2012beta) (В разном пространстве имен!)

Изначально, я хотел слегка переделать статью, но оказалось, что изменения весьма существенные и чтобы не возникало путаницы, требуется отдельное описание.
Для чего это все?!
Достаточно удобной альтернативой Exchange серверу, может стать система iRedMail, конечно ее функционал несколько скромнее, но зачастую, его более чем достаточно, для компании небольших или средних размеров. Тем более что мне в руки попала версия Windows Server 2012 RC в редакции Datacenter, вот я и решил все на ней протестировать
Довольно трудно предугадать будущие потребности в инфраструктуре, зачастую, они появляются по мере роста компании, как обычно бывает, сначала было несколько ПК в рабочей группе, затем, по мере роста количества рабочих мест, появился контроллер домена, через какое-то время появилась, доменное имя для сайта компании ну и как следствие-потребность в почтовом сервере. Доменную инфраструктуру могли назвать как угодно (все зависит от фантазии того, кто это разворачивал) например companyname.local и когда ее устанавливали никто даже предположить не мог куда все это придет через 2-3 года. Соответственно доменное имя в пространстве .local-не может быть использовано в интернет, как следствие, почтовая инфраструктура не может использоваться при такой схеме работы.
Валить домен и перестанавливать его, совсем тухлая идея (для совсем «мешком прибитых») которая потребует повторного заведения учетных записей пользователей если их 50 то еще куда не шло, а если 100, а если 1000, также потребует повторного создания групповых политик и прочих давно настроенных вещей, которые отлично работают годами. Также, существует возможность переименования домена предприятия, но это тоже весьма не простой вариант, а вдруг «не взлетит» эта процедура может тащить за собой довольно серьезную перспективу получения «кучи геморроя» на равном месте, а если от работы системы зависит целое предприятие, то за непредвиденный простой, руководство компании «барбарЫсок вам не насыпет».

Для лучшего понимания я буду использовать примеры из документации Microsoft.

У нас есть контроллер домена server10.contoso.com, на момент его установки, компания не имела внешнего доменного имени, в дальнейшем, она приобрела доменное имя для сайта example.org, параллельно возникла необходимость в установке почтового сервера, к которому должны иметь возможность подключаться сотрудники компании, которые могут находиться как в офисе компании, так и за его пределами. Для работы почтового сервера была создана запись MX указывающая на IP адрес почтового сервера в сети internet. Также, сотрудники- которые не могут использовать почтовую программу, должны иметь возможность подключиться через WEB интерфейс, для работы которого, был создан под домен mail.example.org. Сотрудники должны проходить проверку подлинности с использованием учетных данных (Login/Password) в доменной сети предприятия, которые они используют для входа на рабочие станции.
Вот так все просто!

Чтобы не было путаницы, еще раз напоминаю

Если ваш почтовый сервер и контроллер домена находятся в разных пространствах имен, например: Контроллер домена имеет имя server10.contoso.com, а почтовый сервер имеет доменное имя mail.example.org, то эта статья для вас.

Если у вас контроллер домена и почтовый сервер находится в одном пространстве имен, например: контроллер домена имеет доменное имя dc1.example.org, а почтовый сервер mail.example.org, как видно из примера, они имеют одинаковый DNS суффикс example.org смотрите ранее опубликованное руководство- Интеграция почтового сервера iRedMail с Active Directory (Windows Server 2003/2008/2008R2 )

У нас есть почтовый сервер настроенный по руководству Настройка почтового сервера Ubuntu+iRedMail. Настоятельно рекомендую использовать Debian 6.0.5 иил Ubuntu 12.04 LTS, которые уже доступны, также на нее можно установить стабильный релиз iRedMail, доступный и стабильный релиз на текущий момент, можно посмотреть на странице загрузки Iradmail.org). В остальном процесс установки не изменился ни капли.

Предполагается что оба сервера установлены и готовы к работе. Вся дальнейшая конфигурация представлена ИСКЛЮЧИТЕЛЬНО в тестовых целях, имена серверов, логины пользователей, IP адреса, пароли-необходимо заменить на свои, а пароли желательно вообще генерировать с помощью ПО, добавив им сложности!

Также- Если предполагается доступ пользователей из интернет, то необходимо включить в GPO, требования задающие сложонсть и уникальность паролей, иначе один из пользователей, который «самый умный» будет использовать пароль 123456 (поверьте такие найдутся) и ваш сервер станет легкой добычей для спамеров, которые быстро срубят такой пароль, со всеми вытекающими последствиями...

Единственное ограничение — Dovecot воспринимает символ # как перенос, данный символ НЕЛЬЗЯ использовать в паролях!

Подготавливаем инфраструктуру к взаимодействию.

Настраиваем Linux сервер
Поднимаем права до root:
В Ubuntu

sudo su

В Debian

su

нам необходимо добавить имя сервера в hosts

nano /etc/hosts

Добавляем туда:

172.16.0.20 server10.contoso.com

Сохраняем изменения и выходим
Пробуем пинговать server10.contoso.com
Если пинги, проходят все отлично! Если нет, то проверяем правильность написания имени и IP адрес контроллера домена.

Маленький, полезный, но не обязательный момент
Настроим синхронизацию времени почтового сервера с контроллером домена, это нужно для корректного отображения даты и времени получения писем, с другой стороны ничего не мешает использовать поставщиков времени в интернете, но если мы хотим получить полноценную систему, то лучше сделать это.

nano /etc/default/ntpdate

Находим строку и вписываемым туда DNS адрес контроллера домена:

NTPSERVERS="server10.contoso.com"

Перезагружаем почтовый сервер, вуаля, все работает, время синхронизировалось.

Настраиваем Windows Server

Переходим на наш Windows Server 2003/2008/2008R2/2012RC
У него имя server10.contoso.com и IP 172.16.0.20

В качестве примера я буду использовать скриншоты из Windows Server 2012, но на других версиях Windows Server, названия оснасток аналогичные.

Нам необходимо перейти в оснастку Active Directory Domains and Trusts в русском варианте Active Drectory Домены и доверие, и переходим в свойства, как указано на скриншоте:

Active Directory Domains and Trusts (Windows Server 2012)

Нам необходимо добавить UPN суффикс-example.org как на скриншоте:
Active Directory Domains and Trusts+UPN suffix (Windows Server 2012)

Заводим пользователей на контроллере домена

Нам необходимо создать пользователя с именем iredmail, логином iredmail и паролем: password^1 Никаких админских прав, мы ему не даем-это важно! Его мы создаем в самом корне контроллера домена.

Чтобы путь к учетной записи в LDAP каталоге был cn=iredmail,dc=contoso,dc=com
Также, нам необходимо создать подразделение (Organization Unit), назовем подразделение personal путь в LDAP каталоге, будет иметь вид: ou=personal,dc=contoso,dc=com
Внутри подразделения personal, создадим 3 учетные записи, пользователей домена с паролем password@1 с именами:
Федя Мегатронов с логином megatronov и адресом электронной почты megatronov@example.org выбрав ему UPN суффикс example.org, как на скриншоте:

Аналогичным способом заводим двух других пользователей
Кеша Фуфлометов с логином fuflometov и адресом электронной почты fuflometov@example.org
Светлана Кукуева с логином kukueva и адресом электронной почты kukueva@example.org

Пути в каталоге LDAP, к учетным записям пользователей, будут иметь вид:

cn=Федя Мегатронов,ou=personal,dc=contoso,dc=com
cn=Кеша Фуфлометов,ou=personal,dc=contoso,dc=com
cn=Светлана Кукуева,ou=personal,dc=contoso,dc=com

В этом подразделении, создадим группу распространения, allusers и электронной почтой allusers@example.org.
В эту группу распространения, нам необходимо добавить наших трех пользователей.

Переходим к серверу Linux

Для начала нам необходимо перенастроить базу LDAP для поиска, при установке сервера мы казали example.org нам необходимо это исправить.

Необходимо отредактировать конфигурационный файл LDAP:

nano /etc/ldap/ldap.conf

Нас интересует строка:

BASE dc=example,dc=org

Переделаем ее, чтобы она выглядела:

BASE    dc=contoso,dc=com

Пробуем подключиться к Active Directory

ldapsearch -x -h server10.contoso.com -p 389 -D 'cn=iredmail,dc=contoso,dc=com' -W

Enter password: Вводим пароль password^1

Получаем тонну информации от контроллера домена, у кого много времени могут попробовать разобраться, что она из себя представляет, на досуге…

Меняем настройки транспорта для сообщений:

postconf -e transport_maps='hash:/etc/postfix/transport'

Изменим настройки транспорта:

nano /etc/postfix/transport

Добавим в него следующее:

mail.example.org dovecot

Экспортируем все это, в базу данных Postfix:

postmap hash:/etc/postfix/transport

Подключаться к AD мы будем от имени пользователя iredmail (cn=iredmail,dc=example,dc=org) с паролем password^1, мы будем искать пользователей, которые находятся в подразделении personal (ou=presonal,dc=example,dc=org)
Нам необходимо отредактировать содержимое следующих файлов (то что там находится удаляем и заменяем на приложенное снизу)

nano /etc/postfix/ldap/virtual_mailbox_maps.cf

server_host     = server10.contoso.com
server_port     = 389
version         = 3
bind            = yes
start_tls       = no
bind_dn         = cn=iredmail,dc=contoso,dc=com
bind_pw         = password^1
search_base     = ou=personal,dc=contoso,dc=com
scope           = sub
query_filter    = (&(objectclass=person)(userPrincipalName=%s))
result_attribute        = userPrincipalName
debuglevel      = 0

Разрешаем подключение к AD с целью поиска групп и их членов.

nano /etc/postfix/ldap/virtual_group_maps.cf

server_host     = server10.contoso.com
server_port     = 389
version         = 3
bind            = yes
start_tls       = no
bind_dn         = cn=iredmail,dc=contoso,dc=com
bind_pw         = password^1
search_base     = ou=personal,dc=contoso,dc=com
scope           = sub
query_filter    = (&(objectClass=group)(mail=%s))
special_result_attribute = member
leaf_result_attribute = mail
#result_attribute= userPrincipalName
debuglevel      = 0

Активируем поиск логинов отправителей в AD:

nano /etc/postfix/ldap/sender_login_maps.cf

server_host     = server10.contoso.com
server_port     = 389
version         = 3
bind            = yes
start_tls       = no
bind_dn         = cn=iredmail,dc=contoso,dc=com
bind_pw         = password^1
search_base     = ou=personal,dc=contoso,dc=com
scope           = sub
query_filter    = (&(userPrincipalName=%s)(objectClass=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
result_attribute= userPrincipalName
debuglevel      = 0

Отредактируем main.cf

nano /etc/postfix/main.cf

Там нам необходимо найти и удалить строку:

check_policy_service inet:127.0.0.1:7777

Проверка логина отправителя:

postmap -q megatronov@example.org ldap:/etc/postfix/ldap/sender_login_maps.cf

Должно выдать:

megatronov@example.org

Проверим разрешение членства в группе:

postmap -q allusers@example.org ldap:/etc/postfix/ldap/virtual_group_maps.cf

Должно выдать:

kukueva@example.org,fuflometov@example.org,megatronov@example.org

Если нет вывода то возможно 4 причины:
1) У группы распространения не указан email.
2) Неправильные данные для подключения к AD.
3) В указанную группу не добавлены пользователи.
4) У пользователей добавленных в группу не заполнено email.

Нам также необходимо перенастроить Dovecot для запросов в Active Directory, все что там написано сотрем и записываем свое:

nano /etc/dovecot/dovecot-ldap.conf

hosts           = server10.contoso.com:389
ldap_version    = 3
auth_bind       = yes
dn              = iredmail@contoso.com
dnpass          = password^1
base            = ou=personal,dc=contoso,dc=com
scope           = subtree
deref           = never
user_filter     = (&(userPrincipalName=%u)(objectClass=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
pass_filter     = (&(userPrincipalName=%u)(objectClass=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
pass_attrs      = userPassword=password
default_pass_scheme = CRYPT
user_attrs      = =home=/var/vmail/vmail1/%Ld/%Ln/Maildir/,=mail=maildir:/var/vmail/vmail1/%Ld/%Ln/Maildir/

Квота на размер почтового ящика.

