Proxmox mail gateway что это такое

ЧудESA защиты корпоративной почты или внедрение свободных почтовых шлюзов на базе Proxmox Mail Gateway

Средства межсетевого экранирования стали де-факто атрибутом любой сетевой инфраструктуры. Почтовому трафику тоже необходимы средства фильтрации. Поэтому в современных релеях реалях тяжело представить почтовую инфраструктуру организации без почтовых шлюзов (mail gateways).

Зачем нужен почтовый шлюз и как его выбрать

Электронная почта (ЭП) является одним из векторов атак, как средство для доставки ВПО клиентам с целью проникновения в корпоративную сеть организации. Но у ЭП есть и еще один враг — спам, мешающий работе и заполняющий полезное дисковое пространство на почтовых серверах. Для решения данных проблем, уже разработаны решения: коммерческие и распространяемых под свободными лицензиями. Из коммерческих наибольшей популярностью пользуется продукт Cisco Email Security Appliance (ESA). Но все мы знаем про проблемы «окирпичивания» и отзывов окончания лицензий вендоров в текущих условиях, поэтому попробуем посмотреть в сторону свободно распространяемых продуктов.

Свободные решения считаются более сложными в настройке и требуют опыта настройки и администрирования. Конечно, можно накатить CentOS и поставить туда Postfix с использованием SpamAssassin, ClamAV, OpenDKIM, SPF и DMARC. Однако, если вам, как и мне, хотелось бы раскатать одну виртуалку (в которой уже из коробки есть все необходимое), зайти на вебку и все там настроить — тогда ваш выбор — Proxmox Mail Gateway (PMG).

Proxmox Mail Gateway

Многие слышали о Proxmox благодаря решению для виртуализации — Proxmox VE (PVE), как замену ESXi от VMWare. Поэтому людям, знакомых с PVE, PMG не покажется чем-то новым в установке и администрировании, так как это тот же Debian с тем же Web-интерфейсом, только заточен под ЭП.

Кто использует Proxmox Mail Gateway

Честно сказать, я думал, что мало кто использует данный программный продукт и скептически относился к нему, как замена для ESA. Однако, информация с shodan меня удивила и придала мне уверенности, что я не один такой.

Где ставить

Как говорилось выше, почтовый шлюз является аналогией межсетевого экранирования для почты. Поэтому ставить PMG, как и любой другой шлюз, нужно вразрез (на границе попадания почтового трафика извне) прохождения почтового трафика. Таким образом, между SMTP-сервером отправителя (или спамера) и SMTP-сервером получателя есть барьер в виде почтового шлюза.

На чем ставить

PMG поставляется в виде ISO-инсталлятора. Поэтому на чем его устанавливать — решение на вкус и цвет каждого. Хоть на старый ПК, хоть на сервак, хоть использованием виртуализации.

Установка

Установка предельно простая, описана в официальной документации и мало чем отличается от установки типичной ОС из ISO-инсталлятора. Пользователи PVE вообще не заметят существенной разницы.

Как зайти

После успешной установки, для управления PMG необходимо перейти в браузере по адресу: https://:8006
и ввести учетные данные, указанные при установке.

Настройка Proxmox Mail Gateway

Если описывать настройку всех возможностей, то статья превратится в документацию сайта разработчика, поэтому опишу кратко основные (необходимые) параметры.
Для настройки (администрирования) механизмов почтового шлюза представлены следующие разделы:

• Mail Filter — настройка цепочек правил контентной фильтрации писем (аналог Content Filters у ESA). Касается обработки писем и действий над ними;
• Configuration — настройка основных параметров самого шлюза. Включение/отключение механизмов защиты, настройки сети, ретрансляции, антивирусного и спам движков, управление пользователями, настройка кластера, бекапирования, сертификатов;
• Administration — управление почтовыми очередями, карантинами, настройка Black/White листов, просмотр трекинга сообщений;

