Вкратце
В первой из двух частей этой статьи я представлю обзор использования протоколов POP3 и IMAP4 с Exchange 2007. Сначала я объясню некоторые различия между этими двумя протоколами. Затем я рассмотрю несколько сценариев, где они могут быть использованы, начиная с необходимых деталей конфигурации, включая то, как установить соединение клиента.
Во второй части этой статьи я покажу некоторые расширенные настройки конфигурации и коснусь лучших примеров практики использования этих двух протоколов. В заключение я рассмотрю то, что должно появиться для POP3 и IMAP4 в SP1 (Service Pack 1) Exchange 2007.
Введение
POP3 (Протокол почтового офиса 3) и IMAP4 (Протокол интерактивного доступа к электронной почте 4) – это протоколы, разрешающие доступ к электронной почте с /на удалённом сервере. Оба эти протокола широко используются вне предприятия для доступа к персональной почте с ISP, однако я обнаружил, что иногда они применяются в деловой настройке, например, на мобильном телефоне.
Ключевое различие между этими протоколами состоит в том, что IMAP4 предоставляет доступ к почте на сервере и не скачивает её на локальный компьютер, в сравнении с POP3, который скачивает почту на локальный компьютер (примечание: есть также возможность оставить копию на сервере). POP3 скачивает почту только из папки «Входящие», хотя могут быть созданы и другие локальные папки, тогда как IMAP4 разрешает доступ ко всем папкам почтового ящика на сервере. По сравнению с другими методами удалённого доступа, например, с OWA (Outlook Web Access), ни один протокол не предлагает таких продвинутых функций, как составление расписания, задание и управление контактами.
С этими протоколами связано множество изменений в Exchange 2007. Прежде всего, теперь они стали частью Exchange 2007 и не устанавливаются как часть IIS. Во-вторых, что более важно, тут нет GUI для управления POP3 и IMAP4 (во всяком случае, не было до SP1), в отличие от Exchange 2003. Одно осталось без изменений: тот факт, что оба эти протокола являются протоколами поиска почты; ни тот, ни другой не позволяют вам отправлять почту. Чтобы это сделать, нужно отправлять через SMTP-сервер. В следующем параграфе я покажу вам как.
Установка / запуск POP3 и IMAP4
Как упомянуто выше, POP3 и IMAP4 являются частью роли CAS (Client Access Server) в Exchange 2007. Это означает, что их использование не требует дополнительной установки. Их просто нужно активировать. Чтобы это сделать, выполните следующее:
Сначала запустите соответствующую службу и установите стартовый режим как автоматический. Смотрите Рисунок 1:
Рисунок 1: Установка стартовых опций службы POP3
Затем запустите эту службу, смотрите Рисунок 2:
Рисунок 2: Запуск службы POP3
Когда команда PowerShell возвращает к сообщению, стоит проверить, действительно ли были запущены службы, поскольку это не та информация, которую возвращает PowerShell. Чтобы это сделать, выполните команды, показанные ниже на Рисунке 3:
Рисунок 3: Проверка запуска служб
Примечание для IMAP4: Замените “POP3” в примерах выше на IMAP4.
Включив серверный протокол, удостоверьтесь, что пользователь, которому нужен доступ, имеет соответствующий протокол, включённый для использования. Для этого нужно зайти в свойства пользователя (properties) и посмотреть закладку Mailbox Features (Свойства почтового ящика). Смотрите Рисунок 4. Или можно воспользоваться командами PowerShell, приведёнными ниже:
Set-CASMailbox -Identity mailboxname -PopEnabled $true
Set-CASMailbox -Identity mailboxname -IMAPEnabled $trueПримечание: $false отключает протокол для указанного пользователя.
Рисунок 4: Свойства почтового ящика пользователя
Разобравшись с установкой протокола поиска электронной почты, сейчас мы должны разрешить пересылку почты. В Exchange 2007 поток SMTP-почты связан как с ролью сервера Центрального транспорта (Hub Transport (HT)), так и с ролью Граничного транспорта (Edge Transport (ET)). Для обеих можно установить коннекторы, чтобы разрешить получение и отправку почты. Однако в данном случае вы скорее будете использовать HT-сервер для пересылки почты, поскольку ET-сервер не является частью продукции AD (смотрите статью Родни Бьюика для подробностей здесь). Ваш HT-сервер будет иметь наилучшую позицию для аутентификации тех, кому нужно переслать почту, что гораздо лучше, чем позволять пересылку почты без аутентификации.
По умолчанию HT-сервер уже имеет подходящий коннектор, который установлен и ожидает, что вы будете аутентифицировать и предоставлять почту. Это коннектор “Client HTServerName”. Глядя на его свойства (Рисунок 5), вы сразу заметите порт, который этот коннектор прослушивает. Это порт 587. Да, это SMTP-коннектор, но вместо того, чтобы использовать порт 25, стандарт для связи серверов SMTP, используется порт 587, поскольку это стандарт для SMTP-почты, получаемой с клиентского софта.