По умолчанию, iRedMail позволяет задавать квоты на размер почтового ящика, но перейдя с OpenLDAP на работу с AD эта возможность теряется, но мы можем указать дисковую квоту для всех пользователей, одним махом.
nano /etc/dovecot/dovecot.conf

Находим строку:

quota_rule = *:storage=1G

Это и есть размер почтового ящика для пользователей- 1Гб. Квота задается для всех пользователей разом!

Перезапускаем службы:

/etc/init.d/postfix restart
/etc/init.d/dovecot restart

Создание почтовых ящиков на почтовом сервере:

Создавать ящики, на почтовом сервере не требуется, достаточно на контроллере домена создать учетную запись, но бывают ситуации, когда у пользователя есть учетная запись, но почтовый ящик ему не требовался или не был положен, теперь это легко решить, достаточно в свойствах учетной записи, изменить UPN суффикс, например:
У нас была учетная запись Виктора Зелипукина, чтобы предоставить ему почтовый ящик достаточно в свойствах учетной записи выставить UPN суффикс example.org вместо contoso.com как на скриншоте:

При первом подключении пользователя, его почтовый ящик будет создан автоматически и готов к использованию.

Важный момент!

Рекомендуется заполнять поле E-mail, хотя пользователь сможет пользоваться ящиком и без него, но если включить его учетную запись в группу рассылки, то почта, приходить к нему не будет т.к. адрес почты не указан, также пользователь не будет виден в глобальной адресной книге, пока данное поле не будет заполнено.

Почтовые ящики пользователей находятся в:

/var/vmail/vmail1/example.org/$userlogin

Эта информация вам пригодится, когда понадобится настроить резервное копирование почтовых ящиков пользователей!
Продуем подключаться через telnet:

telnet localhost 110

Нам выдаст:

Trying 127.0.0.1…
Connected to localhost.
Escape character is '^]'.
+OK Dovecot ready.

указываем пользователя:

user megatronov@example.org

Получаем:

+OK

Указываем пароль:

pass password@1

Получаем ответ:

+OK Logged in.

Проверим наличие почты:

list

Севера нам выдаст:

+OK 0 messages:
.

Завершаем сессию:

quit

Сервер нам ответит

+OK Logging out.
Connection closed by foreign host.

Теперь можно пробовать подключаться через WEB интерфейс, для входа пользователя нам достаточно указать только Login, например megatronov хотя можно указывать данные пользователя полностью megatronov@example.org, Dovecot подставляет UPN суффикс самостоятельно.

Ну и завершающий этап-подключение адресной книжки из Active Dorectory

Подключение адресной книги

nano /usr/share/apache2/roundcubemail/config/main.inc.php

Находим строку:

$rcmail_config['autocomplete_addressbooks']

Приводим ее к виду:

$rcmail_config['autocomplete_addressbooks'] = array("sql", "mail.example.org");

Далее, нам необходимо найти раздел:

// Global LDAP address book.

И привести его к виду, указанному ниже:
(Я специально ничего не удалял, а просто за комментировал строки, которые там были изначально и добавил свои, также слегка переделал порядок сортировки, теперь он идет по алфавиту)
Вставляем туда:

$rcmail_config['ldap_public']["mail.example.org"] = array(
    'name'          => 'Global AD Address Book',
    'hosts'         => array('server10.contoso.com'),
    'port'          => 389,
    'use_tls'       => false,

// Search accounts in the same domain.
    'user_specific' => false, // If true the base_dn, bind_dn and bind_pass default to the user's IMAP login.
    'base_dn'       => 'ou=personal,dc=contoso,dc=com',
    'bind_dn'       => 'cn=iredmail,dc=contoso,dc=com',
    'bind_pass'     => 'password^1',
    'writable'      => false, //запретим запись в AD
    'ldap_version'  => '3',
//    'search_fields' => array('mail', 'cn', 'givenName', 'sn'),
    'search_fields' => array('mail', 'cn', 'sAMAccountName', 'displayname', 'sn', 'givenName'),
//    'name_field'    => 'cn',

    'email_field'   => 'mail',
    'surname_field' => 'displayName',
//    'firstname_field' => 'givenName',
//    'sort'          => 'cn',
    'scope'         => 'sub',
//    'filter'        => '(&(enabledService=mail)(enabledService=deliver)(enabledService=displayedInGlobalAddressBook)(|(objectClass=mailList)(objectClass=mailAlias)(objectClass=mailUser)))',
    'filter'        => "(mail=*@*)",
    'fuzzy_search'  => true);

Сохраняем изменения, пробуем под пользователем зайти в адресную книгу, у нас там появиться пункт Global AD Address Book нажимаем на него и получаем список пользователей домена, которые имеют почтовые ящики.

Ну а теперь легкий тюнинг вида ящика. Слегка изменим порядок отображения колонок в почтовом ящике, лично мне нравится дефонтный порядок отображения колонок писем в Outlook, на мой взгляд, он удобный, по этому я решил привести отображение писем немного похожим на него.
Открываем файл:

nano /usr/share/apache2/roundcubemail/config/main.inc.php

находим строку:

$rcmail_config['list_cols'] = array

Закоментриуем ее и сразу под ней добавим, готовую строку:

$rcmail_config['list_cols'] = array('flag','attachment', 'from', 'subject', 'status', 'date', 'size' );

Вот и все.
Если у вас есть интересные доработки, для данной схемы, не стесняйтесь выкладывайте, думаю что они будут полезны многим. Также, если возникли вопросы, то прошу в комментарии.

Ну и напоследок, в статье, в качестве контроллера домена, используется Windows Server 2012 которая находится в состоянии Резиз-кандидата, я использовал данную ОС ИСКЛЮЧИТЕЛЬНО в тестовых целях, не рекомендую ее использовать в продукционной среде, до официального релиза, все это было сделано для того чтобы показать что iRedMail может работать с операционными системами предыдущего поколения Win 2003/2008/2008r2 так и с самыми современными, официальный релиз которых, на момент написания статьи, еще не состоялся. Обратная совместимость с операционными системами предыдущего поколения, полностью сохранена!
Вдогонку к выше сказанному, тем людям кто будет использовать данную наработку, перед внедрением в производственной сети предприятия- ОБЯЗАТЕЛЬНО тестируйте все это в песочнице, тогда у вас появится понимание того как все это работает, без вероятности все завалить!

168 комментариев

frusn
11 июня 2012, 23:51
↓
0

Artful БОЛЬШОЕ спасибо тебе за твой труд и замечательные статьи которые на самом деле помогаю
я если честно уже потерял надежду найти решение
но нет оно нашлось = )
завтра буду пробовать…

автор Artful
12 июня 2012, 07:48
↑
↓
+1

Пожалуйста, пользуйтесь…
На самом деле, у меня выдался свободный день и я смог сесть и разобраться.

frusn
12 июня 2012, 12:09
↓
0

Artful а если необходимо будет удалить почтовый ящик то достаточно просто удалить учетную запись с AD или нежно удалять вручную

автор Artful
12 июня 2012, 12:30
↑
↓
0

Удалять нужно с почтового сервера вручную.
Если требуется перекрыть доступ пользователю, то достаточно в настройках учетной записи поменять UPN суффикс с example.org на contoso.com.

frusn
12 июня 2012, 12:46
↓
0

вот у меня несколько виртуальных доменных имен для почтового сервера
т.е. мне нужно только добавить upn этих имен в AD
или необходимо их еще добавить и в iredmail админку…

автор Artful
12 июня 2012, 12:55
↑
↓
0

нет UPN в этой ситуации не поможет, если выбрать основной, то по другим зайти не смогут!
если в sAMAccountName указано username@example.org то зайти по имени username@contoso.com с почтового сервера не получится!
Не думаю что тут возможно реализовать схему с множеством почтовых доменов авторизацией в AD- только 1, а вот если нужно много, то штатными средствами iredmail, без AD.

frusn
12 июня 2012, 16:02
↓
0

жаль
а если под каждые виртуальное доменное имя поднимать отдельно машину
такое в принципе может быть возможно или безнадежно…

frusn
12 июня 2012, 16:09
↓
0

уточняю
для определенного пользователя в AD только один почтовый ящик
например
personal@qqq.com
для другого
info@aaa.ru

в AD соответсвенно добавляю несколько upn записей…

автор Artful
12 июня 2012, 18:17
↑
↓
0

там фокус в том что при авторизации dovecot выполняет запрос к AD вида username@example.org и если в sAMAccountName указано аналогичное значение, то авторизация проходит, если написано contoso.com соответственно возвращается что пользователя с таким значением в sAMAccountName не найдено.
Думаю что при текущем раскладе, необходимо заводить несколько доменов на почтовом сервере и несколько учетных записей с разными значениями в sAMAccountName, но проблема в том что не возможно будет создать 2 ящика с именем username@example.org и username@aaa.ru т.к. логин username уже в использовании и AD это не пропустит хоть такой UPN указывайте!
Так что, думаю, что тут ваша затея провалится…

frusn
12 июня 2012, 18:19
↓
0

Artful я только что проверил свою идею
по поводу того что можно использовать несколько виртуальных доменных имен для почтового сервера
оказалось что для того чтобы это реализовать достаточно просто добавить UPN запись

И еще раз хочу поблагодарить за оперативное решение данное проблемы

СПАСИБО = )

frusn
12 июня 2012, 18:23
↓
0

передомной в принципе не стоит задача чтобы была возможность создавать несколько почтовиков с одним доменным именем
а ты сам находишь решения (путем проб) или с помощь литературы и знакомых?

frusn
12 июня 2012, 18:26
↓
0

не подскажешь какую нибудь полезную литературу чтобы повысить свой уровень знаний относительно nix систем
если нетрудно

автор Artful
12 июня 2012, 18:53
↑
↓
0

Думаю что только форумы и сайты с документацией разработчиков, все так быстро меняется, что пока книгу успевают издать, она уже частично устарела. Кончено есть, базовые знания, но все это приходит со временем.
А решения нахожу сам или с помощью гуггла ;) но по поводу данной статьи, то только запуская скрипты в режиме дебага+просмотр лог файлов. Сам поиск решения занял мин 40 (оказалось что- ларчик открывался просто), а вот допиливание статьи еще часа 3-4…

Saqo
11 июля 2012, 13:50
↓
0

У меня возникла такая проблема, после этих настроек web интерфейс сдох, скорее так, https://(IP address)/mail не открывается, пустая страница и все, работает только https://(IP address)/iredadmin. И я не могу понять где я напортачил, хотя почтовые ящики через telnet (telnet localhost 110) работают. Где искать ошибку?

Saqo
11 июля 2012, 15:54
↑
↓
0

Вопрос решился следующим образом, в настройках где подключаем адресную книгу я закоментировал эти две строки
'base_dn' => 'ou=personal,dc=contoso,dc=com',
'bind_dn' => 'cn=iredmail,dc=contoso,dc=com',
и вернул прежние и все заработало. Но я продолжаю не понимать в чем все же проблема ?!

автор Artful
11 июля 2012, 16:23
↑
↓
0

думаю что имеет смысл смотреть логи apache, конкретно error.log

mafioza
17 августа 2012, 11:48
↓
0

здрасти, такая ситуация: пришёл работать в больницу в которой было компов 60, поднят домен но пользователи типа контора, бухгалтерия, отделение 1,2,3 и т.д. всё было прекрасно пока не расширили сеть ищё на 260 машин и купили имя. соответственно нада почту. подняли IredMail создали ящики, у «выбранных» людей всё настроили. работало прекрасно, но как бывает абонентов стали докидывать встал вопрос о адресной книге. я так понимаю чтоб внедрить ваш метод мне придётся создавать юзеров и перенастраивать оутлуки, поднимать заново IredMail, потому как существующие придётся убирать так?

