Новая служба Windows Server 2003 POP3 вместе со службой SMTP позволяет задействовать почтовые клиенты, такие как Microsoft Outlook и QUALCOMM Eudora, для отправки и получения почты непосредственно с помощью сервера Windows без привлечения Microsoft Exchange Server или других продуктов независимых поставщиков. В этой статье речь пойдет об основах установки, настройки и администрирования служб Windows 2003 POP3 и SMTP.
Планирование и установка
Службы POP3 и SMTP могут быть установлены на автономный сервер Windows 2003, контроллер домена (DC) или на обычный сервер в инфраструктуре Active Directory (AD). Для этого нужно запустить мастер установки Configure Your Server Wizard и выбрать Mail server (POP3, SMTP), как показано на Экране 1. Можно также воспользоваться приложением Add/Remove Programs из Control Panel и добавить службу POP3 вручную, но в данной статье мы будем исходить из того, что используется именно мастер установки для настройки почтового сервера. Следует также иметь в виду, что для удаления почтовой роли с сервера можно воспользоваться мастером Manage Server Wizard - с его помощью службы POP3 и SMTP будут удалены, точно так же, как и все почтовые домены и почтовые ящики, созданные при помощи POP3. Наконец, можно использовать Add/Remove Programs и удалить POP3 и SMTP, но оставить почтовые домены и почтовые ящики. Мастер установки последовательно проводит пользователя через все шаги установки POP3 и SMTP и дополнительные настройки сервера. Если на почтовом сервере установлена утилита Windows 2003 Remote Administration (HTML), известная также под именем Web Interface for Remote Administration, то при установке POP3 будет устанавливаться подключаемый модуль HTML для управления почтовым сервером.
Мастер установки предлагает указать имя почтового домена, который POP3 будет обслуживать. Следует ввести полное имя Fully Qualified Domain Name (FQDN) почтового домена. Например, если служба POP3 будет обслуживать почтовые учетные записи домена certtutor.net, нужно указать FQDN для certtutor.net в поле Domain Name. Для правильной маршрутизации почты между Internet и новым доменом необходимо для certtutor.net исправить записи DNS MX, чтобы в них была ссылка на IP-адрес почтового сервера Windows 2003.
Кроме того, мастер требует, чтобы был выбран метод аутентификации, в соответствии с которым POP3 будет проверять почтовых пользователей. В зависимости от типа сервера Windows 2003, на который устанавливаются почтовые службы, можно выбрать один из трех методов: Local Windows Accounts (для автономного сервера или рядового сервера в AD), Encrypted Password File (для автономного сервера, контроллера домена или рядового сервера AD) или AD (для DC или рядового сервера AD). Имейте в виду, что когда для установки почтовых служб используется мастер установки, вы не сможете впоследствии изменить метод аутентификации без предварительного удаления всех почтовых доменов и, в свою очередь, всех почтовых ящиков на сервере.
Настройка службы POP3
Чтобы настроить службы POP3, установите в Microsoft Management Console (MMC) оснастку POP3 Service (см. Экран 2). С ее помощью вы можете увидеть имя почтового сервера, имя почтового домена, метод аутентификации, число почтовых ящиков и объем используемого дискового пространства. Эта информация дает хорошее представление о состоянии каждого почтового домена.
Для просмотра или изменения таких настроек, как задействованный порт сервера, уровень (степень детализации) при регистрации событий, корневой почтовый каталог, используется окно Server Properties (в правой части панели). По умолчанию клиенты POP3 используют порт 110. Если нужно изменить эту настройку, сначала убедитесь, что развертываемые приложения в состоянии работать с нестандартным портом. Уровень регистрации ранжируется от None (отсутствие регистрации) до Maximum, при котором в журнале Application почтового сервера регистрируются все критические события, предупреждения и сообщения. Если планируется развернуть большое число почтовых ящиков, стоит рассмотреть возможность создания отдельного раздела и разместить на этом разделе корневой почтовый каталог. Тем самым вы упростите процесс создания резервных копий и защитите раздел операционной системы от переполнения из-за неконтролируемого увеличения размеров почтовых ящиков. Во врезке "Настройка квот" рассказано о методах контроля объемов почтовых ящиков. Если почтовые домены отсутствуют (т.е. если использовалось приложение Add/Remove Programs для добавления службы POP3 и к созданию почтовых доменов вы еще не приступали), можно воспользоваться пунктом Server Properties для настройки метода аутентификации. Если почтовые домены на сервере уже присутствуют, то изменить настройку аутентификации уже нельзя.
