HCL Notes / Domino / Diverses > Administration & Userprobleme
SMTP: Anonym für Port 25 und Authentifizierung für Port 465
kuabuab:
...Vielleicht hatte das jemand von auch auch schon mal:
Für den E-Mail-Versand verwenden wir ein kommerzielles SMTP-Gateway, Proofpoint.
Wenn Proofpoint E-Mails an den Domino sendet, werden diese über TLS über Port 25 gesendet.
Wir haben jedoch auf dem Domino den Port 465 (SMTPs) für IMAP-Clients gegen das Internet geöffnet…
(Ich weiss das ist semi ideal, aber nun mal eine Anforderung)
Der IMAP-Client soll eine Authentifizierung für IMAP und SMTP machen.
Also habe ich die SMTP-Konfiguration für INCOMING SMTP-Traffice folgendermassen bestimmt:
Anonyme Verbindungen sind über den nicht verschlüsselten SMTP-Port 25 ZULÄSSIG, da ich den Traffic an der Firewall stark einschränke.
Anonyme Verbindungen sind über den SSL-Ports 465 NICHT zulässig.
Was passiert:
Der Domino fordert eine Authentifizierung für alle SMTP-Verbindungen an, egal auf welchem Port die Anfrage kommt.
Offensichtlich kann die Authentifizierungsanforderung für TCP-Port 25 und Port 465 nicht separat festgelegt werden.
Gruss
Daniel
CarstenH:
--- Zitat von: kuabuab am 18.09.20 - 17:13:46 ---Offensichtlich kann die Authentifizierungsanforderung für TCP-Port 25 und Port 465 nicht separat festgelegt werden.
--- Ende Zitat ---
Das ist insoweit korrekt, da du Auth nicht für die Ports sondern für das Protokoll an sich festlegst.
Das nutzt du ja sogar aktiv aus indem du über Port 25 TLS verwendest.
Um trotzdem dein Ziel zu erreichen kannst du zwei SMTP-Internet-Site Dokumente einrichten und die kannst du dann entsprechend unterschiedlich setzen.
Danach lenkst du den NAT für die IMAP Clients auf die eine und den Rest auf die andere Site.
Trennen kannst du die Anfragen wahlweise über unterschiedliche IP-Adressen/Ports oder indem du eine über die Adresse und die andere über den DNS Namen laufen lässt.
HTH
Carsten
kuabuab:
Hallo Carsten
Vielen Dank für deine Antwort.
Ich habe schon vermutet, dass dies so ist. Nur, die Admin Hilfe lässt für mich nicht den Schluss zu, wie du es Beschrieben hast.
Das Protokoll ist SMTP und ich frage mich schon warum dann 2 mal ein Anonymous ein/aus möglich ist.
Anmeldung Anonym? Anmeldung Anomymer?
Kommt das ev. in der Form von den anderen Protokollen wie HTTP wo die Trennung vielleicht möglich ist?
Gruss
Daniel
CarstenH:
Ok, noch mal einen Schritt zurück zur Begriffsdefinition.
SSL/TLS bezeichnen hier ein Verschlüsselungsprotokoll, SMTP (nicht SMTPS) ein anderes, unverschlüsseltes Protokoll.
Unterschiedlichen Protokollen werden (normalerweise) auch unterschiedliche Ports zugewiesen damit nicht erst durch mühevolles Handshaking der Partner ein gemeinsames Protokoll ermittelt werden muss.
Mit STARTTLS wurde ein Hilfsmittel geschaffen um, gegen den einen Standard, doch wieder mittels Handshaking einen Protokollwechsel zu ermöglichen ohne dabei auch den Port wechseln zu müssen. Grund dafür war ein anderer Standard, nämlich das so ziemlich alle Mailserver und -Clients über Port 25 kommunizieren. Man wollte also den einen Standard bewahren und hat dafür einen anderen aufgeweicht.
Übrigens: selbst Wikipedia ist sich nicht einig ob TLS jetzt zur Anwendungsschicht [1] oder doch zur Transportschicht [2] gehört, man sehe sich die jeweiligen Schichtenmodelle an:
[1] https://de.wikipedia.org/wiki/Transport_Layer_Security
[2] https://de.wikipedia.org/wiki/SMTPS
Zurück zur Ausgangsfrage. Unter der Annahme, dass SMTP und SMTPS unterschiedliche Protokolle sind die, jedes für sich, über identische (STARTTLS:25) oder unterschiedliche Ports (SMTP:25/SMTPS:465) kommunizieren können, und man im Internet-Site-Dokument aber nur das Protokoll (SMTP/SMTPS) für anonym/auth konfigurieren aber nicht den dabei zu verwendenden Port (25/465) einstellen kann, macht meine ursprüngliche Aussage sicher mehr Sinn, oder?
Lege also zwei SMTP-Site-Dokumente an, eines z.B. für die Kontaktaufnahme via IP-Adresse und das andere via DNS-Eintrag. (Alternativ zweite IP vergeben, das wäre mein Favorit). Trenne (am Gateway) den eingehenden Traffic auf diese beiden Ziele auf. Jetzt kannst du für jede Variante die Authentifizierung getrennt einstellen.
HTH
Carsten
kuabuab:
Hallo Carsten
Danke für die Ausführungen.
Nun, ich löse unser Problem mit einem, 2. Server. Wir leiten den SMTP (25) STRATTLS Traffic über einen Traveler Server.
Ein 2. IP liegt nicht in meiner Macht, im speziellen Fall.
Unter der Berücksichtigung von TLS macht alles Sinn.
Ich frage mich gerade, ob meine Konfiguration funktionieren würde, wenn ich TLS disabled hätte?
(Das mache ich im Endeffekt natürlich nicht.)
Gruss
Daniel
Navigation
[0] Themen-Index
[#] Nächste Seite
Zur normalen Ansicht wechseln