автор Artful
17 августа 2012, 12:18
↑
↓
0

Что-то у вас каша в голове, все смешали AD, iRedMail и Outlook.
iRedMail -вообще фиолетово, она будет искать пользователей там где вы ей скажите, а будет это openLDAP или LDAP, да хоть AD LDS -не важно!
Соответственно адресная книга будет работать оттуда где хранятся все пользователи…
Количество машин в локальной сети не имеет значение, главное чтобы сервер тянул нагрузку, остальное -уже технические моменты.
Outlook- в принципе можно совсем убрать, а пользователей заставить работать через web интерфейс, тогда и перенастраивать не придется( добавив, через групповые политики, в избранное адрес вашего почтовика), если почтовый сервер находится в локальной сети с пользователями, то со скоростью подключения проблем не будет, думаю что локальных сетей со скоростью менее 100 Мбит, наверное нигде и не осталось, а если сеть новая, то вообще 1 Гбит.
Так что мой ответ- просто перенастроить и все… Предварительно все забэкапить!!!

автор Artful
17 августа 2012, 12:20
↑
↓
0

А как все бэкапить, есть простое решение:
howitmake.ru/blog/ubuntu/54.html#comment986

zooi
20 августа 2012, 07:58
↓
0

Доброе время суток!
Огромное спасибо за полезную статью!

Вот только у меня вопрос: почему не могу зайти на почту через web интерфейс (пишет «неудачная попытка») под логином и паролем пользователя домена. запись «personal» вроде везде убрал… Почему не входит?

автор Artful
20 августа 2012, 08:07
↑
↓
0

Personal — подразделение в котором находятся учетные записи пользователей.
Попробуйте закопипастить как есть, до полного понимания как это все работает, а уже потом делать что-то свое. Я не знаю какая у вас причина, сморите логи dovecot.

zooi
20 августа 2012, 08:30
↓
0

копи пастил — всё работает! Теперь хочу чтобы можно было заходить с других учетных записей не в папке «personal»

автор Artful
20 августа 2012, 08:34
↑
↓
0

Если iredmail будет просматривать все дерево каталога LDAP то на авторизацию будет уходить много времени, проще держать необходимые учетки в одной OUшке, так процесс входи в почту проходит быстрее…

zooi
20 августа 2012, 08:50
↓
0

Я понимаю, просто я пытаюсь прикрутить уже готовый домен к iredmail… На предприятии более 300 компов, и что то менять наверное не стоит

автор Artful
20 августа 2012, 08:56
↑
↓
0

Причем тут количество компов и подключение к почтовому ящику. iRedMail плевать на рабочие станции, ей нужны только учетные записи пользователей.
А в чем проблема, перенести в пределах одного домена учетные данные пользователей в другое подразделение-никаких сложностей, вырезать вставить, права доступа не потеряется, членство в группах тоже (SID не потеряется).
Смотрите логи dovecot, там все написано!

автор Artful
20 августа 2012, 09:02
↑
↓
0

Заведите тестовое подразделение и в нем тестовую учетку и тренируйтесь на ней, пока все не заработает, после этого в это подразделение можно перенести существующих пользователей заодно заменив им UPN суффикс…
Работы на 5 минут максимум!

Saqo
4 сентября 2012, 11:58
↓
0

А как можно сделать чтоб два почтовых имени стояло на одной машине, скажем example1.org и example2.org?

автор Artful
4 сентября 2012, 12:43
↑
↓
0

Вот это интересный вопрос, думаю что никак.

zooi
7 сентября 2012, 11:43
↓
0

Saqo11 июля 2012, 13:50
У меня возникла такая проблема, после этих настроек web интерфейс сдох, скорее так, https://(IP address)/mail не открывается, пустая страница и все, работает только https://(IP address)/iredadmin. И я не могу понять где я напортачил, хотя почтовые ящики через telnet (telnet localhost 110) работают. Где искать ошибку?

У меня тоже такое случилось! Только, сначало лазил на веб интерфейс через ip/mail/ — сдох! потом через mail.domen.ru/mail/ — и он тоже сдох! И самое интересное сдыхают они когда пытаюсь зайти под пользователями которые не в папке personal.

zooi
7 сентября 2012, 11:43
↓
0

Что делать?

zooi
7 сентября 2012, 11:53
↓
0

Вот error.log apache2:

[Thu Sep 06 13:30:44 2012] [notice] Apache/2.2.22 (Ubuntu) configured — resuming normal operations
[Thu Sep 06 13:30:45 2012] [notice] caught SIGTERM, shutting down
[Thu Sep 06 13:30:46 2012] [notice] Apache/2.2.22 (Ubuntu) PHP/5.3.10-1ubuntu3.2 with Suhosin-Patch configured — resuming normal operations
[Thu Sep 06 13:31:21 2012] [notice] caught SIGTERM, shutting down
[Thu Sep 06 13:31:22 2012] [warn] mod_wsgi: Compiled for Python/2.7.2+.
[Thu Sep 06 13:31:22 2012] [warn] mod_wsgi: Runtime using Python/2.7.3.
[Thu Sep 06 13:31:22 2012] [notice] Apache/2.2.22 (Ubuntu) PHP/5.3.10-1ubuntu3.2 with Suhosin-Patch mod_wsgi/3.3 Python/2.7.3 configured — resuming normal operations
[Thu Sep 06 13:31:29 2012] [notice] caught SIGTERM, shutting down
[Thu Sep 06 13:31:31 2012] [warn] mod_wsgi: Compiled for Python/2.7.2+.
[Thu Sep 06 13:31:31 2012] [warn] mod_wsgi: Runtime using Python/2.7.3.
[Thu Sep 06 13:31:31 2012] [notice] Apache/2.2.22 (Ubuntu) PHP/5.3.10-1ubuntu3.2 with Suhosin-Patch mod_wsgi/3.3 Python/2.7.3 configured — resuming normal operations
[Thu Sep 06 13:35:06 2012] [notice] caught SIGTERM, shutting down
[Thu Sep 06 13:35:07 2012] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Thu Sep 06 13:35:07 2012] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Thu Sep 06 13:35:07 2012] [warn] mod_wsgi: Compiled for Python/2.7.2+.
[Thu Sep 06 13:35:07 2012] [warn] mod_wsgi: Runtime using Python/2.7.3.
[Thu Sep 06 13:35:07 2012] [notice] Apache/2.2.22 (Ubuntu) mod_ssl/2.2.22 OpenSSL/1.0.1 mod_wsgi/3.3 Python/2.7.3 configured — resuming normal operations
[Thu Sep 06 13:51:28 2012] [error] [client 192.168.8.8] File does not exist: /var/www/favicon.ico
[Thu Sep 06 13:51:56 2012] [error] [client 192.168.8.8] File does not exist: /var/www/favicon.ico
[Thu Sep 06 13:52:04 2012] [error] [client 192.168.8.8] File does not exist: /var/www/favicon.ico
[Thu Sep 06 13:52:54 2012] [error] [client 192.168.8.8] File does not exist: /var/www/favicon.ico
[Thu Sep 06 13:53:31 2012] [error] [client 192.168.8.8] File does not exist: /var/www/favicon.ico
[Thu Sep 06 13:53:45 2012] [error] [client 192.168.8.8] File does not exist: /var/www/favicon.ico
[Fri Sep 07 16:59:01 2012] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Fri Sep 07 16:59:02 2012] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Fri Sep 07 16:59:02 2012] [warn] mod_wsgi: Compiled for Python/2.7.2+.
[Fri Sep 07 16:59:02 2012] [warn] mod_wsgi: Runtime using Python/2.7.3.
[Fri Sep 07 16:59:02 2012] [notice] Apache/2.2.22 (Ubuntu) mod_ssl/2.2.22 OpenSSL/1.0.1 mod_wsgi/3.3 Python/2.7.3 configured — resuming normal operations
[Fri Sep 07 18:06:11 2012] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Fri Sep 07 18:06:11 2012] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Fri Sep 07 18:06:11 2012] [warn] mod_wsgi: Compiled for Python/2.7.2+.
[Fri Sep 07 18:06:11 2012] [warn] mod_wsgi: Runtime using Python/2.7.3.
[Fri Sep 07 18:06:11 2012] [notice] Apache/2.2.22 (Ubuntu) mod_ssl/2.2.22 OpenSSL/1.0.1 mod_wsgi/3.3 Python/2.7.3 configured — resuming normal operations
[Fri Sep 07 18:17:47 2012] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Fri Sep 07 18:17:48 2012] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Fri Sep 07 18:17:48 2012] [warn] mod_wsgi: Compiled for Python/2.7.2+.
[Fri Sep 07 18:17:48 2012] [warn] mod_wsgi: Runtime using Python/2.7.3.
[Fri Sep 07 18:17:48 2012] [notice] Apache/2.2.22 (Ubuntu) mod_ssl/2.2.22 OpenSSL/1.0.1 mod_wsgi/3.3 Python/2.7.3 configured — resuming normal operations
[Fri Sep 07 18:31:37 2012] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Fri Sep 07 18:31:37 2012] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Fri Sep 07 18:31:37 2012] [warn] mod_wsgi: Compiled for Python/2.7.2+.
[Fri Sep 07 18:31:37 2012] [warn] mod_wsgi: Runtime using Python/2.7.3.
[Fri Sep 07 18:31:37 2012] [notice] Apache/2.2.22 (Ubuntu) mod_ssl/2.2.22 OpenSSL/1.0.1 mod_wsgi/3.3 Python/2.7.3 configured — resuming normal operations
[Fri Sep 07 18:32:26 2012] [error] [client 192.168.8.8] File does not exist: /var/www/favicon.ico

автор Artful
7 сентября 2012, 12:39
↑
↓
0

Ну нужно проверять настройки виртуальных хостов, больше негде, разве что через iptables порты зарезали.
А после чего все это перестало работать?

zooi
10 сентября 2012, 00:59
↓
0

Нашел решение! Оказывается просто нужно было дать доступ на «squd»е.

zooi
10 сентября 2012, 03:02
↓
0

Снова проблема!
Что нужно сделать, чтобы в Global AD Addres Book отображались пользователи, которые находятся в personal->group1? Пока что отображаются только те пользователи которые находятся непосредственно в папке personal.

автор Artful
10 сентября 2012, 08:01
↑
↓
0

Вообще-то отображаются все пользователи, которые находятся внутри подразделения.

zooi
10 сентября 2012, 08:25
↓
0

У меня отображаются только те, которые находятся непосредственно в папке personal. Пользователи которые в personal -> group1 -> urists не отображаются. Почему?

автор Artful
10 сентября 2012, 08:29
↑
↓
0

У меня все подтягивает, пока не готов ответить.

zooi
10 сентября 2012, 09:04
↓
0

Вот самое интересное, что когда из любого каталога в personal перемещаешь пользователя, то он сразу отображается в Global AD adress book…

автор Artful
10 сентября 2012, 09:50
↑
↓
0

А настройки глобальной адресной книги переносили 1 в 1 или что-то допиливали?

zooi
10 сентября 2012, 09:56
↓
0

1 в 1… Ну естественно названия свои вписывал…

whitekasper
13 ноября 2012, 16:34
↑
↓
0

вот и у меня такая же проблема.если в подразделение personal создать подразделение IT то в Global AD пользователи из IT не отображаются

whitekasper
13 ноября 2012, 18:31
↓
0

чтобы было видно все подразделения в global adress book нужно в параметре 'scope' вместо list поставить sub
вот так должно быть
'scope' => 'list',

автор Artful
14 ноября 2012, 08:35
↑
↓
0

Спасибо, исправил.

Shef
3 декабря 2012, 09:38
↓
0

Добрый день.
Вопрос:
возможно ли заставить логиниться к ящику пользователя типа «ИвановИИ@example.org»?

