Установка и настройка zimbra на linux

Подготовка сервера

Независимо от выбранного дистрибутива Linux или редакции Zimbra выполняем следующие действия для подготовки сервера к корректной работы почтового сервера.

1. Настройка времени

Устанавливаем корректный часовой пояс:

timedatectl set-timezone Europe/Moscow

* в данном примере мы зададим московское время.

Теперь установим утилиту для синхронизации времени и запустим ее.

а) если используем систему на базе RPM (CentOS / Red Hat):

yum install chrony

systemctl enable chronyd —now

б) если используем систему на базе deb (Ubuntu):

apt-get install chrony

systemctl enable chrony —now

2. Безопасность

SELinux

Если на сервере используется SELinux (по умолчанию, на системах RPM), рекомендуется ее отключить. Для этого вводим 2 команды:

setenforce 0

sed -i ‘s/^SELINUX=.*/SELINUX=disabled/g’ /etc/selinux/config

* подробнее в статье Как отключить SELinux.

Брандмауэр

Для нормальной работы Zimbra нужно открыть много портов:

• 25 — основной порт для обмена почтой по протоколу SMTP.
• 80 — веб-интерфейс для чтения почты (http).
• 110 — POP3 для загрузки почты.
• 143 — IMAP для работы с почтовым ящиком с помощью клиента.
• 443 — SSL веб-интерфейс для чтения почты (https).
• 465 — безопасный SMTP для отправки почты с почтового клиента.
• 587 — SMTP для отправки почты с почтового клиента (submission).
• 993 — SSL IMAP для работы с почтовым ящиком с помощью клиента.
• 995 — SSL POP3 для загрузки почты.
• 5222 — для подключения к Zimbra по протоколу XMPP.
• 5223 — для защищенного подключения к Zimbra по протоколу XMPP.
• 7071 — для защищенного доступа к администраторской консоли.
• 8443 — SSL веб-интерфейс для чтения почты (https).
• 7143 — IMAP для работы с почтовым ящиком с помощью клиента.
• 7993 — SSL IMAP для работы с почтовым ящиком с помощью клиента.
• 7110 — POP3 для загрузки почты.
• 7995 — SSL POP3 для загрузки почты.
• 9071 — для защищенного подключения к администраторской консоли.

В зависимости от утилиты управления фаерволом, команды будут следующие.

а) Если используем firewalld (Red Hat, CentOS):

firewall-cmd —permanent —add-port={25,80,110,143,443,465,587,993,995,5222,5223,9071,7071,8443,7143,7993,7110,7995}/tcp

firewall-cmd —reload

б) Если используем iptables (Ubuntu):

Порты для веб:

iptables -I INPUT -p tcp —match multiport —dports 80,443 -j ACCEPT

Порты для почты:

iptables -I INPUT -p tcp —match multiport —dports 25,110,143,465,587,993,995 -j ACCEPT

Порты для Zimbra:

iptables -I INPUT -p tcp —match multiport —dports 5222,5223,9071,7071,8443,7143,7993,7110,7995 -j ACCEPT 

Сохраняем правила: 

netfilter-persistent save

* если команда вернет ошибку, то установим пакет: apt-get install iptables-persistent.

в) Если используем ufw (Ubuntu):

ufw allow 25,80,110,143,443,465,587,993,995,5222,5223,9071,7071,8443,7143,7993,7110,7995/tcp

3. DNS и имя сервера

Для корректной работы почтового сервера необходимо создать mx-записи для домена (подробнее о ).

Но для установки Zimbra важнее, чтобы в локальном файле hosts была запись о нашем сервере, в противном случае, установка прервется с ошибкой. И так, задаем FQDN-имя для сервера:

hostnamectl set-hostname zimbra.dmosk.ru

Теперь открываем на редактирование файл:

vi /etc/hosts

… и добавляем:

192.168.1.15      zimbra.dmosk.ru zimbra

* где 192.168.1.15 — IP-адрес нашего сервера; zimbra — имя сервера; dmosk.ru — наш домен.

Не совсем очевидная проблема, но если в системе не будет пакета hostname, при попытке запустить установку зимбры, мы будем получать ошибку определения IP-адреса по имени. Устанавливаем пакет.

