MS Partner logo

Jak provozovat GFI MailEssentials a GFI MailSecurity na jednom stroji s mailserverem třetí strany

Tento článek se pokusí vysvětlit možnosti a principy spolupráce produktů GFI na jiných poštovních serverech než MS Exchange a MS ISS.

V principu nelze GFI MailEssentials ani GFI MailSecurity (dále jen ME a MSEC) nainstalovat na jiný poštovní server, než je MS Exchange nemo MS IIS SMTP gateway. Přesto se nabízejí 2 postupy, jak celý problém vyřešit, i když v zájmu objektivity je nutné dodat, že je to vždy něco za něco.

Způsob 1

Tento způsob je výrobcem popsaný v dokumentaci a v článku KB - http://kbase.gfi.com/showarticle.asp?id=KBID001021 na příkladu spolupráce s Lotus Notes. Jedná se o instalaci v tzv. gateway módu, kdy ME nebo MSEC instalujete na předřazený počítač, na kterém je nainstalován MS IIS jako Mail Relay Server. Postup, jak nainstalovat IIS tímto způsobem je popsán v KB Microsoftu na http://support.microsoft.com/kb/q293800/.

Na takto nainstalovaný Mail Relay je možné přímo instalovat produkty GFI.

Výhodou tohoto řešení je, že se jedná o postup popsaný a doporučovaný výrobcem, tedy společností GFI, a že se z hlediska průhlednosti a jednoduchosti jedná o příjemně administrovatelné a pochopitelné řešení. Navíc je to jediný způsob, jak zajistit v současné době spolupráci GFI produktů s poštovními servery na OS typu Unix nebo Linux.

Nevýhodou tohoto řešení je, že potřebujete extra počítač a také licenci na operační systém. Je sice možné nainstalovat IIS SMTP service na pracovní stanici (Windows 2000 Professional, Windows XP Professional), ale budete omezeni maximálním počtem spojení, které je z obchodních důvodů Microsoftu limitováno na 10 současných připojení.

Způsob 2

Tento způsob obchází nutnost použití dalšího počítače a další licence na OS. Konkrétní postup bude popsán níže na konfiguraci s poštovním serverem Kerio MailServer, ale v zásadě je možné jej použít v kombinaci s jakýmkoliv SMTP serverem pro Windows. Tento postup není oficiálně podporován výrobcem, ale je otestován a funguje. Přesto nejsme schopni poskytovat žádné záruky, že takové nasazení bude podporováno i v budoucnosti, i když dle našeho názoru by nemělo tomuto postupu nic bránit.

Principem činnosti je v takovém případě následující otázka: Je možné na jeden počítač nainstalovat zároveň SMTP server třetí strany a ještě MS IIS SMTP service tak, aby si mezi sebou uměly předávat poštu? Odpověď je jednoduchá: Ano, pokud budou oba servery a) provozovány na odlišných portech nebo b) provozovány na různých rozhraních (typicky síťových kartách). Způsob b) se nám zatím nepodařilo uspokojivě vyřešit (vyřešeno, vizte aktualizaci v odstavci níže), protože IIS i v případě, že jej nainstalujete na určité rozhraní s danou IP adresou sice na jiném nefunguje, ale přesto si port 25 na „volném“ rozhraní obsadí, takže není možné na něj navázat jiný SMTP server. V dalším textu se tedy budeme věnovat jen variantě a), pokud se někomu podaří uspokojivě vyřešit variantu b) byli bychom vděčni, když nám dáte vědět.

AKTUALIZACE: chování služby MS SMTP popsané ve variantě b) lze vypnout například dle článku 281760 znalostní báze společnosti Microsoft „How to Disable Internet Information Services Socket Pooling on the SMTP Service“.