автор Artful
3 декабря 2012, 09:42
↑
↓
0

нет.
Я вас даже больше скажу-гоните эту идею, с логинами пользователей на кириллице, от себя подальше, мне доводилось видеть домены с такими решениями- 2 раза и оба они закончились весьма плачевно.

panika187
18 декабря 2012, 09:14
↓
0

День добрый уважаемые.
Поднимаю почтовик ired и столкнулся с такой траблой.
Дошел до пункта, но не обнаружил у себя transport.
«Меняем настройки транспорта для сообщений:
postconf -e transport_maps='hash:/etc/postfix/transport'
Изменим настройки транспорта:
nano /etc/postfix/transport»
хотя остальные файлы на месте присутствуют,
скажите насколько это критично если этот пункт пропустить? или же где можно найти ещё?

panika187
18 декабря 2012, 09:24
↑
↓
0

Забыл доавить, что почтовик(находиться в дата центре в германии) уже полностью функционирует и в рабочем состоянии
набор юзеров уже в нем присуствует.Вот щас пытаюсь прикрутить его к лдапу(находиться в тюменской области).
и ещё такой нюанс… почитал инфу что если я налажу что юзера будут долго входить в почтовик, правда ли это?

автор Artful
18 декабря 2012, 09:30
↑
↓
0

трансопрт должен быть.
А вот на счет времени входа в почту это весьма интересный вопрос и тут только тестировать, открванно говоря я не вижу необходимости разносить iredmail и AD. Смотрите по задержкам на канале+обеспечите защищенность соединения.
Долго входит в почту -если iredmail приходится опрашивать весь домен, а не определенную OU, но опятьтаки, я это все тестировал если сервера находятся внутри одной локальной сети, а вот как у вас это заработает ХЗ…

panika187
18 декабря 2012, 11:23
↑
↓
0

есть варианты как до транспорта добраться?
ведь если заного переинсталить и тп, навернеться же все

автор Artful
18 декабря 2012, 11:36
↑
↓
0

он должен находиться там где я написал, а если переставлять то возможно система и не заведется потом.

panika187
18 декабря 2012, 12:15
↑
↓
0

попробую вручную добавить и пропиат пути к нему
вопрос такой, какие права у файла? он без расширения? исполнительный ли фаил?
если можно я бы взял этот файлик с работающей машины и поглядел бы его

whitekasper
18 декабря 2012, 15:42
↑
↓
0

сам создай файл с обычными правами и все заработает! только не забудь его хешировать.

panika187
22 декабря 2012, 14:07
↑
↓
0

привет сного.
хочу поделиться информацией и спросить ещё кое что
1) насчет папки транспорт в каталоге postfix.
добавление новой папки ни к чему не привело, выдавало наоборот обшибки.
Выход: развернул старый бекап и посмотреть куда ссылаеться строчка в main.cf ->transport_maps.
Ссылка шла на 2 конфигурационных файла.Я подправил фаил transport_maps_domain.cf на свою конфигурацию.Перенаправление транспорта не делал.Все заработало как надо.
2) По поводу одной ошибки что здесь писали люди с тем что когда конфигурацию применяли, перставало работать страница почтовика для юзеров.Вся проблема оказалась при правке конфигурационна файла(main.inc.php), по крайней мере у меняe.Тестируйте когда добавляете аргументы туда.
3)Вопрос такой.
В админку вносили людей и группы рассылки непосредственно штатными средствами iredadmin-pro.Они как отображались так и отображаться.Подскажи как сделать так, чтобы у меня допустим перестали отображаться они, а стали отображаться люди допустим из папки персонал, которые автоматом создаються при входе в почтовик, где и можно уже будет их админить.
4)ещё один вопрос друг мой.

У меня AD построено таким образом, что идет иерархия.В корне AD создана папка допустим ООО Руки ноги(именно на русском).Дальше в паппке ООО Рукки ноги созданы подпапки наших филиалов(тоже на русском языке).И уже в этих папках филиалах расположены наши юзеры.
Переносить в папку personal путем «вырезал-вставил» непойдет.Слишком большая структура и получиться одна большая куча мусора в одной папке со всеми юзерами и группами распространения.
Возможно ли как то найти выход из этой ситуации?? Как то я сомневаюсь что iredMail поймет русский язык.

panika187
22 декабря 2012, 14:18
↑
↓
0

забыл поблагодарить тебя друг мой за мануал
^^)))

panika187
22 декабря 2012, 14:41
↑
↓
0

вопрос 4 снимаеться___)))
попробую пока прикрутить базу целиком, постмроим на время выволнения и входа и локальной сети, как будет работать._)))))

panika187
22 декабря 2012, 14:46
↑
↓
0

ещё одна проблема выискалась, при поиске допустим по фамилии в глоабльной книге в веб интерфейсе--> выводит информацию которую надо, но вот при выделении человека српваой строны выводит надпись (SERVICE CURRENTLY NOT AVAILABLE! Error No. [700]) и отправить ему письмо неполучаеться, выводит такую же ошибку.

вот я спамер((((

Error No. [700])

автор Artful
22 декабря 2012, 21:04
↑
↓
0

Что в логах?

panika187
23 декабря 2012, 10:41
↑
↓
0

как будет время, выложу

а пока что можешь подсказать про админку?
В админку вносили людей и группы рассылки непосредственно штатными средствами iredadmin-pro(ещё до привязки в лдапу).Они как отображались так и отображаться.Подскажи как сделать так, чтобы у меня допустим перестали отображаться они, а стали отображаться люди из AD которые автоматом создаються при входе в почтовик(после уже привязки в лдапу), где и можно уже будет их админить.

автор Artful
23 декабря 2012, 12:08
↑
↓
0

Админка? как таковая не нужна, все управление идет через AD и я об этом писал.
Пользователи создаются в AD и если им присвен правильный UPN суффикс+ нахождение в нужной OUшке, то у них появляется ящик, соответственно если пользователя удалить из OU иил сменить UPN суффикс, то доступ к ящику у него пропадает, а на почтовом сервере заводить пользователей не нужно, их данные теперь вытягиваются из AD.

panika187
23 декабря 2012, 12:27
↑
↓
0

как то я не подумал с этой точки зрения…
спасибо, помог ты сильно.

я рад что смог буквально случайно сюда попасть и получить хорошую помошь

^^))

з.ы. лог апаче будет попозже

panika187
28 декабря 2012, 08:40
↑
↓
0

извини что долго, работы навалилось

лог апаче
[Fri Dec 28 10.13.19[warn] RSA server certificate is a CA certificate (BasicConstraints: CA) ==TRUE !?)
[Fri Dec 28 10.13.19[warn] RSA server certificate is a CA certificate (BasicConstraints: CA) ==TRUE !?)
[Fri Dec 28 10.13.19 2012] [warn] mod_wsgi: Compiled for Python/2.7.2+
[Fri Dec 28 10.13.19 2012] [warn] mod_wsgi: Runtime using Python/2.7.2+
[Fri Dec 28 10.13.19 2012] [notice] Apache/2.2.22 (Ubuntu) mod_ssl/2.2.22 OpenSSL/1.0.1 mod_wsgi.3.3 Python/2.7.3 configured — resuming normal operations
[Fri Dec 28 10.14.27 2012] [error] [client 89.xx.148.xx] File does not exist: /var/www/favicon.ico, referer: 178.xx.177.xx/iredadmin

вот скрин
s005.radikal.ru/i210/1212/aa/90abcd2e999d.png

автор Artful
28 декабря 2012, 08:49
↑
↓
0

Маловато инфы.
Коннект к AD есть?

panika187
29 декабря 2012, 08:41
↑
↓
0

конект есть, подцепляеться хорошо
юзеров отображает.
когда через веб морду пишешь новое письмо в строке ищет юбзеров тока английски, по русски нивкакую
s51.radikal.ru/i132/1212/b7/4dc313b61973.png

конект в самой адресной книге
s017.radikal.ru/i413/1212/20/240ec0fa8b44.png

а вот эта ошибка 700 уже идет при поиске в адресной книге

автор Artful
31 декабря 2012, 08:33
↑
↓
0

Честно говоря, по 700й ошибке я ничего не нашел
А вот с поиском на русском проблема существует.

panika187
5 января 2013, 10:05
↑
↓
0

www.roundcubeforum.net/index.php?topic=9642.0

проверил у себя
все верно

автор Artful
5 января 2013, 10:07
↑
↓
0

Заработало?

panika187
6 января 2013, 08:48
↑
↓
0

не, я лишь синтаксис проверил. все верно правильно… хз где искать траблу

3403705
16 марта 2013, 13:23
↓
0

Автор, статья просто чума!!! Сделал всё по ней всё работает… ждём подобных!!!
А вот у меня есть вопросик… прошу камнями не забивать…
У меня вот такая вот ситуация… есть лес xxx.local в нём два домена qqq.xxx.local и rrr.xxx.local
когда я добавляю юсера в xxx.local всё пучком а вот в два оставшихся ((( почтарь не может их (пользователей) найти и сбрасывает письма…
я вроде сделал по 3 virtual_mailbox_maps.cf, virtual_group_maps.cf, sender_login_maps.cf для каждого домена свой…
прописал их в virtual_mail_box через запятую

но всё равно не работает…

и как можно настроить переадрисацию почты? (и можно ли сделать что бы юзеры сами её включали и отключали ?)

автор Artful
16 марта 2013, 17:36
↑
↓
0

Там не в переадресации дело, а в поиске внутри каталога LDAP, почтовик просматривает домен qqq.xxx.local, а о существовании домена rrr.xxx.local он понятия не имеет, а весь лес и схему почтовик не просматривает, потому что не умеет.

3403705
16 марта 2013, 18:24
↑
↓
0

А можно как-то сделать что бы просматривался сначала один домен если там нет то второй и потом третий..?

автор Artful
16 марта 2013, 20:56
↑
↓
0

интересный вопрос, но думаю просто так, с наскока, решить не получится

3403705
17 марта 2013, 08:11
↓
0

А давай те попробуем так сказать коллективно ) я вот смотрел что-то из серии postfix multiple ldap или postfix и лес… Но что-то не догнал.…

3403705
17 марта 2013, 08:16
↑
↓
0

www.zarafa.com/wiki/index.php/Configuring_Multiple_AD
Как пример но что-то не получается

автор Artful
17 марта 2013, 08:23
↑
↓
0

Я только за!
Но проблема в том- если iredmail начинает искать пользователей во всем домене, то на это уходит примерно 5-7 сек, вход в почту будет проходить очень долго, а если просматривать только одну OU, то все работает быстро.

3403705
17 марта 2013, 12:19
↑
↓
0

Хм… У меня он ищет вот где dc=xxx,dc=local правда и пользователей не много 140 заходят влёт… Ну тоесть 1-2 секунды через roundcube.

CrashX
4 апреля 2013, 08:48
↓
0

iRedMail 0.8.4 не мог залогинится тк была ошибка, у себя тоже исправте

File: /etc/dovecot/dovecot-ldap.conf

#dn = CN=iredmail,OU=SYS,OU=People,DC=ololo,DC=local
# НЕПРАВИЛЬНО #dn = iredmail@ololo.ru

автор Artful
4 апреля 2013, 09:33
↑
↓
0

Только после проверки!

CrashX
4 апреля 2013, 11:18
↑
↓
0

еще как сделать что бы сертификаты не просил?

автор Artful
4 апреля 2013, 16:46
↑
↓
0

какие сертификаты и кто у вас просит?

