CommuniGate Pro
Версия 6.4
 

Помощь

В этом разделе перечисляются наиболее распространённые проблемы, возникающие при использовании CommuniGate Pro и приводятся советы по решению этих проблем.

Безопасность

Мой Сервер - открытый релей?

Открытый релей - это SMTP (или SIP) сервер, позволяющий пересылать через себя сообщения неограниченному кругу лиц, а не только сообщения локальным Пользователям или от Пользователей. Если Вы просто получаете много писем непонятного происхождения, но они направляются локальным Пользователям, то это не значит, что Сервер является открытым релеем; открытым релеем он является тогда, когда письма принимаются от неизвестных внешних отправителей и пересылаются произвольным внешним получателям.

C настройками по умолчанию CommuniGate Pro не является открытым релеем, он пересылает только сообщения от аутентифицировавшихся пользователей.
Пересылка от не аутентифицировавшихся отправителей возможна, если сообщение принято через Профиль Адресов Отправителей, где включена опция "Доверенный Источник (доступен Открытый Релеинг)". В идеале эта опция не должна использоваться, а все пользователи должны аутентифицироваться. Если Вы получаете все сообщения через шлюз - не вносите адрес шлюза в Профиль, а внесите его в Неблокируемые Адреса.

Взломали Пользователя, и мой Сервер используется для массовой рассылки. Что делать?

Кто-то узнал (или угадал) пароль Пользователя, и использует его для рассылки спама. Это, однако, не имеет отношения к открытому релеингу.

Откройте область "Наблюдение" в Веб Интерфейсе Администрирования, откройте раздел "Почта". Откройте страницу Очередь. Там увидите много сообщений одинакового размера и содержания.

  • Откройте одно из таких сообщений, чтобы узнать имя взломанного Пользователя и сетевой адрес отправителя.
  • Нажмите кнопку Отвергнуть Все Письма Отправителя.
  • Откройте страницу Установки взломанного Пользователя.
    • Смените ему пароль, чтобы предотвратить создание новых сессий.
    • В Услуги временно отключите опцию Mail, чтобы заблокировать отправку сообщений из существующих сессий.
  • Используйте кнопку Отвергнуть Все Письма Отправителя до полной очистки очереди.
    Сообщения, которые находятся в процессе обработки, могут быть не отвергнуты, поэтому может быть нужно повторить эту операцию несколько раз.

Чтобы уменьшить вероятность взломов:

  • Убедитесь, что все Пользователи используют шифрование SSL/TLS при соединениях с Сервером. Это предотвратит утечку паролей через прослушивание сетевого трафика.
  • Заставьте Пользователей использовать достаточно длинные и сложные пароли, чтобы их нельзя было легко угадать.
  • Перейдите на Двухфакторную Аутентификацию, если возможно.
  • Ужесточите ограничения в установках чтобы затруднить попытки перебора паролей.
  • Включите Прятать сообщения 'Неизвестное имя', чтобы затруднить сбор имён Пользователей.

Чтобы уменьшить ущерб от потенциально возможного взлома, и сделать взломанных пользователей менее привлекательными для хакеров:

  • Ужесточите ограничения в "Лимит Исходящей Почты", "Лимит Получателей Исходящей Почты" и "Лимит Числа Получателей в Сообщении" в разделе Отправка Почты.
    Это ограничит скорость отправки хакерами сообщений.
  • Задайте "Ограничения на Адрес 'от Кого'" и "Ограничения на Имя 'от Кого'" в разделе Отправка Почты.
    Это предотвратит отправку сообщений от имени фальсифицированного отправителя.
  • Если предполагается, что все клиенты используют WebMail или Samoware, и не используют SMTP, то в Услуги уберите опцию Relay.
    Это сделает невозможным для хакеров использовать SMTP как самый удобный способ для массовой отправки сообщений.

