Das Notes Forum

Domino 9 und frühere Versionen => ND9: Administration & Userprobleme => Thema gestartet von: habemehl am 25.01.17 - 08:14:52

Titel: Mailweiterleitung nur nach extern per Regel unterbinden
Beitrag von: habemehl am 25.01.17 - 08:14:52: Moin, Moin zusammen,

viele Mitarbeiter erstellen sich in Ihrem Mail-File Regeln, um alle Mails automatisch nach extern (z.B. privaten Mailaccount) weiterzuleiten.
Gibt es eine technische Möglichkeit dies zu unterbinden oder solche Mail abzufangen (z.B. per iq.Suite)?

Im Konfigurationsdokument kann ich nur generell die Nutzung von Mail-Regeln unterbinden. Das ist aber nicht gewollt. Die Mitarbeiter sollen für verschiedene Zwecke Regeln erstellen dürfen, nur eben keine Weiterleitung nach Extern.

Die u.a. hier http://atnotes.de/index.php/topic,42099.0.html (http://atnotes.de/index.php/topic,42099.0.html) vorgeschlagene Mögliochkeit der Anpassung der Mailschablone ist ebenfalls politisch nicht gewollt (Standardkonformität; Support seitens der IBM etc)...

Es gibt zwei Probleme in diesem Themenkontext:
- Verhindern das interne Informationen "automatisch" nach Extern abwandern.
- Bei Weiterleitung nach extern per Notes Regel bleibt der evelope-from in der SMTP-Mail leer. Dies kann bei dritten Systemen dazu führen, dass die Mails als Spam eingestuft werden und ggf. auch die Reputation unserer Systeme sinkt / "gute" Mails abgelehnt werden.

Danke und beste Gruße
Titel: Re: Mailweiterleitung nur nach extern per Regel unterbinden
Beitrag von: eknori am 25.01.17 - 08:22:39: Du könntest zunächst einmal

1. Open the Configuration document in the Domino Directory.
2. Go to the Router/SMTP tab > Restrictions and Controls tab > Delivery Controls tab.
3. In the Delivery Controls section, there is a field labeled: "User rules mail forwarding." Set this option to "Disabled."
4. Save your changes. The change takes affect after the next Router configuration update.

machen.

Damit ist dann das forwarding per rule für ALLE Mails abgeschaltet.

Das funktioniert solange, bis der Erste auf die Idee kommt eine regel "Send Copy To" zu erstellen. Damit kann man die Restriktion umgehen.

MailProtect oder iQSuite sind da mit Sicherheit konsequenter.

Oder über eine IronPort mit leak prevention.
Titel: Re: Mailweiterleitung nur nach extern per Regel unterbinden
Beitrag von: Manni Ciao am 03.02.17 - 15:17:39: Wir machen einmal im Jahr eine Überprüfung wie folgt:
Ich frage gewisse Kollegen (Personal, Vorstandssekretariat), ob sie in nächster Zeit ein 'Mail an alle Mitarbeiter' senden und sie sollten mich vor dem Versenden kurz informieren.
Dann stoppe ich auf den SMTP Server den router-task und schau die Mailbox durch.

(Geht natürlich nur wegen unserer Serverkonstellation und Mitarbeiteranzahl um die 600)
Titel: Re: Mailweiterleitung nur nach extern per Regel unterbinden
Beitrag von: Rainer_Brandl am 03.02.17 - 15:51:52: Hallo,

ich hatte auch mal diese Anforderung und hab die folgende Lösung gefunden:

First up, set the user forward rule return path to construct non-deliverable return addresses - if you're running 8.5,
you can do this via the configuration document (the field is just below the one that disables mail rule forwarding).
If you're pre-8.5, then you need to set the following parameter in the notes.ini:

RouterUserRuleForwardReversePath=3

What that does is prepends the outgoing e-mail address with 'nobounce' (so, in your example, it'd be nobouncedocternotes@acme.com).

Next, create a mail rule in your configuration document.

If you have designated servers that deal with all internet e-mail, the rule should only need to be created on those servers.
Set the criteria to:

When sender contains nobounce
AND any Recipient contains @
AND any Recipient contains .

That *should* limit the rule to messages sent to internet addresses via a mail forwarding rule - although you'd have to
make sure your users were using the Notes address rather than the internet e-mail address in their rules. You can then set
the action to 'Do Not Deliver' and either silently delete the message or send an NDR.