CrashX
6 апреля 2013, 18:56
↓
0

да никакие, уточнил они платные а от бесплатных толку нет )
просто не не нравится уровень доверия,
так же не мешало бы в статье немного написать про DNS записи, про DKIM,DMARC,SPF,PTR

так же удалять

check_policy_service inet:127.0.0.1:7777

нет необходимости
а вот поправить dovecot и postfix нужно если конфигурация как у меня за шлюзом, нужно прописать сети, убрать .local из бан адресов, прописать представление сервера в локале как будто он глобале и многое другое )

после правильной настройки DNS dct работе с коробки кроме того что нужно дописать в
dovecot
это что бы можно было авторизоватся по старинке, для бата и прочих без настройки ssl
ssl = yes # было required
disable_plaintext_auth = no # было yes
— postfix

relayhost = 192.168.0.2 << тут можно написать адрес шлюза если почтарь находится в локальной сети а не на шлюзе
mynetworks = 127.0.0.0/8, 192.168.0.0/24, IP провадера << можно разрешить все сети вот так 0.0.0.0/0

PS неправильно написанные DNS записи требуют удаления некоторых деректив, так что если из коробки не работает на шлюзе значит DNS ненастроен )

я думаю написать потом несколько статей об этом на своем ресурсе как подниму нормальный веб сервер
) там будет блок как развернуть все нужные сервисы за минимум времени с полной интеграцией AD2003 (samba4)

в остальном спасибо за статью, очень сильно помогла натолкнув на умные мысли

CrashX
6 апреля 2013, 19:01
↑
↓
0

PS неправильно написанные DNS записи требуют удаления некоторых деректив, так что если из коробки не работает на шлюзе,
значит DNS записи неправильно записаны или каких то не хватает
PTR — провайдер
MX, A, SPF, DKIM, DMARC — хостер / регистратор / dns провайдер (например yandex)

CrashX
6 апреля 2013, 19:07
↑
↓
0

вот так у меня выглядит сеть

кстати появилась одна интереная мысль, сделать не интеграцию с samba а репликацию
LDAP ) если выйдет будет очень круто… тк почтовый смошет работать сам по себе и ненужно будет в домене заводить записи аля abuse, postmaster, webmaster, info которые необходимы только для информационных нужд

автор Artful
6 апреля 2013, 19:28
↑
↓
0

Откровенно говоря, предугадать всего многообразия возможных конфигураций, не реально.
Как вы написали, я натолкнул вас на мыль, а это самое главное. А за шлюзом он или в одной подсети это исключительно технический момент.

zazy
16 апреля 2013, 11:49
↓
0

Доброго времени суток.
Спасибо за статью, получилось настроить почти все.
Не могу разобраться с:

$rcmail_config['autocomplete_addressbooks'] = array("sql", "mail.example.org");

Прописал свой домен, но при наборе адреса выскакивает сообщение «Сервис временно не доступен».
В логе:

PHP Error: Addressbook source (mail.example.org) not found!

Все настраивал по инструкции.
И второй вопрос.
Есть домен example.org
настроена переадресация почты на ящик all@provider.com
Есть Fetchmail который бегает за почтой в этот ящик и выгребает всю почту для домена example.org раскладывая по папкам юзверей.
Старый сервер с бекэндом mysql работает хорошо, решил обновить почту и прикрутить к существующему AD, пока не ставил fetchmail, но почта локально не ходит. Postfix складывает в папку отправки и все.
В маил.лог

Apr 16 09:39:49 mail postfix/qmgr[51953]: 7E2BB301096: from=<zazy@example.org>, size=1419, nrcpt=1 (queue active)
Apr 16 09:39:49 mail postfix/local[52485]: 7E2BB301096: to=<zazy@example.org>, relay=local, delay=2312, delays=2312/0.09/0/0.17, dsn=4.3.0, status=deferred (temporary failure)

В Давкоте ничего нету.

автор Artful
16 апреля 2013, 11:57
↑
↓
0

По первому вопросу.
Что показывает

nslookup mail.example.org

По второму, не могу ничего сказать, не зная как работает система.

zazy
16 апреля 2013, 14:13
↑
↓
0

показывает адрес ящика на провайдере.
менял и на mail.domain.local
не помогло, если сделать
nslookup mail.domain.local

Server:         192.168.1.243 --это мой dc
Address:        192.168.1.243#53

Name:   mail.domain.local
Address: 192.168.1.50

подозреваю что надо что от сделать ещё в AD для того что бы искал адреса.
При написании нового письма, если открыть адресную книгу, все адреса на месте, могу дважды кликнув выбрать отправителей.
Но если вводить адрес вручную (по русски или по англицки) то пишет эту ошибку.

А со вторым. пока разобраться бы с локальной доставкой, а фетчмэйл прикрутить уже просото будет.
В гугле написано что давкот не принимает почту. из-за этого и затык. Не могу найти где в давкоте включить дебаг получения почты.

zazy
16 апреля 2013, 15:11
↑
↓
0

С проблемой автозаполнения разобрался.
Вместо

$rcmail_config['autocomplete_addressbooks'] = array("sql", "mail.domain.local");

поставил

$rcmail_config['autocomplete_addressbooks'] = array("sql", "domain.local");

и дальше

$rcmail_config['ldap_public']["mail.domain.local"] = array(

изменил на

$rcmail_config['ldap_public']["domain.local"] = array(

'search_fields' => array('mail', 'cn', 'sAMAccountName', 'displayname', 'sn', 'givenName'),
//    'name_field'    => 'cn',

    'email_field'   => 'mail',
    'surname_field' => 'displayName',
//    'firstname_field' => 'givenName',
//    'sort'          => 'cn',
    'scope'         => 'sub',
//    'filter'        => '(&(enabledService=mail)(enabledService=deliver)(enabledService=displayedInGlobalAddressBook)(|(objectClass=mailList)(objectClass=mailAlias)(objectClass=mailUser)))',
    'filter'        => "(mail=*@*)",
    'fuzzy_search'  => true);

сделал так

'search_fields' => array('mail', 'cn', 'sAMAccountName', 'displayname', 'sn', 'givenName'),
    'name_field'    => 'cn',
    'email_field'   => 'mail',
    'surname_field' => 'sn',
    'firstname_field' => 'givenName',
    'sort'          => 'cn',
    'scope'         => 'sub',
    'filter'        => "(mail=*@*)",
    'fuzzy_search'  => true

После этого автозаполнение заработало, ищет даже по русским именам (логины у меня на англицком).

Viner
26 июня 2013, 11:02
↓
0

Здравствуйте. Очень хорошая статья.
Есть вопрос. Когда я пришел в фирму, как такового внутреннего домена здесь не было. Поднял домен (пусть будет company.local) на Windows Server 2012. Завел пользователей, ввел компьютеры клиентов в домен и теперь они заходят через свои доменные учетные записи. До меня фирма зарегистрировала внешний домен для сайта (скажем, company.org) и подняла почту (например, office@company.org). Старый сервер на Kerio (в нем были созданы локальные учетки) принимал почту с внешнего ресурса и отправлял на внутренние ящики. Теперь встал вопрос о замене сервера, поскольку есть AD, то внутренние учетные записи должны быть доменными. В статье указан способ, при котором используется внешний зарегистрированный домен, но при этом имена учетных записей в обоих пространствах одинаковы. Но что делать, если имена разные? Например, есть ящик username@company.org и учетная запись в КД User.Name@company.local. Как направить почту с username@company.org на User.Name@company.local?

автор Artful
26 июня 2013, 15:09
↑
↓
0

Средстваим IredMail, в лоб, так не сделать, придётся городить или что-то свое, или использовать другой софт.

Viner
28 июня 2013, 10:09
↑
↓
0

Решил попробовать выкрутиться средствами нашего хостинга. Создал синонимы имен учетных записей. Например, username@company.org будет тем же самым, что и User.Name@company.org. Посмотрим, что получится.:) Ещё раз спасибо за статью.

автор Artful
28 июня 2013, 21:12
↑
↓
0

тоже вариант!
пожалуйста.

zazy
30 июля 2013, 18:30
↓
0

Доброго времени суток. Появилась надобность добавить почту для ещё одного домена.
Типа есть:
домен local.com
мыло на mail.org
появился домен mail-1.org.
учетки для второго домена хранятся в домене локал, но с хвостиком @mail-1.org
как настроить дальше?

автор Artful
30 июля 2013, 20:33
↑
↓
0

Интересный вопрос.
можно добавить еще один UPN суффикс в домен и нужным учетным записям, установить новый UPN суффикс, но проблема в том что пользователь:
user@local.com и пользователь user@mail-1.org в одном домене создать не получится т.к. логин User уже используется.
Думаю что придется завести 2 учетные записи для каждого ящика или создать группу рассылки и добавить туда нужного пользователя.
Но этот так на вскидку.

makson
2 сентября 2013, 14:20
↓
0

Хорошая полезная статья! Еще бы к этой системе прикрутить общую адресную книгу с помощью openldap, чтоб пользователи сами могли добавлять контакты

dsh
9 сентября 2013, 07:28
↓
0

Автор, спасибо за статью, все настроил практически сразу, но есть один вопрос: Как настроить альянсы, т.е у меня ест несколько псевдонимов на один адрес, пробовал настраивать средствами postfix путем правки файла /etc/postfix/aliases путем добавления test: user1@mydomen.su (если прописать test@mydomen.su: user1@mydomen.su вылетает ошибка ругается на синтаксис), затем выполнил команду postalias /etc/postfix/aliases, также дописал в /etc/postfix/main.cf в поле
virtual_alias_maps = hash:/etc/postfix/aliases, proxy:ldap:/etc/postfix/ldap/virtual_alias_maps.cf, proxy:ldap:/etc/postfix/ldap/virtual_group_maps.cf, proxy:ldap:/etc/postfix/ldap/virtual_group_members_maps.cf, proxy:ldap:/etc/postfix/ldap/catchall_maps.cf
Но при отправке писем на адрес test@mydomen.su, вылетает ошибка Recipient address rejected: User unknown in virtual mailbox table.
Была идея править файл virtual_alias_maps.cf, но не могу сообразить как правильно написать ldap запрос.
Схема реализации у меня следующая для авторизации я использую e-mail пользователя, т.е чтобы авторизоваться на почтовике ему нужно ввести свой полный e-mail и доменный пароль, на данный момент у меня в организации стоит Exchange ( на нем же прописаны дополнительные e-mail пользователя на вкладке E-mail Adresses в AD)от него отказываюсь.

автор Artful
9 сентября 2013, 08:35
↑
↓
0

Посмотрите в направлении mailman.
www.howtoforge.com/installing-iredmail-and-mailman-on-debian-squeeze

dsh
9 сентября 2013, 14:20
↑
↓
0

Спасибо… попробую…

dsh
16 сентября 2013, 15:00
↑
↓
+1

Если кому интересно, настраивал я Mailman по этим статьям, поскольку ставил на CentOs
MailMan Centos
iRedmail mailman

dsh
20 сентября 2013, 13:25
↓
0

Еще одно дополнение, если Вы хотите чтобы вся почта, как входящая так и исходящая, падала в ящик определенного пользователя ( например sbmail@test.su, то необходимо в файл конфигурации postfix, в main.cf в конце дописать always_bcc = sbmail@test.su.
Я настраивал по этой статьей Сохраняем копии всей входящей и исходящей почты в Postfix-е
После чего перегрузить postfix. В результате вся почта будет падать в указанный вами ящик. Для разбора почты по нужному критерию ( ключевым словам ), можно использовать mailarchiva.
Как его установить написано здесь Настройка mailarchiva
В результате вы получите отдельное хранилище для всей вашей почты с вложениями, с возможностью анализа переписки.

MAGNet
14 января 2014, 09:59
↓
+1

Хороший мануальчик, спасибо. Воспользовался.
Но но добавлять лишний UPN считаю костыликом))
Есть более элегантный способ: в dovecot-ldap.conf указывать не %u, что а %n@contoso.com в Вашем случае. Таким образом из любых почтовых доменов можно авторизоваться с принудительным UPN.
Чтобы работал и постфикс нужно, соответственно, в virtual_mailbox_maps.cf и sender_login_maps.cf вместо %s ставить %u@contoso.com, что заменит почтовый домен вашим локальным. Результат всё равно берется из соответствующих полей, так что это не критично.
Я сделал именно так. У меня работает.