Mail Filter

PMG из коробки уже наделен цепочками правил в Mail Filter, готовыми к работе на страже вашего почтового трафика. Подробно останавливаться на этом не вижу смысла, кто работал с ESA — поймет, и допилит под себя, кто впервые на это смотрит — необходимо понять суть. Суть в том, что для построений цепочек правил (Rules) существуют следующие объекты:

• Action Objects — действия, применяемые при попадании в правило (Rule). Например, доставить письмо пользователю, дропнуть письмо, поместить в карантин, удалить вложения, оповестить администратора и т.д.;
• Who Objects — сгруппированные по какому-либо признаку списки объектов, относящихся к отправителю или получателю (конкретные адреса, домены, IP-адреса, регулярные выражения и т.д.);
• What Objects — сгруппированные по какому-либо признаку списки объектов, относящихся к содержимому электронного письма (картинки, ссылки, вложения, офисные файлы и т.д.);
• When Objects — сгруппированные по какому-либо признаку списки объектов, относящихся к временному интервалу, например, нерабочее время или ночь;

Соответственно, подобно составлению ACL, комбинирование данных объектов в цепочку — это и есть правила. Образно работает это так:
Если мне прислали письмо от spammer@spam.ru (адрес из Blacklist в Who Objects), в письме офисный документ .docx (файл из What Objects) — заблокировать письмо или отправить в карантин (действие из Action Objects).

Configuration

Основной раздел для настройки работы почтового шлюза. В этом разделе первым делом нужно настроить Mail Proxy.

Mail Proxy

В разделе Relaying в поле Default Relay указываем IP-адрес или доменное имя SMTP-сервера, на который нужно отправлять письма дальше (сервер, обслуживающий ваш домен).

В разделе Relay Domains необходимо добавить домены, обслуживаемые вашим SMTP-сервером. Делается это для того, чтобы PMG понимал, какие письма ему обрабатывать и отправлять дальше.

В разделе Ports вы можете изменить какие порты PMG должен слушать. По-умолчанию 25 порт (External) служит для приема писем снаружи (из Интернета). Порт 26 (Internal) является релеем для получения писем от вашего почтового сервера и отправки их затем наружу (на другие почтовые домены).

В разделе Transports необходимо указать какому домену какой SMTP-сервер использовать для пересылки. У вас может быть несколько обслуживаемых доменов и на каждый из этих доменов может быть свой SMTP-сервер.

В разделе Networks необходимо указать доверенные сети — сети с которых будет разрешен прием для пересылки на другие домены. Делается это для того, чтобы письма пересылались наружу только с ваших доверенных SMTP-серверов.

В разделе TLS можно включить TLS при отправки и получении сообщений. Это означает, что при включенном TLS PMG будет пытаться отправлять письма наружу с использованием расширения ESMTP — STARTTLS, а так же сможет такие такие письма принять.

В разделе DKIM можно включить подпись исходящих сообщений. О том как добавить в PMG свой ключ подписи — написано в документации.

В разделе Whitelist можете указать те адреса и домены, которые не будут проходить проверки, включенные в разделе Options.

В разделе Options настраивайте механизмы проверок в зависимости от политики вашей организации. От себя хочу посоветовать изменять стандартный баннер и не показывать всем, что вы используете.

На этом основное конфигурирование почтового шлюза заканчивается. Все остальные настройки корректируются в зависимости от ваших личных предпочтений и требований безопасности.

Spam Detector

В качестве антиспам-решения PMG использует под капотом SpamAssassin. По-умолчанию включен и готов к работе из коробки. Для изменения параметров антиспама используются разделы:
Options, Quarantine, Status, Custom Scores

Virus Detector

В качестве АВЗ PMG использует движок ClamAV. По-умолчанию включен и готов к работе из коробки. Для изменения параметров антивирусного движка используются разделы:
Options, ClamAV, Quarantine

Cluster

Cisco ESA позволяет работать в режиме кластера. Это означает, что у вас может быть 2 почтовых шлюза (для балансировки нагрузки или отказоустойчивости). При этом режиме работы, настройки и политики применяемые на одном шлюзе синхронизируются с другим и наоборот (аналог стека у коммутаторов).

