OS X Server: konfigurera e-postservern

Att konfigurera e-postservern i OS X server är förvånansvärt nog riktigt enkelt, och förvånansvärt nog fungerar den också ungefär som utlovat. Vi går igenom hur du gör för att komma igång med att skyffla e-post i OS X Server och vad du måste tänka på.

En gång i tiden, för några år sen närmare bestämt, så var Mac OS X Server en plattform för e-post som faktiskt hade lite muskler. Du kunde bygga kluster av e-postservrar som lagrade alla data via Xsan och för alla servernördar var livet gott. Sen försvann Xserve, och servernördarna deppade. De fick inte mycket mer att glädjas över när OS X Lion Server släpptes och helt plötsligt var det mycket som var borta. Våra servernördar fick dock lite mer att le åt när OS X Server släpptes - funktioner var tillbaka, men andra saknades där webbmailen var ett bra exempel. För dig som saknar webbmailen har vi redan publicerat en guide i ämnet som du kan läsa här.

Låt oss komma igång. Denna guide förutsätter att du sedan tidigare har katalogtjänsten Open Directory installarad. Detta görs automatiskt när du installerar profilhanteringen i OS X Server och du kan läsa vår guide i ämnet här.

Börja med att öppna Server-applikationen och navigera dig till Mailservern. Där finns det inte så många inställningar att gå igenom, men vi tar dem en och en. Först och främst kan du ange vilka domäner som din e-postserver ska ta emot e-post för.

Detta innebär att du måste ange varje enskild domän om du har fler än en, och om du inte gör det kommer e-postservern inte att acceptera inkommande e-post för domäner den inte har konfigurerats för.

Därefter kan du ange hur autentiseringen går till. Detta styr hur klienterna som ska hämta eller skicka e-post via din server kopplar upp och loggar in på e-postservern. Du anger här var dina användare finns lagrade, som standard är detta värde satt till “Custom” vilket låter dig välja mellan en av de fyra alternativen som finns.

Dessa är Kerberos, cram-md5-krypterade lösenord, apop för pop3-hantering och klartext. Det sista alternativet bör undvikas till varje pris då det är totalt osäkert och alla lösenord och annat skickas i klartext över Internet.

Om dina användare finns i ett Active Directory så väljer du det alternativet. Men det är också värt att notera att användare som finns i ett Open Directory kan logga in på servern även om du väljer “Custom” som alternativ så det är i ärlighetens namn en aning obegripligt varför Apple valt att utforma denna dialogruta på det här sättet. Oavsett vilken inställning du väljer så måste dina användare använda samma kontonamn (short name) och lösenord som de gör när de loggar in på servern via exempelvis afp eller smb.

Dina användare kan sedan hämta e-post via imap eller imap/s (öppna port 465 och/eller 993 i din brandvägg) och skicka e-post via smtp eller smtp/s (öppna port 25 eller 587 i din brandvägg). Ska du ta emot brev från internet till din server så måste port 25 vara öppen i brandväggen oavsett.

Nästa val är om du skickar utgående e-post via en annan e-postserver, exempelvis hos din internetleverantör. Klicka i kryssrutan till vänster om valet och ange vilken server din e-post ska skickas via. Under det valet kan du begränsa hur mycket e-post varje användare får lagra.

Spam- och virusfiltrering

Det sista valet är en knapp döpt “Edit Filtering Settings” som är intressant. Här under kan du slå på virusskydd, spamskydd och stöd för spärrlistor a’la Spamhaus, med flera. Det finns gott om saker att säga om detta så vi tar det direkt:

Virusskyddet i OS X Server bygger på Clamav, som är ett gratis virusskydd som bygger på öppen källkod. Som alla virusskydd är detta ett reaktivt skydd, vilket innebär att om virusskyddet inte uppdaterats på länge så är det i princip värdelöst som skydd mot nya virusattacker som bryter ut. Vad värre är så har Apple som tradition inte varit särskilt duktiga på att hålla Clamav uppdaterat, och om du kört OS X Server med e-postfunktionen tidigare så vet du säkert att loggfilerna återkommande innehåller klagomål på att Clamav körs i en gammal version som måste uppdateras. OS X server är inte på något sätt annorlunda:

Nov 27 22:22:54 testserver.99mac.se freshclam[37870]: Your Clamav installation is OUTDATED!
Nov 27 22:22:54 testserver.99mac.se freshclam[37870]: Local version: 0.97.5 Recommended version: 0.97.6

Nästa val vi ska diskutera är filtrering via spärrlistor som exempelvis zen.spamhaus.org. Dessa spärrlistor, som i vardagligt tal kallas rbl-listor (realtime blocking list) är ganska effektiva, men de har två problem och det ena är att de kan sluta fungera närhelst de vill, och det andra är att spammare hatar dem, vilket i sig är en bra grej för det visar ju att de faktiskt fungerar, men de försöker också göra allt för att slå ut tjänster som Spamhaus. Vidare kan Spamhaus bestämma sig för att du tar emot för många brev och att du därmed utnyttjat gästfriheten som deras gratisvariant erbjuder och att du istället ska betala för dig. Uppskattar du tjänsten så rekommenderar vi att du öppnar plånboken.