автор Artful
14 января 2014, 10:05
↑
↓
0

Не плохо!!!
С этой стороны я на решение проблемы не смотрел, честно говоря я настраивал систему исходя из того что вся инфа будет храниться в Active Directory, а почтовый сервер будет требовать минимальных настроек.
Думаю, ваше решение, вполне имеет право на жизнь и окажется полезно другим.

MAGNet
14 января 2014, 11:16
↑
↓
0

Небольшая поправка, чуть не забыл))
В файле sender_login_maps.cf поле result_attribute должно быть mail
Это принципиально! Тогда при отправке будет проверяться соответствие адреса отправителя и адреса эл.почты из AD
В приведенном варианте используется логин, что не совсем верно

MAGNet
14 января 2014, 11:19
↑
↓
0

Кхм… ))
result_attribute= mail

зы
система пока в тестовом варианте. в продакшн пойдет после обкатки таких моментов, как общие папки, подписки и алиасы.

ejik_off
5 мая 2014, 11:04
↓
0

Отличная статья. Спасибо!!!
Есть несколько вопросов.
1. при попытки зайти по адресу mail.domain.loc/mail выходит белая страница
2. при попытки зацепится через телнет выходит такая ощибка

-ERR Plaintext authentication disallowed on non-secure (SSL/TLS) connections.

собственно и почтового клиента я не могу настроить.

автор Artful
6 мая 2014, 10:45
↑
↓
0

здравствуйте.
по первому пункту смотрите в настройках Acpache, куда ведет alias (mail)
второй вам ведь четко пишет что подключение с не безопасным соединением запрещены, соответственно клиента нужно настраивать на подключение по ssl/tls + проверка подлинности при отправке.

Zombie
26 июня 2014, 12:44
↓
0

Спасибо за статью!
Всё хорошо, но возникли проблемы:
1.) После привязки к AD, перестал логиниться по mail.domain.com/mail с учёткой постмастера
2.) С внешки не приходит почта… Подозреваю косяк с MX записями. Создал две записи на регистраторе домена
— mail A мой_внешний_IP 3600
— @ MX 10 mail 3600
и три записи на своём днс (win2008r2) (почтарь за шлюзом):
— @ MX 5 mail.setsp.ru
— mail A внутренний_адрес_почтовика
— внутренний_адрес_почтовика PTR mail.setsp.ru

Подскажите что делать и как быть, пожалуйста

автор Artful
26 июня 2014, 12:56
↑
↓
0

Здравствуйте.
Да действительно postmaster не работает т.к. отключился openldap, а учетная запись жила там, просто создайте подобную запись в АД.
MX записи легко проверяются через nslookup

nslookup -type=mx domain.tld

Zombie
26 июня 2014, 13:02
↑
↓
0

Ответ по nslookup'у
setsp.ru MX preference = 10, mail exchanger = mail.setsp.ru

mail.setsp.ru internet address = 213.79.97.162

Если я его правильно понял, то всё верно

автор Artful
26 июня 2014, 13:05
↑
↓
0

Ну если IP адрес ваш и 25й порт доступен из интернет, то почта должна ходить

Zombie
26 июня 2014, 13:22
↑
↓
0

Спасибо! Я, балда, порт на шлюзе не открыл.

автор Artful
26 июня 2014, 13:23
↑
↓
0

ларчик отрывался просто… ;)

Zombie
26 июня 2014, 13:23
↑
↓
0

Ещё вопрос:
будут ли браться контакты из ou=Users, если прописать их в конфигах?

автор Artful
26 июня 2014, 13:26
↑
↓
0

Да там ведь есть пункт по редактированию адресной книги

Zombie
26 июня 2014, 13:53
↑
↓
0

а заставить его забирать данные не из подразделения, а из контейнера возможно?

автор Artful
26 июня 2014, 14:03
↑
↓
0

что именно вы подразумеваете под контейнором-Organizational Unit?

Zombie
26 июня 2014, 14:08
↑
↓
0

если я правильно понимаю, то подразделение pensonal будет обозначаться ou=personal, а контейнер Users будет cn=Users. Хочется, чтобы данные о пользователях брались из контейнера Users (в AD идёт изначально)

автор Artful
26 июня 2014, 14:14
↑
↓
0

Ах вы об этом…
Укажите путь в виде distinguished name и будет вам счастье.
Вот вам для ознакомления, чтобы не путаться в терминах:
msdn.microsoft.com/en-us/library/aa366101%28v=vs.85%29.aspx

автор Artful
26 июня 2014, 14:48
↑
↓
0

ну и напоследок.
Данный тип объектов предназначен исключительно для хранения других объектов, соответственно групповые политики к нему нельзя применить или вы собираетесь накатывать политику на целый домен?! Это будет тот еще геморрой.
Проще создать подразделение OU помещать учетки и другие туда, тогда будет к чему применить GPO.

Zombie
26 июня 2014, 14:58
↑
↓
0

так и сделал)
ещё вопрос по поводу адресной книги — у вас в примере указан путь /usr/share/apache2/roundcubemail/config/main.inc.php, у меня в usr/share/apache2/roundcubemail/config/ нету main.inc.php. Есть config.inc.php с похожими строками. Править его?

автор Artful
26 июня 2014, 15:22
↑
↓
0

Ну вы посмотрите когда статья написана, возможно в новых версиях что-то и поменялось.

Zombie
30 июня 2014, 11:52
↑
↓
0

да, так и есть. Адресная книга работает.
Возникло ещё два вопроса:
1.) Как настроить переадресацию с одного ящика на другой? Точнее даже не как, а где?)
2.) Никак не могу настроить работу outlook'a с почтовиком — авторизация по imap проходит, а отправка писем не работает…
Подскажите, как быть?

автор Artful
30 июня 2014, 12:06
↑
↓
0

1) Это называется транспорт вот пример настройки forum.altlinux.org/index.php?topic=8131.0
2) Включите проверку подлинности при отправке

Zombie
2 июля 2014, 09:43
↑
↓
0

Спасибо. С алисами разборку временно отложил. Почту настроил — трудно было догадаться, что smtp через 25 порт ходит (самосарказм).
Сейчас пытаюсь заставить outlook работать с адресной книгой

irod222333
30 июня 2014, 15:30
↓
0

Приветствую. ПРоблема следующая:
Настроил все по статье, работает, но.
У меня домен volgobalt.local
Почта приходит на volgobalt.com
Везде в конфигах прописано .local, пользователи логинятся под доменными учетками как username@volgobalt.local
Как мне сделать так, чтобы они логинились под username или username@volgobalt.com и получали почту для volgobalt.com?

Заранее спасибо

автор Artful
30 июня 2014, 15:33
↑
↓
0

Так об этом статья и повествует…

Странно почему не получилось сделать… ткните носом, где что посмотреть :)
postmap -q username@volgobalt.com ldap:/etc/postfix/ldap/sender_login_maps.cf
ничего не выдает, а если заменю на .local, то выдаст username@volgobalt.local

Может быть из-за того, что я в домене не прописываю для пользователей почту?

автор Artful
30 июня 2014, 15:53
↑
↓
0

Вот тут вся мякотка…

ради этого вся статья и писалась…

Это настроил, заработал вход под нужным доменом. Спасибо :)
Но вот следующая проблема. При попытке отправить почту, я получаю ошибку

Jun 30 22:35:11 mail postfix/smtpd[2843]: connect from localhost[127.0.0.1]
Jun 30 22:35:11 mail postfix/proxymap[1823]: warning: ldap:/etc/postfix/ldap/virtual_mailbox_domains.cf is unavailable. open /etc/postfix/ldap/virtual_mailbox_domains.cf: Permission denied
Jun 30 22:35:11 mail postfix/trivial-rewrite[1911]: warning: proxy:ldap:/etc/postfix/ldap/virtual_mailbox_domains.cf: table lookup problem
Jun 30 22:35:11 mail postfix/trivial-rewrite[1911]: warning: virtual_mailbox_domains lookup failure
Jun 30 22:35:11 mail postfix/proxymap[1823]: warning: ldap:/etc/postfix/ldap/virtual_mailbox_domains.cf is unavailable. open /etc/postfix/ldap/virtual_mailbox_domains.cf: Permission denied
Jun 30 22:35:11 mail postfix/trivial-rewrite[1911]: warning: proxy:ldap:/etc/postfix/ldap/virtual_mailbox_domains.cf: table lookup problem
Jun 30 22:35:11 mail postfix/trivial-rewrite[1911]: warning: virtual_mailbox_domains lookup failure
Jun 30 22:35:11 mail postfix/smtpd[2843]: NOQUEUE: reject: RCPT from localhost[127.0.0.1]: 451 4.3.0 <Email@volgobalt.com>: Temporary lookup failure; from=<Email@volgobalt.com> to=<Мой Email> proto=ESMTP helo=<Внешний IP>
Jun 30 22:35:11 mail roundcube: SMTP Error: SMTP error: Failed to add recipient 'Мой Email' in /usr/share/apache2/roundcubemail-1.0.1/program/lib/Roundcube/rcube.php on line 1504 (POST /mail/?_task=mail&_unlock=loading1404153310555&_lang=ru?_task=mail&_action=send)
Jun 30 22:35:11 mail postfix/smtpd[2843]: disconnect from localhost[127.0.0.1]

Права на файл /etc/postfix/ldap/virtual_mailbox_domains.cf vmail:vmail 700 как и все в этой папке
Файл не изменялся согласно статье.
В roundCube вижу такое сообщение

SMTP ошибка (451): Невозможно добавить получателя "Мой Email" (4.3.0 <Email@volgobalt.com>: Temporary lookup failure)

Все адреса подменены.

автор Artful
1 июля 2014, 07:27
↑
↓
0

Права на файл /etc/postfix/ldap/virtual_mailbox_domains.cf vmail:vmail 700 как и все в этой папке
Файл не изменялся согласно статье.

А должен был! Где почтовому серверу искать данные, в астрале?!

Ваши сообщения говорят что статью вы прочитали по диагонали или просто кусками, но не всю, целиком.

Прошу прощения за беспокойство :) Как говорится «сам дурак». Пытался отправить письмо на адрес внутри домена, для которого не поменял домен с .local на .com.
Спасибо за статью!

автор Artful
2 июля 2014, 11:49
↑
↓
0

Вы решительный, но не внимательный… ;)

Dramiel
13 октября 2014, 15:16
↓
0

Ман здоровский. У меня почти все робит. Есть вопрос. Как сделать так, что б квоты брались из AD и передавались на проверку dovecot?

автор Artful
13 октября 2014, 18:06
↑
↓
0

Откровенно говоря, я даже на форуме разработчиков не смог найти ответ на этот вопрос. По этому использовал через настройку для всех пользователей.
Думаю нужно как-то сделать так чтобы почтовик просматривал атрибуты учетной записи и использовать существующее, но не используемое поле или добавить новое, но это потребует расширения схемы, а мне этого делать совершенно не хочется.

Dramiel
14 октября 2014, 09:15
↑
↓
0

А если, к примеру, создать в AD 2 группы- одну назвать 500 вторую 1000, то как нибудь можно используя атрибут вхождения в ту или иную группу выделять соответственно необходимый объем? Если можно то буду рад ссылкам, мануалам.
Вопрос: можно ли как-нибудь реализовать аутентификацию dovecot к AD без пароля пользователя? Исторически сложилось так, что у 80% пользователей нет паролей.
И кстати, вот еще один вопрос:) Есть определенная группа пользователей которая не должна отправлять почту в мир. Есть методы разграничения доступными средствами, на уровне postfix и групп в AD? или как нибудь еще?
Буду рад любым подсказкам. В гуглах очень мало информации именнно по данным вопросам.

автор Artful
15 октября 2014, 16:55
↑
↓
0

ничего не нашел по данному вопросу у разработчиков, так что, не смогу вам помочь

irod222333
11 февраля 2015, 16:05
↓
0

Приветствую еще раз! :)
Сегдня встала задача добавить еще один домен для получения почты.
Итого:
Есть контроллер домена dc1.domain.local, почта приходит на mail.domain.com, юзеры ищутся в domain.local, все отлично.
Появляется еще один сайт для которого нужно принимать почту. Пусть будет site.com.
Вопрос: Как настроить почтовик работать в таком случае? Нужно чтобы учетки для site.com искались в домене domain.local.
Заранее благодарю!