а) для CentOS (Red Hat):

yum install hostname

б) если Ubuntu (Debian):

apt-get install hostname

4. Системная переменная для имени сервера

Чтобы нам было удобнее вводить команды, где требуется указать имя сервера, создадим системную переменную:

myhostname=zimbra.dmosk.ru

Теперь мы можем в команде использовать переменную $myhostname.

Защита от СПАМа

1. Обновление правил в SpamAssassin

Для улучшения защиты от СПАМ-сообщений мы включим автоматическое обновление правил для SpamAssassin. Для этого вводим:

su — zimbra -c «zmlocalconfig -e antispam_enable_rule_updates=true»

su — zimbra -c «zmlocalconfig -e antispam_enable_restarts=true»

После перезапустим соответствующие службы:

su — zimbra -c «zmamavisdctl restart»

su — zimbra -c «zmmtactl restart»

2. Черные списки

Чтобы усилить защиту, разрешим проверку отправителя в черных списках:

su — zimbra -c ‘zmprov mcf zimbraMtaRestriction «reject_rbl_client zen.spamhaus.org»‘

* в данном примере мы подключаем rbl-список от zen.spamhaus.org.

3. Настройка mynetworks

После установки Zimbra в опции postfix mynetworks может оказаться подсеть, в которой находится наш сервер. На практике, это приводит к возможности отправки сообщений без пароля, что в свою очередь, позволяет любому вирусу в нашей сети делать нелегальную рассылку.

Задаем для mynetworks только адрес локальной петли и адрес сервера:

su — zimbra -c ‘zmprov ms zimbra.dmosk.ru zimbraMtaMyNetworks «127.0.0.0/8 192.168.1.15/32″‘

* где 192.168.1.15 — IP-адрес нашего почтового сервера.

Перезапускаем postfix:

su — zimbra -c ‘postfix reload’

Проверить текущую настройку можно командой:

su — zimbra -c ‘postconf mynetworks’

Совместная работа с документами

В интерфейсе пользователя есть вкладка Drive. Здесь можно хранить свои файлы и делиться ими с другими пользователями системы. Есть возможность давать доступ на чтение или редактирование, а так же на редактирование и возможность так же назначать права для доступа других пользователей.

Отсюда можно запустить редактирование документа. Оно основано на онлайн версии популярного офисного пакета LibreOffice и поддерживает более 100 форматов документов, в т. ч. Microsoft Office. При работе над файлом каждое действие фиксируется, благодаря чему при желании можно будет не только вернуться к любому этапу создания документа, но и отследить порядок внесения правок в него, что помогает участвовать в процесс редактирования другим сотрудникам. Тут же можно будет быстро сохранить документ в виде pdf файла.

Я скажу честно, не протестировал этот функционал. Судя по тому, что все остальное у меня заработало, не думаю, что тут будут какие-то фатальные проблемы. Просто сервер для редактирования документов рекомендуется ставить на отдельную VPS, не на этот же сервер. В рамках тестирования у меня не было подходящей инфраструктуры под рукой, чтобы быстро связать все это дело. Судя по документации, там никаких сложностей нет. Так же качается пакет, ставится одной командой и потом связывается с основным сервером через ввод параметров для связи — адрес сервера и учетка для авторизации.

Думаю, что все это можно поставить и на один сервер, но не было времени проверить и разобраться.

External Access

These are ports typically available to mail clients.

Port	Protocol	Zimbra Service	Description
25	smtp	mta	incoming mail to postfix
80	http	mailbox / proxy	web mail client (disabled by default in 8.0)
110	pop3	mailbox / proxy	POP3
143	imap	mailbox / proxy	IMAP
443	https	mailbox / proxy — web mail client	HTTP over TLS
465	smtps	mta	Incoming mail to postfix over TLS (Legacy Outlook only? If possible, use 587 instead)
587	smtp	mta	Mail submission over TLS
993	imaps	mailbox / proxy	IMAP over TLS
995	pop3s	mailbox / proxy	POP3 over TLS
3443	https	proxy	User Certificate Connection Port (optional)
5222	xmpp	mailbox	Default server port
5223	xmpp	mailbox	Default legacy SSL port
9071	https	proxy admin console	HTTP over TLS (optional)

Чат и видеозвонки

Возможности чата не слишком большие, но тем не менее, есть крутая штука, которая мало у кого реализована. Я имею ввиду не популярные мессенджеры, а закрытые чаты, которые можно развернуть на своем сервере. Есть индикация того, прочитано ли твое сообщение. Реализовано так же, как во всех популярных мессенджерах в виде галочки. Одна галочка — сообщение доставлено, но не прочитано. Две галочки — прочитано.