Веб Интерфейс Администратора

Я перенаправил Пользователя Postmaster и больше не могу войти как Postmaster

CommuniGate Pro применяет правила маршрутизации не только к адресам во входящих сообщениях, но и ко всем адресам, которые он обрабатывает. Если вы перенаправили пользователя postmaster на некоторого пользователя abc, то все попытки войти как postmaster приведут к тому, что Сервер попытается отработать вход пользователя abc. Если вы ввели правильный пароль (то есть, пароль пользователя abc), то вы сможете войти, но получите права доступа, предоставленные пользователю abc, а не пользователю postmaster.

Тем не менее у вас остаётся возможность войти именно как postmaster, даже если имя postmaster перенаправлено на абсолютно другой адрес. Используйте следующее имя вместо имени postmaster:

abcd@postmaster.local
Этот адрес всегда направляется на пользователя postmaster. Для этого имени вы должны использовать обычный пароль пользователя postmaster.

Более подробно маршрутизация .local описана в разделе Модуль Местной Доставки.

Я удалил Пользователя Postmaster

Если вы удалили пользователя postmaster, остановите Сервер и запустите его снова.

Если Сервер CommuniGate Pro не может найти пользователя postmaster во время старта, то он создаёт его заново. В файлах в директории пользователя postmaster содержится новый пароль пользователя postmaster - используйте его, аналогично тому, как вы это делали при установке Сервера CommuniGate Pro.

Я создал дополнительный Домен и теперь не могу войти через Веб Интерфейс Администратора

Когда вы соединяетесь с CommuniGate Pro через браузер, Сервер проверяет имя домена, указанное в URL браузера. Если это имя соответствует имени одного из Доменов, то будет открыт Веб Интерфейс Администратора этого Домена, а не Веб Интерфейс Администратора Сервера.

Для того, чтобы открыть Веб Интерфейс Администратора Сервера, используйте в URL браузера Имя Главного Домена. Если это доменное имя не имеет А-записи в DNS или эта запись указывает на другой сервер, используйте IP адрес Сервера в URL браузера.

Если все IP адреса Сервера была назначены дополнительным Доменам, то вы можете использовать ЛЮБОЕ имя домена, которое ссылается на Сервер CommuniGate Pro и не является именем его Дополнительного Домена.

В случае, если все IP адреса Сервера были назначены дополнительным Доменам и все доменные имена в DNS, ссылающиеся на ваш сервер, также являются вашими Доменами (или Псевдонимами Доменов), то используйте следующий URL:

http://sub.domain.com:8010/MainAdmin
https://sub.domain.com:9010/MainAdmin
где sub.domain.com является любым именем, ссылающимся на ваш сервер или на любой из его IP адресов.

Когда я пытаюсь войти, я получаю сообщение об ошибке "access from your network is denied" ("доступ из вашей сети запрещен").

Это сообщение означает, что у Пользователя выключена услуга Roaming, и соединение производится не с Разрешённого Адреса для Входа.

Включите Пользователю услугу Roaming, и убедитесь, что она также включена на уровне домена.


Получение почты по SMTP

Мой Сервер не принимает почту от Веб-скрипта/аплета

Когда SMTP модуль получает сообщение, он пытается применить правила маршрутизации к адресу, указанному в команде Mail From: (адрес, указанный в 'Return-Path' сообщения). Если имя домена в этом адресе является именем локального Домена Сервера и указанный Пользователь (или другой Объект) не найден в этом Домене, то Маршрутизатор возвращает код ошибки и SMTP модуль отказывается принять сообщение.

Вы должны перенастроить ваш скрипт/аплет на использование или пустого Return-Path (<>) для создаваемых сообщений, или на использование адреса электронной почты какого-либо существующего Пользователя. Если скрипт/аплет не может быть перенастроен, вы можете создать Псевдоним для существующего Пользователя.

Если, например, ваш скрипт/аплет отправляет сообщения на сервер с Return-Path адресом <webform@mydomain.com>, а у вас нет Пользователя webform в Домене mydomain.com, то вы можете создать псевдоним webform для Пользователя postmaster. Если отправка сообщения не удастся, сообщение об ошибке будет послано Пользователю postmaster.