автор Artful
11 февраля 2015, 18:08
↑
↓
0

В таком случае необходимо добавить еще один UPN суффикс, но тогда придется создавать другие учетные записи, пример (городит второй домен в лесу с совсем не предлагаю)
ivanov@domain.com и ivanov1@site.com, ну тут возникают сложности с учетными записями в домене (2 пользователя, с одним логином, в одном домене не могут существовать) и это будет 2 разные учетные записи.
В общем решение выглядит не очень правильным, изначально планировалась работа с одним почтовым доменом.

ejik_off
24 апреля 2015, 11:11
↓
0

Доброе время суток!!!
после длительного перерыва снова сел за виртуальный стенд.
Домен 2008 R2, Ubuntu 14.04.2 и iRedMail-0.9.0, все взлетело с первого раза, но есть некоторые нюансы.
1.когда захожу в почтовый ящик через веб, не отображаются контакты в адресной книги.
2. С ДНС записями каша в голове. Внутренний домен city.corp, внешний почтовый домен city.com, как мне в на КД в ДНС добавить запись mail.city.com?

автор Artful
24 апреля 2015, 17:25
↑
↓
0

Здравствуйте.
1- настрока в старых версиях происходила в файле usr/share/apache2/roundcubemail/config/main.inc.php сейячас не скажу, т.к. не пользуюсь, нужно смотреть
2-Через оснастку управления DNS создаете, создаете мастер-зону city.com, в ней A запись и MX запись, МХ указывает на эту А запись.
Посмотрите не спеша, там не сложно…

ejik_off
27 апреля 2015, 06:41
↑
↓
0

Спасибо, с DNS-ом проблему решил.
А по поводу конфига, usr/share/apache2/roundcubemail/config/config.inc.php

<?php

// SQL DATABASE
$config['db_dsnw'] = 'mysqli://roundcube:3OLLNBCNxe0ZvdSOFN5yt6nEomReLj@127.0.0.1/roundcubemail';

// LOGGING
$config['log_driver'] = 'syslog';
$config['syslog_facility'] = LOG_MAIL;

// IMAP
$config['default_host'] = '127.0.0.1';
$config['default_port'] = 143;
$config['imap_auth_type'] = 'LOGIN';
$config['imap_delimiter'] = '/';

// SMTP
$config['smtp_server'] = 'tls://127.0.0.1';
$config['smtp_port'] = 587;
$config['smtp_user'] = '%u';
$config['smtp_pass'] = '%p';
$config['smtp_auth_type'] = 'LOGIN';

// SYSTEM
$config['force_https'] = true;
$config['login_autocomplete'] = 2;
$config['ip_check'] = true;
$config['des_key'] = 'Fns2D4MFGDgzJWe17mcopNoP';
$config['useragent'] = 'Roundcube Webmail'; // Hide version number
//$config['username_domain'] = '';
$config['mime_types'] = '/etc/mime.types';

// USER INTERFACE
$config['create_default_folders'] = true;
$config['quota_zero_as_unlimited'] = true;

// USER PREFERENCES
$config['default_charset'] = 'UTF-8';
//$config['addressbook_sort_col'] = 'name';
$config['draft_autosave'] = 60;
$config['preview_pane'] = true;
$config['autoexpand_threads'] = 2;
$config['check_all_folders'] = true;

// PLUGINS
$config['plugins'] = array('managesieve', 'password');

// Global LDAP address book.
$config['ldap_public']["city.corp"] = array(
    'name'          => 'Global AD Address Book',
    'hosts'         => array('dc-01.city.corp'),
    'port'          => 389,
    'use_tls'       => false,
    'ldap_version'  => '3',
    'network_timeout' => 10,
    'user_specific' => false,

    // Search mail users under same domain.
    'base_dn'       => 'ou=USERS,ou=CORP,dc=city,dc=corp',
    'bind_dn'       => 'cn=iredmail,ou=System,ou=CORP,dc=city,dc=corp',
    'bind_pass'     => 'P@$$word',
    'hidden'        => false,
    'searchonly'    => false,
    'writable'      => false,

    'search_fields' => array('mail', 'cn', 'sAMAccountName', 'displayname', 'sn', 'givenName'),

    // mapping of contact fields to directory attributes
    'fieldmap' => array(
        'name'        => 'cn',
        'surname'     => 'sn',
        'firstname'   => 'givenName',
        'title'       => 'title',
        'email'       => 'mail:*',
        'phone:work'  => 'telephoneNumber',
        'phone:mobile' => 'mobile',
        'street'      => 'street',
        'zipcode'     => 'postalCode',
        'locality'    => 'l',
        'department'  => 'departmentNumber',
        'notes'       => 'description',
        'name'        => 'cn',
        'surname'     => 'sn',
        'firstname'   => 'givenName',
        'title'       => 'title',
        'email'       => 'mail:*',
        'phone:work'  => 'telephoneNumber',
        'phone:mobile' => 'mobile',
        'phone:workfax' => 'facsimileTelephoneNumber',
        'street'      => 'street',
        'zipcode'     => 'postalCode',
        'locality'    => 'l',
        'department'  => 'departmentNumber',
        'notes'       => 'description',
        'photo'       => 'jpegPhoto',
    ),
   // 'sort'          => 'cn',
    'scope'         => 'list',
    'filter'        => "(mail=*@*)",
   // 'filter'        => '(&(enabledService=mail)(enabledService=deliver)(enabledService=displayedInGlobalAddressBook)(|(objectClass=mailList)(objectClass=mailAlias)(objectClass=mailUser)))',
    'fuzzy_search'  => true,
    'vlv'           => false,   // Enable Virtual List View to more efficiently fetch paginated data (if server supports it)
    'sizelimit'     => '0',     // Enables you to limit the count of entries fetched. Setting this to 0 means no limit.
    'timelimit'     => '0',     // Sets the number of seconds how long is spend on the search. Setting this to 0 means no limit.
    'referrals'     => false,  // Sets the LDAP_OPT_REFERRALS option. Mostly used in multi-domain Active Directory setups

    'group_filters' => array(
        'departments' => array(
            'name'    => 'Mailing Lists',
            'scope'   => 'sub',
            'base_dn' => 'domainName=%d,o=domains,dc=tns-intec,dc=kz',
            'filter'  => '(&(objectclass=mailList)(accountStatus=active)(enabledService=displayedInGlobalAddressBook))',
            'name_attr' => 'cn',
            'email'     => 'mail',
        ),
    ),
);
$config['autocomplete_addressbooks'] = array('sql', 'city.corp');

автор Artful
27 апреля 2015, 07:47
↑
↓
0

не буду оригинальничать, смотрите логи divecote, там все ответы!

ejik_off
27 апреля 2015, 13:46
↑
↓
0

в логе ни каких ошибок нет

Apr 27 10:41:45 imap-login: Info: Login: user=<f.fedotov@tns-intec.kz>, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, mpid=2529, secured, session=<t1FqZLIU4AB/AAAB>
Apr 27 10:41:45 imap(f.fedotov@tns-intec.kz): Info: Disconnected: Logged out in=195 out=959

автор Artful
27 апреля 2015, 13:53
↑
↓
0

тогда логи web сервера.
Вы думаете я знаю ответы на все вопросы?! Также читаю логи и разбираюсь, если логов мало сервис можно запустить в режиме debug и тогда точно можно узнать в чем затык.

ejik_off
28 апреля 2015, 06:06
↑
↓
0

Сори за назойливость, просто только начинаю изучать unix системы и поэтому пока не могу понять в каких случаях какие логи смотреть. Можно уточнить как включить режим debug? Заранее большое спасибо!

автор Artful
28 апреля 2015, 12:17
↑
↓
0

в конфиге лога виртуального хоста, ну или всего сервера Apache

LogLevel debug

ejik_off
6 мая 2015, 08:23
↓
0

Так и не удается заставить ходить почту. Уже перерыл все что можно но так и не пойму проблему.
вот что в dovecot.log


May 06 11:17:34 auth: Debug: master userdb out: USER    2828009473      f.fedotov@tns-intec.kz  home=/var/vmail/vmail1/tns-intec.kz/f.fedotov/Maildir/  mail=maildir:/var/vmail/vmail1/tns-intec.kz/f.fedotov/Maildir/  auth_token=4f4e878d457fa68e81ec20a6992c4fc7eb07edfb
May 06 11:17:34 imap-login: Info: Login: user=<f.fedotov@tns-intec.kz>, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, mpid=3211, secured, session=<s2yq6WIVawB/AAAB>
May 06 11:17:34 imap: Debug: Loading modules from directory: /usr/lib/dovecot/modules
May 06 11:17:34 imap: Debug: Module loaded: /usr/lib/dovecot/modules/lib01_acl_plugin.so
May 06 11:17:34 imap: Debug: Module loaded: /usr/lib/dovecot/modules/lib02_imap_acl_plugin.so
May 06 11:17:34 imap: Debug: Module loaded: /usr/lib/dovecot/modules/lib10_quota_plugin.so
May 06 11:17:34 imap: Debug: Module loaded: /usr/lib/dovecot/modules/lib11_imap_quota_plugin.so
May 06 11:17:34 imap: Debug: Module loaded: /usr/lib/dovecot/modules/lib20_mailbox_alias_plugin.so
May 06 11:17:34 imap: Debug: Added userdb setting: mail=maildir:/var/vmail/vmail1/tns-intec.kz/f.fedotov/Maildir/
May 06 11:17:34 imap(f.fedotov@tns-intec.kz): Debug: Effective uid=2000, gid=2000, home=/var/vmail/vmail1/tns-intec.kz/f.fedotov/Maildir/
May 06 11:17:34 imap(f.fedotov@tns-intec.kz): Debug: Quota root: name=user backend=dict args=:proxy::quotadict
May 06 11:17:34 imap(f.fedotov@tns-intec.kz): Debug: Quota rule: root=user mailbox=* bytes=1073741824 messages=0
May 06 11:17:34 imap(f.fedotov@tns-intec.kz): Debug: Quota warning: bytes=912680550 (85%) messages=0 reverse=no command=quota-warning 85 f.fedotov@tns-intec.kz
May 06 11:17:34 imap(f.fedotov@tns-intec.kz): Debug: Quota warning: bytes=966367641 (90%) messages=0 reverse=no command=quota-warning 90 f.fedotov@tns-intec.kz
May 06 11:17:34 imap(f.fedotov@tns-intec.kz): Debug: Quota warning: bytes=1020054732 (95%) messages=0 reverse=no command=quota-warning 95 f.fedotov@tns-intec.kz
May 06 11:17:34 imap(f.fedotov@tns-intec.kz): Debug: Quota grace: root=user bytes=107374182 (10%)
May 06 11:17:34 imap(f.fedotov@tns-intec.kz): Debug: dict quota: user=f.fedotov@tns-intec.kz, uri=proxy::quotadict, noenforcing=0
May 06 11:17:34 imap(f.fedotov@tns-intec.kz): Debug: Namespace : type=private, prefix=, sep=/, inbox=yes, hidden=no, list=yes, subscriptions=yes location=maildir:/var/vmail/vmail1/tns-intec.kz/f.fedotov/Maildir/
May 06 11:17:34 imap(f.fedotov@tns-intec.kz): Debug: maildir++: root=/var/vmail/vmail1/tns-intec.kz/f.fedotov/Maildir, index=, indexpvt=, control=, inbox=/var/vmail/vmail1/tns-intec.kz/f.fedotov/Maildir, alt=
May 06 11:17:34 imap(f.fedotov@tns-intec.kz): Debug: acl: initializing backend with data: vfile
May 06 11:17:34 imap(f.fedotov@tns-intec.kz): Debug: acl: acl username = f.fedotov@tns-intec.kz
May 06 11:17:34 imap(f.fedotov@tns-intec.kz): Debug: acl: owner = 1
May 06 11:17:34 imap(f.fedotov@tns-intec.kz): Debug: acl vfile: Global ACL directory: (none)
May 06 11:17:34 imap(f.fedotov@tns-intec.kz): Debug: Namespace : type=shared, prefix=Shared/%u/, sep=/, inbox=no, hidden=no, list=children, subscriptions=yes location=maildir:/%Lh/Maildir/:INDEX=/%Lh/Maildir/Shared/%u
May 06 11:17:34 imap(f.fedotov@tns-intec.kz): Debug: shared: root=/var/run/dovecot, index=, indexpvt=, control=, inbox=, alt=
May 06 11:17:34 imap(f.fedotov@tns-intec.kz): Debug: acl: initializing backend with data: vfile
May 06 11:17:34 imap(f.fedotov@tns-intec.kz): Debug: acl: acl username = f.fedotov@tns-intec.kz
May 06 11:17:34 imap(f.fedotov@tns-intec.kz): Debug: acl: owner = 0
May 06 11:17:34 imap(f.fedotov@tns-intec.kz): Debug: acl vfile: Global ACL directory: (none)
May 06 11:17:34 imap(f.fedotov@tns-intec.kz): Debug: acl vfile: reading file /var/vmail/vmail1/tns-intec.kz/f.fedotov/Maildir/.Sent/dovecot-acl
May 06 11:17:34 imap(f.fedotov@tns-intec.kz): Debug: acl vfile: reading file /var/vmail/vmail1/tns-intec.kz/f.fedotov/Maildir/.Drafts/dovecot-acl
May 06 11:17:34 imap(f.fedotov@tns-intec.kz): Debug: acl vfile: reading file /var/vmail/vmail1/tns-intec.kz/f.fedotov/Maildir/.Trash/dovecot-acl
May 06 11:17:34 imap(f.fedotov@tns-intec.kz): Debug: acl vfile: reading file /var/vmail/vmail1/tns-intec.kz/f.fedotov/Maildir/.Junk/dovecot-acl
May 06 11:17:34 imap(f.fedotov@tns-intec.kz): Debug: acl vfile: reading file /var/vmail/vmail1/tns-intec.kz/f.fedotov/Maildir/dovecot-acl
May 06 11:17:34 imap(f.fedotov@tns-intec.kz): Info: Disconnected: Logged out in=352 out=2161