Тут же из разговора можно осуществить звонок, в том числе с видео. Я смог протестировать этот режим в формате видеозвонка даже с одного своего ноутбука позвонив самому себе в разные учетки, открытые в двух браузерах.

Входящий звонок в почтовом клиенте выглядит так.

При этом пиликает звук из динамиков компьютера. Поговорить самому с собой через один микрофон у меня получилось. Так выглядит интерфейс видеозвонка.

Тут же можно расшарить свой экран, но для этого надо установить отдельное расширение для Chrome.

Вообще, до этого момента я немного прохладно относился ко всей этой затее с Zimbra и Zextras. Вроде и функционально, но не везде удобно, да и денег стоит. Но когда увидел этот чат с видео, с демонстрацией экрана, который у меня сразу и без проблем заработал, я проникся. Ведь это реально очень удобно. Сидишь, работаешь, получил почту. Что-то не понял, тут же написал в чат, договорился о звонке. Созвонились, поговорили, показали друг другу экраны, все объяснили. Это реально круто и удобно.

Плюс, можно создавать отдельные комнаты и проводить конференции. Ведущий запускает у себя камеру, шарит экран и начинает объяснять или что-то рассказывать. Остальные либо просто слушают, либо с включенными веб камерами сидят. И при этом не нужен никакой дополнительный софт. Все работает через браузер. И ты можешь сюда запускать людей со стороны, просто давая им ссылки на чат комнаты.

General Questions

Is Zimbra Desktop really free?

Yes. Zimbra Desktop is open source and free. We make both the software code and the application itself available to anyone at no charge.

Does Zimbra Desktop contain any spyware?

Absolutely not. In fact 100% of the Zimbra Desktop code is open source so everything the software does is open to the public.

What types of accounts are supported by Zimbra Desktop?

Zimbra Desktop supports the following account types:

• Gmail
• Yahoo! Mail
• Microsoft Exchange (via IMAP)
• Other email services using POP3 or IMAP4 access

Can I setup multiple accounts of the same or different types in one installation?

Yes. You can setup as many or as few accounts as you need. For example, you can setup two Gmail accounts of different usernames or domains, one Yahoo! Mail account, and one IMAP account for your company’s IMAP server.

Is Zimbra Desktop available in my language?

Currently Zimbra Desktop does not offer a localized installer and account setup. However, after installation and configuration the application supports 20+ languages. You can set your languages from you Zimbra Desktop Preferences.

I found a bug. How do I report it?

If this is your first time logging a bug, you will need to register an account. By doing this you will be notified on every update to the bug you file.

I have this brilliant idea to make Zimbra Desktop significantly better. How do I get it into the product?

Маршрутизация почты (mail routing)

Так как Zimbra использует Postfix как МТА, то маршрутизацию (перенаправление) почты настраиваем в нём. Создаём файл с описанием маршрутов /opt/zimbra/postfix/conf/transport-table:

mydomain.com     :
mydomain.ru      :

В этой таблице мы перенаправляем всю почту для домена mydomain.com на другой адрес в Интернете mail.otherdomain.com, а почту для домена mydomain.ru передаём почтовому серверу 192.168.0.10 в локальной сети. При этом имя пользователя (адресата) не изменяется.

!	Маршрутизация почты не затрагивает правила IP маршрутизации и меняет лишь домен назначения. Таким образом, после того как эти правила были применены дальнейшее разрешение DNS имён и отправка IP пакетов идут своим обычным чередом.

Data Synchronization

How much data is stored on a user’s computer?

