SMTP-Eingangssteuerung Verbindung per Hostname

[rambrand]

Hi,

wir haben derzeit für unser internes Netz auf einem Server den SMTP-Listener laufen. Dahin verbinden sich alle MFPs und sonstigen SMTP-Clients. Nun soll abgesichert werden, dass nur die bekannten und zugelassenen Systeme per SMTP eingehend Verbindung aufbauen dürfen.
Um zumindest etwas Sicherheit rein zu bekommen.
Die Liste der Hostnamen wird ziemlich lang werden. Ich gehe von ca. 70-90 Hosts aus.
Bekommt das Feld "Verbindungen nur von diesen SMTP-Internet-Hostnamen bzw. IP-Adressen zulassen" Probleme mit so einer Menge.
Oder wirkt sich eine lange Liste an erlaubten Hosts in irgendeiner Weise negativ aus?
Kann ich Platzhalter für Hostnamen auch so einsetzen: host*.dom.ain.de für host01, host02, etc.? Die Beschreibung in der Hilfe ist für mich leider nicht eindeutig genug.

Danke schonmal im voraus für Hinweise.

Bye,
Markus

[hallo.dirk]

Die Liste der Hostnamen wird ziemlich lang werden. Ich gehe von ca. 70-90 Hosts aus.

Mehr nicht? Ich habe 4x so viel, technisch hat dieses Feld eine Größenbeschränkung, die erreichst Du aber nicht.
Du kannst sogar Mailserver Gruppen verwenden...

Bekommt das Feld "Verbindungen nur von diesen SMTP-Internet-Hostnamen bzw. IP-Adressen zulassen" Probleme mit so einer Menge.
Oder wirkt sich eine lange Liste an erlaubten Hosts in irgendeiner Weise negativ aus?

Nein

Kann ich Platzhalter für Hostnamen auch so einsetzen: host*.dom.ain.de für host01, host02, etc.? Die Beschreibung in der Hilfe ist für mich leider nicht eindeutig genug.

Was hier praktiziert wird ist reverse DNS.
SMTP Server (IP) verbindet sich, Domino macht einen Reverse DNS und bekommt für die IP einen Namen zurück, diesen vergleicht es dann mir der allowed Host Liste.
Wildcards auf den Namen dürften deswegen auch nicht funktionieren.
Auf IP Ebene geht das natürlich schon.

[Bastel123]

Hallo,

wir setzen für die Server Wildcards für ihre Netze ein.
[10.22.7.*]
[10.22.8.*]
[10.2.1.*]

Die Clients lassen wird gezielt nur mit fester IP zu.
[10.102.99.99]

In Zukunft wollen wir auch die Server auf ihre IP eingrenzen.

Gruß
Sebastian

[rambrand]

Hallo Dirk,

in der Hilfe steht es so:

Die Hostnamenseinträge können vollständig, z. B. ein vollständig qualifizierter Hostname eines bestimmten Servers, oder unvollständig sein und Platzhalter enthalten. Sie geben beispielsweise Folgendes ein:
 abc.com
Domino nimmt nur Verbindungen von Mail-Hosts in der durch *abc.com dargestellten Domäne an oder von allen Hostnamen, die auf abc.com enden, einschließlich smtp.abc.com und mailhost.abc.com. Alle anderen Verbindungsanfragen werden von Domino abgelehnt.

Aus dem "unvollständig" und "Platzhalter" interpretiere ich das so, dass der SMTP-Client sich am Domino-Server meldet. Er schaut, passt das zu den erlaubten Hosts wobei Host01.dom.ain.de dann in Host*.dom.ain.de enthalten wäre, macht danach ein DNS-Check und wenn der passt (den Hostnamen hat er ja vom Client selbst gemeldet bekommen, daher ist der Hostname mit Platzhalter im Konfig-Dokument uninteressant), dann lässt er die Verbindung zu.
Nur bin ich mir nicht sicher, ob ich mit meiner Interpretation richtig liege.
Ich hab leider kein Testsystem, bei dem ich das mal setzen kann. Hier ist leider das Produktivsystem Testsystem, da will ich nicht einfach die Beschränkung aktivieren. Wenn es schief geht, glüht der Draht, weil über SMTP ständig Mails reinkommen. Es gibt Leute die sitzen ständig an Scannern und füttern die mit Papier.

@Bastel123:
Das ist leider so nicht gewünscht. Wäre bequemer, wenn wir einfach die Subnetze zulassen könnten. Aber es sollen wirklich nur die dürfen die berechtigt sind. Und die beziehen leider dynamisch ihre IP-Adresse. Heute die morgen eine andere. Daher kann ich auch nicht die IPs festlegen.

Bye,
Markus

[hallo.dirk]

einen Domino Test Server wo man das mit testen könnte, ist in 5-10 Minuten aufgesetzt

[rambrand]

Dazu noch ein paar Clients die SMTP-Client spielen ... eine eigene Netzwerk-Infrastruktur, man will ja nicht Test- und Produktivsystem vermischen.

Ja, ich geb mich geschlagen. Ich bastel mir zuhause mal ein Testsystem. :-)

Irgendwie traurig, wenn man zuhause besser ausgestattet ist als auf Arbeit  
Testblech bekomm ich nicht und auf die VM lassen mich die Netzwerkadmins auch nicht.

Deswegen wäre es für mich einfacher gewesen, wenn jemand das genauer weiss  

Bye,
Markus

[hallo.dirk]

ine eigene Netzwerk-Infrastruktur, man will ja nicht Test- und Produktivsystem vermischen.

Du machst Dir da zu viele Gedanken, installiere auf irgendeinem Server (VM?) einen Domino Standalone Server, konfiguriere ihn, dass er Mails annimmt (open relay) und pflege deine allowed Host Liste. (Admin auf dem gleichen PC einrichten....)
Dann hälst Du noch den router an und sammelst dort alle Mails.....

SMTP kann man super einfach schreiben, ist nicht schwer.
Vom Host dann einfach ein Telnet aufmachen und Testen, fertig.

Das ist wirklich total einfach und belastet deine Umgebung nicht.

[rambrand]

Danke, das probiere ich aus. Aber da ich noch nicht mal eine VM installieren darf ... mach ich das zuhause.
Den Domino zu installieren ist kein Problem. Das mit dem Telnet ist super ... an die guten alten Consolen-Tools denkt man als gar nicht mehr. Man ist vom KlickiBunti zu verwöhnt :-) Hätte mir wahrscheinlich nen Client mit nem Outlook in die VM-Umgebung gesetzt ...

Bye,
Markus

[Tode]

Installier Dir doch einfach "Virtualbox" auf irgendeinen rechner und erstelle dort ne virtuelle Maschine mit Linux und nem Domino: keinerlei Lizenzkosten (ausser genau genommen für den Domino, aber in vielen Lizenzen ist sowas abgedeckt), schnell installiert und völlig unabhängig...