Identifizierung von Emails versendet durch authentifizierte Benutzer

[TimOPro]

Guten Tag,

folgendes Problem:
Ich möchte mittels Agent in der Empfänger Mail-DB herausfinden, ob ein Email Document von einem authentifizierten Benutzer versendet wurde (sprich einem Benutzer der Domäne) oder nicht (d.h. ob die Email von "außerhalb" kam). Da ich nur auf die bereits empfangen Mail Documente zugreifen kann, erhoffe ich, dass für den zuvor genannten Unterschied ein Feld im Document bzw. ein Wert eines solchen Feldes diese Frage beantwortet.

Meine Frage also:
Wisst ihr ein Feld im Mail Document, mit dem man die Herkunft der Email (ob intern oder extern) eindeutig bestimmen kann oder kennt ihr eine Dokumentation, wo ich die Beschreibungen der Felder nachlesen kann?

Vielen Dank im Voraus.

LG Tim

- Domino 12.0.1 -

[CarstenH]

Es gibt kein einzelnes (Header-)Feld das diese Information liefert, lediglich durch Analyse mehrerer Kombinationen kann man mit einer gewissen Wahrscheinlichkeit die Herkunft bestimmen. Das ist kein Notes-Problem sondern ein eher allgemeines Thema bei Internetprotokollen, das den zugrunde liegenden Techniken wie MIME und SMTP geschuldet ist die in erster Linie auf Ausfallsicherheit und Redundanz statt auf Sicherheit ausgelegt wurden.

Das Thema ist etwas komplexer aber um es kurz zu machen: es geht hier weniger darum ob der Mailversand authentifiziert durchgeführt wurde sondern eher darum, ob die authentifizierende Stelle vertrauenswürdig ist und Mails mit diesem Absender annehmen/versenden darf. Bei Mails aus dem eigenen Haus muss man das entsprechend selbst sicherstellen.

Wenn es hier aber darum geht, externe Mails (z.B. mit einer Warnung) zu kennzeichnen habe ich das bei mehreren Kunden mittels Prüfung der Felder SMTPOriginator und das Received-Header-Feld mit dem Eintrag envelope-from (sofern vorhanden) gelöst. Wenn mindestens eines der Felder vorhanden ist aber keines mit einer Adresse auf einen der eigenen Domainnamen endet handelt es sich mit an Sicherheit grenzender Wahrscheinlichkeit um eine externe Mail.

HTH
Carsten

[TimOPro]

Vielen Dank für die Antwort.

Ich habe gehofft, dass Notes bei Emails, die über IMAP/POP an den Server übergeben werden, ein zusätzliches Flag im Mail Document setzt. Dann muss ich eine andere Lösung finden.

LG

[CarstenH]

...Emails, die über IMAP/POP an den Server übergeben werden...

Mit IMAP/POP3 können gar keine keine Mails versendet werden - es handelt sich hier um reine Empfangsprotokolle.

Das Internetprotokoll zum Senden ist SMTP.

IMAP kann zwar noch zum Synchronisieren zwischen eigenen Postfächern benutzt werden aber auch hier werden Mails nie versendet, sondern direkt und ausschließlich in ein eigenes (!) Postfach geschrieben.

Dann muss ich eine andere Lösung finden.

Und das eigentliche Problem ist was genau?

Carsten

[TimOPro]

Ich habe einen Agent geschrieben, der über die "Received" Felder im Document einen SFP-Check durchführt. Das funktioniert soweit auch wie gewollt, jedoch werden Emails, die von z.B. Smartphones versendet werden, dadurch auch abgefangen, da in den Received Feldern nie unsere als MX-Eintrag hinterlegte (Sub-)Domain eingetragen ist.

Einen vorgelagerten Server wollte ich so verhindern.

LG

[CarstenH]

Das Problem besteht leider immer, wenn man gleichzeitig authentifiziertes und anonymes SMTP auf der gleichen Ebene zulässt.

Direkt (am Domino) eingelieferte Mails erkennt man an einem einzelnen Received-Header, die meisten SPAM Mails kommen über andere Server oder gekaperte Accounts im Internet und haben bereits mehrere Hops hinter sich (= mehrere Received Header).

Was man aber nicht auseinanderhalten kann sind anonyme und authentifizierte Mails, die direkt am Domino abgegeben werden.

Mit DNS-Blacklist-Filtern im Konfigurationsdokument kann man IP Bereiche von dynamischen Adressen als nicht vertrauenswürdig blocken, das würde ich hier auf jeden Fall versuchen, das dürfte geschätzt 80% der direkten Kontakt-Versuche verseuchter PC's verhindern.

Man kann dann zwar mit ein paar Schaltern noch etwas feintunen aber an der grundsätzlichen Problematik ändert sich nichts, da im SMTP Protokollstandard hierfür nichts vorgesehen ist - jedes Feld, was man zusätzlich in eine Mail schreibt könnte auch so bereits von außen gekommen sein - und damit hängen wir wieder bei der Vertrauensfrage.

Zum Feintunen: bitte selbst googlen nach SMTPVerifyAuthenticatedSender, RouterUseFromAsSMTPOriginator und SMTPAllowConnectionsAnonymous. Aber nochmal: eine echte Lösung sind diese Parameter nicht, sie ändern das Verhalten nur für bestimmte Situationen.

Eine andere Möglichkeit wäre VPN für eigene Nutzer zu erzwingen, damit kann man anhand der IP im Received Header filtern oder sogar für die Authentifizierung nur den eigenen IP Bereich freigeben.

Eine bessere Möglichkeit hier wäre, wenn man für die eigenen Nutzer statt nativem SMTP den Traveler Dienst verwendet.

Das funktioniert aber leider nicht für beliebige Clients, mobile Clients sind zwar kein Problem aber unter Windows geht swiw nur die MS Mail App die da mitspielt. Oder per Browser. Für den Nutzer ändert sich ansonsten erstmal nicht viel. Für Outlook gibt es zwar noch HTMO aber das benötigt wieder eine lokal am PC installierte Komponente was auch nicht jedermans Sache ist.
 
In jedem Fall findet via Traveler die Kommunikation mit anderen Protokollen als IMAP/POP/SMTP statt und einen Received-Header gibt es dann ebenfalls nicht mehr, stattdessen erkennt man die eingeloggten Nutzer dann z.B. an Feldern wie INetFrom und Principal, die Felder unterscheiden sich vereinfacht gesagt kaum von denen der Clientnutzer.

HTH
Carsten