Trochu jsem přemýšlel, jaké informace mám napsat v dnešním díle. Ne, že bych měl málo věcí, o kterých bych mohl psát. Spíš jde o to, že někomu mohlo dojít z předchozích článků, že tohle měl udělat. A někomu to zase dojít nemuselo a udělat by to měl. Teda nejen, že by to měl udělat, už to dávno mělo být. Já jsem to u sebe udělal automaticky a předpokládám, že většína lidí taky, ale jistota je jistota.

Mluvím o nastavení ex02, které je stejné jako v případě ex01. Předpokládám, že jste nainstalovali Microsoft Filterpack. Stáhli jste si z mého webu script na registraci. A ten spustíme

Pokud Vám to nejde spustit a hlásí to chybu zabezpečení, resp. chybějící podpis, tak budeme muset nejdřív nastavit zabezpečení Powershellu, aby nám umožnil tento script spustit.

Po spuštění scriptu je vhodné vrátit nastavení zabezpečení powershellu na rozumnou úroveň.

No a restartneme služby. Což asi většina z Vás udělala už podle nastavení ex01.

Předchozí se Vás týkalo, jen když jste instalovali druhý server. Ten, kdo funguje pořád na ex01, tak to pravděpodobně udělal už dávno. Následující krok ale bude platný pro obě skupiny. Jak jste si možná všimli, tak jsem při instalaci Exchange serveru neinstaloval language packy (čtěte peky ;-). Takže Exchange je kompletně anglicky. To se projeví jednak v OWA, kdy si nemůžete zvolit jazyk, jakým na nás OWA mluví a i složky máme v angličtině - Inbox místo Doručená pošta. Takže si doinstalujeme language pack. Aktuální balík se v době psaní tohoto článku nacházel tady. Tak si jej stáhneme a nainstalujeme. Je to ve smyslu next, next, next, finish. Jen to někdy může chvilku trvat. Teď už si nejsem jistý, jestli to chtělo restart. Já bych určitě pro jistotu restartoval IIS službu.

A teď by bylo možná dobré vyzkoušet, jak Vám funguje OWA. Do internetového prohlížeče napíšeme adresu https://ex02/owa/ Pokud jste distribuovali certifikát pomocí GP, tak se rovnou objeví přihlašovací obrazovka, kam napíšem do přihlašovacího jména i doménu - např. tnx\jan.kovar a heslo je jasné. Pokud to zkoušíte na počítači mimo doménu, na kterém jste nepřidali ten self signed certifikát do důvěryhodných certifikačních autorit, tak se zobrazí ještě varování, že certifikát není v pořádku a budete muset sysému vysvětlit, že o tom víte a nestraší Vás to. Pokud chcete vyzkoušet připojení z internetu, tak nezapomeňte nastavit na firewallu natování portu 443 na ex02. A taky musíte mít správně nastaveno DNS.

DNS hraje vůbec důležitou roli. Bez DNS nebude fungovat nic, takže bychom teď měli nastavit venkovní DNS server. Jen pro jistotu připomenu, že doména, do které se přihlašujeme nemusí být stejná, jako DNS doména mailu. V mém případě například doména pro AD je tnx.cz, ale doména pro poštu bude jan-kovar.cz. Takže, co vlastně potřebujeme:

• MX záznam pro doménu, neboli záznam, který říká poštovním serverům, jak se jmenuje server přijímající poštu pro tuto doménu
• A záznam poštovního serveru, který řekne, jakou má náš poštovní server IP adresu
• PTR neboli reverzní záznam, který bý měl zpátky převádět IP adresu vašeho serveru na jméno (vyžadováno některými antispamy)
• Autodiscover záznam, který řekne vašemu klientu, kde hledat server, který mu poskytne nastavení.
• SPF záznam, což je něco, co může zabránit, aby někdo posílal spam a tvářil se, že jste to vy

Pro vytváření těchto záznamů budete nejspíš muset použít nějaký nástroj registrátora, případně toho, kdo drží primární DNS servery pro Vaši doménu. V mém případě se jedná o Active24 a jejich centrum. Ten nástroj nebudu popisovat, protože u každého to bude jiné. Takže začneme s MX záznamem. Tam budeme potřebovat 4 údaje. Jméno domény, pro kterou vytváříme záznam, TTL neboli Time To Live neboli jaká je časová platnost záznamu - v praxi by to šlo asi popsat jako čas, který bude trvat než ostatní DNS servery zjistí změnu záznamu, pokud nějakou provedete. Dále potřebujeme prioritu, což je celé kladné číslo. Můžeme mít totiž více poštovních bran do systému a vždy by se mělo doručovat systému s nejnižším číslem v prioritě a pokud se neozve, tak postupovat nahoru. No a samozřejmě potřebujeme jméno tohoto serveru. V mém případě je to tedy:

Teď musí mít možnost poštovní server zjistit, jakou má stroj gw.jan-kovar.cz IP adresu, k čemuž poslouží A záznam. Pro ten potřebujeme jméno serveru, TTL a IP adresu. Takže v mém případě to bude:

Některé servery kontrolují reverzní záznam. Tady nastává problém, protože ne každý provider je ochotný tento záznam pro Vás změnit. Třeba s O2 se u ADSL prý nedá vůbec domluvit. Pak máte několik možností. Vyměnit providera. Použít pro odesílání pošty smtp providera jako smarthost. A nebo nastavit na vašem SMTP, aby se představoval pod jménem, které odpovída reverznímu záznamu Vaší IP adresy. Jméno zjistíte například pomocí MX toolbox - http://www.mxtoolbox.com/ Pokud vyberete na stránce DNS Lookup a napíšete do políčka: PTR:vaše_IP_adresa, tak zjistíte, jaké jméno máte použít. Osobně bych asi nezůstával u providera, který mi není ochotný změnit reverzní záznam v DNS.

Autodiscover umožňuje, aby si Váš Outlook nebo mobil zjistil informace, jak se má nastavit, aby fungovalo připojení k poště. A DNS umožňuje, aby Outlook nebo mobil takový server našel. My si teď vytvoříme CNAME. Ještě existuje možnost SRV záznamu, ale to až někdy příště. V případě CNAME záznamu potřebujeme jméno serveru, pro který děláme záznam - tedy v mém případě to je autodiscover.jan-kovar.cz., TTL a primární jméno serveru, což je v mém případě opět gw.jan-kovar.cz.

SPF záznam si nastavíme taky až příště. SPF znamená Sender Policy Framework. V praxi vytvoříme záznam, který říká, jaký stroj je oprávněn rozesílat poštu za naši mailovou doménu. Takže pokud někomu přichází pošta, která se tváří, že je od nás, podívá se do DNS, kde si zjistí, kdo takovou poštu může poslat a porovná to se spojením. Pokud je spojení navázáno z adresy, která se nachází v SPF záznamu, tak pokračuje v komunikaci. Pokud je spojení z adresy, která není v záznamu, tak odmítne mail přijmout.

Zpracování DNS záznamů může chvíli trvat, takže pro dnešek končíme. Příště si odzkoušíme, jak nám to funguje a když se bude dařit, tak doplníme další možnosti DNS.