При пересылке сообщения SMTP-сервер вначале устанавливается соединение со следующим узлом. Если это соединение не установлено или по каким-либо причинам недоступно, SMTP-сервер отклоняет прием сообщения от клиента и уведомляет его об ошибке (non delivery event – "невозможно доставить"). SMTP-сервер по умолчанию напрямую соединяется с сервером, на котором находится домен-получатель сообщения. Возможна настройка SMTP-сервера на разгрузку ресурсов аутентификации клиентов, управление состоянием подключения и перенаправление сообщений. В отдельных случаях ближайший узел может не принимать SMTP-почту, так как некоторые администраторы устанавливают SMTP-серверы, предназначенные только для отправки сообщений, чтобы разгрузить SMTP-серверы, получающие сообщения. Несмотря на свое название, службы SMTP не всегда столь проста.

Средства администрирования IIS 6 позволяют сконфигурировать SMTP-сервер для распространения служб обмена сообщениями на разнообразные аппаратные платформы и сетевые структуры. Маршрутизация сообщений, шифрование и аутентификация настраиваются в соответствии с уникальным характеристикам конкретной сети и организации.

При работе с такой всеобъемлющей архитектурой администратору необходимо контролировать следующее.

• Аутентификацию клиентов на SMTP-сервере перед отправкой сообщений.
• Передачу сообщений клиента на SMTP-сервер.
• Отправку сообщений с SMTP-сервера.
• Маршрутизацию сообщений с SMTP-сервера.
• Настройки SMTP для заданного домена SMTP.

Управление службой SMTP

Рекомендуется использовать для администрирования службы SMTP в Windows Server 2003 оснастку Computer Management (Управление компьютером) консоли MMC, поскольку эта консоль содержит множество дополнительных оснасток, предназначенных для решения других задач WS03.

Для подготовки к использованию оснастки MMC Computer Management выполните следующее.

• Откройте окно Start\All Programs\Administrative Tools\Computer Management (Пуск\Все программы\Администрирование\Управление компьютером).
• В консоли Computer Management (Управление компьютером) щелкните на узле Services And Applications (Службы и приложения).
• Щелкните на узле Internet Information Services Manager (Диспетчер IIS).

В отличие от других служб IIS, служба SMTP не содержит единого узла, который можно использовать для администрирования всех вхождений службы. У службы FTP, например, такой узел имеется. Это узел FTP Sites (FTP-узлы) в консоли MMC, который позволяет вносить изменения в конфигурацию сразу всех FTP-сайтов. Виртуальные серверы SMTP создаются независимо друг от друга и подчинены узлу IIS. У службы SMTP есть свой узел в области Services (Службы) консоли MMC, как и у любой другой службы. Приложение SMTP-службы можно открыть для администрирования.

Просмотр состояния виртуального сервера SMTP

При настройке оснастки Computer Management на представление Detail (Детали) в правой часть окна отображается подробная информация об элементе, выбранном в левой части. Представление List (Список) устанавливается по умолчанию и отображает только значки и имена элементов, вложенных в указанный узел. Для смены представления щелкните правой кнопкой мыши в правой части консоли и выберите View\Detail (Вид\Детали). Если в левой части консоли выделен узел IIS (см. рис. 4.1), то в правой области консоли отобразятся все виртуальные серверы SMTP, созданные на узле, и следующая информация.

• Name (Имя). Имя виртуального сервера SMTP.
• Status (Состояние). Состояние виртуального сервера SMTP: выполняется, приостановлен или остановлен.

Запуск, приостановка и остановка виртуальных серверов SMTP

Запуск виртуального сервера SMTP позволяет ему отвечать на запросы. Виртуальный сервер SMTP запускается после создания. В случае конфликта конфигурации запуск будет невозможен. Виртуальный сервер SMTP прекращает свою работу при остановке или приостановке. Во время приостановки он не отвечает на новые запросы об отправке сообщений, однако продолжает обработку имеющихся. Приостановка работы позволяет администратору изменять настройки сервера без остановки и внесения изменений. Остановка виртуального сервера SMTP, в отличие от приостановки, запрещает ответы на любые запросы и обработку очередей сообщений, созданных перед выполнением команды остановки.

В узле IIS консоли MMC Computer Management значки виртуальных серверов SMTP выглядят как конверты – посмотрите на сервер Default SMTP Virtual Server на рис. 4.1. Если виртуальный SMTP-сервер не выполняется, то на значке конверта отображается небольшой крестик в красном кружке – так выглядит сервер stopped на рис. 4.1. Для запуска, приостановки и остановки виртуального сервера SMTP щелкните правой кнопкой мыши на узле в консоли Computer Management (Управление компьютером) и выберите команду Start (Пуск), Pause (Пауза) или Stop (Остановка) соответственно.

Запуск, приостановка и остановка службы SMTP

Запуск, приостановка или остановка службы SMTP распространятся на все виртуальные серверы SMTP, находящиеся на узле. Остановка службы SMTP вызовет остановку этих серверов. Если SMTP-сервер остановлен, то запуск службы SMTP приведет к автоматическому запуску всех виртуальных SMTP-серверов, запущенных (или приостановленных) перед выполнением команды остановки. Виртуальные SMTP-серверы, остановленные перед отключением службы SMTP, останутся в таком состоянии и после ее запуска. Приостановка службы SMTP вызовет приостановку всех виртуальных серверов SMTP, запущенных или приостановленных перед выполнением команды приостановки. Если виртуальный сервер SMTP был остановлен перед приостановкой службы SMTP, его состояние не изменится. Как ни странно, запуск службы SMTP после ее приостановки возвратит все виртуальные серверы SMTP в исходное функциональное состояние, что несколько отличается от процесса, происходящего при запуске службы SMTP после ее остановки. В этом случае запускаются все виртуальные SMTP-серверы, включая и те, что были приостановлены перед выполнением остановки. Общая информация по запуску и остановке службы SMTP и их влиянии на виртуальные серверы приведена в табл. 4.1.