По умолчанию, служба POP3 отсылает аутентификационную информацию в виде простого текста. В случае AD-аутентификации, данные "простой" аутентификации, передаваемые по сети, могут быть перехвачены, что означает возможность несанкционированного доступа к учетной записи пользователя в домене Windows 2003. Если выбрать метод Encrypted Password File, то можно будет использовать только "простую" аутентификацию. Но если выбрать метод Local Windows Accounts или AD Authentication, тогда служба POP3 станет работать с Secure Password Authentication (SPA). SPA требует, чтобы имя пользователя и его пароль были обработаны определенным образом, причем метод обработки можно выбрать как для Local Windows Accounts, так и для AD Authentication. Если планируется использовать SPA, почтовые клиенты также должны быть специально настроены.
Чтобы с помощью оснастки добавить новый почтовый домен, нужно щелкнуть пункт New Domain в правой части панели или открыть контекстное меню объекта mail server в левой части окна и выбрать Properties, New, Domain. Выделяемое дисковое пространство - единственный фактор, который лимитирует число доменов, добавляемое в почтовый сервер. Необходимо настроить все имеющие отношение к работе почтового сервера записи DNS MX, чтобы в новом домене в записях было указание на правильный адрес IP почтового сервера. Для каждого нового почтового домена система создает в корневом почтовом каталоге новый подкаталог (имя которого совпадает с именем нового домена).
Чтобы удалить домен, нужно указать этот объект и щелкнуть ярлык Delete (или в контекстном меню объекта выбрать Delete). Надо иметь в виду, что при удалении домена вы удаляете все почтовые ящики, принадлежащие этому домену. Если удалить домен, который использует метод аутентификации Encrypted Password File, имена всех почтовых учетных записей в домене будут утеряны. Если используется Local Windows Accounts или AD Authentication, учетные записи останутся в домене или AD. Если вы собираетесь переместить какой-то домен, то сначала остановите службу POP3, затем скопируйте домен в новый корневой почтовый каталог, после чего обновите значение параметра root mail location в окне Server Properties. Обратите внимание, что все почтовые домены должны находиться в одном и том же месте - их нельзя хранить в разных разделах.
Чтобы добавить почтовый ящик, выберите нужный домен, щелкните New Mailbox (или откройте контекстное меню и выберите Properties, New, Mailbox). На экране появляется окно Add Mailbox (см. Экран 3). Если вы используете аутентификацию Local Windows Accounts или AD Authentication и хотите создать ассоциированную учетную запись пользователя для нового почтового ящика, выберите Create associated user for this mailbox. Если учетная запись пользователя, для которого создан почтовый ящик, уже существует (локально или в AD), снимите флажок. В последнем случае имена учетной записи пользователя и почтового ящика должны совпадать.
Почтовые ящики представляют собой подкаталоги в каталоге почтового домена. Например, для почтового ящика Rooslan в почтовом домене certtutor.net все сообщения названного ящика попадают в каталог \%mailroot%\certutor.net \p3_rooslan.mbx. Таким образом, POP3 не использует единый префикс для работы с почтовыми ящиками в многодоменной среде (в отличие от того, как это происходит при установке некоторых других почтовых служб, Exchange, например). Если необходимо задействовать единый почтовый префикс для большого числа доменов, решение Windows 2003 POP3 не подходит.