Отправка по SMTP

Мой Сервер не может отправлять почту на некоторый хост с использованием SSL/TLS

Когда SMTP модуль CommuniGate Pro соединяется с почтовым хостом/ретранслятором и пытается установить безопасное (SSL/TLS) соединение, он получает от хоста Сертификат и проверяет в нём имя. Это имя должно совпадать либо с именем домена, на который должна быть отправлена почта, либо с именем MX-записи в DNS для этого домена.

Когда удалённый сервер обслуживает несколько доменов на одном IP адресе, он всегда отправляет только один сертификат, так как сервер не может заранее знать, для какого именно домена будут предназначены входящие сообщения. Следовательно, сервер не может представить Сертификат, соответствующий этому домену. В результате ваш (отправляющий почту) сервер может отказаться продолжать работу.

Если сервер mainhost.com обслуживает домены client1.com и client2.com, а MX-записи для всех трёх доменов указывают на одно имя и один IP адрес на сервере, то сервер всегда будет предоставлять только один Сертификат - как правило, Сертификат с именем mainhost.com.

Для того, чтобы сервер CommuniGate Pro отправлял почту через безопасное соединение в домены client1.com и client2.com, вы должны создать в Маршрутизаторе две записи уровня домена:

client1.com = client1.com@mainhost.com.via
client2.com = client1.com@mainhost.com.via

Эти записи направят всю почту для доменов client1.com и client2.com в SMTP очередь для mailhost.com. Вы должны поместить имя mailhost.com в список Посылать Зашифрованным (SSL/TLS) в SMTP модуле; тогда сервер будет соединяться с сервером mailhost.com, проверять его сертификат (в котором должно содержаться или имя mailhost.com или имя релея, с которым соединился SMTP модуль), затем SMTP модуль установит безопасное (SSL/TLS) соединение с этим сервером и отправит всю почту получателям в доменах client1.com и client2.com через безопасное соединение.


Доступ

В Веб Интерфейсе Пользователя появляется розовая страница "we do not provide Web Access to this domain" ("Мы не предоставляем Веб Доступ к этому домену"

Важно понимать, что доменные имена something.com и mail.something.com являются абсолютно разными. Если главным доменом вашего Сервера CommuniGate Pro является mycompany.dom и вы пытаетесь соединиться с ним, набрав в вашем браузере http://mail.mycompany.com:8100, вы получите страницу с уведомлением, что Сервер CommuniGate Pro не предоставляет доступ к домену mail.mycompany.com.

В большинстве случаев доменные имена mail.mycompany.com, webmail.mycompany.com и т.п. должны просто быть другими именами (псевдонимами) домена mycompany.com в CommuniGate Pro. Для того, чтобы выполнить эти настройки, откройте страницу Установки Домена mycompany.com и найдите поле Доменные псевдонимы. В пустом поле введите имя mail.mycompany.com и нажмите кнопку Модифицировать. Теперь Сервер CommuniGate Pro будет знать, что домен mail.mycompany.com - это просто другое имя для обслуживаемого им домена mycompany.com. Запросы на соединения с доменом mail.mycompany.com приведут к установке соединения с доменом mycompany.com, и сообщения, отправленные на адрес username@mail.mycompany.com будут доставляться пользователю username в домене mycompany.com.

Обратите внимание: Если имя, указанное в URL браузера, не является одним из имен Доменов в CommuniGate Pro, то будет открыт Веб Интерфейс Администратора Сервера. Поэтому соединения через порт Веб Интерфейса Администратора (8010) будут работать, хотя соединения через порт Веб Интерфейса Пользователя (8100) вернут "розовую страницу".

Сессия работы через Веб Интерфейс Пользователя прекращается почти сразу же после входа

Когда пользователь работает через "распределённый HTTP прокси-сервер" (используемый обычно крупными интернет-провайдерами, такими как AOL), TCP соединения приходят на CommuniGate Pro с нескольких разных IP адресов этих прокси-серверов. Если в Веб Интерфейсе Пользователя включена опция Защита по Фиксированному Адресу в настройках Пользователя, то соединение через браузер пользователя может быть отвергнуто. Отключите опцию Защита по Фиксированному Адресу для тех пользователей, которые соединяются через "распределённый HTTP прокси". Если большинство ваших пользователей соединяется через такие прокси-сервера, вы можете отключить эту настройку в Умолчаниях для Пользователя Домена или в Общесерверных Умолчаниях для Пользователя.

