Ich gehe davon aus, dass auch eine Weiterleitung an dieser Stelle, den Absender bzw. weitere Header Daten verändert hätte.
Auch nicht mehr als euer jetzt gewählter Lösungsansatz, eher weniger (je nach Art der Regel). Egal, Hauptsache ihr habt jetzt eine Lösung.
Servergestützte Mailregeln werden im Konfigurationsdokument hinterlegt (zu finden unter Router/SMTP => Beschränkungen und Steuerungen => Regeln).
Sie werden vom Router ausgeführt nachdem Mails angenommen wurden aber bevor sie weiter verarbeitet oder ausgeliefert werden.
Das Journaling wird über die o.g. serverbasierten Regeln getriggert die man dafür anlegen und mit den nötigen Bedingungen versehen muss.
Journaling kann wahlweise storebasiert (Datenbank) oder mailbasiert (Mailadresse kann auch eine externe SMTP-Adresse sein) eingerichtet werden.
Man muss bei den Bedingungen natürlich etwas Hirnschmalz einsetzen, damit (in deinem Fall) nicht der komplette Mailverkehr des Dominos auf diesem Weg nach draußen gepustet wird.
HTH
Carsten
Hallo husko,
Mail-In-DBs bzw. deren Konfigurationsdokumente haben kein Kennwort und können somit gar nicht per IMAP oder POP abgerufen werden. Der einzige Weg (bei diesen Protokollen) ist das Anlegen eines echten Nutzers statt einer Mail-In. Und jeder Nutzer, der sich authentifizieren kann, benötigt eine Lizenz. Was die kostet hängt von eurem aktuellen Lizenzmodell ab.
Dass (IMAP-) Tasks beim Serverstart nicht mit Hochfahren, obwohl man es eingerichtet hat, kenne ich nicht. Ich verwalte 9er und 12er Serverversionen und da funktioniert alles wie konfiguriert.
Wenn der IMAP Task gelegentlich neu gestartet werden muss (ein Programmdokument, das den Task nachts um 3 einfach neu startet tuts dann auch) liegt das oft an Speicher-Leaks durch nicht sauber beendeten Sessions, gerne auch mal durch zu häufige Abrufe oder Giganto-Mails verursacht. Da die IMAP Implementierung beim Domino kein IMAP IDLE (auch gern als IMAP Push bezeichnet) unterstützt muss vom IMAP-Client immer das gesamte Postfach ordnerweise nach neuen Mails abgesucht werden. Mehr Ordner, mehr Zeit. Bei einem großen Postfach mit vielen Ordnern kommt da einiges zusammen. Und wenn der Vorgang länger dauert als dein Intervall oder eine große Mail konvertiert und abgerufen wird startet der nächste Abruf während der erste noch gar nicht beendet ist. Notes wäre das egal, IMAP aber nicht. Ein User darf zu jeder Zeit nur eine IMAP-Session zu seiner Mailbox offen haben. Das ist kein Domino Limit sondern in den Protokollen IMAP4 und POP3 festgelegt. Um dieses sinnlose alle x Minuten "alles" abrufen zu verkürzen wurde IMAP IDLE entwickelt, hier hält der Client permanent die Netzwerk-Session nach dem ersten Abruf offen und bekommt vom Server über die permanent offen gehaltene Leitung dann ein Signal, wenn sich etwas getan hat. Aber wie gesagt, Domino unterstützt die IDLE Erweiterung nicht. Beim Notes eigenen Protokoll NRPC hingegen ist ein vergleichbarer Mechanismus schon ewig Standard, wer einen Client hat nutzt es automatisch.
Wenn es aber beim Mail-Abruf keine Ordnerstrukturen zu beachten oder Mails zwischen Ordnern zu verschieben gibt und man wirklich einfach nur möglichst effektiv und schnell neue Mails (mit einem anderen als dem Notes Client) abrufen möchte ist POP3 die bessere Wahl. Hier wird automatisch nur die Inbox und auch da nur ungelesene Mails abgerufen. Mails die man nie braucht schiebt man per Regel während der Zustellung in irgendeinen anderen Ordner, die ignoriert POP dann.
