Почтовый сервер

В начало  Назад  Далее

 В Ideco ICS встроен полноценный почтовый сервер. Отправляемая и получаемая корреспондеция может проверяться на вирусы, спам и вредоносные программы несколькими фильтрами сразу. Поддерживаются все популярные протоколы и схемы работы почтового сервера в сети Интернет и в локальной сети предприятия. Эта инструкция поможет вам настроить полноценный почтовый сервер для отправки и приема почты из сети Интернет в несколько шагов:

1.Регистрация домена
2.Проверка работоспособности домена
3.Настройка почтового сервера на Ideco ICS
4.Настройка клиентских программ для получения и отправки почты
5.Рекомендации по защите сервера

 Дополнительные варианты настройки работы почтового сервера.

Синхронизация с удаленными серверами
Смена хостинга
Настройка почтового релея
Доступ к почте из удаленных филиалов
Корпоративная почта
Работа с веб-почтой

ШАГ1: Настройки DNS-зон для работы с почтовыми серверами из Интернета

Для настройки полноценного почтового сервера на Ideco ICS прежде всего вам нужно зарегистрировать доменное имя. Это можно сделать как у провайдера так и у регистратора (например nic.ru). Прежде чем зарегистрировать домен, убедитесь что на сервере Ideco ICS на внешнем интерфейсе настроен публичный (белый) IP-адрес. Если это не так, то обратитесь к провайдеру с просьбой выделить вам публичный IP-адрес.

В общем случае вы должны настроить доменную зону для публичного IP-адреса и почтовую (MX) запись к ней. Она представляет из себя текстовый файл, к которому дает доступ регистратор (провайдеры, как правило настраивают DNS-зоны сами).  Если вы используете DNS-сервер BIND на Ideco ICS, и доменное имя (mydomain.ru) у вас зарегистрировано, то сами настройки зоны для вашего домена вы можете производить на вашем сервере, но обычно это не требуется.

Пример настройки прямой зоны на сайте регистратора nic.ru

 При регистрации домена на nic.ru как минимум нужно купить его и зарегистрировать на сайте. Нужно различать покупку домена и его регистрацию. Регистрация домена это отдельная услуга на сервисе nic.ru. Покупая домен, вы просто резервируете доменное имя цифробуквенного значения для себя и только вы сможете его использовать в будущем. При регистрации домена вы связываете доменное имя с публичным IP-адресом вашего сервера (в нашем случае это внешний IP-адрес Ideco ICS). После успешной регистрации домен начинает функционировать и DNS-сервера в Интернете ассоциируют имя вашего домена с IP-адресом сервера Ideco ICS.

 Итак: Для работы домена необходимо заказать на сервисе nic.ru следующие услуги.

1.Регистрация домена. (Обязательная услуга при регистрации домена на nic.ru)
2.Primary-DNS (На nic.ru эта услуга дословно называется "primary standart"), можно настроить этот сервис на другом DNS-сервере, например на Ideco ICS.
3.Slave-DNS (На nic.ru эта услуга дословно называется "secondary"), можно настроить этот сервис на другом DNS-сервере, например на Ideco ICS.

 Примечание: В соответствии с требованиями nic.ru для каждого домена услуги приобретаются отдельно. Одна из услуг primary-standart или secondary может быть реализована не на сервисе nic.ru, а например с помощью DNS-сервера BIND на Ideco ICS, другая при этом должна быть приобретена на nic.ru. Если вы реализуете оба сервиса (Primary и Secondary DNS) не на nic.ru, то имейте ввиду, что оба сервера дожны находиться в разных подсетях как минимум с префиксом подсети /24 и не забудьте перечислить их в настройке услуги Регистрации домена. Иначе Регистрация домена не будет настроена в соответствии с требованиями nic.ru и домен не будет успешно зарегистрирован в сети Интернет.

Для успешной регистрации домена на nic.ru нужно указать все DNS-сервера домена. В них входят и primary и slave DNS-сервера. Для серверов вида xxx.nic.ru IP-адрес указывать не надо. Для других DNS-серверов нужно указывать доменное имя DNS-сервера и его IP-адрес. Свои DNS-сервера нужно называть ns<номер>.mydomain.ru. Например: ns1.mydomain.ru.