Zimbra Desktop is designed to download all user data in the cloud to store on the user’s computer. This approach allows Zimbra Desktop users to access all of their data when offline.

Where are the data stored?

Actual data is stored as files under <data>/store, where each item is a single file. Metadata is stored in a SQLite database under <data>/sqlite. In addition, indexes on data are stored under <data>/index. These three folders contain all user data, and any direct modification to these data will result in corruption and possible data loss.

While that is possible, it is not recommended. If you choose to do file based backup, you must first quit Zimbra Desktop before running any types of backup.

However we recommend users do backup using the import/export feature instead. You will find this feature under the tab Preferences > Local Folders. Zimbra Desktop users should regularly backup their accounts using the export tool. Regular manual backup is even more important for POP accounts and Local Folders where you only have one copy of the data on local disk (as opposed to «synced accounts» like Zimbra, Yahoo, Gmail or IMAP where you have another copy of everything on back-end server).

Is my data stored on my computer secure?

Currently Zimbra Desktop does not provide application level encryption. It is important that you choose a secure file system and not give others access to your computer.

Are all my data in Zimbra Desktop always in sync with my data in the cloud?

That depends on the type of account, what you choose to synchronize, and how often Zimbra Desktop synchronizes with remote servers. For Zimbra accounts, virtually 100% of data is synchronized with the server, including user preferences. The only data not in sync are changes you made since the last synchronization. For Gmail, Yahoo! Mail, Exchange IMAP and other IMAP mailboxes, user preferences are not synchronized with the server. For POP accounts, all data are stored locally only once they are downloaded. In addition, all data that is under Local Folders are stored locally only. Data that only exist locally in Zimbra Desktop is referrred to as local data.

If my hard drive dies and I have no data backup, do I lose all my data?

You will lose all your local data. Data still in your mailboxes in the cloud can be downloaded again once you setup a new Zimbra Desktop install. Therefore, it is important to backup your mailbox data periodically, especially your local data. It is also worth noting that when you choose to delete or reset a mailbox, all data including changes you made since your last sync is deleted from your local computer although data under Local Folders will remain.

How often does Zimbra Desktop synchronize with remote servers?

That depends on the sync schedule you choose for each of your accounts. Zimbra accounts support the option to synchronize whenever your mailbox on the server has any new changes, which is referred to as «push». Zimbra Desktop currently doesn’t support «push» for other types of accounts. You can also force an immediate sync of all accounts by clicking the «Send/Receive» button. If there are outgoing messages in your Outbox, sync will run immediately unless your sync schedule is set to «manual». With «manual» setting you must click the «Send/Receive» button to even send outgoing messages.

Can the latest Zimbra Desktop version synchronize with older versions of ZCS servers?

Zimbra Desktop 7.x does not work with ZCS 5.0 or earlier. Zimbra Desktop 7.x is mostly compatible with ZCS 6.x, with the exception of «Documents» (WiKi) app. Documents app is deprecated in Zimbra Desktop 7.0 (and in ZCS 7.0 as well). To access Documents on ZCS 6.x, users have to use the web client.

How do I uninstall Zimbra Desktop?

On Microsoft Windows you can also use «Add or Remove Programs» to uninstall. On Mac and Linux, shutdown the data engine and then remove everything under <install>. You can optionally also delete everything under <data> if you no longer need the user data.

Ограничение размера ящика и письма

Zimbra в качестве MTA использует Postfix, где эти ограничения задаются переменными:

# устанавливаем ограничение на ящик в 100Мб и на письмо в 10Мб
mailbox_size_limit = 102400000
message_size_limit = 10240000

Конфигурационный файл /opt/zimbra/postfix/conf/main.cf генерируется при каждом запуске зимбры, поэтому исправлять его нет смысла. Редактируем файл /opt/zimbra/conf/zmmta.cf, но так как он доступен только для чтения, то сначала придётся сменить права:

$ chmod u+w ./zmmta.cf

Находим вышеуказанные переменные, присваиваем нужные значения, перезагружаем зимбру:

$ zmcontrol restart

Zimbra DNSCache

Вместе с зимброй мы установили службу dnscache, которая позволяет увеличить производительность почтового сервера. Однако, принцип работы сети немного меняется, а именно, в файле /etc/resolv.conf появляется запись:

nameserver 127.0.0.1

… а разрешение DNS имени в IP-адреса перестает работать. Удаление или смена записи в файле resolv.conf ни к чему не приводит, так как, по прошествии некоторого времени, настройка принимает исходный вид.