I'm sure there's probably a hole in my logic somewhere (and I'd like to think I've missed an easier way to do this) but I think
this should sort you out.
Titel: Re: Mailweiterleitung nur nach extern per Regel unterbinden
Beitrag von: rambrand am 03.02.17 - 16:27:31: Die Lösung kenne ich auch, aber die funktioniert nur:

"If you have designated servers that deal with all internet e-mail, the rule should only need to be created on those servers."

Also der Server auf dem die Regel läuft darf keine internen Mails routen.

Bye
Markus
Titel: Re: Mailweiterleitung nur nach extern per Regel unterbinden
Beitrag von: Rainer_Brandl am 03.02.17 - 16:31:06: Hallo Markus,

ich hab diese Mailregel auch bei Kunden, die nur einen Domino im Einsatz haben, im Einsatz und hatte bisher noch keine Probleme...

Daher fragt die Mailregel ja auch nach dem "@" und einem "." ab..
Titel: Re: Mailweiterleitung nur nach extern per Regel unterbinden
Beitrag von: rambrand am 04.02.17 - 14:39:38: Ok, ich lass mich gerne eines neuen belehren.

Ich hatte da ein großes Warnschild in Erinnerung auf dem stand "Tu das nur, wenn das das Mailgateway nach draußen ist!" :-)

Bye
Markus
Titel: Re: Mailweiterleitung nur nach extern per Regel unterbinden
Beitrag von: (h)uMan am 06.02.17 - 07:43:30: Zitat von: Manni Ciao am 03.02.17 - 15:17:39
Wir machen einmal im Jahr eine Überprüfung wie folgt:
Ich frage gewisse Kollegen (Personal, Vorstandssekretariat), ob sie in nächster Zeit ein 'Mail an alle Mitarbeiter' senden und sie sollten mich vor dem Versenden kurz informieren.
Dann stoppe ich auf den SMTP Server den router-task und schau die Mailbox durch.

(Geht natürlich nur wegen unserer Serverkonstellation und Mitarbeiteranzahl um die 600)

Bei OpenNTF gibt es den "Mail Rule Analyzer", siehe https://www.openntf.org/main.nsf/project.xsp?r=project/Mail%20Rules%20Analyzer

"The Mail Rules Analyzer allows Domino Administrators to scan all mail files on a server to identify mail rules in the users mail file which are configured to forward to external recipients."

Verwenden wir monatlich ;)
Titel: Re: Mailweiterleitung nur nach extern per Regel unterbinden
Beitrag von: habemehl am 08.02.17 - 07:13:18: Zitat von: Rainer_Brandl am 03.02.17 - 15:51:52
Hallo,

ich hatte auch mal diese Anforderung und hab die folgende Lösung gefunden:

First up, set the user forward rule return path to construct non-deliverable return addresses - if you're running 8.5,
you can do this via the configuration document (the field is just below the one that disables mail rule forwarding).
If you're pre-8.5, then you need to set the following parameter in the notes.ini:

RouterUserRuleForwardReversePath=3

What that does is prepends the outgoing e-mail address with 'nobounce' (so, in your example, it'd be nobouncedocternotes@acme.com).

Next, create a mail rule in your configuration document.

If you have designated servers that deal with all internet e-mail, the rule should only need to be created on those servers.
Set the criteria to:

When sender contains nobounce
AND any Recipient contains @
AND any Recipient contains .

That *should* limit the rule to messages sent to internet addresses via a mail forwarding rule - although you'd have to
make sure your users were using the Notes address rather than the internet e-mail address in their rules. You can then set
the action to 'Do Not Deliver' and either silently delete the message or send an NDR.

I'm sure there's probably a hole in my logic somewhere (and I'd like to think I've missed an easier way to do this) but I think
this should sort you out.

Moin Rainer,

Danke! Das war ein Schubser in die richtigte Richtung.
Wir haben dedizierte Server für ausgehende SMTP-Mails.
In Verbindung mit RouterUserRuleForwardReversePath=3 kann ich dort eine (iq.Suite-) Regel einbauen, die entsprechende Mails rausfischt.

Hier der Link zur IBM Domino Doku 9.0.1:

http://infolib.lotus.com/resources/domino/domino_admin/9_0_1/de_de/Dom-Admin-html-wrapper901_single.html#conf_specifyingareversepathsettingforforwardedmessages_t

@Manni und Hu-Man: Das sind auch gute Varianten, aber in meiner Umgebung nicht umsetzbar (zu viele User, verschiedene Domänen, Mailserver etc.

Beste Grüße
Martin
Titel: Re: Mailweiterleitung nur nach extern per Regel unterbinden
Beitrag von: Tode am 08.02.17 - 08:19:02: Anmerkung: Ich würde ja Werte, die im Konfigurationsdokument gesetzt werden können nicht über die INI setzen...