Proxmox Mail Gateway так же из коробки позволяет сделать вам кластер из нескольких нод. Аналогией является кластер в PVE, где несколько физических гипервизоров можно объединить в кластер.

Настройка банально проста и происходит в разделе Cluster. Для настройки объединения нод PMG в кластер необходимо:

1. На мастер ноде создать кластер (нажать кнопку Create) и подождать завершения операции;

1. На мастер ноде нажать на кнопку Add и скопировать себе IP Address и Fingerprint;

1. На ноде, которую хотите добавить в кластер нажать кнопку Join и ввести IP Address, Пароль и Fingerprint, скопированного с мастер-ноды.

Кластер готов. Теперь настройки применяемые на одной из нод будут применены и на другой. Все просто, не так ли?

Итог

И это все? Конечно, да нет. Данная статья рассчитана на то, чтобы познакомить вас с таким замечательным, на мой взгляд, решением, как Proxmox Mail Gateway. Конечно до Cisco ESA ему еще далеко, но из того, что предлагает OpenSource — это топ. Настройки, приведеные в статье позволяют лишь подготовить PMG для пересылки писем от внешнего отправителя на внутренний почтовый сервер и наоборот. Как я говорил в самом начале, прелесть данного решения в готовности к бою со спамом из коробки, при минимальных затратах на его настройку. Главная задача настройки сводится к «направлению» почтового трафика через почтовый шлюз. Прелесть данного решения еще и в том, что под капотом Debian с Postfix, SpamAssassin, ClamAV, OpenDKIM и т.д., которые уже взаимодействуют между собой. Все, что вам остается — тюнить правила и политики. Если не хватает возможностей с вебки — лезем по SSH на PMG, устанавливаем пакеты, конфигурируем файлы, танцуем с бубном — все в ваших руках, все как мы любим. Ну и, конечно же — чтение документации. У PMG есть свои утилиты для управления политиками, а так же Rest API.

Не забудьте указать на вашем SMTP-сервере (MTA) в качестве релея — PMG с портом 26, для отправки всех писем наружу через шлюз. Так же не забудьте настроить NAT на вашем пограничном оборудовании, чтобы внешний IP с портом 25 указывал на 25 порт PMG. Дерзайте!

• электронная почта
• антиспам защита
• антиспам
• opensourse
• proxmox

• Спам и антиспам
• Open source
• Системное администрирование

Установка Proxmox Mail Gateway

Сейчас уже сложно представить себе компанию, которая не использовала бы электронную почту. К счастью, решений для обеспечения работы с электронной почтой предостаточно – есть как бесплатные решения, так и коммерческие. Более того, решение по работе с электронной почтой может быть как облачное, так и наземное. Наиболее известные почтовые сервера и сервисы – это Microsoft Exchange, Яндекс почта, GMail, почта mail.ru, Zimbra, Postfix, CommuniGate Pro и т.д. Но, к сожалению, одна из первых проблем, с которой вы столкнетесь при использовании электронной почты – это спам. Если вы выбрали облачный сервис электронной почты, то фильтрация спама ложится в подавляющем большинстве случаев на сервис провайдера. При использовании наземного решения вам нужно будет как то бороться со спамом самостоятельно. Одно из решений для борьбы со спамом электронной почты – Proxmox Mail Gateway. В этой публикации я покажу, как выполняется установка Proxmox Mail Gateway, а также минимальная настройка.

Что такое Proxmox Mail Gateway

Proxmox Mail Gateway – это open-source решение по борьбе со спамом в потоке электронной почты. Более того, Proxmox Mail Gateway может также сканировать электронную почту на наличие фишинговых писем, вирусов и троянов. Довольно комплексная защита для open-source решения.

Решение Proxmox Mail Gateway пропускает через себя весь почтовый трафик в вашей компании и отсеивает подозрительные письма, тем самым обеспечивает то, что до ваших пользователей будут доходить только действительно нужные электронные письма.

