SMTP mit Notes Client für sonstige Anwendungen sperren

[rasso]

Hallo,

ich habe in einer Lotus Domino Umgebung (Notes 5.06a Server auf WIN NT 4.0 SP6a) dan SMTP Dienst aktiviert. Soweit werden auch alle Mails von Notes Client Ordnungsgemäß per SMTP weitergeleitet. Leider kann man bei dieser Konfiguration auch mit anderen Programmen per SMTP Mails an Lotus Notes geben und diese werden entspr. weitergeleitet.
Ich würde gern das soweit einschränken das alle Notes Clients + ausgewählte IP-Adressen im Netzt diese SMTP Mails über Notesdürfen.
Wo kann ich hier die Einstellungen ändern! Wenn ich nur bestimmte IP Adressen zulasse - dann können die normalen Notes User in unserem Netzwerk über Notes auch keine solche Mails mehr abgeben.
Ist mein Problem klar oder welche Infos benötigt Ihr noch?

Freue mich Auf eine Antwort

Notes-Admin einer Mittelständischen Bank

Christian

[Meff]

Sind alle Maschinen, welche auf dem Server per SMTP Mails abgeben in einer Domäne ?

Meff

[Hoshee]

Yoo,

ein Notes Client verschickt ja keine Mails per SMTP. Das macht ja nur der Server. Die Anbindung des Clients erfolgt über Port 1352.
Das heißt das Du (wenn Ihr sowas habt) die Clientsegmente des Netzwerks für Port 25 sperrst und nur die Serversegmente zulässt. Sonst natürlich einzelne IP-Adressen zulassen / sperren.

Sonst hast Du keine Chance denn selbst mit einer Telnetsession kann man eine Mail losjagen  ;-)

Gruss ...

Hoshee

[Meff]

@Hoshee

der Server hört aber auch den Port 25 und so ohne weiteres kannst Du einen Server nicht dazu bringen, nur bestimmte Segemente auf diesem Port zuzulassen, es sei den, Du nutzt eine Firewall.

Meff

[rasso]

@ Meff

Ja sind alle in einer (Notes-)Domäne!

Vielleicht habe ich auch die Sperrung an der falschen Stelle veranlasst. Ich habe die entsprechenden IPs die zugelassen sind unter "SMTP-Ausgangssteuerung" eingetragen - da wie gesagt der NotesClient die Mails an den Server ja nicht als SMTP weitergibt sondern die SMTP Weiterleitung vom Server veranlasst wird. Den Port 25 ganz abschalten - wäre schlecht, da verschiedenen Überwachungstools im Haus Mails per SMTP an die Admins schickt.
Also nochmals zusammengefasst - Notesclients sollten uneingeschränkt über den Server SMTP Mails schicken können, vom gleichen Gerät sollte eine SMTP Annahme (z.B. durch ein Outlook ausgelöst) durch den NOtes Server unterbunden werden. Weiteren Clients sollte es aber erlaubt Sein Mails per SMTP an den Notesserver zu übergeben (Überwachungstools).

Für die ersten Antworten schon mal Danke!

Gruß

Christian

[Hoshee]

Yoo Meff,

ich geh mal einfach davon aus, daß in einer "Mittelständischen Bank" eine FW am laufen ist.

@rasso:
Es gibt m.W. keine Unterscheidung, welches Programm den Port 25 nutzt. Ein SMTP-Server unterscheidet nur von welcher IP / Domain der Connect kommt und akzeptiert / lehnt diese Verbindung entsprechend an / ab.

Gruss ...

Hoshee

[Meff]

@Hoshee

vollkommen richtig. Wie sollte der Dominoserver auch unterscheiden können, welches Programm an ihn Mails schickt.

@rasso

schau Dir mal das Konfigurationsdokument ein wenig genauer an, dort hast Du verschiedene Möglichkeiten, den Zugriff für In- und Outbound SMTP Mails zu steuern. Wenn Du die IP Adressen der Maschinen kennst, die per SMTP Mails abgeben dürfen (die Überwachungstools), dann trage die einfach ein und verbiete generell den Zugriff für alle. D.h. keiner darf bis auf.
Wie Hoshee bereits geschrieben hat, haben solche Exclusions keinerlei Auswirkungen auf die Notesclients, da diese nicht mit Port 25 sondern über den Port 1352 auf den Server zugreifen, selbst wenn Mails für das Internet dort abegegeben werden.

Meff

[Hoshee]

Yoo,

so wie ich das verstanden habe, dann läuft auf jedem Client ein Überwachungstool. Und damit ist dann Schicht ...

Gruss ...

Hoshee

[Meff]

Das wäre natürlich schlecht, dann würde mir nur noch einfallen, dass man nur mittels Authentifizierung Mails per SMTP auf dem Server abgeben darf. Wenn das Überwachungstool so etwas zulässt. Das kann man zwar als User auch umgehen, aber man muss erstmal wissen, wie das geht.

Vielleicht sollten wir aber auf rasso warten, wie die Umgebung wirklich aussieht. Vielleicht ist das Problem ja garnicht so riesengross.

Meff

[mb]

Moin!

Davon, dass auf jedem Client ein Überwachungstool läuft, kann ich aus den Ausführungen bisher nicht erkennen.

Notes Client:
Wenn diese nur per Notes RPC (Port 1352) senden, hast du kein Problem. Du brauchst nichts zu beschränken, die sollen ja mailen dürfen.
Der Notes Client kann natürlich auch Mails per SMTP versenden. Aber das macht ihr wahrscheinlich nicht.

SMTP:
Du solltest den Maileingang beschränken. (Inbound)
Wenn du den Absenderkreis genau bestimmen kannst, solltest du das vesuchen:
Mail nur von diesen externen Internet-Adressen/Domänen zulassen:
z.B. Prozessueberwachung@deinebank.de
Wenn du den Empfängerkreis genau bestimmen kannst, dies:
Nur Mail zulassen, die an diese Internet-Adressen gesendet wird:
z.B. Admins@deinebank.de
Für IP-Adressen versucht du das:
Verbindungen nur von diesen SMTP-Internet-Host-Namen bzw. IP-Adressen zulassen:
z.B. [10.49.2.45]
Das funktioniert aber wirklich nur dann, wenn außer diesen Ausnahmen NIEMAND per SMTP mails verschicken soll, sondern der unbeschränkte Mailversand über Notes-Mail läuft.



Marc

[rasso]

Hallo Zusammen,

danke erst mal für die Ausführungen - ich werden das nächste Woche in den Abendstunden nochmal durch checken - habe nämlich z.Zt. nur das Produktionssystem zur Verfügung. Ich werde Euch über entsprechende Erfolge hier berichten.

Gruß

Rasso