Was bei allen Internet-Protokollen (HTTP, IMAP, POP) übrigens noch dazu kommt: jede abgerufene Mail wird zuerst geprüft, ob sie bereits im MIME-Format vorliegt. Wenn nicht durchläuft sie am Server eine vollständige MIME-Konvertierung bevor sie an den fremden Client übertragen wird. Das braucht zusätzlich Zeit. Der Abruf per Notes-Client braucht die Konvertierung nicht, da dieser sowohl RichText als auch MIME anzeigen kann.
Mit servergestützten Mailregeln kann man zwar keine EML-Weiterleitung als Anhang erreichen. Aber man kann auf diesem Weg entweder weitere Empfänger hinzufügen oder mit der Journaling-Funktion die originale Mail unverändert an eine weitere Adresse schicken. MIME-Mails gehen dabei sogar mit den originalen Headern raus.
Einen Agenten zu schreiben der die bereits zugestellte, originale Mail mit anderem Empfänger in die Mailbox kopiert ist suboptimal, er vereint die Nachteile mehrerer vorher genannten Lösungen - und wir reden noch gar nicht vom Aufwand und den möglichen Problemen bei der selbst geschriebenen EML-Erzeugung. Da ich das schon zweimal durch habe weiß ich, wovon ich rede. Wenn man EMLs von Mails als Anhang erzeugt kann man die Mail übrigens auch normal verschicken, da braucht man dann keine Tricks mehr über die Mailbox 
HTH
Carsten
Hallo husko,
IMAP benötigt eine Lizenz, sehe ich daher eher als suboptimal. Echte Probleme sind mir aber nicht wirklich bekannt.
Ich habe auf mehreren Dominos Drittanbieterlösungen oder einzelne User per POP- und/oder IMAP produktiv angebunden.
Probleme entstehen meist dann, wenn man die Limits der Protokolle nicht beachtet (z.B. gleichzeitiger Zugriff mehrerer Instanzen auf das gleiche Postfach).
Bei der Weiterleitung per Mailregel (Modus: vollständige Kopie) werden die meisten Header übernommen, insbesondere Absender und Empfänger. Da diese Art der Weiterleitung eine neue Kopie der Mail erzeugt werden einige technische Header aus Sicherheitsgründen neu erzeugt um z.B. Mail-Loops zu verhindern. Dazu gehören u.a. der Return-Path oder die Received Header. Wenn hier aus irgendeinem Grund wirklich das unveränderte Original gebraucht wird, kann man sich mit servergestützten Mailregeln oder eben auch eigenen Agenten behelfen, wie du es schon angesprochen hast.
Das Erzeugen einer EML allerdings, wie es beim "Weiterleiten als Anhang" oder Drag & Drop ins Filesystem Verwendung findet, ist eine interne Funktion des Clients. Mir sind im Moment keine (API-) Funktionen bekannt mit denen man das automatisiert durch den Server oder Hintergrund-Agenten nutzen kann. Das Erzeugen von EML per eigenem Script ist natürlich unabhängig davon immer möglich, nur deutlich mehr Aufwand.
HTH
Carsten
Moin,
die Meldung besagt, dass die Kombination Absender/Empfänger für den Host, der die Mail abliefern will, nicht akzeptiert wird.
Der Server ist so eingerichtet, dass er alle E-Mails annimmt und auch keine Authentifizierung für SMTP über Port 25 benötigt wird.
Wäre das so, gäbe es die von dir zitierte Meldung nicht. Für einen Server im internen Netz kann man das zwar so machen, für einen Server mit öffentlicher IP aber auf keinen Fall es sei denn ihr wollt blockiert werden.
Die SMTP Konfiguration erfolgt üblicherweise im für den besagten Server zuständigen Serverkonfigurationsdokument (je nach Infrastruktur und Anzahl der Dominos kann es zwar mehr als eins geben, die meisten kleineren Installationen haben aber nur eins).