 Важно! IP-адреса всех DNS-серверов должны быть разными (разные подсети с маской как минимум с префиксом /24). Таким образом для одного домена нельзя одновременно размещать на одном сервере и primary и secondary.

Если услугу Primary-DNS вы приобретаете на nic.ru, то настройка и этой услуги осуществляется прямо на сайте  регистратора через веб-интерфейс. При этом нужно будет перечислить все IP-адреса всех slave-DNS-серверов вашего домена в веб-интерфейсе. Настройка услуги primary standart заключается в редактировании файла первичной зоны для вашего домена непосредственно на сайте nic.ru. Nic.ru в этом случае будет являться первоисточником для вашего домена. В примере ниже показано как войти в личный кабинет на сайте nic.ru и перейти к настройкам услуги primary standart.

enter

Выберите пункт изменение настроек (в примере выделено розовым цветом). Вы попадете на страницу где вы можете приобретать и редактировать услуги для вашего домена. Нас интересует услуга primary standart.

personal_account

В результате увидите следующее окно:

cabinet

Редактирование зоны осуществляется на одной странице и сводится к редактированию отдельных строк файла первичной зоны вашего домена. Фрагмент того как это выглядит на сайте nic.ru представлен ниже:

 

zone

Типичный файл прямой DNS-зоны для домена вымышленного домена mydomain.ru представлен ниже с пояснениями.

 

1  mydomain.ru        600        IN        SOA        ns3.nic.ru.        admin.mydomain.ru. ( 

2                        2006032305        ; serial 

3                        1800        ; refresh 

4                        300        ; retry 

5                        300        ; expire 

6                        300        ; minimum ttl 

7                        ) 

8                 NS        ns8.nic.ru. 

9                NS        ns3.nic.ru. 

10                NS        ns1.mydomain.ru. 

11                TXT         "v=spf1 a mx -all exp=spam.mydomain.ru." 

12                A        1.2.3.4 

13 ns1        A        5.6.7.8 

14 smtp        A        9.10.11.12 

15                MX        10 smtp.mydomain.ru.

16 spam        TXT         "MTA%{c}(%{r}):helo=%{h},sender=%{i},sender=%{s}." 

17 www        CNAME        site.mydomain.ru. 

18 site        A        1.2.3.4 

 

 

Имейте ввиду что в соответствии со стандартом RFC-1034 в названии доменного имени можно использовать только цифробуквенные выражения и символ "-" ( то есть: [a-z],[A-Z],[-] ) все остальные символы, включая "_" использовать запрещено. Так же имейте ввиду что система не различает регистр букв.
Запись типа "A" (прямая запись) или запись адреса связывает имя хоста с адресом IP. Например для зоны mydomain.ru: smtp A 9.10.11.12
Запись типа MX (запись определения почтового посредника) определяет хост, который занимается непосредственно приемом и отправкой почты и должна ссылаться на доменное имя почтового сервера (на А запись), а не на IP-адрес. Так же следует учитывать что MX запись как правило не совпадает с именем обслуживаемого домена. Таким образом для домена вида mydomain.ru MX запись может ссылаться на smtp.mydomain.ru, mail.mydomain.ru или mx10.mydomain.ru. Первый вариант предпочтительней, т.к. некоторые владельцы почтовых серверов настраивают их таким образом, что блокируется прием всех почтовых писем с почтовых серверов, MX запись которых не имеет вида "smtp.somedomain.com".
В файле зоны, в записи SOA должно содержаться доменное имя primary-DNS. (ns3.nic.ru).
В NS-записях для вашего домена, а их должно быть несколько, должны быть перечислены все DNS-сервера.
При указании доменных имен в записях типа MX, CNAME, NS и других необходимо указывать полное доменное имя и завершать его точкой. Например: «smtp.mydomain.ru.». В простейшем случае ваш шлюз и будет являться почтовым сервером, то есть А запись для домена будет ссылаться на публичный IP-адрес шлюза (Ideco ICS), еще как минимум одна А-запись с именем хоста почтового сервера (smtp) будет ссылаться на этот же IP-адрес и MX запись будет ссылаться на А запись хоста почтового сервера.
MX записей может быть несколько, например если у вас настроено несколько smtp серверов. В таком случае приоритет для работы с этими серверами извне будет устанавливаться числом после слова MX. Чем больше число, тем меньше приоритет для сервера. Обычно числа увеличиваются кратно 10, начиная с 10. В нашем примере мы имеем одну MX запись, тем не менее приоритет должен быть, и он уставновлен в стандартное значение 10. В других случаях могла быть еще запись MX или даже несколько записей. Пример нескольких записей показан ниже.Заметьте, у вас два почтовых сервера, для каждого из них есть А запись и МХ запись, ссылающаяся на А запись. Для удобства имя серверов отображает их приоритетность.