т.е. в самом простом варианте схема решения будет примерно следующая:

Вся входящая почта на схеме выше сначала принимается и обрабатывается сервером Proxmox Mail Gateway. Вся подозрительная почта отфильтровывается и на ваш почтовый сервер доставляет уже только проверенные электронные письма.

Для удобства настройки, администрирования и управления Proxmox Mail Gateway предоставляется веб интерфейс администрирования.

Решение может быть установлено как на физический сервер, так и на виртуальную машину. В качестве операционной системы решение использует Debian Linux.

Предварительные требования

Полные системные требования приведены в разделе официальной документации. В таблице ниже я приведу основные параметры минимальные и рекомендуемых системных требований.

Параметр	Минимальные требования	Рекомендуемые требования
ЦПУ	одноядерный 64-х разрядный процессор (Intel EMT64 или AMD64)	многоядерный 64-х разрядный процессор (Intel EMT64 или AMD64)
Объем оперативной памяти	2 ГБ	4 ГБ
Объем жесткого диска	8 ГБ	20 ГБ

Если вы решите использовать виртуальное решение, то Proxmox Mail Gateway поддерживает установку на следующие гипервизоры:

• Proxmox VE
• Vmware vSphere
• Hyper-V
• KVM
• Virtual box
• Citrix Hypervisor

А также любые другие гипервизоры, которые поддерживают установку Debian Linux в качестве гостевой операционной системы.

Установка Proxmox Mail Gateway

Загрузить дистрибутив с Proxmox Mail Gateway можно на сайте вендора в разделе загрузок.

Я буду выполнять установку Proxmox Mail Gateway в качестве виртуального решения.

Процесс установки не должен вызывать каких-то особых трудностей:

1. Выполняем загрузку с ISO образа.

2. На первом шаге мастера установки выбираем пункт “Install Proxmox Mail Gateway”.

3. Принимаем лицензионное соглашение – нажимаем кнопку “I Agree”.

4. Указываем диски, на который необходимо выполнить установку Proxmox Mail Gateway. Если у вас есть несколько дисков, то на это этапе вы можете собрать RAID, нажав кнопку “Options”. Я не буду собирать зеркало, а просто укажу диск для установки и нажму кнопку “Next”.

5. На следующем шаге мастер установки предлагает выбрать страну, часовой пояс и локаль для клавиатуры. После указания всех параметров нажимаем кнопку “Next”.

6. Далее очень важный шаг – нужно указать пароля для пользователя root и адрес электронной почты для отправки почтовых уведомлений. Далее нажимаю “Next”.

7. Теперь нужно указать параметры статической адресации и DNS-имя, по которому мы будем подключаться к веб-панели управления Proxmox Mail Gateway. По завершении указания параметров нажмите кнопку “Next”.

8. В завершении мастер установки представит нам таблицу со сводными параметрами установки, которые мы выбрали. Для запуска процесса установки нажмите кнопку “Install”.

9. Дождитесь окончания процесса установки.

После завершения установки вы можете перейти в веб интерфейс управления Proxmox Mail Gateway по следующему адресу:

https://pmg.itproblog.ru:8006/

Если вы не регистрирования DNS имя, то можете выполнить подключение непосредственно по IP-адресу.

В качестве логина указывает пользователя root, а в качестве пароля тот пароль, который вы указали на этапе установки системы.

Пример стартового экрана Proxmox Mail Gateway приведен на скриншоте ниже.

Установка Proxmox Mail Gateway завершена. Теперь нужно настроить прием почтового трафика из вне, а затем передачу отфильтрованного почтового трафика на внутренний сервер электронной почты.