Ich würde mir eines der von dir genannten funktionierenden "ganzen Menge Geräte" nehmen und dessen IP-Adresse oder FQDN im Serverkonfigurationsdokument suchen und den nicht funktionierenden dazu schreiben. Anschließend den SMTP Task neu starten (restart task smtp). Habt ihr mehrere Server dann muss die Änderung auf dem richtigen gemacht werden, anderenfalls dauert es eine Weile bis die Änderungen überall verteilt wurden.
Hier die offizielle Doku dazu:
Preventing unauthorized SMTP hosts from using Domino as a relay
Die meisten Sachen sind auch nicht anders zu konfigurieren als bei anderen Produkten, wenn man weiß wie Routing allgemein funktioniert findet man sich im Konfigurationsdokument ganz gut zurecht.
HTH
Carsten
Die einfachen Auswahlen für Benutzer beinhalten aus gutem Grund keine Felder/Views, die mit einem $ bzw. ($ beginnen, da diese als zu systemnah für einfache User angenommen werden. Fortgeschrittenen Anwendern, die @Formeln oder Script verwenden, stehen diese zur Verfügung.
Weiterhin gibt es keine Garantie, dass Anhänge immer durch ein vorhandenes $File erkannt werden können. Stattdessen sollte man eher das Vorhandensein mit Formeln (@Attachments) oder Script (doc.HasEmbedded) zuerst prüfen und dabei Ausnahmen behandeln - Beispiele wären angehängte Logos, HTML-Files oder Visitenkarten aus Signaturen oder sogar angehängte Mails weil auf der anderen Seite vielleicht ebenfalls ein AutoResponder läuft der die zuvor eingegangene beantwortete Mail bestätigt.
Und last but not least können Sonderfälle auftreten, wie z.B. verschlüsselte Mails oder Rückläufer (z.B. durch zuvor erwähnte AutoResponder oder unzustellbare Antwortmails aus einer zuvor automatisch beantworteten Mail) auf die man keinesfalls ebenfalls automatisiert antworten sollte um Schleifen zu verhindern die im Extremfall zum Volllaufen der Platte (leider schon erlebt) oder zur Blockade durch einen Provider (auch schon erlebt) führen können.
Ich persönlich würde daher hier eher einen Script Agenten statt Simple Actions nutzen, einerseits weil man damit deutlich flexibler auf Ausnahmen reagieren und andererseits den Inhalt der Mail besser personalisieren kann.
Dennoch geht es sicher auch ohne - man muss dann nur den Teil mit den Bedingungen (die der einfache Agent nicht kann) auslagern.
Das ginge z.B. mit einer View, die mittels @Formelsprache Mails mit Anhängen filtert, Ausnahmen berücksichtigt (Autoresponder Mails, Rückläufer, bereits beantwortete Mails...etc). Dein einfacher Agent braucht dann nur (periodisch) die Mails dieser View abzuarbeiten und braucht keine eigenen Bedingungen mehr. Allerdings sollten dann beantwortete Mails durch den Agenten mit einem Marker versehen werden, der als Negativbedingung in der View steht um Mehrfachantworten zu verhindern.
Statt der View ginge auch ein Ordner, dann muss man allerdings den Prozess des Befüllens mit den zu beantwortenden Mails in einen zweiten Agenten auslagern oder behilft sich mit Mailregeln (z.B. Mail > 10KB statt Vorhandensein von Anhängen zu prüfen) und auch hier müssen die oben erwähnten Ausnahmen eingebaut werden um Loops und Ärger zu vermeiden.
Wie immer gilt: Kopf einschalten, Vor- und Nachteile abwägen und bei der Umsetzung erst im kleinen Rahmen testen bevor man es auf die große, weite Welt loslässt,
HTH
Carsten
Moin,
der Einfachheit halber: poste mal bitte einen Screenshot des Gestaltungsreiters (der Tab mit dem Dreieck und der Schiebelehre) aus den DB-Eingenschaften.
