu hlavičky, například odmítat zprávy, jimž chybí položka To: (Komu:), což je častý případ hromadně rozesílaných zpráv, případně e-maily přicházející z konkrétní adresy nebo domény. Všechny zprávy vyhovující zadaným podmínkám budou vráceny odesilateli. Každé z těchto pravidel můžete dočasně vyřadit, aniž byste je smazali. Funkce Zálohování zpráv umožní bezpečně uložit kopie odchozích nebo i příchozích e-mailů jejich uložením do zvláštních adresářů nebo odesíláním na definovanou adresu. Periodu a tím i množství zpráv v jednom adresáři lze zvolit formátem jeho názvu. Kombinací parametrů pro rok (%Y), měsíc (%M nebo %m), týden (%W) a den (%D nebo %d) vyberete vhodný časový interval a jméno. Kerio umí i další funkce - již zmíněné plánování odesílání zpráv z fronty, stahování POP3 schránek a stahování pošty příkazem ETRN. Pro tento účel si umí server vytočit určené připojení. Možnosti jsou podobné jako u WRP 4.x, akci si však můžete pojmenovat dle svého uvážení. Tyto uživatelem definované popisy různých akcí a nastavení jsou téměř všude a budou vítány hlavně tam, kde operuje více administrátorů. Ale i jediný "admin" ocení své poznámky pro připomenutí toho, proč to a to třeba před několika měsíci nastavil. Definované skupiny IP adres je nyní možné zanořovat do sebe (firma = lokální síť centrály + pobočka). Ve WRP se daly zprávy stažené z POP3 schránek třídit jen podle položek To: (Komu:) a Cc: (Kopie pro:), po zásahu do registrů i podle jiných. Nyní lze definovat preferovanou položku hlavičky, podle které se má třídit (Delivered-To:, X-Envelope-To:, Received:), pro každý POP3 účet zvlášť. Není-li tato položka ve zprávě nalezena, hledá se v položkách Resent-To:, Resent-Cc:, To: a Cc:.. V upřesňujících nastaveních jsou různé volby zvyšující bezpečnost, například skrytí lokální IP adresy odesilatele v hlavičce zprávy nebo vypnutí zobrazování jména a verze vaší aplikace (mailserveru). Pokud si nenecháte vytvořit certifikát od nějaké důvěryhodné certifikační autority, můžete si zde vygenerovat vlastní certifikát mailserveru (self-signed), který pak využijete při přístupu na šifrované WWW rozhraní. V neposlední řadě zde lze řídit bezpečnostní politiku přístupu ke schránkám. Můžete stanovit i výjimky, tj. uživatele, kterým povolíte nešifrované spojení nebo i nezabezpečené přihlášení. Uživatele můžete, kromě importu z WRP, importovat také z domény NT nebo zadat ručně. Při ručním zadávání mohou pomoci šablony uživatelů - do šablony zadáte všechny potřebné údaje a při vkládání uživatelů pomocí šablony pouze změníte údaje, které vám nevyhovují. Fronta zpráv umožní sledovat množství e-mailů čekajících na odeslání, odstranit zprávu z fronty nebo vyvolat výměnu zpráv ručně. Aktivní spojení ukazuje, kteří uživatelé a jakým protokolem jsou v danou chvíli k mailserveru připojeni, jejich IP adresu, dobu připojení a další údaje. Záznamy (logy) využijete především v případě problémů. V Debug logu můžete nastavit podrobné sledování konkrétního procesu, který vás v danou chvíli zajímá. Manuál je napsán velmi dobře a zabývá se i teorií putování e-mailů přes internet. Produkt je standardně dodáván v elektronické verzi, uživatel dostane na papíře jen licenční kartu. Instalační soubor i manuály získá stažením z internetu, kde také produkt registruje. Krabicová verze s instalačním CD a tištěným manuálem je k dispozici za příplatek. Chybičky a nedodělky V popisované verzi 5.0.2 jsem našel pár chybiček. V prostředí Webmailu se při přeposlání nebo odpovědi pokazí čeština ve jménu odesilatele. U stahování POP3 schránek chybí volba "Zachovat na serveru kopii zprávy ... dní", u Webmailu chybí adresář kontaktů a podpora mailing listu. Také je třeba dodělat MAPI plugin pro sdílení veřejných složek v IMAP pro starší MS klienty - MS Outlook Express, Outlook 98 a starší totiž nepodporují standard IMAP sdílení složek. Kromě práce se složkami slibují tvůrci i editaci třídicích pravidel a výhledově i kontaktů. Většina těchto drobnosti, kromě kontaktů a mailing listu, by prý měla být odstraněna do verze 5.1. Závěr Výhodami KMS jsou antivirová kontrola procházející pošty, ochrana před spamy, přístup k podnikovému e-mailu odkudkoli všemi možnými metodami a vysoká bezpečnost. Myslím, že autoři produktu byli při specifikaci produktu příliš skromní, protože v našich podmínkách je to software nejen pro malou, ale i pro velkou firmu. Máte-li WRP 4.1, není proč váhat s jeho upgradem. Vít Ožana Kerio MailServer 5.0.2 Poštovní server s možností antivirové kontroly. Minimální požadavky: Pentium, 64 MB RAM, Windows 98/Me/NT/2000/XP, Linux (ix86) Poskytl/výrobce: Tiny Software, Plzeň (www.tinysoftware.cz) Cena: 12 500 Kč (základní verze do 20 uživatelů)