Для корректной настройки службы dnscache необходимо сначала посмотреть Master DNS в настройках Zimbra:

su — zimbra -c «zmprov getServer ‘$myhostname’ | grep DNSMasterIP»

* где $myhostname — имя сервера, на котором установлена Zimbra (в данной конфигурации, zimbra.dmosk.ru).

В моем случае было:

zimbraDNSMasterIP: 127.0.0.53

Удалить данную запись:

su — zimbra -c «zmprov ms ‘$myhostname’ -zimbraDNSMasterIP 127.0.0.53»

И добавить свои рабочие серверы DNS, например:

su — zimbra -c «zmprov ms ‘$myhostname’ +zimbraDNSMasterIP  192.168.1.1»

su — zimbra -c «zmprov ms ‘$myhostname’ +zimbraDNSMasterIP  8.8.8.8»

su — zimbra -c «zmprov ms ‘$myhostname’ +zimbraDNSMasterIP  77.88.8.8»

* где 192.168.1.1 — DNS сервер в моей сети; 8.8.8.8 — DNS сервер от Google; 77.88.8.8 — DNS сервер от Яндекс.

Теперь DNS-запросы на сервере будут работать.

zimbraMtaLmtpHostLookup

Если наш сервер находится за NAT и разрешение IP происходит не во внутренний адрес, а внешний (можно проверить командой nslookup <имя сервера>), после настройки наш сервер не сможет принимать почту, а в логах мы можем увидеть ошибку delivery temporarily suspended: connect to 7025: Connection refused). Это происходит из-за попытки Zimbra передать письмо в очереди по внутреннему порту локальной почты 7025 (LMTP) на внешний адрес, который недоступен из NAT. Для решения проблемы можно использовать внутренний DNS с другими А-записями (split dns) или собственный поиск IP-адресов для lmtp, а не для DNS. Рассмотрим второй вариант — вводим две команды:

su — zimbra -c «zmprov ms $myhostname zimbraMtaLmtpHostLookup native»

su — zimbra -c «zmprov mcf zimbraMtaLmtpHostLookup native»

* где $myhostname — имя нашего почтового сервера.

После перезапускаем службы зимбры:

su — zimbra -c «zmmtactl restart»

Multi-account Goodies

What is the «All Mailboxes» section?

It’s a virtual mailbox that shows an integrated view of all your physical mailboxes. The virtual Inbox under «All Mailboxes» shows messages from Inboxes in all of your physical mailboxes. Other virtual folders under «All Mailboxes» work the same way.

What account identity will it use when I reply or forward a message in a virtual folder?

By default it will use the identity to which the original message was sent. However you can always switch to a different identity in the composer. In fact you can even switch to an identity that belongs to a different physical mailbox.

I don’t like seeing messages from different mailboxes together. Can I turn off «All Mailboxes»?

What is the «Local Folders» section?

That’s a separate mailbox that doesn’t sync with any server account. A folder under «Local Folders» is a local folder. All items in a local folder exist on your computer only. You can move or copy items from any account to a local folder so that those items are saved on your computer.

Can I move a meeting from one account to another?

Yes. For example, if you have one Zimbra account and one Gmail account with calendar sync enabled, you can move a meeting in Google account to your Zimbra account. However by doing so you are deleting the meeting from your Google calendar and adding it to your Zimbra server mailbox.

Почему именно Zimbra?

Чем же хорош сервис Zimbra, если он идеально подходит для использования его в корпоративных целях? Давайте небольшими тезисами пройдемся по основным пунктам:

• Предоставление качественной защиты персональных данных от взлома. Частично, это достигается тем, что на эту почту невозможно зайти удаленно.
• Хорошая антипам-защита. Почта Zimbra отлично справляется со спамом и рекламными рассылками.
• Имеется возможность настроить сбор электронных сообщений с других почтовых ящиков, что в разы может упростить работу с электронными письмами.
• Наличие удобного интерфейса. Сервис поддерживает различные устройства (мобильные тоже), имеет удобный графический интерфейс и поддержку многих почтовых клиентов, в том числе Zimbra Desktop.