Dort sollte ein Schablonenname stehen - "kein Eintrag" passt nicht zur Fehlermeldung.
HTH
Carsten
Hallo Thomas,
hab die Downloads da, schreib mich mal an, ich kann dir hier aus unerfindlichen Gründen keine Privatnachricht schreiben.
Carsten
...ein externes Fachverfahren Mails entgegennimmt, die - neben ein paar Stammdaten - zu jedem Anhang einen Header mit Metainformationen zu dem jeweiligen Anhang erwartet.
Moin,
ich halte den gedanklichen Ansatz einer nachträglichen Limitierung an dieser Stelle für ungünstig, in der Mailmaske hat man vor dem Versand noch am ehesten Möglichkeiten einzugreifen. Wenn es dann um die Anzahl der Anhänge geht und die Mails ganz normal mit Clients versendet werden kann man das z.B. mit einer Policy machen: https://help.hcltechsw.com/dom…its_for_sending_mail.html
Anderenfalls müsste man ja die Mail später am Server wieder auseinandernehmen und neu zusammensetzen da die Anhänge ja in den MIME-Parts stecken und wenn zu jedem Anhang tatsächlich ein X-Metainfo-Feld existiert muss man die richtigen Felder und die dazu passenden Anhänge rausnehmen und was mit den "überzähligen" Headern und Anhängen machen...? Verwerfen und die Mail mit weniger Daten weiter laufen lassen? Das klingt nicht nach einem gewollten Fachverfahren Gibt es dazu ein öffentliches "Papier", das man mal lesen kann um die Absicht dahinter zu verstehen? Insbesondere wie der Zusammenhang zwischen bis zu 200 Anhängen und einer (beispielhaften?) Limitierung auf 60 Header zustande kommt.
HTH
Carsten
Moin,
mir erschließt sich (spontan) kein praktischer Nutzen aus einer solchen Limitierung.
Technisch macht das auch wenig Sinn, da die Konvertierung im Normalfall vom im Client integrierten Mail Agent vorgenommen wird auf den obige Einstellungen keine Auswirkung haben. Der Server kann zwar bei der Übertragung (anschließend!) gezielt noch weitere Header hinzufügen oder löschen aber die Konvertierung an sich ist da schon gelaufen. Ausnahmen gibt es natürlich wenn man Mails gezielt nicht im MIME Format versendet - aber wer macht das schon?
Außerdem könnten dadurch, gerade bei alphabetischer Sortierung, sinnvolle oder sogar notwendige Header wie 'principal', 'subject' oder gar 'recipients' unter den Tisch fallen, da diese im Alphabet weiter hinten stehen und z.B. schon eine simple Mail mit ca. 25 kleinen Anhängen plötzlich unroutbar werden würde.
Daher: mehr Input - mehr Output
Carsten
Anonymous ist keine auswählbare Person sondern ein reserviertes Schlüsselwort, vergleichbar mit -Default-
Auf Hinzufügen klicken und das Wort "Anonymous" (ohne Anführungszeichen) in das Eingabefeld schreiben. Anschließend den Benutzertyp auf Unbestimmt setzen und den gewünschten Zugriff auswählen.
HTH
Carsten
Ein Administrator, oder eine Person mit Manager-Zugriff auf diese Datenbank, kann für "Anonymous" die gewünschten Zugriffsrechte vergeben.
HTH
Carsten
Aus der Erklärung erschließt sich für mich nicht, wie und durch wen der Nutzer im 1. Schritt ein temporäres PW erhält.
Ich rate mal, dass ein Admin/Hotline-MA einfach das HTTP-PW im Personendokument ändert damit der Nutzer anschließend in die Reset-DB kommt.
Das mag für euch als Workaround (anstelle einer echten zweiten Authentifizierung für HTTP per Verzeichnisverwaltung) vielleicht funktionieren aber ändert nichts daran, dass das nichts mit dem zuvor beschriebenen temporären Passwort zu tun hat. Ihr nutzt simpel eine Lücke im Design. Genauso könnte ein Admin auch gleich ein temporäres PW mit seinem Admin-Client über den ID-Vault vergeben und dem Nutzer den Umweg über die Reset-DB komplett ersparen.
