Das Notes Forum
Domino 9 und frühere Versionen => ND7: Administration & Userprobleme => Thema gestartet von: StefanFriedrich am 14.04.08 - 10:27:08
-
Hallo,
ich habe folgendes Problem
Wir haben einen Domino 7.0.2 Server auf dem ist das "globale Domänen" Konfigurationsdokument
erstellt.
In diesem Konfig.dok. sind mehrere unsere externen Domänen eingetragen.
Ich kann auch E-Mails an User1@domäne1.de oder User1@domäne2.de schreiben.
soweit tut bei uns alles bestens.....
Jetzt das Problem
Wir haben vorgeschaltet einen Mail Scanner der die eingehenden E-Mails auf Spam usw untersucht.
Diesen kann ich auch so einschalten das er den E-Mail Empfänger in LDAP überprüft und nur dann
die Verbindung zuläßt.
Das Problem ist das der Notes LDAP Server nur E-Mails durchläß die an user1@domäne1.de gesendet werden aber E-Mails die an user1@domäne2.de gehen bekommen die Absender zurück mit der Fehlermeldung
Remote host said: 550 recipient <user1@domäne2> was not found in LDAP server - [RCPT_TO]
Kann mir jemand einen Tipp geben wie ich das Problem lösen kann ?
-
Um wieviele Domänen geht es denn ? Wenn es nur die zwei sind reicht es evtl. aus, die zweite Mailadresse als zusätzlichen Alias in die Personendokumente zu schießen.
-
Hallo,
Danke für die schnelle Antwort
leider sind es weitaus mehr Domänen als die 2 ( 7 Stk.) und bei 120 Usern macht
es selbst bei 2 Domänen keinen Spass die Personendokumente anzupassen.
Gruß
Stefan
P.S. Momentan behelf ich mir das ich die Überprüfung ausgeschaltet lasse .... aber
wir bekommen jden Tag so viele SPAM´s das ich diese Überprüfung gerne
aktivieren würde.
-
Naja, das muß man ja nicht per Hand machen. Ein Agent könnte die Einträge ja relativ einfach schießen.
Die Frage wäre also eher, ob es generell so funktionieren würde. Das ließe sich ja an einem Testuser mal ausprobieren.
-
(&(|(mail={u}@*)(uid={u}@*)(uid={u}))(!(objectClass=dominoGroup)))
hier mal ne LDAP Abfrage welche ich benutze.
-
ein (|(mail={a})(cn={a})) sollte es auch tun. Trage deine zusätzlichen usename@domain in das feld FullName ein.
-
Hallo,
ich kann aber an unserem MAIL - Scanner nur Enable LDAP oder disable LDAP machen.
Ich kann ihm keine Suchparameter mitgeben.
Und alle möglichen Domänen im Personendokument eintragen möchte ich auch nicht unbedingt !
Gruß
Stefan
-
Dir wird aber schlussendlich nichts anderes übrig bleiben als die Domains einzutragen.
Oder du machst am Mailscanner eine Umsetzung der eingehenden Domainteile auf die intren verfügbare. Das müsste über Aliase oder so gehen.
Also alles, was an user@Domain2 - Domain n geht wird auf user@DomainFirst umgebogen.
Die checkst du dann gegen den LDAP.
Was setzt ihr denn als Mailgateway ein?
-
Hallo,
wir setzen Trendmicro IMSS Version 7.0 ein
Ich schau mal ob ich das so umsetzen kann !
Danke
Gruß
Stefan
-
supported das produkt ldap für domino?
Ich frag mich grade was die option da soll, wenn man nicht mal entsprechend einschränken bzw. customizen kann.
An/Aus soll ich da mal draufdrücken oder was ? *gg*
-
Hallo,
komischerweise supportet das Teil DOMINO.
Im Feld LDAP Server kann ich auf jedenfall DOMINO als Servertyp auswählen.
Aber das wars dann auch schon.
Ich habe denn Fall jetzt mal an die Hotline des Herstellers weitergeleitet, vielleich hilfts !
Gruß
Stefan
-
Gibt es auf der IMSS irgendwo eine möglichkeit zum Domain Mapping?
Damit würde man das steuern können.
Auf der Ironport mache ich das so.