...

14 smtp10        A        9.10.11.12 

15 smtp30        A        13.14.15.16

16                MX        10 smtp10.mydomain.ru.

17                MX        30 smtp30.mydomain.ru.

...

Файл прямой зоны, приведенный в примере, учитывает все вышеприведенные требования и рекомендации. В этом файле 1.2.3.4 - это публичный IP-адрес вашего сервера Ideco ICS, 5.6.7.8 - IP-адрес ДНС-сервера, обслуживающего вашу зону, 9.10.11.12 - IP-адрес непостредственно почтового сервера. Все три IP-адреса могут совпадать и быть публичным адресом Ideco ICS. Измените этот файл, учитывая ваши данные. Остальные записи в файле зоны, такие как NS, SOA изменять не нужно. Перед изменением записей CNAME, TXT и др. посоветуйтесь со специалистом.

Для улучшения прохождения ваших писем через сторонние анти-спам системы желательно добавить SPF-записи. Это записи с типом TXT, имеющие специальный формат. Указывать необходимо с точностью до символа.

TXT "v=spf1 a mx -all exp=spam.mydomain.ru." 

Эта запись означает что почту с отправителем ...@mydomain.ru разрешено отправлять только с серверов, чьи адреса указанны в A либо MX записях для данного домена — т.е. Для нашего примера — это smtp.mydomain.ru и mydomain.ru. Если сторонний сервер попытается отправить спам от вашего имени, то другие сервера не примут такое письмо при наличии такой записи в DNS. Необходимо создать запись с именем spam.mydomain.ru и типом TXT в которой нужно указать причину по которой письмо не будет принято сторонними серверами, как в примере:

spam        TXT         "MTA%{c}(%{r}):helo=%{h},sender=%{i},sender=%{s}."

 

Если Slave-DNS планируется приобретать на nic.ru, то в настройках услуги (на nic.ru она называется "secondary") через веб-интерфейс необходимо указать IP-адрес primary-сервера.

 

Так же необходима обратная запись или запись типа PTR. Эта запись должна быть прописана в файле обратной зоны, который не представлен в нашем примере, т.к. создание обратной зоны это исключительно прерогатива провайдера (а не регистратора). Обратитесь к вашему провайдеру с просьбой прописать обратную запись для вашего IP-адреса, ссылающуюся на вашу MX запись (а не на доменное имя).

 Более подробную информацию по настройкам DNS-зон вы можете найти здесь.

ШАГ2: Проверка настроек.

Проверить правильность настроек можно командами nslookup (windows) или host (unix/linux). Для nslookup команда проверки MX записи после применения настроек на серверах регистратора и провайдера будет выглядеть так:

nslookup -type=mx mydomain.ru

в ответ вы должны получить вывод примерно следующего содержания:

mydomain.ru MX preference = 10, mail exchanger = smtp10.mydomain.ru 

mydomain.ru MX preference = 30, mail exchanger = smtp30.mydomain.ru 

smtp10.mydomain.ru internet address = 9.10.11.12 

smtp30.mydomain.ru internet address =  13.14.15.16

Для команды host команда проверки будет выглядеть так:

host -t mx mydomain.ru

в ответ вы должны получить отвед вида:

mydomain.ru mail is handled by 10 smtp10.mydomain.ru 

mydomain.ru mail is handled by 30 smtp30.mydomain.ru 

 

