PSíK

Správa počítačové Karlov a centrálního informačního uzlu

Nástroje pro tento web


merlin:local-user

Toto je starší verze dokumentu!


Mám poštu na serveru Merlin

Tato stránka shrnuje informace pro uživatele, kteří mají elektronickou poštu umístěnou na serveru Merlin. Uživatelé jsou ve více poštovních doménách, tj. mají za zavináčem různá jména, která ani nemusí obsahovat slovo karlov. To, že máte účet na serveru Merlin poznáte tak, že Vám to někdo řekne. Pokud si nic takového nepamatujete, lze to ještě uhádnout z nastavení vašeho mailového klienta (viz níže). Pokud chcete mít jistotu, budete se muset zeptat.

Tady je chyba! Kam ji mám nahlásit?!?

Každé nahlášení chyby má smysl. Budeme se tím zabývat a buď dokážeme problém odstranit, nebo Vám poradíme, jak se s tím vypořádat či na koho se obrátit. Obraťte se na nás e-mailem nebo přes kontaktní formulář.

Přístup k poště


Přihlášení

K e-mailu na serveru Merlin se přihlašuje zásadně loginemheslemCAS. Není možné se přihlašovat číslem (tzv. UKČO).

Zadávám správné heslo, ale stejně to nefunguje!

Pokud jste si jistí, že zadáváte správný login (nikoli číslo) a heslo z CAS a vyzkoušeli jste všechny běžné triky pro správné zadání hesla:

  • zapnutý CapsLock, malá/velká písmenka
  • zapnutá/vypnutá čeština (hlavně MS Windows)
  • vypnutý NumLock

máte ještě šanci. Na stránce CAS si změňte heslo (klidně na to samé), počkejte minutu či dvě a pak se zkuste znovu přihlásit zde k mailu. Ověřování totiž probíhá proti lokální kopii dat z CAS a občas se stane, že CAS opomene poslat informaci o změně hesla.

Jak si mám změnit heslo?

Změnu hesla lze provést přes webové rozhraní CASu, případně u pověřených osob.

Kde najdu webmail?

Webové rozhraní pro práci s poštou, tzv. webmail je dostupný na adrese https://webmail.karlov.mff.cuni.cz/.

Jak a čím se mohu připojit? Proč mi nejde SSH (TELNET, FTP, SCP...)?

Pro čtení pošty je třeba mailový klient, který podporuje protokol IMAP zabezpečený SSL spojením (též označovaný jako IMAPS, (S)IMAP, případně IMAP přes (over) SSL). Pro odesílání pošty musí být použitý klient vybaven podporou protokolu SMTP přes SSL, případně SMTP + STARTTLS.

Jiná možnost, jak se připojit k Merlinovi není. Systém je od počátku navrhován jako poštovní a vše je tomuto účelu podřízeno. Nemůžeme tedy v tomto případě nabídnout „unixový účet“.

Pro použití webmailu potřebujete standardní www prohlížeč.

Jedu ven (na konferenci/dovolenou) a chci si číst poštu!

Žádný problém! Buď si můžete nastavit poštovního klienta podle tohoto návodu a přistupovat tak, jak jste zvyklí (doporučujeme nikde neukládat Vaše hesla!), nebo použít www rozhraní, tzv. webmail.

Pro případ, že by v místě pobytu byl omezený přístup na poštovní servery, není od věci vybavit se v předstihu VPN, pochopitelně ozkoušenou ještě před odjezdem (to se hodí i pro přístup k jiným službám na UK, než je pošta a které mohou být omezeny z hlediska toho, odkud se k nim přistupuje).

Něco mi to píše s Vaším certifikátem! Nemáte ho špatně?

Na SSL varianty IMAP, SMTP, HTTP protokolů jsou použity certifikáty podepsané certifikační autoritou TERENA resp. DigiCert. Kořenové certifikáty jsou běžně součástí základní instalace většiny systémů, takže by neměl být problém s jejich důvěryhodností. Pokud by k tomu přeci jen došlo, je třeba si kořenové certifikáty doinstalovat z výše uvedeného odkazu. Pouhé „odklepnutí“ varování spojených s certifikáty nedoporučujeme.