Die Vorgehensweise bleibt trotz eures "Tricks" unverändert: mit Hilfe des Agents in der Reset-DB wird immer nur ein temporäres PW generiert. Keine Ausnahmen.
Die Reset-DB macht nur dann als echte Self-Service-DB Sinn, wenn eben kein Admin für den ersten Schritt benötigt wird.
HTH
Carsten
Die Anwendung trägt aus gutem Grund den Titel "Password Reset" und nicht "Password Change". Ein Kennwort zurückzusetzen ist eine völlig andere Maßnahme als ein Kennwort einfach nur zu ändern.
Eine "normale" Passwortänderung kann nur jemand vornehmen, der
- über einen Zugang verfügt
- das bisherige Kennwort kennt (!)
- sich zuerst (mit diesem Kennwort) authentifiziert hat
- das neue Kennwort den (zentralen oder in der ID vermerkten) Kennwortregeln entspricht
- eine im verwendeten Client dafür technisch vorgesehene Methode zur Änderung verwendet
Weitere Besonderheiten/Einschränkungen sind hierbei durch ID-Vault, Policies und verwendeten Client möglich.
Das Zurücksetzen eines Passworts können hingegen alle (technisch) speziell berechtigte Autoritäten auslösen, wenn dies (organisatorisch) erforderlich ist.
- auch ohne Kenntnis des bisherigen Kennworts
- im Zweifel gegen den Willen/die Kenntnis des Nutzers (!)
- das temporäre Kennwort unterliegt nicht den normalen Kennwortregeln (!)
- das Zurücksetzen ist ohne ggf konfigurierte 2FA möglich - eine anschließende Anmeldung hingegen nicht
Es wird also technisch und organisatorisch berechtigten Personen (oder Diensten, wie z.B. einem Agenten in einer Anwendung) die Möglichkeit gegeben, ein nicht bekanntes durch ein bekanntes Kennwort zu ersetzen. Bei der ersten Benutzung wird der Eigentümer aber aus gutem Grund gezwungen, sich selbst ein - nur ihm bekanntes - Passwort zu vergeben, das dann wieder allen oben aufgeführten Regeln entspricht.
Kurzfassung:
Works as designed.
HTH
Carsten
Dafür muss in den DB-Eigenschaften der Mail-Db's, Reiter Gestaltung (4. Tab) die Eigenschaft "Übergeordnetes Dokument bei Antwort o. Weiterleitung markieren" gesetzt sein.
Aus irgendeinem Grund scheint die im aktuellen Template nicht mehr standardmäßig aktiv zu sein, am besten also dort auch gleich setzen.
HTH
Carsten
Ich kenne die Meldung nur im Zusammenhang mit auto-populated Groups. Vielleicht helfen die dort genannten Parameter ja auch beim Client.
Using auto-populated groups (hcltechsw.com)
HTH
Carsten
Software Installationen sollten nur mit deaktiviertem OnAccess Scannern durchgeführt werden, das gilt nicht nur für Notes/Domino.
Ein Sicherheitsrisiko entsteht dadurch nicht - die Installationspakete scannt man ja bereits vorher, entweder beim Download durch die Company Firewall oder durch den OnAccess auf dem Rechner, der den Download durchführt.
Im laufenden Betrieb gelten wieder andere Regeln aber auch hier gilt die Empfehlung, dass der OnAccess Scan für das Verzeichnis Notes/Domino und insbesondere das gesamte Data-Verzeichnis zu deaktivieren ist. Welche Verzeichnisse ausserdem auszunehmen sind hängt vom jeweiligen System und dem Speicherort der Verzeichnisse ab. Hier noch ein Link auf einen bereits älteren, aber trotzdem noch gültigen KnowledgeBase Eintrag dazu, auch McAfee wird explizit weiter unten erwähnt.
