Das Notes Forum

Domino 9 und frühere Versionen => ND9: Administration & Userprobleme => Thema gestartet von: Ice-Tee am 30.03.21 - 09:06:42

Titel: POP3 nur bestimmte Benutzer deaktivieren - geht das?
Beitrag von: Ice-Tee am 30.03.21 - 09:06:42

Hallo zusammen,

bestimmte Benutzer landen bei uns immer wieder in der inetlockout.nsf, da hier nicht berechtigte POP3 Abrufe versucht wurden.
Normalerweise steht ja in der ddm.nsf eine IP, welche den Aufruf versucht hat. Aber IPs stehen immer nur beim Fehlversuch per iNotes. Wird per POP3 ein Fehlverssuch unternommen, steht in den eckigen Klammen keine IP.

- Ist das normal, das pei POP3 keine IP angezeigt wird?
- Und wenn es nicht normal ist, wie kann der Angreifer das ermöglichen, das keine IP von ihm übergeben wird?
- Kann ich für einzelne Benutzer POP3 deaktivieren? Oder kann das nur für alle deaktiviert werden?

Danke.

Titel: Re: POP3 nur bestimmte Benutzer deaktivieren - geht das?
Beitrag von: Pfefferminz-T am 30.03.21 - 09:27:32

Bzgl normal oder nicht kann ich leider nicht sagen. Aber wenn man Activity Logging für POP3 aktiviert, dann sollte die IP auf jeden Fall geloggt werden.

POP3 lässt sich für einzelne User leider nur über das Internetkennwort steuern. Die könnten dann aber auch kein iNotes machen. Oder ihr steuert das über entsprechende Firewallfreischaltungen am anfragenden PC.

Titel: Re: POP3 nur bestimmte Benutzer deaktivieren - geht das?
Beitrag von: CarstenH am 30.03.21 - 15:46:50

Man kann tatsächlich für Nutzer/-gruppen Notes-Ports freigeben oder sperren, das betrifft dann aber alle Protokolle (NRPC, HTTP, POP....) die über den gleichen Notes-Port laufen. Achtung: Notes-Ports, nicht TCP-Ports.

Beispiel, ich habe vier Notes-Ports auf den Dominos eingerichtet:
TCPIP (für interne Zugriffe)
TCPCLU (Cluster)
TCPVPN (für Server in einem Verbund die via VPN reinkommen)
TCPWWW (für ausgewählte Nutzer, die über einen Reverseproxy reinkommen)

Jetzt kann man über einen der beiden Parameter ALLOW_ACCESS_<PORT>/DENY_ACCESS_<PORT> Personen ein- oder ausschließen, z.B. mit ALLOW_ACCESS_TCPWWW=$Laptopuser dafür sorgen, dass von extern nur bestimmte Nutzer/Server übers WWW zugreifen können. Für andere Protokolle wie POP3 oder SMTP muss wie gehabt zusätzlich via POP3NOTESPORT=TCPxxx eine Zuordnung erfolgen damit man das auch steuern kann.

Das wird dir aber nicht helfen da diese Parameter erst nach erfolgreicher Authentifizierung greifen. Auf IP's oder andere Netzwerknamen hat das keine Auswirkung, da muss eine Firewall ran, wenn der Weg der Pakete oder die IP-Adressen unklar sind hilft Wireshark.

HTH
Carsten

Titel: Re: POP3 nur bestimmte Benutzer deaktivieren - geht das?
Beitrag von: Ice-Tee am 31.03.21 - 19:17:18

Zitat von: CarstenH am 30.03.21 - 15:46:50

...
HTH
Carsten

Danke dir, das werde ich mal prüfen.

Titel: Re: POP3 nur bestimmte Benutzer deaktivieren - geht das?
Beitrag von: Ice-Tee am 31.03.21 - 19:18:37

Zitat von: Pfefferminz-T am 30.03.21 - 09:27:32

Bzgl normal oder nicht kann ich leider nicht sagen. Aber wenn man Activity Logging für POP3 aktiviert, dann sollte die IP auf jeden Fall geloggt werden.

POP3 lässt sich für einzelne User leider nur über das Internetkennwort steuern. Die könnten dann aber auch kein iNotes machen. Oder ihr steuert das über entsprechende Firewallfreischaltungen am anfragenden PC.

Ich habe mal Activity Logging für POP3 aktiviert. Aber ich sehe nirgends eine IP? Wo genau kann ich diese ablesen?

Titel: Re: POP3 nur bestimmte Benutzer deaktivieren - geht das?
Beitrag von: Pfefferminz-T am 06.04.21 - 13:46:48

Die Daten kann man sich ja dann über den Admin Client (Server -> Analyse -> Aktivität) auswerten und dabei bekommt man in jedem Dokument ein Feld "RemoteIP". Wenn man sich die Ansichten anpasst oder eigene erstellt, dann kann man das Feld ja gleich mit anzeigen lassen.