DomainA ist meine primäre Domain, die auch im Feld InternetAddress der jeweiligen Person steht. also User@domainA
Die Ironport nimmt die Mail an z.B. für user@domainB
im domainmap der Ironport steht dann
@DomainB --> @DomainA
Bevor der Listener den Domino LDAP abfragt, wird als DomainB durch DomainA "ersetzt".
nun fragt der Listener den LDAP immer nur nach user@domainA.
Das spart dann die Pflege im Personendokument. Damit lassen sich auch ganz leicht komplette Unternehmen "eingemeinden"
Guck mal bei der IMSS nach. Irgendwo gibt es da mit Sicherheit so eine Option. Möglicherweise nicht über die Oberfläche zu erreichen. Kann sein, daß das da genauso wie bei der Ironport nur über die Kommandozeile geht.
-
Dumme Frage: ist der IMSS ein Stück Software, die auf dem Domino Server mitläuft, oder ist das eine Appliance?
-
und wieso machst du das so eknori?
ich habe einfache diese (siehe oben) LDAP abfrage gebastelt und mach nicht rum mit domain maps.
-
und wieso machst du das so eknori?
weil ich es beim EInrichten der IronPort nicht besser gewusst habe ... ::)
-
:-)
das ding gibts wohl sowohl als appliance wie auch als software zum installieren auf einem zusätzlichen server.
Die Marketing Abteilung scheint auch zu funktionieren, jedenfalls erscheint das Produkt bei jeder Statistik dort auf Platz 1 ;)
-
Habe den Listener mal mit deiner LDAP Formel bestückt. Das spart in der Tat eine menge Tipparbeit ;)
-
Hallo,
das Teil bei uns ist ein Stück Software.
Das mit dem Mapping habe ich auch schon als Lösung gedacht, nur ....
das Teil kann das nicht ... ich werd noch wahnsinnig.
Wir überlegen sowieso ob eine andere Lösung nicht besser ist als TM da
TM wohl nur im Virenbereich gut ist aber nicht im Spam-Bereich.
Ein Angebot über Ironport haben wir auch schon, werden wohl mal ne Testinstallation machen.
Gruss
Stefan
-
na was hat denn der support gesagt ?
ich denk die wollen was verkaufen, dann sollten die sich ja eigentlich beeilen mit einer antwort.
-
Hallo,
folgende Aussage vom TM Support.
Es wird nur eine LDAP Anfrage für die erste Mail-Adresse im Personendokument gemacht....
Und ein Domain Mapping geht auch nicht ......
Also doch IronPort
Gruß
Stefan
-
Hi,
du könntest auch einen DominoServer in einer eigenen NotesDomäne in der DMZ installieren, der nix anderes macht als LDAP-Server spielen. Du kannst sogar die gleiche Cert.id verwenden, die du bereits in deiner ersten NotesDomäne hast, das erspart dir einiges an Arbeit.
Dann replizierst du eine selektive Replik (nur Emailadressen + Shortnames +MailinAdressen) der Names.nsf auf den Domino-LDAP-Server in der DMZ und bindest es über DA ein.....so hab ich das zumindest gelöst!
lG
-
sonst gehts aber noch?
Die sollen gefälligst ihr produkt ordentlich programmieren und die auswahlfelder entsprechend machen, damit man es auch benutzen kann. Ich installier mir doch nicht freiwillig noch 2 dominos um die dann auch noch zu administrieren, geschweige denn zu bezahlen. Ausserdem wollen die etwas verkaufen und so ne Aussage einem pot. Kunden zu machen, finde ich gerade auch nicht so prickelnd.
-
Moooooment!!!
ICH habe diese Software nicht programmiert und wollte nur einen Tipp geben. Mich deswegen zu fragen, obs noch geht, lasse ich mal unkommentiert.......
-
naja der gute kollege befindet sich hier in einer evaluation und da würde ich doch eher abraten bzw. den support darauf aufmerksam machen, dass das ganze wohl nicht praktikabel ist.
Und sich generell nicht auf alles einlassen was man serviert bekommt und nicht gleich anfangen workarounds zu bauen, mehr ist das nämlich nicht was du hier vorschlägst.
-
Da hast du natürlich Recht....sicherlich soll der Support darauf aufmerksam gemacht werden!! Das habe ich auch nie abgestritten. Die sollen die Leistung erbringen, für die sie auch kassieren wollen!!
Den Tipp mit dem Dominoserver wollte nur der Bastler in mir loswerden ;-)