Автоматизация переноса учёток

Почтовая учётная запись создаётся двумя командами:

/opt/zimbra/bin/zmprov ca user@domain.ru userpass displayName "Фамилия Имя Отчество"
/opt/zimbra/bin/zmprov ma user@domain.ru userPassword 'userpass'

где userpass — пароль пользователя

Первая команда создаёт пользователя с открытым паролем, вторая — перезаписывает открытый пароль шифрованным (поэтому первый пароль может быть любым).

Если есть список пользоватей и их пароли, то скрипт можно составить, например, в OpenOffice Calc добавить необходимые поля (команды, кавычки), и затем сохранить в формате csv с разделителем «пробел».

Можно сначала создать все учётные записи, а зетем у всех поменять пароль.

Чтобы корректно отображались кирилические буквы, скрипт лучше выполнять от имени root или можно настроить локаль. Проверить настройки локали можно командной:

# echo $LANG
ru_RU.UTF-8

а установить командами:

LANG=ru_RU.UTF-8
export $LANG

Такие полезные опции: фишки Zimbra функционала

Что тут сказать, интерфейс потрясает: все плавно и подробно (необычность не только в описании — эжто нужно проверить, пощупать и принять на вооружение)

Кнопки на своем действительном и, что немаловажно, ожидаемом месте. Пальцы сами находят нужный раздел и письма открываются как по велению мыслей пользователя

Кстати, о спаме можно совсем забыть, как о явлении, не имеющем места быть в Zimbra в принципе и априори. Конечно же если сисадмин на фирме все правильно настроил и нигде не допустил «непоправимых упущений».

Главное достоинство Zimbra — это софт, который работает безупречно и по-умному. Мгновенное быстродействие — это недостаточное описание молниеносно происходящего процесса «обмен сообщениями», которые, кстати, по многим характеристикам (например, ограниченность традиционных серверов почты — письмо в 25 МБ и ни байта больше!) в разы превосходит «долгоиграющие аналоги в Сети.

В общем, дабы не переутомлять вас, уважаемые читатели, различными «вау, ух ты, да ну или вот это ДА!» — внедряем новый продукт в корпоративную жизнь. Рекомендация: дайте ссылку на статью своему сисадмину, если он не в теме. Пока, все. Реализуй удобное и эффективное!

ООО «Рустмаш» — разработчик и производитель погружного оборудования для нефтедобычи — предлагает Заказчикам сервисное сопровождение и техническое обслуживание оборудования. Мы предоставляем следующие услуги:

• диагностика неисправностей оборудования;
• гарантийный и постгарантийный ремонт, а также поставка и замена запчастей;
• техподдержка, курирование сервисным специалистом ООО «Рустмаш»;
• оперативный выезд технического специалиста к Заказчику;
• обучение персонала Заказчика.

Служба технической поддержки и сервиса работает гибко, оперативно, профессионально. Наши клиенты уверены в надежности и бесперебойной работе нашего оборудования.

Zimbra — открытый программный продукт для автоматизации и упрощения совместной деятельности любых рабочих групп в масштабах государственного или частного бизнеса. Сейчас Zimbra применяется в более чем 5000 компаниях, включая такие мировые бренды, как NTT Communications, Comcast, Dell, Cadbury, Investec, Rackspace, Red Hat, VMware, H&R Block и Vodafone. Всего больше 100 миллионов конечных пользователей в более чем 140 странах мира. Zimbra — третий по размеру провайдер средств коллективной работы в мире с активным сообществом разработчиков и мировой партнёрской сетью.

Zimbra состоит из двух платформ:

• Zimbra Collaboration Suite — почтовый сервер, органайзер и персонализация пользователя. Это решение корпоративного класса для совместной работы с электронной почтой, календарем и офисными инструментами.
• Zimbra Community — корпоративная социальная сеть, виртуальное пространство для обмена файлами и сообщениями между сотрудниками.