Что означает ошибка "unassigned local network address" ("не задан локальный адрес сети")?

Компьютер, на котором установлен ваш сервер CommuniGate Pro, имеет один или несколько IP (сетевых) адресов. Эти адреса могут быть назначены Доменам, обслуживаемым CommuniGate Pro. Страница Домены, доступная через Веб Интерфейс Администратора, показывает все домены с IP адресами, закрепленными за ними.

Обычно настройка Присвоенные Сетевые Адреса установлена в значение "Все незанятые", так что все IP адреса, не назначенные дополнительным доменам, автоматически назначаются Главному Домену. Если ни один из ваших Доменов не имеет настройки Присвоенные Сетевые Адреса в значении "Все незанятые", тогда некоторые из IP адресов вашего Сервера могут быть вообще не назначены Доменам.

Когда пользователь соединяется с сервером через POP или IMAP клиент и указывает там только имя пользователя без имени домена или при установлении безопасного соединения (SSL/TLS) Сервер CommuniGate Pro использует локальный IP адрес, на который установлено соединение и пытается найти Домен, которому этот адрес назначен. Если этот IP адрес не назначен ни для какого Домена в CommuniGate Pro, то тогда возникает ошибка "unassigned local network address" ("не задан локальный адрес сети").

Откройте в Веб Интерфейсе Администратора страницу Установки->Общее для того, чтобы увидеть все Сетевые Адреса Сервера. Возможно, потребуется нажать кнопку Обновить для того, чтобы увидеть все адреса. Неназначенные адреса будет отмечены красным цветом.


Справочник

Пользователи Microsoft LDAP (Outlook и Outlook Express) не могут найти записи в Справочнике

Большинство LDAP клиентов (включая Microsoft Outlook) имеют настройку, задающую поддерево Справочника, в котором должны осуществляться операции поиска. В Outlook Express эта настройка находится в Cвойствах Службы Каталога, на вкладке Дополнительно. Она называется Основа Поиска (Search Base) и должна содержать DN для домена пользователя (по умолчанию, DN равен cn=domainname).

Если это поле оставить пустым, то продукты семейства Outlook будут без предупреждения заменять его на строку c=country_code и операция поиска закончится неудачно (за исключением случаев, когда ваш Справочник имеет поддерево c=country_code.

Если вам необходимо осуществлять поиск во всем Справочнике, введите слово top в поле Основа Поиска.

Попытки обновить Настройки Пользователя приводят к ошибке directory record with the specified DN is not found ("записи в справочнике с указанным DN не найдены").

Эта ошибка появляется, когда включена интеграция домена с Центральным Справочником. В этом режиме Сервер CommuniGate Pro должен обновлять записи о Пользователе в Центральном Справочнике всякий раз, когда изменяются Настройки Пользователя. Если Справочник не содержит записей об этом Пользователе, возвращается сообщение об ошибке. Записи о Пользователе могут отсутствовать в Справочнике если Пользователи создавались во время, когда опция интеграции с Центральным Справочником была отключена.

Для того, чтобы исправить эту ошибку, откройте Установки Домена и найдите панель Центральный Справочник. Нажмите кнопку Стереть Все Записи. Эта операция удалит все объекты Домена из Справочника. Затем нажмите на кнопку Создать Все Записи. Сервер CommuniGate Pro создаст запись в Справочнике для Домена, а затем создаст записи в Справочнике для всех Объектов Домена (Пользователи, Группы, Списки Рассылки).

Обратите Внимание: если Домен содержит больше 100,000 Пользователей, то выполнение операции Создать Все Записи может занять несколько минут.


Дата и Время

Отметки времени в посланных или полученных CommuniGate Pro сообщениях отличаются на несколько часов

Эта проблема вызвана неверными настройками Часового Пояса на сервере и/или на машинах клиента. Для того, чтобы проверить установленное значение Часового Пояса на компьютере Сервера, откройте через Веб Интерфейс Администратора CommuniGate Pro страницу Общее в разделе Установки. Поле Время Сервера должно содержать корректные значения Даты и Времени и Часового пояса: -0800 означает 'отставание на 8 часов от GMT', +0800 означает '8 часов впереди GMT'.