Nastavení a možnosti poštovního účtu


Přeposílání e-mailů jinam

Přeposílání e-mailů z našeho serveru dál mimo fakultu zásadně nedoporučujeme, ze dvou hlavních důvodů − organizačně-právníchtechnických.

Organizačně-právní důvody
přeposílání e-mailů ven mimo (MFF) UK je v rozporu s pokynem pověřence UK pro ochranu osobních údajů (viz též místní kopie z 11.4.2019)
Technické důvody
odevzdáváte svojí pracovní poštu někomu dalšímu, nad kým není žádná kontrola, může si s vašimi daty dělat cokoli se mu zamane
připravujete se o podporu z naší strany, např. při náhodného smazání e-mailu je obtížné si nechat e-mail obnovit ze zálohy (u nás aktuálně zálohujeme 3x denně / až několik týdnů zpět)
další osud přeposlané zprávy není vůbec pod kontrolou, nelze tedy pátrat po tom, kam se ztratil a proč
v současnosti většina velkých poskytovatelů zavádí opatření, která efektivně přeposílání znemožňují (SPF, DKIM, …) a často ani nedají vědět, že se jim předaný e-mail nelíbí
pokud se e-mail z nějakého důvodu nepřepošle, vy se o tom nedozvíte, e-mail se efektivně ztratí
nepodmíněným přeposíláním veškeré své pošty (tj. včetně spamu směřujícího na vaši adresu) ven snižujete reputaci našeho poštovního serveru a tím zpětně škodíte sobě i ostatním uživatelům
přeposláním ven a ponecháním lokální kopie, kterou už nebude nikdo číst, jen plýtváte zdroji, které by mohli využít ostatní uživatelé

Pro přeposílání ven by neměl být důvod. Pokud máte s něčím na Merlinovi problém, neváhejte se nám ozvat. Bez toho, že se nám ozvete, je malá šance, že se problém podaří uspokojivě vyřešit.

Pokud i přes uvedená fakta chcete mít e-maily přeposílané dál mimo (MFF) UK, je nezbytné přeposlání realizovat až po odfiltrování spamu, tj. zařadit přeposlání až za filtraci Junku.

Kolik místa mám k dispozici? Co když to překročím? Co když mi to nestačí?

Každý uživatel, který má poštu na Merlinovi, má přidělen prostor, do kterého si svoje maily ukládá. Prostor je společný pro Příchozí poštu (INBOX), Odeslanou poštu i další složky. Vše se počítá dohromady, omezena je celková velikost, počet mailů omezen není. Aktuální stav je zobrazen ve webmailu a v některých schopnějších klientech (např. Mozilla Thunderbird tuto informaci dokáže načíst).

Pokud překročíte hranici 75% je Vám doručen varovný mail, který o situaci informuje. V případě, že přeci jen kvótu překročíte, budou maily pro Vás považovány za dočasně nedoručitelné, budou čekat ve frontě, po nějaké době bude odesílatel informován o problému a po 4 dnech bude čekající mail označen jako nedoručitelný a odstraněn z fronty.

U vybraných domén, například karlov.mff.cuni.cz, dekanat.mff.cuni.cz, plk.mff.cuni.cz …, je navíc v okamžiku, kdy se ve frontě „zasekne“ mail kvůli vyčerpané kvótě, doručeno tzv. poslední varování, z něho máte šanci se dozvědět, že je problém a je třeba ho řešit.

Pokud máte pocit, že pro svoji práci potřebujete více místa, neváhejte nás kontaktovat.

Jak je to s nevyžádanou poštou? Už ji nechci ani vidět!

Každý mail (menší než 1 MB) je zpracováván programem SpamAssassin, který za každou podezřelou vlastnost, která se obvykle vyskytuje v nevyžádané poště, zvýší mailu tzv. skóre. Čím vyšší skóre, tím větší je pravděpodobnost, že jde o nevyžádanou zprávu (spam, junk, …).

Pokud je dosažené skóre vyšší než 3, doplní se do zprávy hlavička X-Spam-Score: cislo (+++) provided by PSiK, kde počet znaků + odpovídá celočíselné části dosaženého skóre. Tuto hlavičku pak lze použít pro automatické třídění příchozích zpráv do složek podle toho, jak moc je zpráva nevyžádaná. Jako výchozí hraniční skóre je autory doporučováno 5.0 (více ⇒ spam, méně ⇒ normální pošta). Individuálně lze po čase vybrat i vyšší či menší hodnotu, velkou roli hraje typ korespondence, jakou dostáváte (např. diskuzní skupiny ).