Управление службой SMTP осуществляется посредством апплета службы SMTP, открываемого в узле Services (Службы) консоли MMC. Для получения доступа к апплету разверните узел Services And Applications (Службы и приложения) в левой части консоли Computer Management (Управление компьютером) и выделите узел Services (Службы). Условное обозначение службы и узла Services (Службы) – значок с изображением двух шестеренок (см. рис. 4.2). Если консоль Computer Management была открыта раньше для узла IIS, то узел Services (Службы) располагается с ним на одном уровне.

При выделении узла Services (Службы) в правой части консоли отображается список служб, загруженных на главном сервере, расположенный в алфавитном порядке. Служба SMTP находится в нижней части списка (см. рис. 4.2). Для обращения порядка сортировки щелкните на заголовке столбца. При выборе из данного списка службы SMTP слева отобразятся ссылки для ее запуска, остановки и приостановки.

Тип запуска службы SMTP

Дважды щелкните на значке службы SMTP в консоли MMC для открытия апплета службы SMTP, обеспечивающего запуск, остановку и приостановку службы, подобно действию ссылок в правой части консоли. Апплет службы SMTP содержит также параметры для настройки запуска и выполнения службы.

По умолчанию служба SMTP настроена на автоматический запуск при загрузке узла. Можно изменить конфигурацию службы SMTP в области Startup Type (Тип запуска) вкладки General (Общие) – настроить ее на запуск вручную, полностью отключить. Значение Automatic (Автоматически) параметра Startup Type (Тип запуска) обеспечивает запуск службы SMTP при загрузке узла. Тип запуска Disabled (Отключена) отключает службу SMTP, а тип запуска Manual (Вручную) требует запуск службы администратором вручную после загрузки узла.

Создание и настройка виртуальных серверов SMTP

Для осуществления отправки сервером WS03 электронной почты с помощью SMTP на нем должна работать служба SMTP. Если служба SMTP установлена и работает, для ее использования необходимо создать виртуальный сервер SMTP. По умолчанию он создается при установке службы SMTP. Для добавления другого виртуального сервера SMTP используйте мастер из консоли Computer Management (Управление компьютером), который выполняет базовую настройку виртуального сервера SMTP. В отличие от FTP- и Web-серверов, являющихся частью IIS, виртуальные серверы SMTP не могут создаваться из файлов конфигурации или экспортироваться. Также отсутствует сценарий администрирования SMTP и создания виртуальных серверов SMTP. Мастер создания виртуальных SMTP-серверов (New SMTP Virtual Server Wizard) предназначен только для создания администратором нового виртуального сервера SMTP.

Создание виртуального сервера SMTP

Каждый параметр виртуального сервера SMTP, за исключением домашнего каталога, можно изменить позже (после создания) с помощью окна Properties (Свойства) консоли Computer Management (Управление компьютером). Для создания виртуального сервера SMTP с помощью New SMTP Virtual Server Wizard (Мастера создания виртуальных SMTP-серверов) выполните следующие действия.

1. Щелкните правой кнопкой мыши на узле Internet Information Services Manager (Диспетчер IIS) в левой части консоли MMC и выберите команду New\SMTP Virtual Server (Создать\Виртуальный сервер SMTP).
2. Откроется окно мастера. Введите имя создаваемого сайта (см. рис. 4.3). Имя должно быть информативным, по которому можно идентифицировать сайт. Введенное здесь имя будет отображаться рядом с узлом виртуального SMTP-сервера в консоли Computer Management.

    

   
   
   Рис. 4.3.  Запрос имени виртуального сервера SMTP в мастере создания виртуальных SMTP-серверов

    

    
3. Нажмите на кнопку Next (Далее) для продолжения работы.
4. В следующем окне введите IP-адрес (см. рис. 4.4). Этот IP-адрес используется сообщениями, передаваемые и принимаемые главным сервером. Значением по умолчанию является (All Unassigned) (Все незанятые), однако при наличии нескольких IP-адресов они отобразятся в ниспадающем списке. Так как этот список основан на исключениях, при отсутствии значения в списке администратор не сможет указать его в поле. Если главный сервер имеет только один IP-адрес (как в нашем примере), разрешается выбрать только одно значение – (All Unassigned) (Все незанятые). Оставьте это значение в поле и нажмите на кнопку Next (Далее).

    

   
   
   Рис. 4.4.  Окно мастера создания виртуальных SMTP-серверов для указания IP-адреса

    

    
5. Отобразится окно Select Home Directory (Выбор домашнего каталога). Домашним каталогом является путь к месту расположения на главном сервере, в которое SMTP-служба записывает сообщения и файлы, относящиеся к виртуальному SMTP-серверу. В этом каталоге для любого виртуального сервера SMTP создаются следующие подкаталоги.
   • BadMail. Каталог для записи сообщений, вернувшиеся с отчетом о невозможности доставки.
   • Drop. Каталог для записи всех входящих сообщений данного домена.
   • Pickup. Каталог для записи сообщений, используемых службой сообщений.
   • Queue. Каталог, в котором сообщения электронной почты ставятся в очередь для использования удаленно инициированной доставкой при наличии поддержки удаленного домена.
    

   Выберите путь (см. рис. 4.5) к домашнему каталогу. Нажмите на кнопку Browse (Обзор) для перехода к нужному месту расположения (при необходимости).

    

    

   
   
   Рис. 4.5.  Окно выбора домашнего каталога мастера создания виртуальных SMTP-серверов

    

    
6. После указания пути нажмите на кнопку Next (Далее) для открытия окна Default Domain (Домен по умолчанию). Доменом по умолчанию является имя домена, присоединяемое к данному имени учетной записи в процессе аутентификации. Введите значение в текстовое поле (см. рис. 4.6) и нажмите на кнопку Finish (Готово). Мастер сгенерирует новый виртуальный сервер SMTP.

    

   
   
   Рис. 4.6.  Указание имени домена по умолчанию

    

    

Конфликт IP-адреса и порта

Если виртуальный SMTP-сервер уже настроен на главном сервере, и IP-адрес для имеющегося виртуального сервера SMTP тот же самый, что указан в окне Select IP Address (Выбор IP-адреса), то отобразится сообщение об ошибке (см. рисунок ниже). Если у вас возникли сомнения, нажмите на кнопку Yes (Да), что не вызовет никаких проблем в текущей работе служб виртуальных каталогов SMTP-сервера. IP-адрес и порт для нового виртуального каталога SMTP можно сменить позднее. При наличии конфликта между IP-адресами нового и имеющегося SMTP-сервера новый виртуальный сервер будет остановлен после создания, сбоев в работе имеющегося виртуального каталога SMTP не произойдет.

Настройка виртуального сервера SMTP

После создания нового виртуального SMTP-сервера администратору, скорее всего, нужно будет настроить некоторые функции. Это делается двумя способами: в окне Properties (Свойства) самого виртуального SMTP-сервера либо в окне Properties каждого домена виртуального сервера SMTP. Используя эти окна, можно сконфигурировать виртуальный сервер SMTP в соответствии с требованиями организации к работе с сообщениями.

Открытие окна свойств виртуального сервера SMTP

Для открытия окна Properties (Свойства) виртуального SMTP-сервера выполните следующие действия.

1. Откройте оснастку MMC Computer Management (Управление компьютером) и щелкните на узле Services And Applications (Службы и приложения) в левой части консоли, чтобы отобразить доступные подчиненные узлы.
2. В узле Services And Applications (Службы и приложения) расположен узел Internet Information Services Management (Управление IIS). Щелкните на этом узле для отображения вложенных узлов.
3. Щелкните правой кнопкой мыши на узле виртуального сервера SMTP в левой части консоли и выберите Properties (Свойства). Откроется окно Properties, в котором находятся параметры виртуального сервера, предназначенные для настройки администратором.

Открытие окна свойств домена в виртуальном сервере SMTP

Для открытия окна Properties (Свойства) домена виртуального сервера SMTP выполните следующие действия.

1. Откройте консоль Computer Management (Управление компьютером) и найдите виртуальный сервер SMTP, к которому относится домен.
2. Щелкните на узле виртуального SMTP-сервера в левой части консоли MMC для отображения вложенных узлов. Появятся два вложенных узла (для каждого виртуального сервера SMTP) с именами Domains (Домены) и Current Sessions (Текущие сеансы).
3. Щелкните на узле Domains (Домены) для отображения в правой части консоли доменов, используемых виртуальным SMTP-сервером.
4. Щелкните правой кнопкой мыши на имени соответствующего домена в правой части консоли MMC, затем выберите в появившемся меню Properties (Свойства) для открытия окна свойств.

Параметры подключения

SMTP-сервер, в основном, предназначен для отправки и приема сообщений определенного домена. Количество единовременных подключений, поддерживаемое виртуальным сервером SMTP, и допустимый интервал времени соединения оказывают сильное влияние на общее использование ресурсов главным сервером. Если слишком много клиентов одновременно будут отправлять или принимать сообщения, сервер не сможет выполнять другие важные задачи. Ограничение числа единовременных подключений, поддерживаемых SMTP, обеспечивает защиту сервера от атак на отказ в обслуживании (DoS), направленных на бесцельную растрату сервером своих ресурсов при обработке огромного числа фиктивных запросов. Количество единовременных подключений ограничивается максимальным количеством подключений и максимально разрешенным временем соединения для неактивных пользователей. Установка разрешенного интервала соединения приведет к закрытию подключений клиентов, которые не проявляли активности в это время; таким образом, произойдет отключение соединений, бесполезных и для клиента, и для сервера.

Подключения для входящих сообщений

Для установки количества подключений, поддерживаемых виртуальным сервером SMTP для клиентов-отправителей сообщений, выполните следующие действия.

1. Откройте окно Properties (Свойства) виртуального SMTP-сервера (см. выше).
2. По умолчанию откроется вкладка General (Общие). Здесь расположена опция Limit Number Of Connections To (Ограничить количество подключений). Отметьте опцию, чтобы сделать доступным текстовое поле, расположенное справа от нее.
3. В текстовом поле укажите максимальное количество одновременных соединений с сервером для отправки сообщений. По умолчанию ограничение на количество подключений не установлено. Введите необходимое значение – от 1 до 1999999999. Трудно рекомендовать какое-то определенное значение, поскольку этот параметр зависит от большого числа факторов, специфичных для конкретной среды, например, от занятости сервера, сети и ресурсов сервера.
4. Временем простоя соединения по умолчанию является 10 мин. Этот параметр также расположен во вкладке General (Общие) окна свойств под опцией Limit Number Of Connection. В текстовом поле Connection Time-Out (Minutes) (Время простоя соединения, мин) введите максимальный промежуток времени, в течение которого сервер будет поддерживать подключение, не используемое клиентом. Клиент, возможно, инициировал подключение и по причине ошибок не смог завершить запрос или правильно закрыть соединение. Без указания времени простоя сервер SMTP может до бесконечности ожидать ответ клиента, который не подтвердил запрос на подключение. При указании периода простоя SMTP-сервер отключит соединение по прошествии заданного времени.

Подключения для исходящих сообщений

В окне Properties (Свойства) виртуального сервера SMTP можно установить максимальное количество подключений для исходящих сообщений.

1. Откройте в окне Properties вкладку Delivery (Доставка).
2. Нажмите на кнопку Outbound Connections (Исходящие подключения) для открытия окна Outbound Connections.
3. Опция Limit Number Of Connections To (Ограничить количество подключений) отмечена по умолчанию и установлена равной 1000 подключениям, а время простоя – 10 мин. Установите максимальное количество подключений для исходящих сообщений – от 1 до 1999999999.
4. В окне Outbound Connections администратор может задать количество подключений для конкретного домена и номер порта, используемого для исходящих подключений. Установите значение подключений для домена меньшим общего количества подключений, разрешенного для исходящих сообщений. По умолчанию для исходящих и входящих подключений используется порт 25. Если требуется сменить порт в целях безопасности или согласно условиям ограничений, выберите порт, отличающийся от того, который используется входящими сообщениями.

Настройка журнала

Как и для служб WWW и FTP, IIS ведет журналы событий SMTP и ее взаимодействия с виртуальным сервером SMTP для данного подключения. Для каждого виртуального SMTP-сервера генерируется один журнал, если включена опция ведения журнала. С помощью окна Properties (Свойства) виртуального сервера SMTP администратор может включить или выключить ведение журнала, указать стиль журнала, расположение его файла или базы данных, а также данные, которые необходимо фиксировать в журнале.

Для настройки ведения журнала виртуального SMTP-сервера выполните следующие действия. Откройте окно Properties (Свойства). Во вкладке General (Общие) располагается область Enable Logging (Включить журнал) и соответствующая опция. Отметьте опцию Enable Logging для включения ведения журнала и настройки журнала. По умолчанию эта опция не отмечена, и, следовательно, ведение журнала отключено. В ниспадающем меню Active Log Format (Формат активного журнала) определите место записи данных журнала: база данных или текстовый файл. Дополнительные сведения о настройке журнала приведены в лекции 11.

Управление входящими сообщениями

Для виртуального SMTP-сервера можно также настроить параметры сообщений. В зависимости от характеристик сообщения он будет обрабатывать его определенным образом. Можно установить следующие параметры сообщений.

• Limit Of Message Size (Ограничение размера сообщения). Максимальный размер сообщения, поддерживаемый виртуальным сервером SMTP. Сообщения большего размера не принимаются, а клиент получает сообщение об ошибке.
• Limit On Session Size (Ограничение размера сообщений за сеанс). Максимальный размер всех сообщений для рассматриваемого подключения, разрешенный виртуальным SMTP-сервером.
• Limit On The Number of Message For A Given Connection (Ограничение количества сообщений для данного подключения). Максимальное количество сообщений, разрешенное виртуальным SMTP-сервером для рассматриваемого подключения.
• Limit On The Number of Recipients Per Message (Ограничение количества получателей каждого сообщения). Максимальное количество получателей каждого конкретного сообщения, поддерживаемое виртуальным сервером SMTP.
• Address For Sending A Non-Delivery Report To (Адрес отправки отчета о невозможности доставки). Адрес электронной почты, по которому виртуальный SMTP-сервер будут отправлять отчеты о невозможности доставки сообщений.
• Directory For Storing Non-Delivery Reports (Каталог для хранения отчетов о невозможности доставки). Путь к каталогу на главном сервере для хранения отчетов о невозможности доставки, сгенерированных виртуальным сервером SMTP.

Для изменения любого параметра откройте в окне Properties (Свойства) виртуального SMTP-сервера вкладку Messages (Сообщения) (см. рис. 4.7) для отображения соответствующих настроек.

Установка ограничения размера сообщений

Максимальный размер сообщений по умолчанию равен 2048 Кб, минимальный размер – 1 Кб. Это параметр задает размер отдельного сообщения, поддерживаемый виртуальным сервером SMTP. Сообщения, размер которых больше установленного ограничения, отклоняются, а клиенту направляется сообщение об ошибке. Значение параметра определяется в поле Limit Message Size To (KB) во вкладке Messages (Сообщения) (см. рис. 4.7). Если ограничение не требуется, отключите опцию.

Ограничение размера можно установить и для всего сеанса в целом. Сеансовым размером сообщений является сумма размеров всех тел сообщений для заданного подключения. Поле Limit Session Size To (KB) (Ограничить сеансовый размер сообщений) определяет максимальный размер всех сообщений сеанса (в Кб), разрешенный виртуальным SMTP-сервером для заданного подключения. Значение по умолчанию – 10240 Кб. Минимальное значение должно быть больше параметра Limit Message Size (Ограничение размера сообщения). Для ограничения сеансового размера сообщений отметьте соответствующую опцию, для снятия ограничений – отключите опцию. В случае превышения указанного параметра для заданного сеанса виртуальный SMTP-сервер отправит клиенту сообщение об ошибке, и транзакция, запрошенная клиентом, не будет завершена.

Ограничение количества сообщений для соединения

Количество сообщений, отправляемое через данное соединение, также можно использовать в качестве меры, ограничивающей расход ресурсов сервера. Используя значение опции Limit Number Of Messages Per Connection To (Ограничить количество сообщений для каждого подключения), виртуальный SMTP-сервер обрабатывает сообщения для конкретного подключения до тех пор, пока их количество не достигнет заданного. В случае превышения предельного значения устанавливается новое подключение, и оставшиеся сообщения будут обрабатываться во вновь созданном сеансе, пока их количество не превысит допустимый предел. Такая настройка обеспечивает обработку SMTP-сервером меньших пакетов сообщений и уменьшает уровень общего расхода ресурсов указанного сервера. По умолчанию ограничение включено и установлено равным 20 сообщениям.

Для отдельного соединения также устанавливается ограничение количества получателей сообщения. При включении опции Limit Number Of Recipients To (Ограничить количество получателей) виртуальный SMTP-сервер работает с ограниченным количеством получателей, затем создает новое подключение для обработки оставшейся части получателей. По умолчанию опция включена, значение по умолчанию –100. Если в сообщении указывается более ста получателей, виртуальный сервер SMTP создает новое подключение и завершает отправку сообщений оставшимся получателям.

Отчеты о невозможности доставки

Если при отправке сообщения возникает ошибка, то это может воспрепятствовать доставке сообщения. В этом случае можно сгенерировать отчет с описанием ошибки. Отчеты о невозможности доставки передаются по адресу электронной почты, указанному в поле Send Copy Of Non-Delivery Report To (Отправлять копию отчета о невозможности доставки по адресу). Если адрес электронной почты не указан, то отчет передаваться не будет.

Неотправленное или возвращенное отправителю сообщение сохраняется в каталоге badmail. Каталог badmail располагается в файловой системе главного сервера и, как правило, представляет собой подкаталог в домашнем каталоге виртуального SMTP-сервера. Просмотр сообщений в каталоге badmail является полезным мероприятием, с помощью которого администратор выявляет проблемы, связанные с безопасностью данного клиента, а также систематические ошибки другого типа, возникающие в системе обмена сообщениями, например, из-за некорректного построения сообщения клиентом.

Управление доставкой сообщений

Помимо приема сообщений служба SMTP реализует их отправку. Для отправки сообщений виртуальный сервер SMTP устанавливает соединение с другим сервером и проверяет его готовность к приему сообщений. Параметры, влияющие на способ отправки сообщений виртуальным SMTP-сервером, находятся во вкладке Delivery (Доставка) окна Properties (Свойства) виртуального сервера SMTP (см. рис. 4.8).

Настройка повторных попыток и интервалов

В области Outbound (Исходящие) вкладки Delivery (Доставка) настраиваются параметры доставки сообщений. Параметр First Retry Interval (Minutes) (Интервал перед первым повтором, мин) указывает время, в течение которого сервер ожидает повторной доставки сообщения, не доставленного с первого раза. Значение по умолчанию – 15 мин, диапазон допустимых значений находится в интервале от 1 до 9999 мин. Если возникает ошибка при второй попытке доставки сообщения, сервер ожидает следующую попытку в течение времени, установленного в параметре Second Retry Interval (Minutes) (Интервал перед вторым повтором, мин). Значение по умолчанию – 30 мин, диапазон допустимых значений – от 1 до 9999 мин. Если доставка сообщения срывается в третий раз, сервер ожидает истечения времени, установленного в параметре Third Retry Interval (Minutes) (Интервал третьего повтора, мин). Значение данного параметра по умолчанию– 60 мин, диапазон допустимых значений – от 1 до 9999 мин.

Возможна настройка первых трех попыток доставки сообщений. После возникновения трех ошибок настраивается лишь единая конфигурация последующих повторов доставки с помощью параметра Subsequent Retry Interval (Minutes) (Интервал последующих повторов, мин), который также расположен во вкладке Delivery (Доставка). Значение по умолчанию данного параметра – 240 мин, диапазон допустимых значений – от 1 до 9999 мин. Может оказаться так, что сообщение не будет доставлено, независимо от количества повторов доставки. Для такой ситуации устанавливается максимальный промежуток времени для последующих попыток доставки. С помощью параметра Expiration Timeout (Срок повторения) задается окончание доставки сообщения по прошествии определенного промежутка времени. Срок повторения можно также установить и для локальной сети посредством изменения параметра в области Local (Локальная сеть). Значение по умолчанию – 2 дня. При доставке сообщения можно отложить отправку уведомления о доставке в соответствии с задержками сети. Задержки в локальной сети значительно отличаются от задержек в других типах сетей, поэтому параметр Delay Notification (Отложить уведомление) устанавливается отдельно для каждого типа сети. Используйте параметр Delay Notification в области Local (Локальная сеть) или Outbound (Исходящие) во вкладке Delivery (Доставка) для задания интервала времени перед отправкой уведомления о доставке. Значением по умолчанию является 12 часов.

Настройка дополнительных параметров доставки

Для настройки дополнительных параметров доставки сообщений нажмите на кнопку Advanced (Дополнительно), расположенную в левой нижней части вкладки Delivery (Доставка) окна Properties (Свойства). В открывшемся окне установите следующие параметры.

• Maximum Hop Count (Максимальное количество маршрутизаторов). Максимальное количество маршрутизаторов, через которое разрешена передача сообщения.
• Masquerade Domain (Маскировка домена). Имя домена, которым следует заменять имя локального домена в строке From (От) сообщения.
• Fully-Qualified Domain Name (Полное имя домена). Имя, используемое для поиска записи обмена сообщениями, вместо сетевого идентификационного имени узла.
• Smart Host (Смарт-узел). Сервер, предназначенный для обработки всех исходящих сообщений. SMTP-сервер можно настроить на выполнение прямой доставки перед использованием сервера смарт-узла.
• Reverse DNS Lookup (Обратный поиск по DNS). Обеспечивает соответствие домена или IP-адреса клиента IP-адресу или домену, указанному в команде EHLO или HELO.

Если сообщение передается через большее количество маршрутизаторов, чем задано в параметре Maximum Hop Count, генерируется отчет о невозможности доставки, и сообщение не отправляется. Сообщение и отчет о невозможности доставки передаются отправителю. Значением по умолчанию является 15.

Установка значения в текстовом поле Masquerade Domain вызывает замену домена, указываемого в строке From (От) сообщения, этим значением. Если получатель ответит на сообщение, то оно будет направлено виртуальному серверу SMTP, использующему доменное имя, установленное в данном параметре. Значение заменяет имя домена только на первом маршрутизаторе. Если значение не установлено, то по умолчанию маскировка домена не осуществляется.

Параметр Fully-Qualified Domain Name позволяет администратору дополнительно контролировать поиск, выполняемый службой DNS при отправке сообщения. Значением по умолчанию является имя, указанное в качестве сетевого идентификатора узла. Использование этого имени является допустимым, поскольку сервер SMTP должен получить IP-адрес и преобразовать его в доменное имя для выполнения доставки сообщения. IP-адрес узла можно получить из сетевого идентификационного имени; он используется для поиска записи адреса (A) в записи MX. При обычной отправке сообщения виртуальный SMTP-сервер осуществляет поиск в записи MX перед выполнением поиска записи A. При указании полного доменного имени виртуального сервера SMTP сначала выполняется его поиск в записи MX, что исключает повторный поиск IP-адреса. Запись MX позволяет лучше контролировать процесс поиска доменов, поскольку с одним и тем же IP-адресом может быть связано несколько доменов.

Значение Smart Host используется виртуальным сервером SMTP этого смарт-узла для доставки сообщений. По умолчанию параметр не установлен. При указании в текстовом поле значения открывается доступ к опции Attempt Direct Delivery Before Send Directly To Smart Host (Попробовать доставить напрямую перед отправкой в смарт-узел). При ее включении виртуальный сервер SMTP попытается отправить сообщение напрямую перед тем, как использовать указанный смарт-узел. Преимущество от использования смарт-узла заключается в освобождении ресурсов, необходимых для доставки сообщений. Смарт-узел принимает на себя подключение и отправку сообщения клиентом вместо SMTP-сервера, к которому клиент подключился изначально.

Опция Reverse DNS Lookup обеспечивает выполнение сервером поиска DNS при получении сообщений и сопоставление результатов со значением DNS, указанным в команде EHLO/HELO. При обнаружении различий полученный заголовок сообщения помечается значением RDNS failed (Обратный поиск DNS не удался). Если поиск DNS не дает результата, то полученный заголовок сообщения помечается как unverified (незаверенный). Если результат поиска DNS соответствует DNS, определенному в команде EHLO/HELO, полученный заголовок сообщения остается без изменений. По умолчанию обратный поиск DNS отключен. Имейте в виду, что включение обратного поиска DNS очень сильно сказывается на производительности главного сервера.

Настройка параметров безопасности доставки

Некоторые серверы требуют аутентификацию SMTP-сервера для отправки сообщения. Для получения доступа к настройкам аутентификации виртуального сервера SMTP нажмите на кнопку Outbound Security (Безопасность исходящих сообщений) во вкладке Delivery (Доставка). В окне Outbouns Security устанавливаются необходимые параметры аутентификации, и включается шифрование сообщений при помощи протокола безопасности транспортного уровня (TLS). По умолчанию уровень аутентификации для исходящих сообщений – Anonymuos Access (Анонимный доступ). Существуют другие виды аутентификации, проводимой при отправке сообщений.

• Basic Authentication (Базовая аутентификация). Указанное имя пользователя и пароль передаются для аутентификации главному серверу в открытом виде.
• Integrated Windows Authentification (Интегрированная аутентификация Windows). Аутентификация осуществляется посредством специального метода Windows, используемого для передачи информации, без отправки указанного пароля главному серверу.

Методы аутентификации являются взаимоисключающими, поэтому можно выбрать только один из них. Необходимый уровень аутентификации определяется требованиями принимающего сервера. Если принимающая система не использует анонимную аутентификацию, то нужно связаться с администратором принимающего сервера и выяснить установленные на нем требования аутентификации.

При выборе метода аутентификации в соответствующих текстовых полях диалогового окна Outbound Security (Безопасность исходящих сообщений) нужно указать имя пользователя и пароль, используемые в процедуре аутентификации (см. рис. 4.9). Нажмите на кнопку Browse (Обзор) для открытия диалогового окна Select User (Выбор пользователя), в котором выберите корректное имя пользователя для аутентификации. Аутентификационные данные не всегда задаются в окне Select User (Выбор пользователя) и принадлежат главному серверу.

При выборе опции TLS Encryption (Шифрование TLS) виртуальный SMTP-сервер будет использовать шифрование TLS. Оно применяется к коммуникационному протоколу SMTP так же, как протокол защищенных сокетов SSL – к HTTP-соединениям. TLS целесообразно использовать для шифрования соединений, передающих открытый текст, для предотвращения перехвата важной информации. TLS применяется и в том случае, если виртуальный SMTP-сервер проходит на другом узле базовую аутентификацию. Входные данные, передаваемые для аутентификации, имеют текстовый формат. При перехвате злоумышленник сможет использовать их для атаки на принимающий и, возможно, на отправляющий сервер. По умолчанию шифрование TLS не включено. Шифрование TLS требует создания пары ключей и настройки сертификатов ключей. Более подробная информация по этому вопросу приведена в лекции 2.

Безопасность доступа к серверу SMTP

IIS 6 имеет большое количество опций и настроек безопасности SMTP. Эти опции предназначены для пользователей, выполняющих задачи по администрированию службы SMTP, и клиентов, осуществляющих доступ к виртуальному SMTP-серверу. Настройка этих параметров выполняется в окне Properties (Свойства) консоли Computer Management (Управление компьютером) для указанного виртуального сервера SMTP.

Параметры безопасности для выполнения задач по администрированию настраиваются во вкладке Security (Безопасность) окна свойств. Параметры доступа к SMTP-серверу для клиентов настраиваются во вкладке Access (Доступ). В лекции 2 содержится более подробная информация об элементах этой вкладки. Мастер сертификатов, настройка пар ключей и задачи сертификатов в данном случае такие же, как для службы WWW; о них вы тоже сможете узнать из лекции 2.

Разрешения пользователя на администрирование

Для конфигурирования виртуального сервера SMTP нужно установить разрешения для пользователей или групп Windows на узле или другом аутентифицирующем сервере, имеющем доверие со стороны главного сервера. Пользователи или группы, выполняющие задачи по администрированию, должны быть операторами виртуального сервера SMTP. По умолчанию группа администраторов, учетные записи Windows NT AUTHORITY\LOCAL SERVICE и Windows NT AUTHORITY\NETWORK SERVICE имеют статус операторов для любого виртуального SMTP-сервера.

Для назначения пользователя оператором виртуального сервера SMTP выполните следующие действия.

1. Откройте окно Properties (Свойства) виртуального сервера SMTP в оснастке Computer Management (Управление компьютером), перейдите во вкладку Security (Безопасность).
2. Отобразится список, содержащий группу администраторов и пользователей, назначенных операторами. Под списком располагаются кнопки Add (Добавить) и Remove (Удалить). Нажмите на кнопку Add (Добавить) и в открывшемся диалоговом окне Select Users Or Groups (Выбор пользователей или групп) выберите пользователя или группу. Они будут добавлены в список назначенных операторов виртуального сервера SMTP. Закройте диалоговое окно нажатием на кнопку OK.
3. Для удаления выберите пользователя или группы из списка и нажмите на кнопку Remove (Удалить). Группу администраторов удалить нельзя. По окончании работы нажмите на клавишу OK.

Аутентификация входящих подключений

Клиенты, подключающиеся к виртуальному серверу SMTP, могут проходить аутентификацию. Настройка аутентификации клиентов, передающих входящие сообщения, выполняется во вкладке Access (Доступ) окна Properties (Свойства) виртуального сервера SMTP. Нажмите на кнопку Authentication (Аутентификация) в области Access Control (Контроль доступа). Откроется окно Authentication (Аутентификация), содержащее следующие параметры.

• Anonymous Access (Анонимный доступ). Для аутентификации и использования виртуального сервера SMTP входные данные не требуются.
• Basic Authentication (Базовая аутентификация). Указанное имя пользователя и пароль передаются для аутентификации главному серверу в открытом виде.
• Requires TLS Encryption (Требует шифрования TLS). Клиенты, подключающиеся к виртуальному серверу SMTP, должны использовать шифрование TLS, в противном случае доступ к серверу будет запрещен. Параметр включается при выборе базовой аутентификации.
• Default Domain (Домен по умолчанию). Доменное имя, присоединяемое к имени пользователя при использовании базовой аутентификации. Параметр включается при выборе базовой аутентификации.
• Integrated Windows Authentication (Интегрированная аутентификация Windows). Аутентификация осуществляется с использованием специального метода передачи информации Windows без отправки указанного пароля на главный сервер.

Протоколы аутентификации не являются взаимоисключающими, поэтому можно выбрать один или несколько. При выборе опции Basic Authentication откроется доступ к параметру Requires TLS Encryption (Требует шифрования TLS), который тоже можно включить, и к опции Default Domain (Домен по умолчанию). В этом случае при использовании базовой аутентификации имя домена по умолчанию присоединяется к отправляемым входным данным. По умолчанию выбран метод анонимной аутентификации.

Ограничения по IP-адресам и именам доменов

Можно запретить или разрешить компьютерам с конкретными IP-адресами или именами доменов доступ к виртуальному серверу SMTP. Для установки ограничений выполните следующие действия.

1. Откройте окно Properties (Свойства), перейдите во вкладку Access (Доступ) и нажмите на кнопку Connection (Подключение), расположенную в области Connection Control (Управление подключением).
2. В окне Connection находятся два селектора опций и список с расположенными под ним кнопками Add (Добавить) и Remove (Удалить). Селекторы опций называюся Only The List Below (Только список ниже) и All Except The List Below (Все, за исключением списка ниже). Выберите одну из опций. Список обновится и отобразит IP-адреса или имена доменов, относящиеся к данному ограничению.
3. Нажмите на кнопку Add (Добавить), чтобы перейти в окно с запросом IP-адреса, имени домена или подсетей, добавляемых в список для данного ограничения.
4. Выберите опцию из списка и нажмите на кнопку Remove (Удалить) для удаления указанного IP-адреса или имени домена.
5. Нажмите на кнопку OK для сохранения изменений; иначе нажмите на кнопку Cancel (Отмена), и в конфигурацию виртуального сервера SMTP изменения внесены не будут. По умолчанию для виртуального сервера SMTP ограничения не установлены.

Ограничения на ретрансляцию сообщений

На виртуальном SMTP-сервере можно установить ограничения на ретрансляцию сообщений. Выполните следующие действия.

1. Откройте окно Properties (Свойства), перейдите во вкладку Access (Доступ) и нажмите на кнопку Relay (Ретрансляция), расположенную в области Relay Restrictions (Ограничения на ретрансляцию).
2. Окно Relay Restrictions (Ограничения на ретрансляцию), которое откроется после нажатия кнопки, практически идентично окну Connection (Подключение). Вверху окна расположены две исключающие опции, а поля со списком функционируют так же, как аналогичные элементы окна Connection (Подключение).

Маршрутизация LDAP

Настройка маршрутизации облегченного протокола службы каталогов LDAP (Lightweight Directory Access Protocol) позволяет виртуальному серверу SMTP получать настройки в LDAP для обработки отправителей и получателей. Если в LDAP уже определены группы (например, LDAP используется для управления другим пользователем), адреса электронной почты можно извлечь из существующих групп и расширить SMTP при указании имени группы в сообщении.

Для настройки виртуального сервера SMTP используется оснастка Computer Managemrnt (Управление компьютером) и окно Properties (Свойства) соответствующего виртуального сервера SMTP. Все настройки маршрутизации LDAP расположены во вкладке LDAP Routing (Маршрутизация LDAP) окна свойств.

Во вкладке LDAP Routing (Маршрутизация LDAP) доступен единственный элемент управления – опция Enable LDAP Routing (Включить маршрутизацию LDAP). По умолчанию опция отключена, и ее настройки недоступны. После включения опции Enable LDAP Routing (Включить маршрутизацию LDAP) откроется доступ к следующим настройкам.

• Server (Сервер). Имя сервера, на котором расположен сервер LDAP. При выборе Exchange LDAP данный параметр применить нельзя, поскольку сервер Exchange будет автоматически найден главным узлом.
• Schema (Схема). Тип используемого LDAP: Active Directory, Exchange и Site Server (Сервер сайтов).
• Binding (Привязка). Тип аутентификации, используемой для подключения к каталогу.
• Base (База). Отличительное имя хранилища, представляющее собой начальную точку поиска в каталоге.

При выборе привязки другой учетной записи (не анонимной или учетной записи службы) откроется доступ к полю имени пользователя, пароля и домена, поскольку в данном случае следует указать аутентификационные данные. Для учетной записи службы входные данные пользователя, подключающегося к SMTP-серверу, отправляются для аутентификации в LDAP. Входные данные имени пользователя следует указывать в формате отличительного имени (DN). Например, отличительное имя пользователя jschmidlap, работающего на пивоваренную организацию в компании Schmitt House, может иметь вид:

Домены SMTP

Домены SMTP нельзя путать с сетевыми доменами или доменами, относящимися к DNS либо являющимся сетевым доменом Windows. Домен SMTP предназначен для организации сообщений. Любой SMTP-сервер может иметь от одного до трех типов доменов.

• Local (Локальный). Сообщения с адресами электронной почты, использующими локальный домен, обслуживаются локальным сервером. Если сервер локального домена является сервером по умолчанию, то адреса электронной почты, поступающие без указания домена, дополняются именем локального домена.
• Alias (Псевдоним). Локальный домен, использующий ту же конфигурацию, что и локальный домен по умолчанию, но другое доменное имя.
• Remote (Удаленный). Сообщения с адресами электронной почты, использующими нелокальное имя домена, обслуживаются удаленным сервером.