Для проверки PTR записи в Windows можно так же использовать nslookup, команда будет следующая:

nslookup 9.10.11.12

Ответ будет выглядеть следующим образом:

Name:    smtp10.mydomain.ru

Address:  9.10.11.12

Для проверки PTR записи в Linux/Unix лучше использовать команду dig. Команда для проверки будет выглядеть так:

dig PTR 12.11.10.9.in-addr.arpa.

в ответ вы можете получить довольно обьемный вывод, вам нужно найти такой блок вывода:

;; ANSWER SECTION

12.11.10.9.in-addr.arpa.        81461        IN PTR        smtp10.mydomain.ru

как вы видите после "IN PTR"в секции ответа DNS-сервера вы видите доменное имя вашего почтового сервера, полученое из IP-адреса, записанного в системе записи домена in-addr.arpa. Для проверки PTR записи - каждая запись проверяется отдельно.

ШАГ3:Настройка почтового сервера на Ideco ICS для работы в Интернет в соответствии с данными, полученными от регистратора (провайдера)

К моменту настройки почтового сервера все зоны должны быть настройены, DNS-сервера должны применить внесенные изменения касательно ваших зон, записи должны быть вами проверены. При настройке почтового сервера для работы в Интернет важны следующие пункты в локальном меню.

[X] Включить встроенную почту (POP3) - для доставки писем конечным пользователям в сети вашего предприятия по протоколу POP3

[X] Разрешить доступ из Интернет (POP3S) - для возможности доставки почты пользователям, находящимся не в сети предприятия (например для получения почты из дома, из другого офиса) по протоколу POP3 с шифрованием

[X] Включить встроенную почту (IMAP) - для доставки писем конечным пользователям в сети вашего предприятия по протоколу IMAP

[X] Разрешить доступ из Интернет (IMAPS) - для возможности доставки почты пользователям, находящимся не в сети предприятия (например для получения почты из дома, из другого офиса) по протоколу IMAP c шифрованием

Следующие три параметра задействуют Веб-почту на соответствующих адресах. Доступ к Веб-почте можно получить только по протоколу с шифрованием - SSL.

[X] Включить Веб-почту на защищенном адресе

[X] Включить Веб-почту на локальном адресе

[X] Включить Веб-почту на внешнем адресе

В качестве почтового домена вы должны указать доменное имя, которое будет писаться в названии почтовых ящиков после "@". В нашем случае это mydomain.ru.

Из перечисленных выше, обязательными параметрами при настройке почты для работы с Интернет являются:

Включение отдачи писем пользователям в локальной сети по одному из протоколов (POP3 и/или IMAP)
Включение отдачи писем пользователям во внешних сетях по одному из протоколов (POP3S и/или IMAPS)
Почтовый домен

loc_men_externalmail

Если вы будете настраивать почту через веб-интерфейс, то ваши настройки должны выглядеть примерно следующим образом.

web_mail_server

После всех настроек сервер необходимо перезагрузить.

ШАГ4: Настройка клиентских программ для получения почты с сервера Ideco ICS (SASL,POP3S)

При настройке клиентских машин для получения почты возможны следующие варианты:

Доставка почты в локальной сети предприятия (по протоколу POP3/IMAP)

На пользовательских машинах вам нужно установить какой либо почтовый клиент (Thunderbird, Microsoft Outlook, The Bat), либо использовать стандартный почтовый клиент Outlook Express, которым укомплектованы все версии Windows.

В зависимости от того, какой протокол для доставки почты вы выбрали при настройке сервера (POP3/IMAP), настраиваете ваш почтовый клиент на использование того или иного протокола (или обоих сразу).

В случае авторизации по VPN в качестве сервера исходящей и входящей почты нужно указать защишенный адрес Ideco ICS (по умолчанию 10.128.0.0). Если клиент использует авторизацию по IP, IP+ Ideco Agent или Web, то необходимо указать локальный адрес Ideco ICS.

При использовании нашего продукта в качестве почтового сервера в качестве логина для учетной записи почты необходимо указывать часть имени почтового адреса до символа "@" (левую половину почтового адреса).

Доставка почты клиентам в локальной сети и клиентам, подключающимся к локальной сети извне, используя VPN подключение к Ideco ICS (POP3/IMAP).

При такой схеме принципиальных отличий нет, так как вы подключаетесь к локальной сети предприятия по защищенному каналу и организовывать защищенное соединение с почтовым сервером по протоколам POP3S и IMAPS не нужно, в качестве серверов исходящей и входящей почты будет использоваться защищённый адрес (по умолчанию 10.128.0.0).

Работа с почтовым сервером из сети Интернет через защищенное соединение. (POP3S, SASL SMTP/TLS)

На сервере Ideco ICS в локальном меню включаем два пункта:

"Конфигурирование сервера -> Почтовый сервер -> Расширенные настройки почты":

[X] Включить поддержку SASL для аутентификации по SMTP

[X] Включить поддержку TLS для SMTP

У пользователя, почтовый ящик которого должен быть доступен из Интернета, включаем использование почты и разрешаем доступ к почте из Интернет. Как видите поле "E-mail" заполнять не нужно. Логин для почтового ящика автоматически будет приравнен к логину пользователя, но при желании можно указать уникальный e-mail для пользователя:

mail_from_internet

После этого, на компьютере клиента настроим учетную запись Outlook Express для получения и отправки почты по (POP3S, SASL/TLS SMTP):

Создаем новую учетную запись:

1

Вписываем почтовый ящик клиента.

2

Выбираем протокол, по которому сервер будет нам отдавать почту. Формально это POP3, шифрование включим позже. Сервер для отправки и приема почте в нашем случае - Ideco ICS. Указываем его доменное имя, которое к этому времени настроено и правильно распознается DNS-серверами в Интернете (либо можно указать внешний IP адрес сервера).

3

В качестве логина к почтовому ящику указываем часть имени почтового ящика до символа "@" . Указываем пароль. Логин и пароль от почтового ящика совпадают с логином и паролем самого пользователя в БД Ideco ICS.

4

В конце настройки учетной записи у вас должна появиться ваша новая учетная запись в списке учетных записей. Выбираем ее и нажимаем на кнопку "Свойства"

5

В открывшемся окне переходим на вкладку "Дополнительно". Включаем оба пункта "Подключаться через безопасное соединение (SSL)" и меняем порт обращения к POP3-серверу на 995.

6

После этого ваша почтовая учетная запись готова к использованию. Вы можете отправлять и принимать почту в любом месте где есть доступ к сети Интернет по шифрованному соединению с проверкой пользователя и пароля на сервере Ideco ICS.

ШАГ5: Обеспечение безопасной работы сервера в Интернет.

В комплекте идет несколько мощных средств защиты от спама, вирусов и другого вредоносного кода. Прежде всего желательно включить в настройках почтового сервера предварительные спам-фильтры. Рекомендуется так же включить фильтр DSPAM, который в процессе обучения фильтрации, примерно через 2 недели, достигнет оптимального функционала. Так же в комплекте поставки идет бесплатный антивирус ClamAV. Эти компоненты могут использоваться вне зависимости от типа купленной лицензии.

В дополнении к этим мерам вы можете использовать Антивирус и Антиспам Касперского, Dr. Web. По вопросам приобретения этих продуктов обратитесь, пожалуйста, в отдел продаж.

Теперь ваш почтовый сервер можно считать настроенным и готовым к использованию. После применения всех настроек не забудьте перезагрузить сервер.

Далее описаны некоторые специфичные варианты настройки почтового сервера. Ознакомьтесь с ними при необходимости. По всем вопросам настройки обращайтесь, пожалуйста, в отдел технической поддержки.

Синхронизация с удаленным почтовым сервером в Интернете с помощью Fetchmail.

Для того чтобы поместить почту с удаленного почтового сервера на сервер Ideco ICS используем сборщик почты fetchmal настройка которого доступна в локальном меню. "Конфигурирование сервера -> Почтовый сервер -> Расширенные настройки почты -> Загрузка почты с удалённых серверов (fetchmail)". При выборе этого пункта вам становится доступно редактирование правил для работы fetchmail'а. Для каждого почтового ящика создается отдельное правило.

Предположим:

Почтовый домен в Интернете на котором у вас зарегистрирован почтовый ящик: maildomain.ru, его IP-адрес: 10.20.30.40
Почтовый ящик, зарегистрированый на этом сервере имеет логин: petrov.
Пароль от этого ящика: petrovpasswd
Почтовый домен Ideco ICS: mydomain.ru
Почта должна быть направлена в ящик пользователя i.petrov@mydomain.ru

Тогда правило будет выглядеть так:

 

10.20.30.40:pop3 aka maildomain.ru petrov petrovpasswd i.petrov@mydomain.ru

 

Если нужно не удалять загруженные письма с удалённого почтового сервера нужно использовать ключ Keep:

 

10.20.30.40:pop3 aka maildomain.ru petrov petrovpasswd i.petrov@mydomain.ru keep

 

После добавления всех правил и сохранения конфигурации правила начинают действовать незамедлительно и начнется сбор почты с учетных записей удаленного сервера и сортировка писем по почтовым ящикам на сервере Ideco ICS.

Отказ от старого хостинга почты и переход на использование нового сервера настроенного на Ideco ICS

Тут может быть несколько вариантов.

Первый вариант. Самый распространенный. Когда ваш настоящий хостер: maildomain.ru, а вы только что настроили полноценный почтовый сервер на Ideco ICS.

Рассмотрим случай с использованием fetchmail, описанный выше. Если вы хотите перестать пользоваться почтой у хостера (в примере maildomain.ru), то сразу после сбора почты с вашего старого почтового домена делаете перенаправление каждой учетной записи на новый почтовый домен, настроеннный на сервере Ideco ICS. Обычно эта функция доступна через web-интерфейс в свойствах каждого конкретного почтового ящика. Перенаправляем письма с текущего ящика у хостера на ящик того же пользователя в новом почтовом домене. То есть в веб-интерфейсе хостера в свойствах ящика petrov@maildomain.ru выбираете функцию перенаправления (редирект или forward) на i.petrov@mydomain.ru. Таким образом вся приходящая на этот ящик почта будет перенаправляться на ящик в вашем почтовом домене на почтовый сервер Ideco ICS. За более подробной информации по настройке перенаправления обратитесь к вашему хостеру. При такой схеме не нужно удалять ящики у старого хостера как можно дольше.

При этом:

Старые почтовые ящики у хостера продолжают действовать. Клиенты знают о них и отправляют почту на них, но вся почта автоматически перенаправляется на ваш почтовый сервер на Ideco ICS. Таким образом вы не теряете старых клиентов.
Вы можете везде публиковать ваши новые почтовые ящики из домена mydomain.ru и пользоваться ими. Все ваши новые клиенты будут знать только о новых ящиках.
Все происходит прозрачно для пользователей вашей компании, они просто начинают пользоваться ящиками из домена mydomain.ru, в то же время корреспонденция от старых клиентов тоже приходит им, но пользователя могут не следить и попросту "забыть" о своих старых учетных записях у хостера.
Вся корреспонденция оставшаяся находившаяся у хостера переписывается на ваш новый почтовый домен и пользователям доступна их старая переписка.

Второй вариант. Вы когда то зарегистрировали домен mydomain.ru у хостера и почтовый сервер тоже при этом находился у хостера. Таким образом MX запись ссылалась на почтовый сервер, находящийся у хостера. Вы хотите сохранить домен, но почтовый сервер настроить на Ideco ICS. В таком случае вам нужно поменять MX запись так, чтобы она ссылалась на публичный адрес непосредственно на Ideco ICS. MX запись должна ссылаться на А запись, которая в свою очередь будет ссылается на публичный адрес Ideco ICS в Интернете. У хостера, обслуживающего ваш домен надо завести запись типа А. И настроить MX запись на эту А запись. Например:

...

smtp                A        11.22.33.44

         MX 10 smtp.hostingdomain.ru.

...

Где 11.22.33.44 это публичный IP-адрес Ideco ICS. hostingdomain.ru - доменное имя, для которой настроена DNS-зона в которой вы и будете вносить изменения.

Так как вариантов настройки в этом случае может быть много, то указать конкретные примеры будет сложно. Общий смысл перехода от использования одного почтового сервера к другому, не меняя регистратора и доменной зоны - это ассоциирование MX записи у регистратора с вашим новым почтовым сервером на Ideco ICS. Вам лучше согласовать этот вопрос с держателем вашей зоны.

Настройка почтового релея для сервера в локальной сети

Если Ideco ICS имеет внешний IP-адрес и на него зарегистрирован домен и настроены необходимые записи у регистратора и провайдера, но вы хотите чтобы отправкой и доставкой почты занимался другой сервер (к примеру заранее настроенная машина в локальной сети), то Ideco ICS может ретранслировать всю входящую почту на эту машину.

Для настройки почтового релея обратимся к пункту локального меню "Конфигурирование сервера - Почтовый сервер - Расширенные настройки почты - Relay-домены"
В этом пункте нужно добавить запись вида: mydomain.ru 10.20.30.40 , где
mydomain.ru - ваш почтовый домен, зарегистрированный в Интернете на публичный адрес Ideco ICS.
10.20.30.40 - адрес вашего почтового сервера в локальной сети.

Принципиально, чтобы почтовый домен Ideco отличался от Relay-домена. (в поле Почтовый домен в настройках почтового сервера в локальном меню можно прописать вымышленный домен не совпадающий с зарегистрированным)

При такой схеме Ideco ICS будет пропускать проходящую через себя почту прямо на почтовый сервер в локальной сети.

 Важно! Релей не должен быть открыт всем (внешним сетям Интернет), что позволяет недоброжелателям отправлять письма через ваш сервер, иначе ваш сервер моментально попадет в спам-листы и перестанет работать. Для этого достаточно строго следовать рекомендациям, приведённым ранее. Попутно письма могут проверяться на вирусы и спам, просто включите соответствующие сервисы.

Доступ к почтовому серверу из удаленных офисов.

Можно настроить почтовый сервер для обслуживания нескольких филиалов, связанных между собой одним из описанных здесь способом и с настроенной маршрутизацией между локальными сетями этих филиалов. При этом все почтовые ящики пользователей, находящихся во всех филиалах вашего предприятия, будут работать централизовано и под одним доменом. Настаивая такую схему работы почтового сервера мы подразумеваем что устройства в локальных сетях удаленных филиалов уже имеют доступ к локальной сети головного офиса с настроенным почтовым сервером на Ideco ICS, маршрутизация работает. Роутерами в филиалах может выступать не только шлюз Ideco ICS, в таком случае связать такую сеть с головным филиалом удобнее всего по технологии PPTP. Есть два варианта работы с почтой из удаленных филиалов.

1. Клиенты удаленных филиалов имеют свои учетные записи пользователей на основном сервере Ideco ICS.

Для того чтобы эта схема заработала надо настроить:

Отдельную учетную запись на головном сервере Ideco ICS с включенной галочкой e-mail.
Для работы с почтой клиент должен быть авторизован на головном сервере Ideco ICS.

Процесс подключения и работы со своим почтовым ящиком на головном сервере выглядит так:

Клиентская машина авторизуется на Ideco ICS в головном офисе по одному из типов авторизации под настроенной на головном сервере учетной записью для нее. Если в удаленном офисе роутером выступает Ideco ICS, то клиентская машина должна быть авторизована дважды: непосредственно на роутере филиала (например по ip-авторизации) и на Ideco ICS головного филиала (например по PPTP протоколу).
Клиентская почтовая программа (Thunderbird, Outlook, Bat) на компьютере пользователя в удаленном филиале настраивается на использование SMTP (для отправки писем) и POP или IMAP (для получения писем) протоколов на головном шлюзе Ideco ICS (а не на шлюзе своего филиала)
При первом подключении через почтовую программу-клиента к головному серверу Ideco ICS будет создан почтовый ящик для вашей учетной записи на головном сервере.
Далее вы можете получать и отправлять почту через головной офис. Данные будут передаваться от головного сервера к вам по защищенному соединению настроенному вами заранее.

2. Клиенты в удаленных филиалах должны иметь доступ к уже созданным и используемым ранее ими из сети головного офиса почтовым ящикам без авторизации на сервере головного офиса. (Нужно тем лицам, кто часто перемещается между филиалами предприятия. Например директору или логисту)

Для того чтобы эта схема работала нужно настроить:

В расширенных настройках почового сервера в поле "Доверенные сети" нужно добавить локальную сеть удаленного офиса (например: 10.0.0.0/24) из которого вы производите подключение к головному офису.

Процесс подключения и работы со своим почтовым ящиком на головном сервере выглядит так:

Клиентская почтовая программа (Thunderbird, Outlook, Bat) на компьютере пользователя в удаленном филиале настраивается на использование SMTP (для отправки писем) и POP или IMAP (для получения писем) протоколов на головном шлюзе Ideco ICS (а не на шлюзе своего филиала)

Необходимые настройки для запуска почтового сервера только для работы в локальной сети предприятия (корпоративная переписка).

Настройки на сервере. В локальном меню или в вебинтерфейсе в разделе Почтовый Сервер.

Включить встроенную почту (POP3 или IMAP)
Указать вымышленный почтовый домен. Например vpn.mydomain.ru
По желанию включить вебпочту на защищенном и/или локальном адресе Ideco ICS.
По желанию для удобства сортировки статистики пользователей изменить поле "IP-адрес почты для пользователей". Адрес будет создан виртуально на шлюзе.

Настройки касающиеся клиента:

В веб-интерфейсе, в настройках аккаунта пользователя включите галочку "Разрешить почту"
По желанию укажите имя почтового аккаунта отличное от логина пользователя. Например security@vpn.mydomain.ru. Именно с доменной частью после символа "@".
Желательно при первом входе в почтовый аккаунт пользоваться почтовыми клиентами на конечном ПК. Например Thunderbird, Outlook, The Bat, Evolution, а не веб-почтой.

Работа с веб-почтой.

Для того чтобы иметь возможность работы с почтой через веб-интерфейс, вам нужно дополнительно в настройках почтового сервера включить работу веб-сервера на одном или нескольких адресах, в зависимости от того какой тип авторизации используется клиентами вашей сети:

Включить Веб-почту на защищенном адресе - для доступа к почте при ppp-подобных типах авторизации клиентов по защищенному адресу сервера. По умолчанию 10.128.0.0.

Включить Веб-почту на локальном адресе - если в вашей сети используются ip-подобные типы авторизации. Веб-интерфейс почты будет доступен по адресу локального сетевого интерфейса Ideco ICS.

Включить Веб-почту на внешнем адресе - задействует веб-сервер для почты на внешнем адресе Ideco ICS. Таким образом можно попасть в свой почтовый ящик на сервере из любого места, где есть подключение к сети Интернет.

Доступ к Веб-почте можно получить только по протоколу с шифрованием - SSL. Для доступа к Веб-почте, в зависимости от выбранного выше варианта работы веб-сервера почты, необходимо набрать в адресной строке браузера:

 "https://<доменное имя или IP-адрес>/mail"

Если в настройках почтового сервера вы задействовали отдельный адрес в локальной сети для почтового сервера, настроив параметр "IP-адрес почты для пользователей", то адрес сервера веб-почты будет следущим:

 "https://<IP-адрес почты для пользователей>/"

Важно!:  При первом входе в почтовый аккаунт пользоваться почтовыми клиентами на конечном ПК. Например Thunderbird, Outlook, The Bat, Evolution, а не веб-почтой.