Настройка SMTP
POP3 позволяет клиентам получать почту. Когда пользователи отсылают почту, SMTP выступает как партнер POP3. Служба SMTP, в отличие от POP3, впервые появилась не в Windows 2003, в состав предыдущих версий Microsoft IIS она уже была включена. Для работы с SMTP используется консоль MMC IIS.
Каждый раз, когда для создания почтового домена применяется оснастка POP3 Service, вы можете создать ассоциированный домен SMTP. Настройка SMTP производится централизованно путем редактирования параметров виртуального сервера SMTP, как показано на Экране 4. Администраторы должны следить за тем, чтобы служба SMTP не была настроена как простой ретранслятор (open relay), в противном случае поток спама вам обеспечен.
Можно настроить SMTP на прием сообщений, отправленных с ограниченного подмножества IP-адресов или доменов. Также можно ввести ограничение на число сообщений и число адресатов в сессии, чтобы помешать спамерам использовать ваш сервер - они предпочитают рассылать тысячи сообщений. Кроме того, стоит рассмотреть возможности настройки SMTP в отношении запрета ретрансляции почты и потребовать от клиентов, отправляющих сообщения, чтобы те проходили аутентификацию. Протестируйте свою систему на предмет ретрансляции, прежде чем подключаться к Internet. Обычно если администраторы следуют рекомендациям Microsoft Trustworthy Computing, конфигурация Windows 2003 SMTP обеспечивает требования безопасности и простая ретрансляция запрещена.
Использование Remote Administration Tool
Если Web Interface for Remote Administration уже установлен, то можно воспользоваться стандартным Web-браузером для обращения к функциям удаленного администрирования через оснастку POP3 Service. Некоторые HTML-утилиты требуют запуска Internet Explorer (IE) на платформе Windows, поскольку в них используется специальный модуль ActiveX. Однако утилиты для сервера POP3 можно запустить и в Netscape Navigator, и в Mozilla на самых разных платформах.
URL для обращения к утилитам удаленного администрирования следующий: https://servername:8098. Можно задействовать Web-интерфейс для настройки параметров сервера Mail Server Port, Logging Level, Root Mail Directory и Authentication Method. Как и при работе в консоли MMC, у вас есть возможность изменить метод аутентификации только в том случае, когда на сервере отсутствуют домены.
На вкладке Domains and Mailboxes (см. Экран 5) вы можете добавить, удалить, заблокировать или снять блокировку с почтовых доменов. Здесь же можно посмотреть свойства индивидуальных почтовых ящиков. В свойствах почтового ящика отображается его размер, число хранящихся в почтовом ящике сообщений и статус почтового ящика - не заблокирован ли он. Кроме того, на этой же вкладке можно добавить новые почтовые ящики, удалить старые и заблокировать/разблокировать действующие почтовые ящики.
HTML-утилиты повторяют функциональность MMC. Единственный недостаток работы через HTML заключается в том, что если во время выполнения задачи возникает ошибка, ее труднее диагностировать, чем при работе в MMC, поскольку само сообщение об ошибке в этом случае менее информативно.
Использование командной строки
Утилита Winpop (winpop.exe) дает возможность администрировать службу POP3 с командной строки. Это позволяет с помощью сценариев решать много различных задач по управлению POP3. Гораздо проще завести сотню пользователей при помощи BAT-файла, чем пытаться проделать то же самое через оснастку POP3 Service. В самом деле, используя соответствующие ключи, вы можете задействовать Winpop для выполнения практически всего того, о чем мы с вами до сих пор говорили. Например:
- Команда Winpop List domainname выдает список всех почтовых ящиков домена на сервере. Команда Winpop List без указания конкретного домена выводит список всех имеющихся на данный момент доменов на сервере.
- Команды Winpop Add domainname и Winpop Del domainname добавляют или удаляют, соответственно, почтовые домены с указанного почтового сервера. Будьте осторожны при использовании Winpop Del, поскольку в домене удаляются также и все почтовые ящики вместе с содержимым и никаких вопросов задано не будет.
- Команды Winpop Add user@domainname и Winpop Del user@domainname добавляют или удаляют, соответственно, почтовые ящики пользователей с указанного домена. Будьте внимательны, никаких подтверждений система запрашивать не будет.