HTH
Carsten
Hallo Hannes,
ich habe jetzt nochmal etwas weiter gebuddelt und tatsächlich noch eine Kopie des originals Artikels auf einem russischen Server gefunden (und mir lokal abgelegt, ich versuche später mal das Archiv mit meinem Crawler zu sichern, mal sehen wie weit ich komme). Wie auch immer. Darin ist der ursprünglich mit R5 eingeführte Algorithmus, mehr oder weniger, komplett von Stufe 1 bis 16 mit Beispielen erläutert. Hier der Link:
http://second-ext.inttrust.ru/…6ABC0011E4F0?OpenDocument
IBM hat das später für die KnowledgeBase mehrfach gekürzt. Die letzte Kürzung (aka Manager-PowerPoint-Fassung) hatte ich weiter oben ja schon verlinkt, die erste Kürzung war zwar noch etwas umfangreicher aber auch schon - im Vergleich zum Original - extrem zusammengeschnitten. Auch die habe ich jetzt bei HCL noch gefunden:
https://support.hcltechsw.com/…b1b4ff890a2f48661cd4bcbdf
PS: Vielleicht hat ja irgendwer noch eine Replik der LDD Datenbanken wie die today.nsf (Rudi vielleicht?). Das war ja mal über das notes.net alles Public verfügbar.
PPS: HCL (hallo Thomas Hampel, liest du hier mit? könnte ruhig mal die ganzen LDD Artikel irgendwo als Archiv zugänglich machen, man lernt in den 20 Jahren alten Artikeln mehr als in 10 Minuten Youtube von heute und viele Inhalte haben bis heute nichts an Aktualität verloren, im Gegenteil. Wenn man bedenkt dass all diese Sachen schon in Notes enthalten waren als andere Hersteller gerade mal Laufen gelernt haben...
PPPS: vielleicht finde ich ja vor meiner Rente noch Aufgaben oder AG, wo solche Dinge wertgeschätzt werden. Man darf ja noch träumen.
VG
Carsten
Simpel erklärt: Durch Merkmale wie Groß- und Kleinschreibung, Ziffern, Sonderzeichen und erhöht man den Qualitätswert bei gleichbleibender Länge des Kennworts. Durch die Erfüllung weiterer Eigenschaften erhöht man den Zähler noch weiter, z.B.
- Kennwort (-teile) nicht im Wörterbuch enthalten
- keine Verwendung von Folgen wie abcd, 1234, aaaa, bbbb, asdf
- eigener Nutzer/Firmen/Domain-Name (oder Teile) nicht enthalten
(...)
Ich hatte mal eine detaillierte technische Beschreibung aus Iris-Zeiten, konnte die aber auf die Schnelle nicht finden.
Die (derzeit) offizielle Kurzerklärung hier: The password quality scale (hcltechsw.com)
HTH
Carsten
Ich habe 2 Datenbanken, in DB 1 sind Daten die ich in der DB 2 in einer Ansicht haben will.
Bisher habe ich in der DB1 die Ansicht erstellt und in der DB2 über die Gliederung darauf zugegriffen.
(berechnetes Element - Server und DB angeben - und Ansicht angeben)
Das ist das Grundprinzip von Notes und damit einer der Unterschiede zu relationalen Datenbanksystemen anderer Hersteller.
Beim Zugriff mit Notes Clients ist der von dir beschriebene Weg die einzige Möglichkeit, wenn man nicht zumindest Teile der Daten redundant in beiden DB's halten will oder kann.
Eine View ist technisch ein Filter und kann nur die Daten anzeigen die sich auch tatsächlich in der DB mit der View befinden.
Etwas anders sieht es aus wenn man zusätzliche Produkte wie HEI (früher LEI = Lotus Enterprise Integrator) im Einsatz hat oder diese in der Lizenz enthalten sind.
Damit kann man (z.B.) virtuelle Views bauen die dann tatsächlich Daten auch aus anderen Datenbanken, ja sogar SQL-Datenbanken, CSV-Dateien, oder einen Mix aus allem anzeigen können.
HTH
Carsten