Ett kommande potentiellt problem är också att spärrlistor som exempelvis Spamhaus bygger på att ip-adresser registrerats som spammare. Detta är i sig inget problem så länge vi använder ipv4-adresser, men den dagen då vi har gått över till ipv6-adresser har vi så många adresser tillgängliga så det är teoretiskt möjligt att hundratals miljoner spambrev där varje brev kommer från en unik ip-adress. Med det i åtanke ska det bli intressant att se hur rbl-tjänster som Spamhaus ska överleva om 4-5 år.

Nåväl, det sista vi ska diskutera här är den inbyggda spamfiltreringen. Den bygger på gamla hederliga Spamassassin, vilket är ett effektivt men också otroligt korkat filter mot spam. Spamassassin tittar på innehållet i varje brev och beroende på om funktionen tycker att ett brev är spam så kommer det att stoppa det. Men Spamassassin har ingen “intelligens” bortom det utan istället måste den träna sig på att förstå vad som är korrekta och inkorrekta brev. Detta tar tid och innan Spamassassin lärt sig vad som är vad kommer du antingen få leva med att legitima brev blockeras, eller att spambrev åker igenom. Du kan läsa mer om hur du tränar Spamassassin att lära sig vad som är och inte är spam här.

Ett annat problem med OS X Server 10.8.2, som är den senaste versionen när detta skrivs, är att Spamassassin inte fungerar. Flera rapporter pekar på att de inställningar du gör i Server-applikationen helt enkelt inte har någon som helst verkan på Spamassassin. Vårt råd är att testa dig fram och om det inte fungerar som det ska, avvakta till OS X Server 10.8.3 för att se om Apple löst problemet.

För att summera denna intressanta konfigurationssida kan man säga följande: när det handlar om att blockera spambrev och virus så är det, om man ska vara krass, inget man vill lita på att de inbyggda funktionerna i OS X Server faktiskt kan leverera som utlovat. Det finns flera andra funktioner och tjänster på marknaden som gör detta betydligt bättre, så om du ska köra e-posthantering för ditt företag eller fler personer än dig själv rekommenderas att du tittar på det alternativet.

Slå av Greylisting

Apple har valt att bygga in en funktion kallad Greylisting. Denna bygger på antagandet att en legitim e-postserver kommer att försöka skicka ett brev igen om det första anslutningsförsöket misslyckas, medan en spammande e-postserver inte kommer att försöka igen eftersom den har annat för sig (spamma andra e-postservrar). Greylisting i praktiken fungerar som så att när en ny e-postserver som aldrig “pratat” med din e-postserver hör av sig och vill skicka ett brev till din e-postserver utspelar sig följande dialog:

Främmande e-postserver:

Tjenare, har ett brev till olle@99mac.se!

Din e-postserver känner inte igen den främmande e-postservern och svarar då:

“Tjenare, vi är på lunch. Försök senare.”

Efter en stund kommer den främmande e-postservern att försöka igen och Greylistingsystemet kommer då att lägga till den främmande e-postservern på en lista över godkända servrar. Låter detta smart? Det är det också, men bara till en viss gräns. Om man väntar på ett brev från en person man aldrig fått brev från tidigare, och det är bråttom, så är en odefinierbar väntetid det sista man vill ha på halsen. Därför kan man slå av Greylisting med följande kommando i terminalen:

sudo serveradmin settings mail:postfix:greylist_disable = yes

Vill man slå på funktionen igen skriver man följande i terminalen:

sudo serveradmin settings mail:postfix:greylist_disable = no

För att aktivera inställningen skriver man följande i terminalen:

sudo postfix reload

Sätt upp användarkonton och e-postadresser

Att lägga till en e-postadress till en användare är busenkelt. Öppna upp användarens inställningar i Server-applikationen och knappa in e-postadressen. Klart! Men om du har fler domäner då, eller en användare vill ha fler e-postadresser till samma konto?

Då får du det stora nöjet att installera och åter använda gamla Workgroup Manager. Ladda ned programmet här och starta det sedan. När du öppnar det får du ange servernamn, login och lösen (här anger du diradmin-kontot som du skapade när du installerade Open Directory och profilhanteringen) för att komma åt Open Directory-katalogen i OS X Server. Skapa en ny användare, eller modifiera en befintlig dito, och i fältet för short name matar du in en eller flera e-postadresser. Spara användaren som vanligt.

Lycka till!

Skriven av Joacim Melin
Kommentarer
14 svar

En berömd regissör hälsar god jul för en svensk klädkedjas räkning, i veckans fredagsvideo.

Apple ska med hjälp av drönare försöka göra en bättre kartapp än rivalen Google.

Sköna toner hör julen till, och 99-redaktionen bjuder på två finfina spellistor med den allra mest juliga musiken.

Andra luckan i Geeks Julkalender är öppnad, och här hittar vi tjusiga hörluar från Bose. 700 kronor rabatt är inte fel, men du kan också vinna dem.

Googles strömmande mediaenhet Chromecast Ultra går nu att köpa i Sverige, men tillgången uppges vara begränsad.

Succéspelet Tiny Wings migrerar från Iphone och Ipad till Apple TV, och erbjuder bland annat stöd för multiplayer på vardagsrummets storbildsskärm.