Единый почтовый туннель в малой корпоративной сети

Posted by

Оказывается бывает и такое, что в компании нет своего почтового сервера, как я обычно это видел на многих местах работы где мне довелось поработать. На текущем месте, с точки зрения интересного, почтового сервера не было как такового в принципе. А использовалось такое решение, как например от «Google Apps» для корпоративной сети, т. е. посредством одного аккаунта организуется корпоративная почта привязанная к домену на 50 создаваемых почтовых, главное бесплатных ящиков. Для малого предприятия это конечно же неоценимый плюс, не надо держать продвинутого администратора, поднимать и уметь поддерживать почтовый сервер. Ресурсов для его разворачивания конечно же нет. А тут такое предлагают бесплатно. Но по прошествии некоторого времени компания расширяется и нужно продумывать пути расширения текущей инфраструктуру, вот в этот момент времени я собственно и попал. Ну что же, пока не будем отходить от текущего положения дел, а посему произвел перевод на точной такой же сервис, но уже корпоративная почта привязана к такому гиганту, как Yandex. А у него уже нет ограничений на количество заводимых, используемых почтовый аккаунтов. И это хорошо.

Но это все выше было предисловием, так сказать, пред началом что я хочу показать, как всегда пошагово.

 

И так, я почтового туннеля целью которого будет связь с почтовыми сервисами «Yandex«, а в сторону корпоративных клиентов отдача единой точки подключения и стандартный портов : smtp (25) & pop (110) & imap (143). Сделано это за тем, что некоторые устройства не поддерживают SSL/TLS, а могут работать только по стандартным подключениям. Приведу соответствующие примеры: «1C CRM» и некоторые МФУ. А использование данного туннеля на базе утилиты позволит осуществить данную затею без каких либо напрягов.

Все дальнейшие действия я буду проводить на системе не требовательной к ресурсам, а именно «.5 LTS«. Все же не забуду повториться, что лучше использовать «один сервис = одна машина«, нагромождение сервисов на одной машине может послужить большим простоем в случае восстановления, по запарке можно забыть сделать бекап, а после его накатить если сервисов много на уже восстановленную систему.

За основу возьму заметку где я поднимал шлюз для малой корпоративной сети:

Устанавливаем в систему утилиту stunnel из репозитариев:

ekzorchik@srv-serv:~$ sudo apt-get install stunnel4

Разрешим сервису запуск автоматически при перезагрузке системы:

ekzorchik@srv-serv:~$ sudo nano /etc/default/stunnel4

было

ENABLED=0

стало

ENABLED=1

Сохраняем внесенные изменения.

Установим пакет openssl для создания сертификата сервера для использования сервисом stunnel (того требует документация по настройке пакета stunnel):

ekzorchik@srv-serv:~$ sudo apt-get install openssl

Сгененирую сертификат для сервера сроком на 10 лет к примеру:

ekzorchik@srv-serv:~$ openssl req -new -out stunnel.pem -keyout stunnel.pem -nodes -x509 -days 3650

, здесь наибольшую правдивую часть составляем запрос: — Common Name, где необходимо указать IP & DNS имя сервера на котором будет развернута служба stunnel, я указал внутренний IP адрес сетевой карты (eth1) – 10.9.9.1

Common Name (e.g. server FQDN or YOUR name) []:10.9.9.1

Копируем сгенерированный сертификат в каталог где находятся все сертификаты:

ekzorchik@srv-serv:~$ sudo mv ~/stunnel.pem /etc/ssl/certs/

Создаем конфигурационный файл службы stunnel со следующим содержанием:

ekzorchik@srv-serv:~$ sudo nano /etc/stunnel/stunnel.conf

cert = /etc/ssl/certs/stunnel.pem

sslVersion = all

client = yes

debug = 7

output = /var/log/stunnel4/stunnel.log

[yandex-smtp]

accept = 10.9.9.1:25

connect = smtp.yandex.ru:465

[yandex-pop]

accept = 10.9.9.1:110

connect = pop.yandex.ru:995

[yandex-imap]

accept = 10.9.9.1:143

connect = imap.yandex.ru:993

Сохраняем внесенные изменения.

Запускаем сервис stunnel:

ekzorchik@srv-serv:~$ sudo service stunnel4 stop

Stopping SSL tunnels: stunnel.

ekzorchik@srv-serv:~$ sudo service stunnel4 start

Starting SSL tunnels: [Started: /etc/stunnel/stunnel.conf] stunnel.

Отлично, не возникло ни каких проблем и ошибок, теперь настал момент проверки, и конфигурирования клиентов на предмет, что это работает.

Для справки:

Как создавать почтовый домен с привязкой к Yandex-аккаунту я покажу позже, а сейчас все дальнейшие действия рассмотрю применительно к моему домену: ekzorchik.ru

Я для наглядного демонстрирования создал почтовый аккаунт: support@ekzorchik.ru и мне нужно прописать настройки для почтового клиента Outlook 2010 для доступа к почте ящика support@ekzorchik.ru

Значит система: Windows 7 c установленным офисным пакетом Microsoft Office 2010 Professional внутри которого присутствует Outlook 2010.

Пуск — Все программы — Microsoft Office – Microsoft Outlook 2010

Следует по шагам мастера:

  • Настроить учетную запись электронной почты — Да
  • Настроить вручную параметры сервера или дополнительные типы серверов
  • Электронная почта Интернета

Указываем настройки подключения почтового ящика

 

Переходим на элемент настройки «Другие настройки…»

вкладка «Общие»: support@ekzorchik.ru

вкладка «Сервер исходящей почты»: ставим галочку — «SMTP-серверу требуется проверка подлинности», остальные параметры не трогаем, они на не нужны и поэтому оставляем их дефолтными.

Вкладка «Дополнительно», выставляем согласно ниже приведенному скриншоту:

Настраиваем "Дополнительные" параметры подключения почтового ящика

 

Нажимаем ОKДалее — почтовый клиент проверит работоспособность подключения к почтовому ящику

Ниже следующий скриншот демонстрирует правильно настроек:

Настройки корректны, скриншот тому подтверждение.

 

Нажимаем «Закрыть» — элемент диалогового окна «Провера настройки учетной записи» и Готово».

После чего произойдет вход в почтовый клиент, где уже можно использовать почтовый ящик для переписки, вообщем все как обычно для пользователя. Используя туннель таким образом мы создаем единую точку подключения настроек, что даст положительные элемент в моменты администрирования.

Если каким либо образом накроется система, то пошаговость восстановления настроек не так уж и сложна, всего-то развернуть систему (как физическую, так и виртуальную (ESXi,Virtualbox), предоставить ей аналогичный IP адрес, сгенерировать сертификат нацеленный на использование этого IP адреса и внести настройки подключения к почтовым серверам корпоративной почты Yandexа или Googlа.

Данная заметка наглядно, как мне кажется демонстрирует данную возможность, как организация почтового тунеля для корпоративной почты домена от Yandex, от Google. Но возможности утилиты stunnel не заканчиваются почтой, по такому же принципу можно и научить работать и другие устройства и сервисы.

Заметка работоспособна и используема сейчас в организации где я работаю. На этом всё, с уважением, автор блога ekzorchik.

One comment

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *

два × 3 =