SMTP: Anonym für Port 25 und Authentifizierung für Port 465

[kuabuab]

...Vielleicht hatte das jemand von auch auch schon mal:

Für den E-Mail-Versand verwenden wir ein kommerzielles SMTP-Gateway, Proofpoint.
Wenn Proofpoint E-Mails an den Domino sendet, werden diese über TLS über Port 25 gesendet.

Wir haben jedoch auf dem Domino den Port 465 (SMTPs) für IMAP-Clients gegen das Internet geöffnet…
(Ich weiss das ist semi ideal, aber nun mal eine Anforderung)
Der IMAP-Client soll eine Authentifizierung für IMAP und SMTP machen.


Also habe ich die SMTP-Konfiguration für INCOMING SMTP-Traffice folgendermassen bestimmt:

Anonyme Verbindungen sind über den nicht verschlüsselten SMTP-Port 25 ZULÄSSIG, da ich den Traffic an der Firewall stark einschränke.
Anonyme Verbindungen sind über den SSL-Ports 465 NICHT zulässig.


Was passiert:
Der Domino fordert eine Authentifizierung für alle SMTP-Verbindungen an, egal auf welchem Port die Anfrage kommt.

Offensichtlich kann die Authentifizierungsanforderung für TCP-Port 25 und Port 465 nicht separat festgelegt werden.

Gruss
Daniel

[CarstenH]

Offensichtlich kann die Authentifizierungsanforderung für TCP-Port 25 und Port 465 nicht separat festgelegt werden.

Das ist insoweit korrekt, da du Auth nicht für die Ports sondern für das Protokoll an sich festlegst.
Das nutzt du ja sogar aktiv aus indem du über Port 25 TLS verwendest.

Um trotzdem dein Ziel zu erreichen kannst du zwei SMTP-Internet-Site Dokumente einrichten und die kannst du dann entsprechend unterschiedlich setzen.
Danach lenkst du den NAT für die IMAP Clients auf die eine und den Rest auf die andere Site.
Trennen kannst du die Anfragen wahlweise über unterschiedliche IP-Adressen/Ports oder indem du eine über die Adresse und die andere über den DNS Namen laufen lässt.

HTH
Carsten

[kuabuab]

Hallo Carsten

Vielen Dank für deine Antwort.
Ich habe schon vermutet, dass dies so ist. Nur, die Admin Hilfe lässt für mich nicht den Schluss zu, wie du es Beschrieben hast.


Das Protokoll ist SMTP und ich frage mich schon warum dann 2 mal ein Anonymous ein/aus möglich ist.
Anmeldung Anonym? Anmeldung Anomymer?

Kommt das ev. in der Form von den anderen Protokollen wie HTTP wo die Trennung vielleicht möglich ist?


Gruss
Daniel

[CarstenH]

Ok, noch mal einen Schritt zurück zur Begriffsdefinition.

SSL/TLS bezeichnen hier ein Verschlüsselungsprotokoll, SMTP (nicht SMTPS) ein anderes, unverschlüsseltes Protokoll.
Unterschiedlichen Protokollen werden (normalerweise) auch unterschiedliche Ports zugewiesen damit nicht erst durch mühevolles Handshaking der Partner ein gemeinsames Protokoll ermittelt werden muss.

Mit STARTTLS wurde ein Hilfsmittel geschaffen um, gegen den einen Standard, doch wieder mittels Handshaking einen Protokollwechsel zu ermöglichen ohne dabei auch den Port wechseln zu müssen. Grund dafür war ein anderer Standard, nämlich das so ziemlich alle Mailserver und -Clients über Port 25 kommunizieren. Man wollte also den einen Standard bewahren und hat dafür einen anderen aufgeweicht.

Übrigens: selbst Wikipedia ist sich nicht einig ob TLS jetzt zur Anwendungsschicht [1] oder doch zur Transportschicht [2] gehört, man sehe sich die jeweiligen Schichtenmodelle an:
[1] https://de.wikipedia.org/wiki/Transport_Layer_Security
[2] https://de.wikipedia.org/wiki/SMTPS

Zurück zur Ausgangsfrage. Unter der Annahme, dass SMTP und SMTPS unterschiedliche Protokolle sind die, jedes für sich, über identische (STARTTLS:25) oder unterschiedliche Ports (SMTP:25/SMTPS:465) kommunizieren können, und man im Internet-Site-Dokument aber nur das Protokoll (SMTP/SMTPS) für anonym/auth konfigurieren aber nicht den dabei zu verwendenden Port (25/465) einstellen kann, macht meine ursprüngliche Aussage sicher mehr Sinn, oder?

Lege also zwei SMTP-Site-Dokumente an, eines z.B. für die Kontaktaufnahme via IP-Adresse und das andere via DNS-Eintrag. (Alternativ zweite IP vergeben, das wäre mein Favorit). Trenne (am Gateway) den eingehenden Traffic auf diese beiden Ziele auf. Jetzt kannst du für jede Variante die Authentifizierung getrennt einstellen.

HTH
Carsten

[kuabuab]

Hallo Carsten

Danke für die Ausführungen.

Nun, ich löse unser Problem mit einem, 2. Server. Wir leiten den SMTP (25) STRATTLS Traffic über einen Traveler Server.
Ein 2. IP liegt nicht in meiner Macht, im speziellen Fall.

Unter der Berücksichtigung von TLS macht alles Sinn.

Ich frage mich gerade, ob meine Konfiguration funktionieren würde, wenn ich TLS disabled hätte?
(Das mache ich im Endeffekt natürlich nicht.)



Gruss
Daniel

[CarstenH]

Hallo Daniel,

Ein 2. IP liegt nicht in meiner Macht, im speziellen Fall.

Da du die Anfragen mit IP und DNS ebenfalls aufteilen kannst war mein Vorschlag mit 2. IP einfach nur eine weitere Option.
Und mit dem 2. Server hast du ja außerdem unabhängig von den Vorschlägen eine Trennung erzielt also alles gut.

Ob das Deaktivieren von TLS ausgereicht hätte weiß ich nicht, da ich mir nicht sicher bin wer das Problem letztendlich verursacht.
Ich habe lediglich Lösungsvorschläge gemacht, wie ich im konkreten Fall auch vorgegangen wäre.

Gruß
Carsten

[kuabuab]

Also, habe gerade getestet:
Das Deaktivieren von TLS reicht um SMTP incomming traffic zu differenzieren. (Anonymous Auth. or not)
Ich vermute, das SMTP-Inbound Dokument wurde weit früher implementiert als TLS.
Schliesslich hatte sich niemand die Mühe gemacht nach Einführung von TLS das SMTP-Inbound Dokument anzupassen.

Vielen Dank nochmals dir Carsten für die Erklärungen.


Gruss
Daniel
 

[CarstenH]

Danke für's Testen!

Und ja, ich schließe mich deiner Vermutung an, viele Dinge wie TLS wurden von IBM teils nur mit Fixpacks implementiert und die beinhalten nie Änderungen an Templates (sondern eher INI-Verrenkungen im Hotfix nach dem Fixpack um irgendwas wieder rückgängig machen zu können).

Carsten