Jak to funguje

Na počítači je nainstalována standardní služba MS IIS SMTP service, která poslouchá na portu 25 příchozí poštu z internetu. Na portu řekněme 2525 je nainstalován SMTP server třetí strany, který firma používá jako základ své e-mailové infrastruktury a komunikace. MS IIS SMTP service je nakonfigurována tak, aby poštu z internetu do lokální domény předávala dál na port 2525 vašeho SMTP serveru. Naopak ostatní poštu z lokální sítě předávala pomocí DNS nebo smarthosta do internetu. Klíčovou otázkou je, jak donutit MS IIS SMTP service aby předávala poštu na jiný než standardní port a právě o tom, je tento článek.

Jak to udělat

Následující postup byl vyzkoušen s Kerio MailServer, ale v principu by měl fungovat s jakýmkoliv SMTP serverem.

  1. Nainstalujte Kerio MailServer (dále jen KMS)
     
  2. Změňte standardní port, na kterém poslouchá KMS z 25 na 2525 – vizte obrázek.
     

     
  3. Nainstalujte MS IIS SMTP service pomocí Přidat nebo odebrat programy, Součásti Windows v ovládacích panelech. Pozor – budete potřebovat instalační CD Windows.
     
  4. Nakonfigurujte předávání do lokální domény – v IIS manažeru klikněte na Výchozí SMTP server –> Domény –> Nový –> doména, vzdálená doména, v dalším okně napište název Vaší domény, v našem případě pblocal.cz.
     

     
  5. Ve vlastnostech nově definované domény napište IP adresu tohoto počítače na které poslouchá KMS. Pozor, pokud píšete IP adresu, je třeba ji dát do hranatých závorek, jinak se ji IIS bude snažit převést pomocí DNS a bude docházet k chybě!
     

     
  6. Ve vlastnostech výchozího virtuálního SMTP serveru je třeba změnit FQDN (úplný název domény), aby nebyla pošta od vás některými servery odmítána, je třeba zadat záznam, pro který existuje DNS jméno vašeho mailserveru. Případně můžete ještě zadat jméno inteligentního hostitele (smarthost) pokud posíláte např. poštu přes SMTP server vašeho poskytovatele.
     

     
    Nezapomeňte restartovat službu SMTP server.
     
  7. Ověřte, zda vám oba servery poslouchají na svých portech pomocí příkazu telnet. V našem případě test vypadá následovně:
     
    Připojení na port 25 – zde by měl poslouchat IIS SMTP – telnet 192.168.17.22 25
     

    Příkazem quit se vrátíme do příkazového řádku.
     
    Připojení na port 2525 – zde by měl poslouchat KMS – telnet 192.168.17.22 2525
     

     
    Opravdu!
     
  8. V bodu 5 jsme nastavili relay na KMS, ale je tomu skutečně tak? Není! MS SMTP service nám nikde neumožní změnit port, na který je pošta předávána, takže by vlastně předávala poštu sama sobě, protože jsou oba SMTP servery na stejné adrese. Řešením je použít nástroj MetaBase Editor, který je ke stažení na stránkách Microsoftu zde - http://download.microsoft.com/download/iis50/utility/5.0/nt45/en-us/mtaedt22.exe. Tento program vám umožní editovat všechny možné skryté vlastnosti MS Internet Information serveru. Nás zajímá hodnota LM\SmtpSvc\1\RemoteSmtpPort, kde je standardně 25, ale my ji změníme na 2525.
     

     
  9. Restartujte MS SMTP Service
     
  10. Nyní přišel čas vyzkoušet, že je pošta z internetu předávána do schránek KMS a zároveň, že je možné odesílat poštu ven. Pokud používáte Kerio MAPI provider, nebude třeba na klientech nic měnit. Pokud používáte vnitřně SMTP/POP/IMAP, musíte ve svých klientech změnit port SMTP serveru, pokud z nějakých důvodů potřebujete k odesílání používat KMS, jinak by mělo být možné odesílat přímo přes MS IIS SMTP.
     
  11. Pokud vše funguje jak má, můžete nainstalovat GFI ME, MSEC nebo obojí v gateway módu a jste hotovi!

V případě, že narazíte při čtení tohoto článku na nějaké nejasnosti nebo k němu budete mít připomínky, neváhejte nás kontaktovat na http://www.gfi.cz/support/technical-support-request-form/.