Уже даже ручками создал файл dovecot-acl с содержимым owner lrwstipek и положил его в папки которые фигурируют в логе, но результата нет.

автор Artful
6 мая 2015, 12:00
↑
↓
0

Помнится, у вас, изначально была проблема с адресной книгой :)
1) не видно обращений к контроллеру домена
2) то что почта не ходит, нужно смотреть лог postfix там будет видно почему отлуп идет!
на контроллере домена открыт 389 порт на фаерволле, с почтового сервера можно подключиться с помощью telnet?

Вроде направления куда капать понял. При отправки сообщений приходит возврат с ошибкой

<f.fedotov@tns-intec.kz>: connect to 127.0.0.1[127.0.0.1]:10024: Connection
    refused‏

такая же ошибка возвращается когда оправляю почту от f.fedotov@tns-intec.kz
Думаю что это в iptables правила режут. Сейчас разбираюсь с ним, но честно очень плохо пока понимаю как он работает.
особенно вот эти правила

root@Mail-SRV:/var/log# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
fail2ban-postfix  tcp  --  anywhere             anywhere             multiport dports http,https,smtp,submission,pop3,pop3s,imap2,imaps,sieve
fail2ban-dovecot  tcp  --  anywhere             anywhere             multiport dports http,https,smtp,submission,pop3,pop3s,imap2,imaps,sieve
fail2ban-roundcube  tcp  --  anywhere             anywhere             multiport dports http,https,smtp,submission,pop3,pop3s,imap2,imaps,sieve
fail2ban-default  tcp  --  anywhere             anywhere
fail2ban-default  tcp  --  anywhere             anywhere

Так что пока вопрос с адресной книгой отложил.

root@Mail-SRV:/var/log# cat /var/log/fail2ban.log
2015-05-05 06:42:06,019 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.11
2015-05-05 10:51:25,899 fail2ban.server : INFO   Stopping all jails
2015-05-05 10:51:26,642 fail2ban.actions.action: ERROR  iptables -D INPUT -p tcp -m multiport --dports http,https,smtp,submission,pop3,pop3s,imap,imaps,sieve -j fail2ban-roundcube
iptables -F fail2ban-roundcube
iptables -X fail2ban-roundcube returned 100
2015-05-05 10:51:26,642 fail2ban.jail   : INFO   Jail 'roundcube-iredmail' stopped
2015-05-05 10:51:27,598 fail2ban.actions.action: ERROR  iptables -D INPUT -p tcp -j fail2ban-default
iptables -F fail2ban-default
iptables -X fail2ban-default returned 100
2015-05-05 10:51:27,599 fail2ban.jail   : INFO   Jail 'sshd' stopped
2015-05-05 10:51:28,607 fail2ban.actions.action: ERROR  iptables -D INPUT -p tcp -m multiport --dports http,https,smtp,submission,pop3,pop3s,imap,imaps,sieve -j fail2ban-postfix
iptables -F fail2ban-postfix
iptables -X fail2ban-postfix returned 100
2015-05-05 10:51:28,607 fail2ban.jail   : INFO   Jail 'postfix-iredmail' stopped
2015-05-05 10:51:29,611 fail2ban.actions.action: ERROR  iptables -D INPUT -p tcp -m multiport --dports http,https,smtp,submission,pop3,pop3s,imap,imaps,sieve -j fail2ban-dovecot
iptables -F fail2ban-dovecot
iptables -X fail2ban-dovecot returned 100
2015-05-05 10:51:29,611 fail2ban.jail   : INFO   Jail 'dovecot-iredmail' stopped
2015-05-05 10:51:30,612 fail2ban.actions.action: ERROR  iptables -D INPUT -p tcp -j fail2ban-default
iptables -F fail2ban-default
iptables -X fail2ban-default returned 100
2015-05-05 10:51:30,613 fail2ban.jail   : INFO   Jail 'sshd-ddos' stopped
2015-05-05 10:51:30,619 fail2ban.server : INFO   Exiting Fail2ban

автор Artful
6 мая 2015, 13:19
↑
↓
0

fail2ban можно остановить на время тестирования

странно, остановка fail2ban тоже не помогла.

root@Mail-SRV:/var/log# postqueue -p
-Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
6AB9C819EA      546 Wed May  6 16:23:49  f.fedotov@tns-intec.kz
                   (connect to 127.0.0.1[127.0.0.1]:10024: Connection refused)
                                         ej***@gmail.com

автор Artful
6 мая 2015, 16:47
↑
↓
0

Что крутится на порту 10024? Эта служба запущена? доступ к ней есть?

странно но я не вижу что на этом порту крутится

nmap 127.0.0.1

Starting Nmap 6.40 ( http://nmap.org ) at 2015-05-08 09:13 ALMT
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000089s latency).
Not shown: 986 closed ports
PORT      STATE SERVICE
22/tcp    open  ssh
24/tcp    open  priv-mail
25/tcp    open  smtp
80/tcp    open  http
110/tcp   open  pop3
143/tcp   open  imap
389/tcp   open  ldap
443/tcp   open  https
587/tcp   open  submission
993/tcp   open  imaps
995/tcp   open  pop3s
3306/tcp  open  mysql
7777/tcp  open  cbt
10025/tcp open  unknown

netstat -l
Активные соединения с интернетом (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp        0      0 localhost:mysql         *:*                     LISTEN
tcp        0      0 *:submission            *:*                     LISTEN
tcp        0      0 *:pop3                  *:*                     LISTEN
tcp        0      0 localhost:10031         *:*                     LISTEN
tcp        0      0 *:imap2                 *:*                     LISTEN
tcp        0      0 *:ssh                   *:*                     LISTEN
tcp        0      0 *:24                    *:*                     LISTEN
tcp        0      0 *:smtp                  *:*                     LISTEN
tcp        0      0 *:sieve                 *:*                     LISTEN
tcp        0      0 localhost:7777          *:*                     LISTEN
tcp        0      0 *:imaps                 *:*                     LISTEN
tcp        0      0 *:pop3s                 *:*                     LISTEN
tcp        0      0 *:ldap                  *:*                     LISTEN
tcp        0      0 localhost:10025         *:*                     LISTEN

Судя из конфига постфикса на этом порту должен крутится amavis

content_filter = smtp-amavis:[127.0.0.1]:10024

служба запущена, но ни nmap ни netstat показывают.

автор Artful
8 мая 2015, 15:21
↑
↓
0

закомментируйте в конфиге Postfix чтобы он его не использовал, это антиспам

ejik_off
12 мая 2015, 06:07
↑
↓
0

закомментировал, работает. И отправляет и принимает. Буду читать как заставить постфикс работать с антиспамом. Спасибо!

автор Artful
12 мая 2015, 08:30
↑
↓
0

Лучше разобраться, как заставить антиспам нормально работать, вещь крайне нужная.

ejik_off
13 мая 2015, 06:23
↑
↓
0

Ура заработала!!! Нашел проблему, при запуске amavis в логи было замечено такая запись:

May 13 08:52:23 mail amavis[2895]: (!!)TROUBLE in pre_loop_hook: config: no rules were found!  Do you need to run 'sa-update'?

запустил /usr/bin/sa-update, не знаю что он там обновил, но почта стала ходить. И наконец netstat показывает что порт 10024 слушает amavis. Спасибо за помощь!!!

ejik_off
13 мая 2015, 06:36
↑
↓
0

Теперь буду искать почему в адресную книгу не подгружаются адреса из AD

feelings
12 мая 2016, 08:41
↓
0

Народ подскажите. У меня вот такая ошибка. решение в гугле не нашел.
[root@mail ~]# ldapsearch -x -h dc.domain.loc -p 389 -D 'cn=iredmail,dc=domain,dc=loc' -W
ldap_bind: Strong(er) authentication required (8)
additional info: BindSimple: Transport encryption required.

автор Artful
12 мая 2016, 09:56
↑
↓
0

Здравствуйте.
открываем CMD, там пишем gpedit.msc
переходим в раздел:

Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options

нас интересуют строки:
Domain Controller: LDAP Server signing requirements переводим в значение None
Network security: LDAP Client signing requirements переводим в значение Negotiate
по поводу:
additional info: BindSimple: Transport encryption required.
В конфигах, где прописывается подключение к контроллеру домена

start_tls       = no

поменяйте на

start_tls       = yes

По идее, все должно работать.

feelings
12 мая 2016, 11:06
↑
↓
0

вот это писать в ldap.conf? start_tls = yes
У меня контроллер на samba поднят. Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options как это в ней поправить?

автор Artful
12 мая 2016, 12:26
↑
↓
0

Я не знаю на чем у вас поднят контроллер, я пишу для AD DC на MS Windows, для которого и писалась эта статья.
start_tls = yes посмотрите конфиги Postfix, в статье, там и надо поправить.

Miang
6 июня 2016, 23:43
↓
0

Доброго времени!
Странно но у меня тоже smtp 451 ошибку ловит, причем и на отправку и на получение. Но только от чужих доменов, у своих всё хорошо. Всю конфу перерыл понять не могу. Главное понял точно такой же сервер, но с mysql, вместо openldap и всё пошло

furryhaw
14 января 2017, 16:38
↓
+1

Всем привет! Столкнулся с проблемой что через roundcube не шла авторизация без UPN суффикса. Ошибка нашлась в фалйте

/etc/dovecot/dovecot.conf

строка

auth_default_realm = XXX.XXX

меняем на нужный UPN и все шуршит как надо.

Есть что добавить? Регистрируйся и оставляй комментарии!