Je třeba mít na paměti, že jde především o pravděpodobnost, zda zpráva je či není spam, je proto velmi vhodné maily označené jako spam před smazáním průběžně kontrolovat, zda se v mezi nimi nevyskytuje nějaký důležitý mail.

Pomoc s rozpoznáváním nevyžádané pošty

Podstatná část rozpoznávání (ne)vyžádané pošty probíhá na základě statistické analýzy zpráv a je možné (nutné) tento mechanizmus průběžně učit. Učení je zvláště důležité u špatně rozpoznaných zpráv. K učení zdejšího antispamu se můžete přidat i vy. Napište nám a my vám rádi zpřístupníme složky junk-naucitjunk-odnaucit. Do těchto složek pak můžete kopírovat zprávy, které se špatně rozpoznaly a tím vylepšíte šanci na správné rozpoznání příště.

POZOR! Obě složky jsou vždy zpřístupněny pouze pro zápis, to znamená, že cokoli do nich dáte, již nikdy neuvidíte. Používejte proto zásadně vždy jen kopírování.

  • junk-naucit − sem patří zprávy, které jsou nevyžádané, ale nedostaly dostatek bodů
  • junk-odnaucit − sem patří zprávy, které jsou vyžádané, ale dostaly spoustu bodů

Složky jsou vidět ve webmailu i v ostatních poštovních klientech jako sdílené od uživatele 0psik-adm, tj. najdete je jako #shared.0psik-adm.junk-naucit resp. #shared.0psik-adm.junk-odnaucit

Chci si třídit spam, ale nemůžu podle hlaviček, co s tím?

Některé programy (např. Pegasus Mail) neumožňují automaticky zatřiďovat poštu podle libovolných hlaviček, např. té „naší“: X-Spam-Score. V tom případě se na nás důvěrou obraťte, pro jednotlivé uživatele můžeme aktivovat přidávání skóre do Předmětu (Subject) zprávy.

Další variantou (pouze pro uživatele, kteří mají poštu přímo na serveru Merlin) je nastavení filtrů přímo na serveru. To lze udělat pomocí webmailu, odkaz Filtry v menu Pošta horní části stránky.

Technické informace


Důvěryhodnost e-mailů odeslaných z našich domén

Abychom zlepšili důvěryhodnost zpráv odeslaných z našeho serveru, během první poloviny roku 2019 postupně zapneme podepisování odchozích e-mailů pomocí DKIM a následně postupně nasadíme DMARC. Tím se zlepší přijímání našich e-mailů u velkých poskytovatelů a zároveň nám to umožní účiněji bojovat proti nevyžádané poště.

Pro uživatele to nicméně znamená:

  • že musí své e-maily odesílat s adresou odesílatele která je buď přímo od nás (z domény provozované na serveru Merlin) nebo z některé z fakultních (např. @mff.cuni.cz je v pořádku )
  • musí své e-maily posílat přes náš poštovní server, nikdo jiný 1) nemůže bez naší součinnosti posílat autentické e-maily od odesílatelů v našich doménách

Zavedení DKIM zároveň omezuje přeposílání e-mailů dál, nicméně to už je beztak delší dobu omezené například aktivním SPF na řadě poštovních serverů. Více o přeposílání viz výše na této stránce.

Více informací viz DKIMDMARC, popřípadě využijte možnosti se nám ozvat a celou věc probrat do detailu.

Všemu rozumím, chci jen fakta!

Příjem elektronické pošty na Merlinovi:

protokol IMAP(S)
server imap.karlov.mff.cuni.cz
port 993
zabezpečené připojení (SSL) ano
zabezpečené připojení (start)TLS ne
zabezpečená autentizace ne
adresář na IMAP serveru (folder prefix) INBOX.
sdílené složky (namespace) #shared.