Настройка репозиториев обновлений

В завершении установки я бы рекомендовал включить репозиторий с бесплатными обновлениями. Для этого отредактируйте файл sources.list:

nano /etc/apt/sources.list

Отредактируйте содержимое файла и включите туда бесплатные репозитории:

deb http://ftp.debian.org/debian bullseye main contrib deb http://ftp.debian.org/debian bullseye-updates main contrib # security updates deb http://security.debian.org/debian-security bullseye-security main contrib # PMG pmg-no-subscription repository provided by proxmox.com, # NOT recommended for production use deb http://download.proxmox.com/debian/pmg bullseye pmg-no-subscription

Сохраните внесенные изменения. Запустите процедуру обновления:

apt update apt upgrade

Пример настройки маршрутизации электронной почты

Я покажу вариант с базовой настройкой. Я бы даже сказал вариант с минимальной достаточностью. Материал статьи более нацелен на процедуру установки, а не на разбор все возможных вариантов настройки маршрутизации почты. Причем я сейчас говорю только о входящей почте. Исходящая почта будет отправляться непосредственно с сервера CommuniGate. Хотя ничего не мешает вам даже отправлять почту через PMG.

В моем самом простом варианте есть следующие вводные:

1. Во внутреннем периметре есть почтовый сервер CommuniGate Pro.
2. Почтовый домен один – itproblog.ru.
3. Вся поступающая почта из внешней сети будет перенаправляться на сервер Proxmox Mail Gateway.
4. Сервер Proxmox Mail Gateway всю почту для домена itproblog.ru будет перенаправлять на сервер CommuniGate.

Итак, приступим к процедуре настройки потока почтового трафика:

1. Переходим в веб интерфейс администрирования PMG:

https://pmg.itproblog.ru:8006/

2. Переходим в раздел “Configuration” – “Mail Proxy” – “Relay Domains”.

3. Нажимаем кнопку “Create” и добавляем наш домен в список обслуживаемых доменов.

4. Теперь переходим на вкладку “Transport”.

5. Здесь тоже нажимаем кнопку “Create” и указываем, что всю почту для домена itproblog.ru нужно отправлять на сервер CommuniGate.

Теперь можете попробовать отправить тестовое письмо. Если все настройки были выполнены корректно, то вы должны увидеть почтовый трафик, например, на дашборде:

Также вы сможете отслеживать поток писем через Tracjking Center. На этом я завершая описание типового примера маршрутизации входящей электронной почты.

Добавить комментарий Отменить ответ

Решение IT-задач любой сложности

Архивы

Рубрики

• 1С (4)
• Active Directory Domain Services (4)
• Active Directory Federation Services (2)
• Ansible (7)
• Astra Linux Directory (1)
• Azure (5)
• Cireson (2)
• Communigate Pro (20)
• Docker (1)
• EVE-NG (2)
• Exchange (27)
• GitLab (1)
• JIRA (1)
• Keycloack (1)
• Kubernetes (6)
• Linux (29)
• NextCloud (5)
• Power Automate (4)
• Project Server (2)
• Project Web App (2)
• Proxmox (8)
• Scripts (1)
• Sendria (1)
• SharePoint (3)
• System Center (25)
• Veeam (3)
• VirtualHere (3)
• VMware (2)
• Web Application Proxy (2)
• Zabbix (8)
• Балансировка сетевого траффика (2)
• Без рубрики (2)
• Онлайн кассы (2)
• Печать (1)
• Прочее (5)
• Публикация сервисов и приложений (2)
• Сертификаты (5)
• сети (1)
• Система управления проектами (2)
• Системы хранения данных (2)
• Торговое оборудование (1)

Записки IT специалиста

Proxmox Mail Gateway — настраиваем пограничный почтовый шлюз

• Автор: Уваров А.С.
• 08.02.2019

Борьба со спамом — серьезная проблема с которой сталкивается каждый администратор почтового сервера. К сожалению, популярные почтовые сервера в базовой конфигурации не имеют эффективных инструментов для фильтрации нежелательной почты, а их тонкая настройка порою достаточно сложна и нетривиальна. К тому же направлять весь поток входящей почты на основной почтовый сервер не самая лучшая идея, хорошей практикой является использование пограничных почтовых шлюзов, основная задача которых фильтрация проходящих через них сообщений.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Чтобы понять место шлюза в вашей почтовой системе рассмотрим простую схему. Без шлюза весь поток входящей почты попадает прямо на основной сервер, который затем в меру своих сил будет пытаться ее фильтровать. Обычно это получается плохо, и большая часть нежелательной почты попадет в ящики получателей, вызывая, самое меньшее, их недовольство. Но с почтой могут быть связаны и более серьезные угрозы, такие как фишинг и вредоносное ПО, и не всегда эти угрозы удается блокировать на самом последнем этапе — чаще всего слабым звеном оказывается сам пользователь.