Если значение Часового Пояса установлено неверно, исправьте соответствующую настройку Операционной Системы и откройте заново страницу Общее, чтобы убедиться, что значение Часового Пояса установлено правильно.


Системные Журналы

Каждый раз, когда я использую Веб Интерфейс Администратора, в Системном журнале появляется запись ROUTER с информацией о Сбое

Веб Интерфейс Администратора добавляет строку LoginPage@ к имени домена, которые вы указали в URL браузера и пытается применить правила маршрутизации к получившемуся адресу (как и к любому другому адресу). Если маршрутизация заканчивается неуспешно, то Веб Интерфейс Администратора по умолчанию открывает Веб Интерфейс Администратора Сервера главного домена, но в Журнале Маршрутизатора появляется запись о сбое:

ROUTER failed to route 'LoginPage@mail'
Обычно это происходит если вы используете неполное доменное имя (например, mail) вместо полного доменного имени (mail.mydomain.com). Вы должны или указывать полное доменное имя в URL браузера, или должны добавить Псевдоним Домена mail для Домена CommuniGate Pro mail.mycompany.com.

Что означают записи DNR-16538(xxx.xx.x.xx.rss.mail-abuse.org) A:host name is unknown ?

Когда SMTP модуль использует Блокирующие DNS-Сервера (RBL) для проверки IP адреса сервера, пытающегося послать какую-нибудь почту на ваш сервер, он преобразует IP адрес того сервера aa.bb.cc.dd в доменное имя dd.cc.bb.aa.rbl-server-name, и пытается определить адрес этого имени в DNS. Если отсылающий сервер не является известным "нарушителем", и его адрес не включён в базу данных RBL, это созданное доменное имя НЕ существует в DNS и DNR модуль будет эту фиксировать Проблему записью в Системном Журнале.

Если вы используете Блокирующие DNS-Сервера (RBL), то вы можете установить Уровень Журнала на запись событий только типа Основное.


Разное

Какой нестандартный порт UDP Сервер CommuniGate Pro открывает в моей системе?

Это сокет DNR (DNS Клиент). Номер этого порта задаётся Операционной Системой; он может измениться, если вы перезапустите Сервер CommuniGate Pro. Этот сокет используется для отправки запросов (UDP пакетов) на DNS сервера и для получения ответов от этих серверов.

Другие приложения (сервера, браузеры и тому подобное) используют сокет такого же типа для определения адресов доменных имён, но обычно они быстро открывают и закрывают этот UDP сокет, так что вы можете не заметить его в выводе netstat. CommuniGate Pro открывает UDP сокет DNS Клиента при запуске, использует этот сокет для всех DNR запросов и закрывает сокет только при выключении Сервера.

Как я могу настроить CGI-скрипт типа formmail на работу с CommuniGate Pro?

Formail и ему подобные CGI-скрипты используются для отправки сообщений электронной почты из обычных HTML форм на Веб Сервере. Реализованные в форме Perl-скрипта, эти CGI-скрипты используют существующую программу sendmail для отправки созданных сообщений.

На большинстве платформ установщик CommuniGate Pro не замещает существующую программу sendmail, хотя в установочный пакет замена для программы sendmail включена. Для того чтобы использовать эту программу, вы должны модифицировать ваш Perl-скрипт: вы должны найти все cсылки на программу sendmail (обычно используется путь по умолчанию/usr/sbin/sendmail), и заменить их на ссылки {директория программ}/sendmail.

Например, если CommuniGate Pro и ваш CGI установлены на системе MacOS X, директория программ CommuniGate Pro - /usr/sbin/CommuniGatePro/, а CGI-скрипт /usr/sbin/sendmail, то это строки должны быть заменены на /usr/sbin/CommuniGatePro/sendmail.


Руководство CommuniGate Pro. Copyright © 2020-2023, АО СталкерСофт