Odesílání elektronické pošty přes Merlina:

protokol SSMTP (Secure SMTP) SMTP (+STARTTLS)
server smtp.karlov.mff.cuni.cz
port 465 25
zabezpečené připojení SSL STARTTLS
zabezpečená autentizace ne ne
autentizace jménem a heslem ano ano

Obě služby, jak odesílání, tak příjem pošty, lze používat bez omezení i z počítače, který není umístěn v doméně (karlov.)mff.cuni.cz. Hesla jsou přenášena zabezpečeně a nic proto nebrání přístupu „z venku“.

Jak je to celé udělané?

Veškerá elektronická pošta, která směřuje do domény karlov.mff.cuni.cz (přijímáme e-maily i pro jiné poštovní domény, než ty, které obsahují karlov, ale maily vědí, že mají směřovat k nám) je nejprve zkontrolována podle vstupních pravidel, zda ji vůbec chceme přijmout (neobsahuje virus, není to evidentní nevyžádaná pošta, zda je pro uživatele, který je „za námi“). Poté, co je přijata na Merlina, je buď uložena do příchozí pošty uživatele, který má poštu uloženou rovnou na Merlinovi, nebo je předána dál na cílový poštovní server někde uvnitř v doméně. Pokud zpráva zůstává na Merlinovi, uživatel k ní má přístup prostřednictvím protokolu IMAP (zabezpečený prostřednictvím SSL), nebo pomocí www rozhraní, tzv. webmail.

Odesílání probíhá podobně. Poštovní servery uvnitř domény odchozí poštu předávají serveru Merlin (alespoň by měly), a ten sám pozná, komu má příslušnou poštu zkusit dodat. Uživatelé, kteří mají na Merlinovi účet dodávají poštu také přímo na Merlina a ten se s nimi v duchu svých pracovních povinností vypořádá.

Prý nějaké maily nemohou přijít. Jak je to doopravdy?!?

Je to pravda, ne každý mail, který se tváří, že bych chtěl k nám, přijmeme. Důvody jsou především ve snaze omezit příliv nevyžádané pošty a virů. Limity (vybrané) jsou následující:

  • maximální velikost jednoho mailu (dovnitř i ven) je 20 MB (20971520 bajtů)
  • všechny maily se kontrolují antivirovým programem, pokud obsahují virus, nejsou vůbec přijaty k doručení (ani dovnitř, ani ven); (pokus o odeslání viru zevnitř je navíc zachycen, nahlášen a zkoumán)
  • každý mail menší než 1 MB (1048576 bajtů) je hodnocen na znaky nevyžádané pošty, výsledek tohoto hodnocení je doplněn do hlavičky mailu, pokud je dosaženo skóre tři a vyšší; pokud mail dosáhne skóre 16, je odmítnut
  • pro doručující server musí existovat možnost, jak na něj poslat poštu, tj. musí mít tzv. mx záznam, pokud je to server, pro který přijímáme poštu, musí být i uživatel mezi akceptovanými, tj. těmi, kterým lze doručit poštu

Tato pravidla platí pro maily procházející doménou karlov.mff.cuni.cz, pokud mail prochází též přes servery na Malé Straně (typicky maily na adresy jméno.příjmení@mff.cuni.cz), uplatňují se navíc pravidla, která mají v moci tamní správci, a která se mohou lišit od pravidel uplatňovaných u nás.

Jaký software to používá?

Detailní popis je za hranicemi toho, co by mělo být v tomto „manuálu“. Pokud Vás to přece jen zajímá, s důvěrou se na nás obraťte, rádi se pochlubíme ;-)

Ve stručnosti lze asi uvést, že vše běží na operačním systému FreeBSD, jako poštovní server máme Exim, viry odrážíme díky Clam AV a značkování nevyžádané pošty pro nás (i pro vás) zajišťuje SpamAssassin. Pro čtení Vašich mailů je k dispozici buď webové rozhraní, které zajišťuje Horde běžící na PHP a HTTP serveru Apache, nebo IMAP(S) zajišťovaný programem Dovecot.

1)
vyjma serverů, které mohou také být zdrojem e-mailů s našimi odesílateli, např. SIS, WhoIS, iFIS, CIS, …
merlin/local-user.1556879865.txt.gz · Poslední úprava: 3. 05. 2019 12:37 autor: Tomáš Drbohlav

Nástroje pro stránku