При появлении пограничного шлюза вся входящая почта будет направлена на него, а основному серверу будет передана только чистая, прошедшая через фильтры почта. Конечно всегда существует риск ложного срабатывания или пропуска нежелательной почты, но следует помнить, что шлюз является специализированной системой, задачей которой является именно борьба со спамом и вредоносным ПО в письмах и его эффективность будет гораздо выше, чем у фильтров вашего основного сервера.

Исходящая почта как передавалась вашим основным сервером, так и будет передаваться. Технически, конечно, возможно и ее пропустить через шлюз, но на практике такое решение вызывает больше проблем, чем предоставляет преимуществ. Такая схема потребует внесения существенных изменений в почтовую инфраструктуру: изменение DNS-записей, правильная настройка заголовков и т.д. В случае неверных настроек вреда будет больше, чем пользы, ваша почта начнет выглядеть подозрительно и будет иметь гораздо более высокие шансы попасть в спам у получателя.

Тем более, что отправку с собственного сервера администратор вполне может контролировать, а если спам вдруг начнет отправлять вредоносное ПО, то оно вряд ли будет это делать через шлюз.

В качестве пограничного почтового шлюза мы будем использовать Proxmox Mail Gateway, бесплатное решение с открытым исходным кодом. Несмотря на то, что к продукту предлагается платная подписка, даже в бесплатной версии Proxmox Mail Gateway представляет собой достаточно эффективный и удобный инструмент для зашиты вашей почтовой системы. Продукт базируется на базе Debian, либо может быть установлен на эту систему как сервис. Но мы рекомендуем разворачивать его на выделенном сервере (можно виртуальном) из официального образа, который доступен на сайте разработчика.

Установка системы производится в графическом режиме и не должна вызвать сложностей, если у вас есть опыт установки Linux. Первым шагом нам предлагают настроить конфигурацию дисков, в качестве целей вам будут доступны одиночные диски, для того чтобы получить больше возможностей нажмите Options и появившееся окно даст вам настроить требуемую конфигурацию, например, создать RAID-массив.

В нашем случае было выбрано простое зеркало (RAID 1), настроек — необходимый минимум, запутаться решительно негде.

Затем потребуется указать регион и часовой пояс, задать пароль суперпользователя и сетевые настройки, после чего будет проведена установка системы.

После установки нас встретит консоль с предложением подключиться к системе через браузер, но не будем спешить. Войдем в систему под суперпользователем root.

Сразу напомним, внутри обычный Debian, поэтому можем делать все, что сочтем нужным, например, доустановить для удобства администрирования Midnight Commander и любые иные утилиты. Но прежде всего следует отключить корпоративный репозиторий Proxmox, который доступен только по подписке:

rm /etc/apt/sources.list.d/pmg-enterprise.list

А затем создадим собственный лист:

touch /etc/apt/sources.list.d/pmg-no-subscription.list

И внесем в него следующее содержимое:

deb http://download.proxmox.com/debian/pmg stretch pmg-no-subscription

Теперь можно перейти в веб-интерфейс, в котором и будет происходить вся работа с почтовым шлюзом. Наберем в браузере указанный адрес, обязательно с указанием защищенного протокола HTTPS, для аутентификации используем пользователя root и указанный при установке пароль. Первоначально админка способна сбить с толку обилием разнообразных пунктов и опций, но сейчас нас интересует окончательная настройка шлюза.

Для этого перейдем в раздел Configuration, на верхнем уровне располагаются настройки сети и времени, некоторые дополнительные опции, такие как почта администратора, настройки статистики и ежедневной рассылки отчетов, а также резервное копирование и восстановление настроек. На данный момент ничего интересного для нас здесь нет, поэтому переходим уровнем ниже Configuration — Mail Proxy. Первый пункт Relaying содержит очень важную настройку пересылки почты, в пункте Default Relay следует указать ваш основной почтовый сервер.

