SMTP Eingangssteuerung? E-Mails aus SAP

    Hallo,
    wir führen zur Zeit SAP in unserem Unternehmen ein und da ist
    dann die Anforderung gekommen aus dem SAP-Client Mails
    über den internen Domino Server zu verschicken. So weit so
    gut! Jetzt haben wir das einfach mal so versucht und haben
    mit schrecken festgestellt, dass man von irgend einer IP Adresse
    (SAP System) und mit einer fake Mailadresse (inkl. Domain)
    über diesen Domino Mails verschicken kann. Jetzt möchte ich das
    natürlich unterbinden und den Domino so konfigurieren, dass
    dieser nur von den Notes Clients und von den SAP-Systemen
    Mails entgegennimmt und verschickt und das man die Absender-
    adresse nicht fälschen kann. Kann mir da jemand einen Tipp
    geben? Schonmal vielen Dank im voraus.


    Gruss
    Thomas


    Domino, 6.0.2 CF2

    schau dir mal die einstellungen in den konfigurationsdoks auf deinem hub an. da gibt es "Router/SMTP" "Restrictions and Controls" ich glaube du meinst die einstellungsmöglichkeiten

    -*-*-*-*-*-*-*-*-*-*-*-


    woher soll ich wissen was ich denke, bevor ich höre was ich sage???

    Nur um mal sicherzustellen daß dein Erschrecken auch wirklich begründet ist:


    Schickst du an eine exterene Adresse die nicht auf dem Domino liegt oder an eine auf dem Domino liegende Adresse von einem beliebigen Client per SMTP eine Mail ?


    Bei letzterem ist das genau so gewollt und muss auch so sein, denn wie soll er sonst Mails annehmen, die für ihn bestimmt sind.


    Ersteres wird defaultmäßig verhindert, außer es wurde etwas an der Konfiguration verändert.
    Dazu helfen dir dann die Links von PietPol

    hallo zusammen,
    vielen Dank für Eure Antworten. Also ich kann an eine externe
    Adresse schicken die nicht auf dem Domino liegt. Ich hab mir
    die Settings unter "Router/SMTP" "Restrictions and Controls"
    schon angeschaut, bin irgendwie jetzt auf meinen Fall bezogen
    nicht ganz schlau geworden. Werde mir nachher noch die Links
    von PietPol anschauen und mich sonst wieder melden.


    Grüsse

    also ich hab mir jetzt mal ausführlich die SMTP/Router Settings
    im Konfig. Dokument angeschaut und hab immer noch keine
    Ahnung wie ich das Problem lösen kann. Ich möchte erreichen,
    dass nur Notes User, oder eben definierte Host's, mit einer
    gültigen Adresse im Directory Mails über den Domino verschicken
    dürfen. Ich hab zumindest die Einstellung unter SMTP-Ausgangssteuerung
    "Nur Mail zulassen, die von diesen Internet-Adressen an das Internet gesendet wird"
    gefunden die mir was bringen könnte.
    Da steht aber in der Beschreibung, dass diese Beschränkung nur auf
    Internet-Adressen angewendet wird. Kann ich da auch eine Notes
    Gruppe eintragen? Macht dann Notes einen Lookup ins names und
    holt sich die Internet Mailadressen?

    Man muß die Einstellungen getrennt betrachten und anschließend überlegen, wie eine sinnvolle Kombination aussieht.


    1) Wer darf sich per SMTP verbinden?


    Konfigurationsdokument, SMTP-Eingangssteuerung:
    Anti-Relais-Massnahmen sowie Verbindungssteuerung


    Das ist davon abhängig, ob der Dominoserver direkt aus dem Internet (DMZ?) oder über einen anderen (Relay/Gatewayserver) erreichbar ist. In letzterem Fall brauchen nur die Gatewayadressen berechtigt werden, zuzüglich der Adressen weiterer interner Server (z.B. das SAP-SMTP-Gateway).


    Im anderen Fall schon schlechter absicherbar, auf jeden Fall würde ich Blacklisting verwenden um wenigstens den gröbsten Dreck vom Server fernzuhalten und Whitelisting, um einzelne Hosts mit Sonderstatus zu versehen. Viel mehr kann man mit reinen Bordmitteln nicht mehr tun.


    2) Wer darf per SMTP Mails an Notesnutzer (also meine lokalen Internetdomänen) senden?


    Konfigurationsdokument, SMTP-Eingangssteuerung:
    Verbindungssteuerung, Absendersteuerung, Empfängersteuerung


    Jeder, der Schritt 1) bestanden hat, darf das erstmal tun. Jetzt könnte man noch auf bestimmte Absenderdomänen/-adressen/Empfängeradressen beschränken falls das sinnvoll ist.


    3) Wer darf via SMTP Mails an fremde Adressen (also alle ausser meinen lokalen Internetdomänen = Relay) senden?


    Konfigurationsdokument, SMTP-Eingangssteuerung:
    Relaysteuerung, Anti-Relais-Massnahmen


    4) Wer darf per Notes Mails ins Internet schicken?


    Konfigurationsdokument, SMTP-Ausgangssteuerung:


    Gruppen sind mit Einschränkungen möglich. Einfach mal bei geöffnetem Konfigurationsdokument und dem Reiter SMTP-Ausgangsteuerung die Taste F1 benutzen, die beißt nicht ^^


    5) Wie stelle ich sicher, daß die Absenderadresse auch existiert?


    [i]Konfigurationsdokument, MIME, Erweitert:


    Bei Notes Absendern kann man z.B. in den Erweiterten Optionen im Bereich MIME das Feld INetForm entfernen lassen, dann wird die Internetadresse immer frisch aus dem Personendokument geholt. Ansonsten gibt es nur die Möglichkeit mit Tools zu arbeiten (z.B. IQSuite), die jede Mail eingehend behandeln können.


    Bei SMTP-Absendern gibt es m.E. keine Möglichkeit ohne Tools dies zu erreichen. Selbst Authentifizierung verhindert nicht, daß in der SMTP-Mail Blödsinn verschickt werden kann.


    6) Wie verhindere ich, daß jemand, der die vorherigen Punkte durchlaufen hat, eine existierende, aber nicht seine eigene Adresse verwendet?


    Das SMTP-Protokoll sieht von Hause aus nichts vor, das sicherzustellen. Bei Notesnutzern helfen die im Punkt 5) angegebenen Tipps.
    Für SMTP versuchen verschiedene Internetgremien bereits seit längerer Zeit, hier eine Lösung zu etablieren. Manche schreiben den authentifizierten Nutzer in extra Felder oder ändern seine Absenderadresse (z.B. T-Online).
    Auch hier kann m.E. nichts ohne ein Tool (z.B. IQSuite) aber auch dann nur bei authentifiziertem SMTP (um den echten Namen zu ermitteln) gemacht werden.


    7) Wie stelle ich sicher, daß trotz Regelung 6) der Versand mit Vertretungsrechten (Delegierung) weiterhin funktioniert?


    Wiederum nur mit Tools, sofern durch Punkt 5/6 etwas erreicht werden konnte.