Рисунок 5: Закладка сетевых установок, показывающая значение порта для Коннектора клиента
Рассмотрев запуск доступа по протоколам POP3 и IMAP4 и предоставление транспорта для отправки исходящей почты, я пойду дальше и рассмотрю собственно установку клиента. Вы обнаружите, что это не так просто, как можно подумать!
Установка клиента: аутентификация и порты
Хотя Outlook Express 6 и устанавливается на большинство компьютеров, я решил использовать новый клиент Windows Live Mail Desktop, чтобы продемонстрировать установку клиента из-за проблемы с Outlook Express, которую разберу ниже. После открытия клиента я ввёл участок установки учётной записи следующим образам:
- Выберите “Accounts”(Учётные записи) в меню“Tools”(Инструменты).
- Чтобы создать новую учётную запись, нажмите “Add” и выбранную “Email Account” (Почтовую учётную запись).
- Потом введите имя пользователя, адрес электронной почты (в моём случае “imap” и соответственно imap@exchange.local) и мандат для входа в систему. А также поставьте галочку рядом с “Manually configure server settings for e-mail account”(«Настройки сервера, выполняемые вручную для почтовой учётной записи»). См. Рисунок 6.
- Теперь выберите протокол (IMAP или POP3) и введите детали сервера для получения и отправки почты, которые в моём случае были одинаковыми - “e2k7cas-ht.exchange.local”. См. Рисунок 7.
Рисунок 6: Настройки имени пользователя и регистрации
Рисунок 7: Настройки сервера
Выполнив настройку учётной записи так, как показано выше, возможно, вы заметили несколько отличий от того, что ожидали получить. В Exchange 2007 настройки, созданные по умолчанию, немного надёжней, чем в предыдущих версиях. По умолчанию Exchange 2007 требует безопасные соединения SSL/TLS, что подразумевает проверку подключения клиента через защищённый порт. Для IMAP это порт 993, а для POP3 – порт 995. Используя соединение SSL/TLS, как при использовании HTTPS в OWA, важно убедиться, что компьютер клиента доверяет пути сертификата, применяемого для шифрования трафика, иначе произойдёт ошибка, как показано на Рисунке 8.
Рисунок 8: Ошибка цепи сертификата, не имеющего доверия
Шаги, приведённые выше, показывают вам, как устанавливать соединение наиболее безопасным способом. Однако вы можете ослабить настройки с помощью команд “set-popsettings –logintype” или “set-imapsettings –logintype”. Эти команды выводят следующие опции:
- PlainTextLogin (Регистрация в виде простого текста)
- PlainTextAuthentication (Аутентификация простым текстом)
- SecureLogin (Безопасная регистрация)
Использование опции PlainTextLogin открывает всё, разрешает соединение через стандартные порты (не TLS: 110 для POP3 и 143 для IMAP4). А также она разрешает использование в сети паролей в виде простого текста.
Опция PlainTextAuthentication тоже разрешает соединение через стандартные порты (не TLS), но требует применения безопасных паролей, как при использовании с опцией Secure Password Authentication в клиенте.
Наконец, опция SecureLogin назначена по умолчанию, как было разобрано в анализе выше. После внесения любых изменений в эти настройки, перезапустите соответствующую службу, чтобы они вступили в силу. Я бы оставил настройки, заданные по умолчанию, так как остальные просто небезопасны.
Примечание: Если вы пытаетесь сделать изменение с помощью Outlook Express 6 или более ранней его версии, тогда у вас возникнет проблема с настройкой SMTP-сервера на использование SSL/TLS через порт 587. Проблема в том, что Outlook Express может иметь дело только с явный протокол TLS через порт 25. Ниже обрисованы как явный, так и неявный протоколы TLS:
Явный TLS (Explicit TLS): Для того чтобы установить SSL-связь, явная защита требует, чтобы клиент отдавал особую команду (STARTTLS) серверу после установления соединения.
Неявный TLS (Implicit TLS): Неявная защита автоматически начинается с SSL-соединения, как только клиент соединяется с сервером. При неявной защите сервер определяет особый порт для клиента (для POP3 и IMAP4 - 995 или 993) для безопасных соединений.
Если вы хотите продолжать использование протоколов SSL/TSL с Outlook Express 6, то для решения этой проблемы можно воспользоваться автоматически установленным SMTP-коннектором, который настроен использовать протоколы SSL/TLS через порт 25. Но, вероятно, лучшим вариантом было бы отделить трафик новому коннектору, принимающему по другому IP-адресу, но тоже через порт 25.
Резюме
Как вы увидели, и конфигурация, и защита протоколов IMAP4 и POP3 претерпели некоторые изменения в Exchange 2007. Будем надеяться, вы найдёте, что сейчас гораздо больше функциональных методов организации доступа в Exchange 2007. IMAP4 и POP3 предоставляют пригодный и безопасный метод для ситуаций, когда более функциональные методы недоступны.