- Команды Winpop Lock domainname и Winpop Lock user@ domainname
не дают всем пользователям домена или конкретному пользователю указанного
домена принимать почту. Команды Winpop Unlock domainname и Winpop
Unlock user@domainname снимают блокировку почтовых ящиков. Почтовые
ящики никуда не деваются, заблокированные почтовые ящики по-прежнему
принимают входящий трафик. Блокировка доменов полезна при резервировании и
восстановлении почты, но можно на время выполнения этих процедур просто
остановить службу POP3, для этого используется команда:
Net Stop Microsoft POP3 Service
Для запуска службы наберите:
Net Start Microsoft POP3 Service
- Команда Winpop Stat domainname выводит список всех пользовательских почтовых ящиков в домене, число хранящихся в них сообщений и объем используемого дискового пространства. Команду удобно использовать в сценарии и отслеживать изменения почтовых ящиков пользователей во времени.
- Команда Winpop Migratetoad user@domainname из зашифрованного файла извлекает имя и пароль пользователя и передает их в базу данных AD. При этом аутентификационная модель домена не переносится и заносить в AD можно только уникальные имена. Например, если перенести адрес oksana@certtutor.net, а потом попытаться перенести oksana@mcselive.com, вторая учетная запись не будет перенесена в AD, поскольку имя учетной записи Oksana уже существует.
Необходимый минимум
Служба POP3 обеспечивает минимальную почтовую функциональность. Но если администраторам нужно всего лишь завести несколько почтовых ящиков и предоставить пользователям возможность посылать и принимать сообщения, рассмотренное дополнение к серверному продукту вас вполне устроит. Администраторы, которым требуется более продвинутая версия почтового сервера, придется обратиться к Exchange или другому аналогичному продукту.
Настройка квот
Когда используется почтовая служба Windows Server 2003 POP3, требуется найти способ для установления ограничений на рост объема почтовых ящиков пользователей. Если почта хранится в разделе NTFS и применяются методы аутентификации Local Windows Accounts или AD Authentication, можно воспользоваться наложением дисковых квот. В этом случае в Windows 2003 необходимо будет настроить дисковые квоты для каждого раздела, один за другим, что служит хорошим аргументом для выделения под почтовые нужды отдельного раздела. Почтовые квоты (mailbox quotas) и файловые квоты (file-share quotas) отличаются друг от друга и их размеры могут быть разными. Если для аутентификации применяется метод Encrypted Password File, можно воспользоваться командой
createquotafile /user
для установки соответствия файла почтового ящика и уникальной учетной записи пользователя в целях квотирования.
Один из недостатков реализации квотирования состоит в том, что пользователи не получат предупреждений, что достигнут лимит квоты; сообщения, предназначенные для пользователей, просто не появятся. В этом случае лучше всего написать политику, благодаря которой пользователи получат предупреждение, что их почта будет удаляться с сервера по истечении некоторого времени. Установить политику следует на клиенте, а не на сервере.
Вы поймете, что пользователь достиг предела выделенной квоты только по сообщению в журнале, если откроете консоль Microsoft Management Console (MMC) POP3 Service, или после звонка пользователя, возмущенного тем, что он перестал получать почту. Чтобы сократить используемое дисковое пространство, можно попробовать применить сжатие файлов и каталогов.
Как уже было сказано в основной статье, POP3 позволяет заблокировать как домены, так и почтовые ящики. Однако процедура блокировки не задерживает входящий трафик почтового ящика или домена, блокируется просто возможность пользователей получать почту с помощью POP3. В заблокированные почтовые ящики почта продолжает поступать, а пользователи все еще могут отправлять свои письма. Отсюда следует, что блокировка почтового ящика сама по себе в освобождении переполненного почтового ящика не поможет.
Орин Томас (orin@ispace.org) - работает для сайта CertTutor.net, посвященного обучению и сертификации. Имеет сертификаты MCSE, CCNA, CCDA.