Domino 9 und frühere Versionen > ND9: Administration & Userprobleme
SMTP-Eingangssteuerung Verbindung per Hostname
rambrand:
Hi,
wir haben derzeit für unser internes Netz auf einem Server den SMTP-Listener laufen. Dahin verbinden sich alle MFPs und sonstigen SMTP-Clients. Nun soll abgesichert werden, dass nur die bekannten und zugelassenen Systeme per SMTP eingehend Verbindung aufbauen dürfen.
Um zumindest etwas Sicherheit rein zu bekommen.
Die Liste der Hostnamen wird ziemlich lang werden. Ich gehe von ca. 70-90 Hosts aus.
Bekommt das Feld "Verbindungen nur von diesen SMTP-Internet-Hostnamen bzw. IP-Adressen zulassen" Probleme mit so einer Menge.
Oder wirkt sich eine lange Liste an erlaubten Hosts in irgendeiner Weise negativ aus?
Kann ich Platzhalter für Hostnamen auch so einsetzen: host*.dom.ain.de für host01, host02, etc.? Die Beschreibung in der Hilfe ist für mich leider nicht eindeutig genug.
Danke schonmal im voraus für Hinweise.
Bye,
Markus
hallo.dirk:
--- Zitat ---Die Liste der Hostnamen wird ziemlich lang werden. Ich gehe von ca. 70-90 Hosts aus.
--- Ende Zitat ---
Mehr nicht? Ich habe 4x so viel, technisch hat dieses Feld eine Größenbeschränkung, die erreichst Du aber nicht.
Du kannst sogar Mailserver Gruppen verwenden...
--- Zitat ---Bekommt das Feld "Verbindungen nur von diesen SMTP-Internet-Hostnamen bzw. IP-Adressen zulassen" Probleme mit so einer Menge.
Oder wirkt sich eine lange Liste an erlaubten Hosts in irgendeiner Weise negativ aus?
--- Ende Zitat ---
Nein
--- Zitat ---Kann ich Platzhalter für Hostnamen auch so einsetzen: host*.dom.ain.de für host01, host02, etc.? Die Beschreibung in der Hilfe ist für mich leider nicht eindeutig genug.
--- Ende Zitat ---
Was hier praktiziert wird ist reverse DNS.
SMTP Server (IP) verbindet sich, Domino macht einen Reverse DNS und bekommt für die IP einen Namen zurück, diesen vergleicht es dann mir der allowed Host Liste.
Wildcards auf den Namen dürften deswegen auch nicht funktionieren.
Auf IP Ebene geht das natürlich schon.
Bastel123:
Hallo,
wir setzen für die Server Wildcards für ihre Netze ein.
[10.22.7.*]
[10.22.8.*]
[10.2.1.*]
Die Clients lassen wird gezielt nur mit fester IP zu.
[10.102.99.99]
In Zukunft wollen wir auch die Server auf ihre IP eingrenzen.
Gruß
Sebastian
rambrand:
Hallo Dirk,
in der Hilfe steht es so:
--- Zitat ---Die Hostnamenseinträge können vollständig, z. B. ein vollständig qualifizierter Hostname eines bestimmten Servers, oder unvollständig sein und Platzhalter enthalten. Sie geben beispielsweise Folgendes ein:
abc.com
Domino nimmt nur Verbindungen von Mail-Hosts in der durch *abc.com dargestellten Domäne an oder von allen Hostnamen, die auf abc.com enden, einschließlich smtp.abc.com und mailhost.abc.com. Alle anderen Verbindungsanfragen werden von Domino abgelehnt.
--- Ende Zitat ---
Aus dem "unvollständig" und "Platzhalter" interpretiere ich das so, dass der SMTP-Client sich am Domino-Server meldet. Er schaut, passt das zu den erlaubten Hosts wobei Host01.dom.ain.de dann in Host*.dom.ain.de enthalten wäre, macht danach ein DNS-Check und wenn der passt (den Hostnamen hat er ja vom Client selbst gemeldet bekommen, daher ist der Hostname mit Platzhalter im Konfig-Dokument uninteressant), dann lässt er die Verbindung zu.
Nur bin ich mir nicht sicher, ob ich mit meiner Interpretation richtig liege.
Ich hab leider kein Testsystem, bei dem ich das mal setzen kann. Hier ist leider das Produktivsystem Testsystem, da will ich nicht einfach die Beschränkung aktivieren. Wenn es schief geht, glüht der Draht, weil über SMTP ständig Mails reinkommen. Es gibt Leute die sitzen ständig an Scannern und füttern die mit Papier.
@Bastel123:
Das ist leider so nicht gewünscht. Wäre bequemer, wenn wir einfach die Subnetze zulassen könnten. Aber es sollen wirklich nur die dürfen die berechtigt sind. Und die beziehen leider dynamisch ihre IP-Adresse. Heute die morgen eine andere. Daher kann ich auch nicht die IPs festlegen.
Bye,
Markus
hallo.dirk:
einen Domino Test Server wo man das mit testen könnte, ist in 5-10 Minuten aufgesetzt ;)
Navigation
[0] Themen-Index
[#] Nächste Seite
Zur normalen Ansicht wechseln