Настройка почтового сервера + DNS зоны
 

Приветствую Уважаемые форумчане. Прошу помочь с настройкой почтового сервера.
Установил Exchange 2013 на Windows Server 2012, все работает, почта отправляется внутри домена "домен.int" и наружу тоже (на внешние почтовые сервера). Сейчас все в тестовом режиме. Т.к. это мой первый опыт по поднятию и настройке почтовика, поэтому хочу во всем разобраться поэтапно.

В данный момент я зарегистрировал тестовый домен, для того чтобы всё настроить и убедится что почта ходит. Регистратор предоставил управление DNS зоной, собственно я уже поменял там TXT запись, и указал адрес внешнего IP адреса, который будет слушать Exchange.

Итого, в DNS зоне у регистратора указано:

МX запись - mail
TXT запись - v=spf1 ip4:наш внешний IP a mx ~al

Теперь хочу понять, какой ряд настроек необходимо произвести на DNS сервере в Windows 2012 и в самом Exchange, чтобы почту можно было и принимать и отправлять используя домен который я зарегистрировал. Подскажите, пожалуйста по этому вопросу.

базовая настройка Exchange 2013
Базовая подготовка для работы почтового сервера

exo, насколько я понимаю это Ваши статьи? Большое спасибо, ознакомлюсь.

Lossless.Senator, да, в свободное время пишу. чтобы закрепить материал, т.к. сервер раз настроил - он и работает сам по себе )

Несколько вопросов!

Добавил запись в ДНС зоне у хостера

МX запись - mail
TXT запись - v=spf1 ip4:наш внешний IP a mx ~al
Запись А - mail.название домена.ру

все верно тут?

----------------------------------------------------------------

Не понимаю, нужно ли что-то прописывать в ДНС зоне на самом сервере Windows Server 2012?

--------------------------------------------------------------

Не увидел у Вас в статьях описания про соединитель приема....

ничего. Если контроллер домена настроен следующим образом.
да, это удивительно, но я ничего не настраивал. там уже было 4 соединителя и почта работала по ним.
не понимаю, зачем вам запись ТХТ ? а так всё верно.

exo, спасибо!
Контроллер домена настроен аналогично, за исключением

"Единственные необходимые настройки ДНС сервера - добавление "внешнего" ДНС сервера (куда будут перенаправляться интернет-запросы) и создание обратной зоны для вашей сети. Список ДНС для перенаправления уже может содержать предыдущий ДНС сервер или список будет пустой в случае, если никаких ДНС не было указано перед установкой."

Вот что в моем случае прописывать....

Какой внешний ДНС сервер, и какую обратную зону?

UPD:

В перенаправлении у меня прописан по умолчанию адрес моего шлюза который меня NATит, в значении FQDN указано "не разрешено".
Ну а PTR не прописан, если он имеется в виду. Я кстати звонил провайдеру, они сказали что пропишут необходимые адреса. Насколько я понимаю им нужно будет назвать адреса типа mail.домен.ру !?

как правило, это ДНС сервер вашего провайдера. но иногда третим там прописывают гугл 8.8.8.8
ваших локальный сетей.
да.
если на шлюзе нет ДНС службы или редиректа -ДНС, то правильно: некому обрабатывать запросы.

Днс для перенаправления указал провайдерский, теперь всё ок.
PTR сейчас запрошу прописать у прова. Вообще, я только домен сегодня зарегистрировал, поэтому никакие записи в ДНС зонах пока недоступны. )). Завтра надеюсь получится принимать письма снаружи. Если что, тут буду дальше просить помощи! :) Спасибо!

Сделал!
Почта ходит и туда и обратно!
Осталось разобраться почему Outlook 2010 не коннектится к серверу. Точнее соединение устанавливается к POP3 и по 110 и по 995 порту, но какие бы я не вводил сочетания логина и пароля все безуспешно. Решил попробовать по телнету к 110 порту, после ввода "user" сервер ругается -ERR Command is not valid in this state. Сдается мне это звенья одной цепи, что посоветуете?

забыть от POP3\IMAP если используйте Exchange + Outlook.
Подключайтесь с помощью Exchange connection (для внешних клиентов Outlook Anywhere + запись в ДНС autodiscover)

С подключением по POP3 разобрался.

По настройкам Exchange connection где можно почитать?
Так же интересует где почитать про создания и обслуживания нескольких доменов.
В конечном итоге необходимо чтобы у одного пользователя в сети, в аутлуке было 2-3 разных ящика.

в пределах локальной сети и одного домена - всё будет автоматически.
для удалённых клиентов - autodiscover.
но только я не тестировал с 2013, т.к. сертификат не нашёл бесплатный без регистрации себя...

в статье есть:

exo,
Мне не удаётся соединиться посредством Exchange connection, вроде и сертификат принимается (пока дефолтный, т.к. подписанный ещё не дали), а при попытке зайти на сервер ошибка "клиенту не удаётся зайти на сервер". Настройки Anywhere смотрел, там и настраивать нечего по сути. Пробовал разные методы аутентификации.

