Ich gehe davon aus, dass auch eine Weiterleitung an dieser Stelle, den Absender bzw. weitere Header Daten verändert hätte.
Auch nicht mehr als euer jetzt gewählter Lösungsansatz, eher weniger (je nach Art der Regel). Egal, Hauptsache ihr habt jetzt eine Lösung.
Servergestützte Mailregeln werden im Konfigurationsdokument hinterlegt (zu finden unter Router/SMTP => Beschränkungen und Steuerungen => Regeln).
Sie werden vom Router ausgeführt nachdem Mails angenommen wurden aber bevor sie weiter verarbeitet oder ausgeliefert werden.
Das Journaling wird über die o.g. serverbasierten Regeln getriggert die man dafür anlegen und mit den nötigen Bedingungen versehen muss.
Journaling kann wahlweise storebasiert (Datenbank) oder mailbasiert (Mailadresse kann auch eine externe SMTP-Adresse sein) eingerichtet werden.
Man muss bei den Bedingungen natürlich etwas Hirnschmalz einsetzen, damit (in deinem Fall) nicht der komplette Mailverkehr des Dominos auf diesem Weg nach draußen gepustet wird.
HTH
Carsten
Moin,
die Meldung besagt, dass die Kombination Absender/Empfänger für den Host, der die Mail abliefern will, nicht akzeptiert wird.
Der Server ist so eingerichtet, dass er alle E-Mails annimmt und auch keine Authentifizierung für SMTP über Port 25 benötigt wird.
Wäre das so, gäbe es die von dir zitierte Meldung nicht. Für einen Server im internen Netz kann man das zwar so machen, für einen Server mit öffentlicher IP aber auf keinen Fall es sei denn ihr wollt blockiert werden.
Die SMTP Konfiguration erfolgt üblicherweise im für den besagten Server zuständigen Serverkonfigurationsdokument (je nach Infrastruktur und Anzahl der Dominos kann es zwar mehr als eins geben, die meisten kleineren Installationen haben aber nur eins).
Ich würde mir eines der von dir genannten funktionierenden "ganzen Menge Geräte" nehmen und dessen IP-Adresse oder FQDN im Serverkonfigurationsdokument suchen und den nicht funktionierenden dazu schreiben. Anschließend den SMTP Task neu starten (restart task smtp). Habt ihr mehrere Server dann muss die Änderung auf dem richtigen gemacht werden, anderenfalls dauert es eine Weile bis die Änderungen überall verteilt wurden.
Hier die offizielle Doku dazu:
Preventing unauthorized SMTP hosts from using Domino as a relay
Die meisten Sachen sind auch nicht anders zu konfigurieren als bei anderen Produkten, wenn man weiß wie Routing allgemein funktioniert findet man sich im Konfigurationsdokument ganz gut zurecht.
HTH
Carsten
Die einfachen Auswahlen für Benutzer beinhalten aus gutem Grund keine Felder/Views, die mit einem $ bzw. ($ beginnen, da diese als zu systemnah für einfache User angenommen werden. Fortgeschrittenen Anwendern, die @Formeln oder Script verwenden, stehen diese zur Verfügung.
Weiterhin gibt es keine Garantie, dass Anhänge immer durch ein vorhandenes $File erkannt werden können. Stattdessen sollte man eher das Vorhandensein mit Formeln (@Attachments) oder Script (doc.HasEmbedded) zuerst prüfen und dabei Ausnahmen behandeln - Beispiele wären angehängte Logos, HTML-Files oder Visitenkarten aus Signaturen oder sogar angehängte Mails weil auf der anderen Seite vielleicht ebenfalls ein AutoResponder läuft der die zuvor eingegangene beantwortete Mail bestätigt.
Und last but not least können Sonderfälle auftreten, wie z.B. verschlüsselte Mails oder Rückläufer (z.B. durch zuvor erwähnte AutoResponder oder unzustellbare Antwortmails aus einer zuvor automatisch beantworteten Mail) auf die man keinesfalls ebenfalls automatisiert antworten sollte um Schleifen zu verhindern die im Extremfall zum Volllaufen der Platte (leider schon erlebt) oder zur Blockade durch einen Provider (auch schon erlebt) führen können.
Ich persönlich würde daher hier eher einen Script Agenten statt Simple Actions nutzen, einerseits weil man damit deutlich flexibler auf Ausnahmen reagieren und andererseits den Inhalt der Mail besser personalisieren kann.
Dennoch geht es sicher auch ohne - man muss dann nur den Teil mit den Bedingungen (die der einfache Agent nicht kann) auslagern.
Das ginge z.B. mit einer View, die mittels @Formelsprache Mails mit Anhängen filtert, Ausnahmen berücksichtigt (Autoresponder Mails, Rückläufer, bereits beantwortete Mails...etc). Dein einfacher Agent braucht dann nur (periodisch) die Mails dieser View abzuarbeiten und braucht keine eigenen Bedingungen mehr. Allerdings sollten dann beantwortete Mails durch den Agenten mit einem Marker versehen werden, der als Negativbedingung in der View steht um Mehrfachantworten zu verhindern.
Statt der View ginge auch ein Ordner, dann muss man allerdings den Prozess des Befüllens mit den zu beantwortenden Mails in einen zweiten Agenten auslagern oder behilft sich mit Mailregeln (z.B. Mail > 10KB statt Vorhandensein von Anhängen zu prüfen) und auch hier müssen die oben erwähnten Ausnahmen eingebaut werden um Loops und Ärger zu vermeiden.
Wie immer gilt: Kopf einschalten, Vor- und Nachteile abwägen und bei der Umsetzung erst im kleinen Rahmen testen bevor man es auf die große, weite Welt loslässt, 
HTH
Carsten
Moin,
der Einfachheit halber: poste mal bitte einen Screenshot des Gestaltungsreiters (der Tab mit dem Dreieck und der Schiebelehre) aus den DB-Eingenschaften.
Dort sollte ein Schablonenname stehen - "kein Eintrag" passt nicht zur Fehlermeldung.
HTH
Carsten
Hallo Thomas,
hab die Downloads da, schreib mich mal an, ich kann dir hier aus unerfindlichen Gründen keine Privatnachricht schreiben.
Carsten
...ein externes Fachverfahren Mails entgegennimmt, die - neben ein paar Stammdaten - zu jedem Anhang einen Header mit Metainformationen zu dem jeweiligen Anhang erwartet.
Moin,
ich halte den gedanklichen Ansatz einer nachträglichen Limitierung an dieser Stelle für ungünstig, in der Mailmaske hat man vor dem Versand noch am ehesten Möglichkeiten einzugreifen. Wenn es dann um die Anzahl der Anhänge geht und die Mails ganz normal mit Clients versendet werden kann man das z.B. mit einer Policy machen: https://help.hcltechsw.com/dom…its_for_sending_mail.html
Anderenfalls müsste man ja die Mail später am Server wieder auseinandernehmen und neu zusammensetzen da die Anhänge ja in den MIME-Parts stecken und wenn zu jedem Anhang tatsächlich ein X-Metainfo-Feld existiert muss man die richtigen Felder und die dazu passenden Anhänge rausnehmen und was mit den "überzähligen" Headern und Anhängen machen...? Verwerfen und die Mail mit weniger Daten weiter laufen lassen? Das klingt nicht nach einem gewollten Fachverfahren Gibt es dazu ein öffentliches "Papier", das man mal lesen kann um die Absicht dahinter zu verstehen? Insbesondere wie der Zusammenhang zwischen bis zu 200 Anhängen und einer (beispielhaften?) Limitierung auf 60 Header zustande kommt.
HTH
Carsten
Moin,
mir erschließt sich (spontan) kein praktischer Nutzen aus einer solchen Limitierung.
Technisch macht das auch wenig Sinn, da die Konvertierung im Normalfall vom im Client integrierten Mail Agent vorgenommen wird auf den obige Einstellungen keine Auswirkung haben. Der Server kann zwar bei der Übertragung (anschließend!) gezielt noch weitere Header hinzufügen oder löschen aber die Konvertierung an sich ist da schon gelaufen. Ausnahmen gibt es natürlich wenn man Mails gezielt nicht im MIME Format versendet - aber wer macht das schon?
Außerdem könnten dadurch, gerade bei alphabetischer Sortierung, sinnvolle oder sogar notwendige Header wie 'principal', 'subject' oder gar 'recipients' unter den Tisch fallen, da diese im Alphabet weiter hinten stehen und z.B. schon eine simple Mail mit ca. 25 kleinen Anhängen plötzlich unroutbar werden würde.
Daher: mehr Input - mehr Output
Carsten
Anonymous ist keine auswählbare Person sondern ein reserviertes Schlüsselwort, vergleichbar mit -Default-
Auf Hinzufügen klicken und das Wort "Anonymous" (ohne Anführungszeichen) in das Eingabefeld schreiben. Anschließend den Benutzertyp auf Unbestimmt setzen und den gewünschten Zugriff auswählen.
HTH
Carsten
Ein Administrator, oder eine Person mit Manager-Zugriff auf diese Datenbank, kann für "Anonymous" die gewünschten Zugriffsrechte vergeben.
HTH
Carsten
Aus der Erklärung erschließt sich für mich nicht, wie und durch wen der Nutzer im 1. Schritt ein temporäres PW erhält.
Ich rate mal, dass ein Admin/Hotline-MA einfach das HTTP-PW im Personendokument ändert damit der Nutzer anschließend in die Reset-DB kommt.
Das mag für euch als Workaround (anstelle einer echten zweiten Authentifizierung für HTTP per Verzeichnisverwaltung) vielleicht funktionieren aber ändert nichts daran, dass das nichts mit dem zuvor beschriebenen temporären Passwort zu tun hat. Ihr nutzt simpel eine Lücke im Design. Genauso könnte ein Admin auch gleich ein temporäres PW mit seinem Admin-Client über den ID-Vault vergeben und dem Nutzer den Umweg über die Reset-DB komplett ersparen.
Die Vorgehensweise bleibt trotz eures "Tricks" unverändert: mit Hilfe des Agents in der Reset-DB wird immer nur ein temporäres PW generiert. Keine Ausnahmen.
Die Reset-DB macht nur dann als echte Self-Service-DB Sinn, wenn eben kein Admin für den ersten Schritt benötigt wird.
HTH
Carsten
Die Anwendung trägt aus gutem Grund den Titel "Password Reset" und nicht "Password Change". Ein Kennwort zurückzusetzen ist eine völlig andere Maßnahme als ein Kennwort einfach nur zu ändern.
Eine "normale" Passwortänderung kann nur jemand vornehmen, der
- über einen Zugang verfügt
- das bisherige Kennwort kennt (!)
- sich zuerst (mit diesem Kennwort) authentifiziert hat
- das neue Kennwort den (zentralen oder in der ID vermerkten) Kennwortregeln entspricht
- eine im verwendeten Client dafür technisch vorgesehene Methode zur Änderung verwendet
Weitere Besonderheiten/Einschränkungen sind hierbei durch ID-Vault, Policies und verwendeten Client möglich.
Das Zurücksetzen eines Passworts können hingegen alle (technisch) speziell berechtigte Autoritäten auslösen, wenn dies (organisatorisch) erforderlich ist.
- auch ohne Kenntnis des bisherigen Kennworts
- im Zweifel gegen den Willen/die Kenntnis des Nutzers (!)
- das temporäre Kennwort unterliegt nicht den normalen Kennwortregeln (!)
- das Zurücksetzen ist ohne ggf konfigurierte 2FA möglich - eine anschließende Anmeldung hingegen nicht
Es wird also technisch und organisatorisch berechtigten Personen (oder Diensten, wie z.B. einem Agenten in einer Anwendung) die Möglichkeit gegeben, ein nicht bekanntes durch ein bekanntes Kennwort zu ersetzen. Bei der ersten Benutzung wird der Eigentümer aber aus gutem Grund gezwungen, sich selbst ein - nur ihm bekanntes - Passwort zu vergeben, das dann wieder allen oben aufgeführten Regeln entspricht.
Kurzfassung:
Works as designed.
HTH
Carsten
Dafür muss in den DB-Eigenschaften der Mail-Db's, Reiter Gestaltung (4. Tab) die Eigenschaft "Übergeordnetes Dokument bei Antwort o. Weiterleitung markieren" gesetzt sein.
Aus irgendeinem Grund scheint die im aktuellen Template nicht mehr standardmäßig aktiv zu sein, am besten also dort auch gleich setzen.
HTH
Carsten
Ich kenne die Meldung nur im Zusammenhang mit auto-populated Groups. Vielleicht helfen die dort genannten Parameter ja auch beim Client.
Using auto-populated groups (hcltechsw.com)
HTH
Carsten
Software Installationen sollten nur mit deaktiviertem OnAccess Scannern durchgeführt werden, das gilt nicht nur für Notes/Domino.
Ein Sicherheitsrisiko entsteht dadurch nicht - die Installationspakete scannt man ja bereits vorher, entweder beim Download durch die Company Firewall oder durch den OnAccess auf dem Rechner, der den Download durchführt.
Im laufenden Betrieb gelten wieder andere Regeln aber auch hier gilt die Empfehlung, dass der OnAccess Scan für das Verzeichnis Notes/Domino und insbesondere das gesamte Data-Verzeichnis zu deaktivieren ist. Welche Verzeichnisse ausserdem auszunehmen sind hängt vom jeweiligen System und dem Speicherort der Verzeichnisse ab. Hier noch ein Link auf einen bereits älteren, aber trotzdem noch gültigen KnowledgeBase Eintrag dazu, auch McAfee wird explizit weiter unten erwähnt.
HTH
Carsten
Hallo Hannes,
ich habe jetzt nochmal etwas weiter gebuddelt und tatsächlich noch eine Kopie des originals Artikels auf einem russischen Server gefunden (und mir lokal abgelegt, ich versuche später mal das Archiv mit meinem Crawler zu sichern, mal sehen wie weit ich komme). Wie auch immer. Darin ist der ursprünglich mit R5 eingeführte Algorithmus, mehr oder weniger, komplett von Stufe 1 bis 16 mit Beispielen erläutert. Hier der Link:
http://second-ext.inttrust.ru/…6ABC0011E4F0?OpenDocument
IBM hat das später für die KnowledgeBase mehrfach gekürzt. Die letzte Kürzung (aka Manager-PowerPoint-Fassung) hatte ich weiter oben ja schon verlinkt, die erste Kürzung war zwar noch etwas umfangreicher aber auch schon - im Vergleich zum Original - extrem zusammengeschnitten. Auch die habe ich jetzt bei HCL noch gefunden:
https://support.hcltechsw.com/…b1b4ff890a2f48661cd4bcbdf
PS: Vielleicht hat ja irgendwer noch eine Replik der LDD Datenbanken wie die today.nsf (Rudi vielleicht?). Das war ja mal über das notes.net alles Public verfügbar.
PPS: HCL (hallo Thomas Hampel, liest du hier mit? könnte ruhig mal die ganzen LDD Artikel irgendwo als Archiv zugänglich machen, man lernt in den 20 Jahren alten Artikeln mehr als in 10 Minuten Youtube von heute und viele Inhalte haben bis heute nichts an Aktualität verloren, im Gegenteil. Wenn man bedenkt dass all diese Sachen schon in Notes enthalten waren als andere Hersteller gerade mal Laufen gelernt haben...
PPPS: vielleicht finde ich ja vor meiner Rente noch Aufgaben oder AG, wo solche Dinge wertgeschätzt werden. Man darf ja noch träumen.
VG
Carsten
Simpel erklärt: Durch Merkmale wie Groß- und Kleinschreibung, Ziffern, Sonderzeichen und erhöht man den Qualitätswert bei gleichbleibender Länge des Kennworts. Durch die Erfüllung weiterer Eigenschaften erhöht man den Zähler noch weiter, z.B.
- Kennwort (-teile) nicht im Wörterbuch enthalten
- keine Verwendung von Folgen wie abcd, 1234, aaaa, bbbb, asdf
- eigener Nutzer/Firmen/Domain-Name (oder Teile) nicht enthalten
(...)
Ich hatte mal eine detaillierte technische Beschreibung aus Iris-Zeiten, konnte die aber auf die Schnelle nicht finden.
Die (derzeit) offizielle Kurzerklärung hier: The password quality scale (hcltechsw.com)
HTH
Carsten
Ich habe 2 Datenbanken, in DB 1 sind Daten die ich in der DB 2 in einer Ansicht haben will.
Bisher habe ich in der DB1 die Ansicht erstellt und in der DB2 über die Gliederung darauf zugegriffen.
(berechnetes Element - Server und DB angeben - und Ansicht angeben)
Das ist das Grundprinzip von Notes und damit einer der Unterschiede zu relationalen Datenbanksystemen anderer Hersteller.
Beim Zugriff mit Notes Clients ist der von dir beschriebene Weg die einzige Möglichkeit, wenn man nicht zumindest Teile der Daten redundant in beiden DB's halten will oder kann.
Eine View ist technisch ein Filter und kann nur die Daten anzeigen die sich auch tatsächlich in der DB mit der View befinden.
Etwas anders sieht es aus wenn man zusätzliche Produkte wie HEI (früher LEI = Lotus Enterprise Integrator) im Einsatz hat oder diese in der Lizenz enthalten sind.
Damit kann man (z.B.) virtuelle Views bauen die dann tatsächlich Daten auch aus anderen Datenbanken, ja sogar SQL-Datenbanken, CSV-Dateien, oder einen Mix aus allem anzeigen können.
HTH
Carsten
Hallo Els,
in einem ähnlich gelagertem Fall bei einem Kunden (hier ging es zwar um Fax- und SMS-Empfänger aber ebenfalls um das Problem einer zu großen Teilnehmerliste bei gleichzeitig angebundenem externen System, das nur das SendTo-Feld auswerten konnte) bestand der Workaround aus zwei Schritten:
1) die Verwendung (oder einmalige Erstellung einer zusätzlichen) verkürzten Alias-Adresse für alle Empfänger;
2) die Erstellung einer Gruppe mit diesen Adressen je Vorgang (die vor dem Versenden natürlich aufgelöst wird).
Die Gruppe dient genaugenommen nur der Erleichterung bei der Kontrolle, da man so die tatsächliche Größe des Namensfelds relativ simpel im Auge behalten und die Gruppenmitglieder in der verkürzten Fassung und die Real-Namen in einer Liste zum Abhaken nebeneinander anzeigen kann, technisch notwendig ist die Gruppe ansonsten nicht, sie wird ja vor dem Versand auf jeden Fall ausgepackt.
Die verkürzten Alias-Adressen sind hier schon etwas anspruchsvoller, ohne weitere Kenntnis des Systems, der Anzahl der Nutzer insgesamt oder der Art der Eingeladenen (intern, extern oder mixed) ist es schwer Tipps zu geben, daher mal allgemein.
a) Notes-Adressen lassen sich i.d.R. sehr gut verkürzen, so wird bei voller Funktionalität z.B. aus:
Vorname Name/Berlin/MyCompany @ MYCOMPANY (CN=Vorname Name/OU=Berlin/O=MyCompany @ MYCOMPANY)
Vorname Name @ MYCOMPANY
Voller, hierarchischer Name= 50 Byte, Verkürzter Name=25 Byte - Einsparung im Beispiel 25 Byte je Person (ca. 50% = Verdopplung der möglichen Empfängeranzahl).
Wohlgemerkt - der Kalender expandiert in dieser Form NICHT automatisch den Namen und innerhalb von Notes funktioniert trotzdem alles wie immer.
Auch das ominöse externe Tool spielt hier eine, wenn auch nachgelagerte, Rolle: werden die Einladungen z.B. erst nach MIME konvertiert müssen weitere Überlegungen/Tests her um den zur Verfügung stehenden Platz und die Methoden auszuloten. So sind weitere Tools wie iQ-Suite und Co. gern hilfreich wenn es um automatische Anpassungen von Mails auf Serverebene geht. Wie gesagt - das Thema wird schnell sehr speziell.
Ich hoffe, ich konnte einen Ansatz zur Problemlösung liefern.
Frohe Ostern
Carsten
Das sind eigentlich zwei Themen:
1) Programmatisch einen Link-Hotspot erzeugen.
2) Einen Dateinamen in eine zulässige (und funktionierende) URL konvertieren.
zu 1)
In Formelsprache kenne ich nichts, was du hier verwenden kannst.
Mit Script kann man schon einiges hinbekommen, allerdings befinden wir uns hier im Richtext-Umfeld wo Änderungen oft erst nach einem Zwischenspeichern und neu Öffnen sichtbar werden. Eine funktionierende Basis habe ich bei Atnotes gefunden, das würde ich mit einem Datei-Dialog kombinieren in dem der Nutzer eine Datei für den Link-Hotspot auswählen kann. Allerdings müssen Pfad+Dateiname noch so angepasst werden, dass sie als Link (im Browser) funktionieren.
Quelle: URL-Link per Script erstellen? (atnotes.de)
zu 2)
In Formelsprache kann man es mit @URLEncode versuchen.
Mit Script könnte man, wenn man ohne Evaluate arbeitet, die Sonderzeichen escapen. Hier habe ich auch eine auf den ersten Blick passende Funktion gefunden die nach ungültigen Zeichen (" ""#%&/:;<=>?@[]^`{|}~+") im übergebenen Dateinamen sucht und diese escaped. Kann man bei Bedarf noch weiter ausbauen.
Quelle: URL Escape and Unescape in LotusScript (techtarget.com)
HTH
Carsten