В следующем пункте Relay Domain следует указать все обслуживаемые вашим почтовым сервером домены, в противном случае почта будет отклонена как как нежелательная.

На закладке Options обратите внимание на пункт Message Size — это предельный размер письма, который будет пропущен шлюзом, письма большего размера будут отброшены. Остальные опции мы пока трогать не рекомендуем, настройки Proxmox Mail Gateway достаточно эффективны и крутить настройки вручную следует уже с учетом фактического результата работы продукта.

Теперь можно вводить наш шлюз в эксплуатацию, для этого достаточно перенаправить поток почты с порта 25 основного сервера на порт 25 шлюза, обычно для этого достаточно изменить настройку проброса портов на роутере. Точно также все можно быстро вернуть обратно, если вдруг что-то пойдет не так.

А мы пока перейдем в раздел Spam Detector, в этом качестве используется SpamAssassin, из настроек следует также обратить внимание на размер письма и время нахождения спама в карантине, на закладке Update можно вручную обновить набор правил, хотя эта задача выполняется автоматически, по расписанию.

В разделе Virus Detector находятся настройки антивируса ClamAV, здесь также можно запустить его обновление вручную. Однако в этом процессе вы можете получить похожую «ошибку»:

WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.100.0 Recommended version: 0.101.1

Но повода для беспокойства здесь нет, система обновляет пакеты ClamAV из репозиториев Debian, где последняя версия на момент написания статьи была 0.100.0, а с серверов ClamAV антивирус получил данные о наличии более новой версии 0.101.1. Однако на безопасность это влияет слабо, гораздо более важно своевременное обновление баз, а с этим у нас все в порядке.

Раздел User Management ожидаемо содержит настройки пользователей. Здесь же можно добавить дополнительных пользователей, например, менеджера карантина, которому будет доступно только просмотр и управление письмами в карантине, без возможности изменять настройки сервера. Это позволяет дать определенным пользователям возможность самим проверять попадание нужных писем в карантин, не тревожа лишний раз администраторов, но и не боясь, что они что нибудь сломают по неосторожности.

Но гораздо интереснее иной пункт — Fetchmail — это консольный почтовый клиент, который позволяет получать и перенаправлять на нужные адреса почту с внешних аккаунтов, например, с публичных почтовых служб. Мы рассказывали про него в статье Zimbra. Сбор почты с внешних аккаунтов, но если вы решили использовать почтовый шлюз, то лучше возложить эту функцию на него с одновременной фильтрацией такой почты.

Создание внешнего почтового аккаунта особой сложности не представляет и ничем не отличается от настройки почтового клиента, единственное отличие — вы дополнительно должны указать внутренний ящик, на который следует отправлять полученную почту.

Также ненадолго заглянем в раздел Administration, на верхнем уровне которого собраны инструменты управления сервером, их немного, но для повседневной работы вполне достаточно. На первом экране собраны графики загрузки сервера, а также кнопки вызова консоли, перезагрузки и выключения.

На других вкладках можно посмотреть состояние служб сервера и статус задач, вывод сообщений syslog в режиме реального времени и проверить наличие обновлений. Там же можно их установить. При этом в отдельном окне открывается консоль и дальнейшее управление процессом обновления производится в нем.

Теперь покинем этот раздел и перейдем на самый верх, в Mail Filter, который содержит настройки фильтрации почты. На верхнем уровне расположены правила, указан их приоритет и направление действия, если выделить любое из них, то справа можно увидеть логику его действия.

Правила применяются в порядке убывания приоритета, при срабатывании правила дальнейшее прохождение зависит от применяемого в нем действия, если действие окончательное, то обработка письма на нем прекращается, если нет — письмо идет дальше по списку.