По поводу нескольких доменов я понял. :)
Не понял как сделать чтобы определенным ящикам присваивалась почта @домен1, а другим @домен2 и т д.
И как в аутлуке они будут работать? Для каждого домена свою учетку заводить? А собственно как, если локальный аккаунт один вовсе, например test@domen.int...

можно создать политики именования доменов (SMTP) и привязать их к OU. В какой OU будет создаваться ящик, то соответствующий домен и назначится.
в отличие от Exchange 2010, политики SMTP-именования привязываются после создания политики, а не во время. См. свойства политики.
прекрасно будут работать. если бля пользователя нужно отправлять почту с двух почтовых ящиков - то две учётки. если один ящик только на приём - его можно записать алиасом.
так же, для первой учётки (назовём её основная) нужно дать полные права для второго ящика. Тогда подключение второго ящика можно делать с помощью учётных данных первой учётной записи.
внешний или внутренний клиент?

OU?
Я создавал политику наименования, и все вновь создаваемый ящики присваивали домен из этой политики, да.
Создавал вторую политику с другим адресом, но новые созданные ящики присваивали
домен от первой политики. Не совсем понимаю как это должно работать.... Можете кратко описать эту процедуру на примере двух доменов?


Внутренний... Может такое быть из-за сертификатов? Коннектится к серверу, а на этапе входа на сервер отбой.

organisation unit в AD
потому что первая политика по умолчанию действует на все OU. а новая по умолчанию не действует ни на одну OU и она не является главной политикой.
сейчас нет. я форматнул комп, где у меня был виртуальный домен с Exchange 2013 ) сейчас заново настрою.

Мне для начала все равно нужно тогда с подключением разобраться по exchange connection.

Изначально Outlook пробует автоматически соединиться, две галочки проставляет, на третей крест :)
Пробую вручную настроить соединение и какое бы я имя сервера не прописывал, какой бы адрес https не указывал, ничего не получается. Даже не знаю уже в чем затык.

сертификат не нравится... надо проверять...

Вот это майкрософт...

Уважаемый, вы документацию по продукту читать пробовали, прежде чем обвинениями кидаться во все стороны? exo, тут по доброте душевной устраивает интенсив-тренинги "Microsoft Exchange Server за 21 день", я за этим пока наблюдаю, и мне его жалко, честное слово.
Продукты Microsoft довольно таки логичные, если человек четко понимает, что он делает. А если нет базовых знаний - как работает DNS, как работает SMTP, как работает SSL - виноват обычно, как это ни странно звучит, человек, а не продукт.
Никто не спорит, что баги есть в любом софте, и в Microsoft их тоже не мало, но когда начинаются шаблонные обвинения... Вы еще Билла Гейтса упрекните в собственном недостатке знаний.

Ну собственно проблема с сертификатом, да. Самоподписанный не подходит даже для интрасети.


" После сохранения запроса на сертификат, отправьте его в центр сертификации (certificate authority (CA)). Это может быть внутренний CA или сторонний центра сертификации. Клиенты, которые подключаются к серверу клиентского доступа должны доверять CA который выпустит Вам сертификат. После получения сертификата от центра сертификации, выполните следующие шаги: "


Каким образом его отправлять и куда?

Oleg Krylov,
Ок, спасибо за совет.

выбираете любой СА.
Созданный запрос будет с расширением .req - открываете блокнотом, содержимое отправляете в СА (предварительно связавшись с сотрудниками СА и оплатив сертификат)
Они возвращают вам подписанный сертификат и удостоверяющие сертификаты. Вы их импортируете на сервере. В официальной документации всё описано. Правда на английском языке. Так было в 2010, думаю вряд ли то изменилось для 2013.
Как генерить сертификат есть в моей статье.

exo,
Удалось настроить подключение по exchange connection, подписал сертификат на самом сервере через локальный СА.

Для "мультидоменности" я все равно вижу создание доп. учеток в AD для другого домена. Т.е. в аутлуке у пользователя, одна учетка с почтовым ящиком и вторая для другого ящика. Понятное дело что при такой схеме второй профиль используется только для почты, зато все ясно и понятно.

ну вот и славно )

exo,
Большое спасибо за помощь!

Я думал только я один такой)))))))))))))))

Тема хоть и старая, но отвечу. Это так называемая SPF запись. Она нужна в случаях, когда на почтовых серверах настроен агент борьбы со спамом (агент фильтрации ID отправителя - вариант именования у Exchange). Он проверяет разрешено ли отправителю с определённым ip адресом отправлять письма от имени домена указанного в заголовке (От), таким образом агент заходит на адрес полномочного этой зоне DNS сервера и проверяет там содержимое SPF-записи, в которой и указывается с каких ip-адресов можно отправлять электронную почту от имени этого домена. Эта защита стала ответной реакцией на подделывание в письмах информации об отправителях.