Каждый виртуальный сервер SMTP должен иметь хотя бы один локальный домен. При наличии нескольких локальных доменов все домены, кроме одного, являются псевдонимами. Каждый виртуальный сервер должен содержать, по крайней мере, один домен по умолчанию. Доменом по умолчанию является назначенный локальный домен. Имя домена по умолчанию присоединяется к адресам электронной почты, в которых не указано имя домена. Виртуальному серверу SMTP не требуется наличие удаленных доменов. Если виртуальный сервер SMTP имеет только один домен, то это – локальный домен по умолчанию. Его имя совпадает с именем DNS, установленным в параметрах сетевой конфигурации TCP/IP.

Создание доменов

Создание доменов для виртуального сервера SMTP осуществляется посредством оснастки Computer Management (Управление компьютером).

1. Откройте оснастку MMC Computer Management и щелкните на узле Services And Applications (Службы и приложения) в левой части консоли, чтобы отобразить доступные вложенные узлы.
2. Щелкните на узле IIS, вложенном в узел Services And Applications (Службы и приложения).
3. Щелкните на узле SMTP Virtual Server (Виртуальный сервер SMTP), который требует создания домена.
4. Как показано на рисунке 4.10, одним из двух узлов, вложенных в узел виртуального SMTP-сервера, является узел Domains (Домены). Щелкните на узле Domains (Домены), чтобы отобразить домены соответствующего виртуального сервера SMTP.
5. Для создания нового домена щелкните правой кнопкой мыши на узле Domains (Домены) и выберите New\Domain (Создать\Домен). Откроется окно New SMTP Domain Wizard (Мастер доменов SMTP), в котором нужно выбрать тип нового домена, присваиваемого виртуальному серверу SMTP.

    

   
   
   Рис. 4.10.  Домены SMTP, отображаемые для виртуального сервера SMTP по умолчанию в консоли Computer Management (Управление компьютером)

    

    
6. Выберите тип Alias (Псевдоним) или Remote (Удаленный), после чего нажмите на кнопку Next (Далее).
7. Когда мастер предложит ввести имя домена, введите нужное имя. После этого нажмите на кнопку Finish (Готово).

Настройка доменов

Домен типа Alias (псевдоним) не имеет каких-либо параметров. Единственной настройкой такого домена является либо переименование, либо удаление: щелкните правой кнопкой мыши на имени домена и выберите соответствующую команду. Окно свойств для домена типа Alias не содержит каких-либо изменяемых атрибутов.

Настройка локального домена по умолчанию

Локальный домен по умолчанию настраивается в консоли Computer Management (Управление компьютером). Щелкните правой кнопкой мыши на узле домена в правой части консоли MMC и выберите команду Properties (Свойства). В окне свойств откроется вкладка General (Общие), содержащая два параметра.

• Drop Directory (Каталог входящих сообщений). Путь к каталогу на локальном сервере, в который будут помещаться все входящие сообщения перед обработкой.
• Enable Drop Directory Quota (Включить квоту для каталога входящих сообщений). Величина квоты равна десятикратному максимально разрешенному размеру сообщения, установленному в параметрах виртуального сервера SMTP. Если набор сообщений, хранимых в данном каталоге, превысит это значение, то SMTP-сервер не будет принимать дальнейшую почту и сгенерирует сообщение об ошибке, уведомляющее о переполнении почтового ящика.

По умолчанию каталог входящих сообщений является подкаталогом корневого каталога почтового ящика и имеет имя Drop. Квота для каталога Drop включена по умолчанию.

Настройка удаленных доменов

Удаленные домены имеют гораздо больший набор параметров, чем локальные. Для удаленных доменов настраивается требование подключения с TLS, маршрутизация и аутентификация, независимо от параметров виртуального сервера SMTP.

Для внесения изменений в настройки откройте окно Properties (Свойства) домена. Оно содержит две вкладки: General (Общие) и Advanced (Дополнительно). Вкладка General (Общие) по умолчанию открывается при вызове данного окна. В ней настраиваются следующие параметры.

• Allow Incoming Mail To Be Relayed To This Domain (Разрешить ретрансляцию входящей почты на этот домен). Позволяет домену осуществлять ретрансляцию почты. Параметр игнорирует ограничение на ретрансляцию, установленное в настройках доступа виртуального SMTP-сервера. По умолчанию параметр отключен.
• Send HELO Instead Of EHLO (Передавать HELO вместо EHLO). Позволяет удаленному домену при связи с клиентом использовать команду HELO вместо EHLO. По умолчанию используется команда EHLO.
• Outbond Security (Безопасность сообщений). При нажатии на эту кнопку открывается окно, идентичное окну Properties (Свойства) (см. рис. 4.9), используемому для настройки аутентификации клиентов. По умолчанию разрешен анонимный доступ.
• Route Domain (Маршрутизация домена). Позволяет домену использовать смарт-узел или отправлять сообщения непосредственно серверу. Данный параметр игнорирует параметр виртуального сервера SMTP. Параметр Use DNS To Route To This Domain (Использовать DNS для маршрутизации на этот домен) отмечен по умолчанию.

Все параметры удаленного домена также настраиваются и для виртуального сервера SMTP, однако при возникновении конфликта настроек параметры виртуального SMTP-сервера игнорируются. Параметры безопасности исходящей почты можно использовать для принудительной аутентификации клиентов (базовой или интегрированной аутентификации Windows). Эти параметры задаются в опции TLS Encryption (Шифрование TLS). При включенной опции от клиента требуется использование шифрования TLS во время соединения.

На вкладке Advanced (Дополнительно) окна Properties (Свойства) для удаленного домена находятся параметры, относящиеся к использованию ATRN (аутентифицированный TURN). Если опция Queue Messages For Remote Triggered Delivery (Ставить сообщения в очередь для удаленно инициируемой доставки) включена, то клиенту разрешается периодически подключаться и загружать сообщения. Такие клиенты должны иметь учетную запись пользователя Windows в списке Accounts Authorized To ATRN (Учетные записи, авторизованные для ATRN), который также находится в этой вкладке.

Для добавления пользователей нажмите на кнопку Add (Добавить). Откроется диалоговое окно Select Users Or Groups (Выбор пользователей или групп), в котором нужно выбрать учетные записи для предоставления доступа ATRN. Для удаления выделите пользователя в списке и нажмите на кнопку Remove (Удалить).