Для построения правил используются несколько типов объектов:

• Action Objects — действия, которые могут быть применены к письму. Могут быть окончательными или нет. К окончательным относятся три действия: Accept, Block и Quarantine, остальные действия не прерывают прохождение письма по цепочке правил.
• Who Objects — субъекты, т.е. отправители или получатели почты, это могут быть почтовые адреса, домены, IP-адреса и подсети, пользователи и группы пользователей. Допустимо использование регулярных выражений. По умолчанию создано два объекта: глобальные белый и черный списки.
• What Objects — свойства письма, это могут быть факты срабатывания спам и антивирусного фильтра, совпадение заголовков с заданным шаблоном, тип вложения, тип содержимого архива.
• When Objects — временной промежуток, скажем рабочее время офиса.

Чтобы не быть голословными, составим собственное правило. В качестве вводной примем следующие условия: есть некоторые контрагенты, и их весьма много, которые посылают нам в рабочее время документы в формате PDF или XSL/XSLX с пустым телом письма и возможно даже без темы, документы могут быть в архиве.

Прежде всего перейдем в раздел What Objects и создадим новый объект, назовем его PDF & Excel, в который добавим четыре типа Content Type Filter, в которых укажем документы PDF, ХLS, XLSX и ODS (так как документ Excel давно стал понятием собирательным и нам вполне могут прислать таблицу в формате Open/LibreOffice). Затем добавим четыре типа Archive Filter с тем же самым содержимым, если документ придет запакованным в архив.

Следующим условием задачи у нас стоит время отправки подобной документации, условно примем его с 8:00 до 20:00, перейдем в раздел When Objects и создадим временной промежуток Work Time.

Теперь составим собственное правило, укажем его имя, приоритет и поставим флаг активности. Мы решили разместить его ниже проверок на черные/белые списки и вредоносное/опасное содержимое, но перед проверкой на спам.

Выберем созданное правило и в правой части экрана добавим What — PDF & Excel, Action — Accept. Данное действие является окончательным и дальше по цепочке такое письмо не пойдет.

И снова перейдем в раздел Administration, теперь нас будет интересовать управление карантином, для начала перейдем в Spam Quarantine. Здесь можно просмотреть письма, попавшие в карантин для каждого почтового ящика. Выбираем период времени и почтовый ящик, и получаем полный список попавших в карантин сообщений.

Для каждого сообщения доступен ряд действий, во первых добавление в персональный черный/белый список, но это действие не изменяет состояние письма, оно остается в карантине, при необходимости мы можем доставить его получателю (Deliver) или удалить (Delete), если не предпринять никаких действий, то такое письмо будет удалено по истечению срока хранения (по умолчанию 7 дней). Аналогичным образом работает и антивирусный карантин.

Здесь же доступно управление персональными черными/белыми списками пользователей, однако следует четко понимать, что использование персональных списков не должно подменять использования списков глобальных. Если прошедшее через фильтры письмо явный спам — то его следует добавить в глобальный список. Персональные списки следует использовать в тех случаях, когда требуется обойти глобальные правила. Скажем у вас глобально запрещены рассылки от различных интернет-магазинов, но отдел закупок наоборот хочет их получать — не вопрос, на помощь придут персональные списки.

Tracking Center позволяет быстро найти письмо по ряду признаков, таких как период времени, отправитель, получатель. Это позволяет быстро ответить на вопросы пользователей, оперативно выяснив статус ожидаемого ими письма, либо убедиться, что искомое сообщение в вашу почтовую систему не поступало.

Раздела Statistics мы подробно касаться не будем, там и так все понятно, статистика в различных ее видах.

В заключение хочется сказать, что Proxmox Mail Gateway показал себя как гибкое и эффективное средство борьбы со спамом, поэтому мы можем смело рекомендовать его к внедрению и надеемся, что данная статья окажется вам полезной.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Дополнительные материалы:

1. Почтовый сервер для начинающих. Структура и принцип работы
2. Почтовый сервер для начинающих. Настраиваем DNS зону
3. Почтовый сервер для начинающих. PTR и SPF записи как средство борьбы со спамом
4. Онлайн инструменты для проверки почтового сервера
5. Проверка связи по протоколу SMTP с помощью Telnet

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Или подпишись на наш Телеграм-канал: