Корпоративная почтовая система

Электронная почта - это быстро и дешево: не нужно печатать бумажные письма, отправлять телеграммы. Все делается компьютерами в считанные секунды. Наша электронная почта хранится в электронных ящиках на почтовых серверах. Почтовые ящики делятся на личные и корпоративные. Личные почтовые ящики расположены на бесплатных сервисах: gmail, rambler, yandex, mail. Мы сами регистрируемся в такой почте. Сервисы анализируют наши сообщения, защищают их, хранят. За это мы смотрим оплаченную рекламу на их сайтах.

Корпоративные почтовые системы расположены внутри организации, на них регистрируются почтовые ящики сотрудников. Это престижно для организации, когда есть собственный почтовый сервер: можно обеспечить дополнительную безопасность секретов фирмы, скорость и целостность доставленных сообщений. Но все это при условии, что система хорошо настроена и работает.

К сожалению, электронные письма легко подделать, исказить, заразить вирусами. Разослать нежелательную корреспонденцию (спам) получателям. Современные почтовые программы способны различать хорошие сообщения от плохих, но лишь отчасти. Можно пользоваться аутсорсингом и платить за это каждый месяц (если выгодно), можно разобраться самим.

Разберемся теперь, как поставить надежную почтовую систему для фирмы, в которой трудимся. Выбор программного обеспечения не так важен. Одни предпочитают платное программное обеспечение: Lotus Domino, Microsoft Exchange, MDaemon, Kerio. Другие пользуются ПО с открытым исходным кодом: Exim, Postfix, Courier. Главное - это управление почтовой системой.

Попробуем настроить.

Выбираем белый статический IP-адрес в сети интернет (договариваемся с провайдером, чтобы он не изменялся). Проверяем его отсутствие в спам-листах (иначе долго по миру объяснять придется, что мы не спамеры). Если у нас есть сайт в сети интернет, значит есть доменное имя по которому сайт можно найти - это здорово. Если имени нет - регистрируем его у надежного регистратора доменных имен (к примеру, RuCenter). Создаем в доменной зоне своей организации узел A и MX для IP-адреса, который получили у провайдера для почтовой системы. Под этим именем почтовый сервер будут находить. Стандартное имя сервера выглядит так: mx1.наш-домен.ru . Настроили - заработало. Здорово! Теперь снова договариваемся с провайдером, чтобы для этого IP-адреса в обратной зоне DNS была внесена запись PTR о том, что адрес принадлежит mx1.наш-домен.ru . Это необходимо. Классно! На начальном этапе мы сделали все необходимое для работы корпоративной почтовой системы. Устанавливаем серверные почтовые программы для приема и отправки корреспонденции, антивирусную защиту, систему антиспама. В зависимости от сложности структуры организации все эти системы могут располагаться как на одном выделенном сервере, так и на группе серверов.

Почтовая программа для приема входящей корреспонденции должна отслеживать и блокировать письма с серверов в интернете, которые не соответствуют условиям приема-отправки, указанных в RFC на электронную почту. Не соответствуют стандартам (как правило) сервера спамеров, зараженные компьютеры и почтовые серверы, но бывают исключения. В стандартах указано, что наш сервер может приветствовать в helo и ehlo своим доменным именем, требовать полный FQDN, узел A и MX сервера-отправителя, запрашивать техническую информацию в строгом порядке, не делиться существованием своих почтовых ящиков без надобности, проверять по спискам спамеров отправителя и устраивать различные проверки "на спам", благодаря встроенным средствам и установленной системе антиспама. Когда серверу что-то не нравится, он может делиться с отправителем информацией, чтобы тот имел возможность исправить свои ошибки и учиться. Мы все их совершаем.

Но даже после подобной "вроде тонкой" настройки остается возможность подменять письма, сервер якобы будет получать спам с подменами реальных почтовых отправителей и получателей. Здесь также помогут стандарты RFC. В частности, алгоритм SPF - отправка корпоративной информации только с разрешенных Вами почтовых серверов и прием входящей корреспонденции по этому же принципу. Также поможет алгоритм DKIM, который позволяет утверждать, что конкретное отправленное сообщение было отправлено вашей почтовой системой, а не произошел очередной подмен. Для работы этих двух алгоритмов необходимо добавить строки настройки в DNS-зону организации и настроить соответствующее программное обеспечение.

Не стоит забывать: чем меньше информации в интернете о конкретном интернет-сервисе и его поэтапной настройке, тем надежнее ресурс и его сложнее сломать (требуется больше времени на анализ). Поэтому о конкретной настройке корпоративной почтовой системы лучше никогда никому (кроме обслуживающего персонала) не рассказывать.

Хочется поздравить: корпоративная почтовая система - это серьёзно. Она так и называется "системой", потому как довольно сложна для понимания и управления. Вы настроили ее, продумали, приняли административные и технические меры безопасности. Вы настоящий администратор!

Статья опубликована 18 декабря 2011