- Установка Proxmox Mail Gateway
- Налаштування Proxmox Mail Gateway
- Встановлення додаткових компонент в Proxmox Mail Gateway
- Налаштування поштового шлюзу Proxmox Mail Gateway
- Налаштування коннектора Exchange на роботу по нестандартному порту
Наша взаимовыгодная связь https://banwar.org/
Виставляти в інтернет корпоративний поштовий сервер погана ідея з точки зору безпеки. Оптимальним варіантом є використання поштового шлюзу, який буде перевіряти пошту на спам і віруси і вже пересилати її внутрішньому поштового сервера. У Microsoft Exchange є власний варіант установки такого прикордонного сервера, але з коробки, як правило, він не вміє ні перевіряти віруси, ні фільтрувати нормально спам. Доводиться докуповувати рішення сторонніх розробників (наприклад Касперського), щоб закрити поштовий трафік від інтернет-загроз. Я ж зазвичай використовував зібраний вручну поштовий шлюз на Linux з використанням відкритих технологій для фільтрації спаму і вірусів. Але ось з'явилося красиве і безкоштовне рішення - Proxmox Mail Gateway установка якого з Microsoft Exchange не займає і півгодини.
Установка Proxmox Mail Gateway
Що з себе являє сам продукт. Це сервер під керуванням Debian з встановленими і налаштованими компонентами, а так же функціональним і зручним web-інтерфейсом для налаштування всього. До 2018 року продукт був закритим, але з недавніх пір розробники відкрили всі компоненти під вільною ліцензією і продають тільки підтримку продукту куди входять підписка на платні репозиторії для поновлення компонент. Але без передплати він теж прекрасно працює, тільки для оновлень слід використовувати безкоштовні репозиторії.
Для установки попередньо завантажуємо образ установника на сайті:
https://www.proxmox.com/en/downloads/category/iso-images-pmg
А ось тут ви можете завантажити документацію на PMG.
https://www.proxmox.com/en/downloads/category/documentation-pmg
Відкрита версія починається з 5-го випуску дистрибутива. Перед установкою переконайтеся, що сервер відповідає мінімальним системним вимогам. У мене установка завершувалася помилкою при нестачі оперативної пам'яті. Додав до 4 Гб, пару ядер процесора і все пройшло гладко.
В іншому установка вельми тривіальна:
- Вантажимося з образу установника. У моєму випадку це була віртуальна машина, тому я просто підключив iso-образ. Але в разі установки на апаратний сервер легко робимо завантажувальний usb-флешку;
- Вказуємо диск на який встановити. Обсяг залежить від ваших потреб. Я виділив під весь шлюз 20 ГБ;
- Вказуємо країну і тимчасову зону, а так само розкладку клавіатури;
- Вказуємо пароль і e-mail адміністратора сервера. На цю адресу в подальшому будуть надходити щоденні звіти та інші повідомлення сервера;
- Вказуємо ip адресу сервера, FQDN, інші параметри IP. Якщо мережевих карт дві, як в моєму випадку (внутрішня і зовнішня), то налаштовуйте внутрішню, а зовнішню можна налаштувати після установки;
Після введення цих даних почнеться установка операційної системи. Після закінчення ви повинні отримати можливість увійти внутрішній ip-адреса сервера по SSH і через веб-браузер за адресою https: // ipadres: 8006. В якості логіна використовується root з паролем, який ви задали під час установки.
Налаштування Proxmox Mail Gateway
Відразу після установки мені знадобилося налаштувати зовнішній інтерфейс для прийому пошти з Інтернет. Налаштувати ip-адреса можна через веб-інтерфейс, проте налаштовувати маршрутизацію все-одно доведеться редагуючи файл опису інтерфейсів / etc / network / interfces
Приклад відредагованого файлу інтерфейсів. Після внесення всіх правок рекомендується перезавантажити сервер.
auto lo iface lo inet loopback auto ens32 iface ens32 inet static address 192.168.1.2 netmask 255.255.255.0 up ip r add 192.168.0.0/16 via 192.168.1.1 auto ens33 iface ens33 inet static address XXXX netmask 255.255.255.Z gateway YYYY # internet
Метою всіх маніпуляцій повинна стати працює мережа, що працює резолвінг, доступ в інтернет з сервера і на сервер. Якщо у вашій мережі використовується якийсь міжмережевий екран, то врахуйте його при налаштуванні.
Наступним кроком необхідно прописати безкоштовний репозиторій для оновлення компонентів PMG, а так само відключити платний репозиторій, який не працюватиме без ключа платної підписки. Для цього необхідно відредагувати файл /etc/apt/sources.list.d/pmg-enterprise.list. Необхідно привести його до наступного вигляду:
#deb https://enterprise.proxmox.com/debian/pmg stretch pmg-enterprise deb http://download.proxmox.com/debian/pmg stretch pmg-no-subscription
Тепер можна оновити систему:
apt update apt upgrade
При необхідності перезавантажити сервер.
Встановлення додаткових компонент в Proxmox Mail Gateway
З додаткового програмного забезпечення я встановив лише кілька утиліт, до яких я звик і постійно використовую їх у своїй роботі з Linux системами (в основному Ubuntu). Це Midnight Commander (mc), htop і ufw. Все це робиться однією командою:
apt install mc ufw htop
Для непосвячених:
- mc - аналог Norton Comander зручний файловий менеджер;
- htop - зручний системний монітор показує всі процеси, завантаження процесора і т.п. в консолі;
- ufw - надбудова до iptables для зручного управління локальним фаєрволом.
Після установки я включив ufw попередньо додавши в нього приблизно такі правила:
ufw allow from 192.168.0.0/16 to 192.168.1.2 ufw allow 25 / tcp ufw enable
Усе! Зовні на поштовому шлюзі буде відкритий тільки 25 порт, а з локальної мережі ви зможете підключитися до сервера з будь-якого порту.
Налаштування поштового шлюзу Proxmox Mail Gateway
Всі інші настройки робляться через веб інтерфейс. Консоль вам знадобиться тільки в разі якщо потрібно буде щось налагодити і оперативно подивитися логи. Дивитися їх можна і в веб-адмінці, але мені в консолі звичніше.
Насамперед йдемо в розділ Configuration \ Mail proxy. На вкладці Relay domains вбиваємо домени на які ми приймаємо пошту нашим поштовим шлюзом, тобто наприклад той поштовий домен, який прописаний у вас в Exchange.
Наступна цікавить нас вкладка Transport. Тут ми прописуємо відповідність домену та внутрішнього адреси поштового сервера, наприклад Exchange, куди поштовий шлюз буде пересилати всю чисту кореспонденцію.
І остання вкладка - це Networks, тут необхідно прописати внутрішні адреси серверів, клієнтів, сегментів мережі з яких поштовий шлюз буде приймати листи до пересилання. Зверніть увагу, що пересилання з цих мереж дозволена тільки на внутрішньому (internal) порту вказаною на вкладці Ports. За замовчуванням це 26 порт. Іншими словами щоб пошта з вашого exchange йшла в інтернет через шлюз ви повинні прописати його адресу в Networks, а в Exchange вказати адресу шлюзу і задати йому 26 порт для роботи (як це зробити написано нижче).
Після цього рекомендую зайти в розділ Spam Detector і Virus Detector і оновити їх вручну. Інші налаштування в цілому розумні за замовчуванням, але ви вільні налаштовувати їх як вам заманеться. Для цього використовуйте документацію (посилання я давав вгорі).
Налаштування коннектора Exchange на роботу по нестандартному порту
Ну і наостанок необхідно налаштувати Send connector в MS Exchange на роботу по нестандартному 26-му порту. Створіть коннектор для відправки як зазвичай, задайте йому осмислене ім'я, наприклад по назву поштового шлюзу. Потім запустіть PowerShell консоль Exchange За допомогою команди Get-SendConnector ви можете подивитися в консолі коннектори. Скопіюйте ім'я новоствореного коннектора. Після чого введіть команду:
Set-SendConnector -Identity "ConnectorName" -Port 26
Подивитися, що порт змінився можна командою:
Get-SendConnector "ConnectorName" | fl Port
В обох командах ConnectorName - замінити на ім'я вашого коннектора! Якщо все в порядку включайте коннектор і трафік піде через новий поштовий шлюз. Не забудьте налаштувати в DNS mx запис на новий поштовий шлюз, а так само відповідний їй A і PTR запису.
Зауваження, критика, доповнення, помилки? Прошу в коментарі!
Зауваження, критика, доповнення, помилки?