Das Notes Forum
Domino 9 und frühere Versionen => ND6: Administration & Userprobleme => Thema gestartet von: dertoaster am 17.05.03 - 14:35:38
-
Hallo zusammen,
wir sollen für unser Unternehmen eine zentrale europaweite Email Struktur mit Domino 6 aufbauen. Das Unternehmen umfasst so ca. 2000 User.
Es ist von den hohen Herren vorgeben das 2 Serverfarmen im Notes Cluster unter Red Hat Advanced Server laufen zu lassen. Das SMTP Relay soll auch von einem Notes Server gemacht werden. Bestehende User sollen nicht migriert werden, sondern es wird ein Schnitt gemacht, die User werden neu angelegt. Evtl. kommt noch ein Applikatiosns- oder Archivierungsserver hinzu.
Meine wichtigste Frage: wie mache ich das SMTP relay so sicher wie mögllich?
Der Relay Server steht in der DMZ und soll außerdem noch als Passthru Server für Mobile User dienen. Macht es Sinn den Server aus Sciherheitsgründen in eine andere Notesdomäne zu packen und diesen dann mit dem eigentlichen Mailserver quer zuzulassen?
Gibt es irgendwo Dokus wie ich so einen SMTP relay Server sicher konfiguriere?
Für ein wenig Brainstorming und Tips wäre ich euch sehr dankbar!
Gruß
Toaster!
-
Ich würde als Relayserver keinen Notesserver nehmen, sondern eine normale Linux oder Win2k Büchse. Diese bekommst Du sicherlich sicherer konfiguriert und sind sicherlich auch deutlich betriebssicherer.
Auf diese Kiste würde ich dann auch noch gleich den Virenscanner draufpacken, der dann vor dem Dominoserver sitzt und wenn Ihr noch etwas Budget übrig habt auch noch irgendein proff. SPAM, Mailfilteringtool wie Mailsweeper o.ä...
Die externen User würde ich per VPN auf Eure internen Server drauflassen. Alles andere ist IMHO unsinnig. Für die Sicherstellung von dem Relayserver würde ich mir aber ext. Unterstützung dazuholen. Das Securitythema in der DMZ ist in der heutigen Zeit leider alles andre als trivial. Meine Erfahrungen sind hierbei das Provider deutlich besseres Know-How hier draufhaben (Worldcom,T-Online) als Systemhäuser...
-
Hallo,
Ich würde als Relayserver keinen Notesserver nehmen
--> Darüber kann man jetzt geteilter Meinung sein, ich pers. preferiere schon einen Dominoserver, da ich hier div. Dinge auch noch direkt aus meinem System raus steuern kann.
Du hast unter R6 div. Möglichkeiten (unter R5 im übrigen auch), wie Du Deinen Server was das Relying betrifft, sicher machen kannst. Schau Dir einfach mal das Konfigurationsdokument an. Was Deine Frage bzgl. der anderen Domäne betrifft, so kann ich Dir dieses nur empfehlen. Allerdings würde ich aus Sicherheitsgründen nicht eine Querzulassung auf O Ebene machen.
Grundsätzlich : Planne genau, was Du machen willst. Je genauer Du am Anfang Dein Vorgehen plannst, um so einfacher ereichst Du Dein Ziel.
Meff
-
wie soll ich denn, wenn nicht durch querzulassung, die notesdomänen,bzw die server bekanntmachen??? das Adressbuch von meinem mailserver muss ja auf dem relay liegen, damit die maills auch richtig geroutet werden.
Wie würdest du sowas aufziehen, was das relayen, bzw die passthru geschichte betrifft??
danke und gruß
toaster
-
Hi Toaster,
Querzulassungen kannst Du auf verschiedenen Ebenen realisieren.
Zu Deiner Frage, wie ich sowas aufziehen würde :
Hat euer Unternehmen Geld für einen externen Berater? Nein, Spass beiseite, wie ich bereits geschrieben habe, plane genau, was Du machen willst. Wenn Du an der einen Schraube was drehst, hat das Auswirkungen auf andere Bereiche. Was Du heute nicht anständig berücksichtigt hast, kann Dir morgen viel Arbeit bereiten.
Konkret meine ich : Wer soll alles Passthru machen dürfen (alle / Gruppen / einzelen Personen / etc.). Was für ein Mailrouting soll alles über den Server laufen (nur SMTP Mails von / in das Internet, Mails von / für andere Systeme wie z.B. SAP).
Du siehst, ich kann Dir nur schwerlich eine Antwort auf Deine Frage geben, da man sich das ganze System anschauen muss.
Meff
-
was gibt es für verschiedene arten von querzulasssungen??
das ganze wird erstmal auf einer testumgebung aufgesetzt und anschließend wird es von einem externen berater gecheckt.
passthru ist nur für mobile user vorgesehen. das lässt sich ja über zugriffsgruppen steurn.
der server soll als relay für ein- und ausgehende mails ins www dienen. mails zu anderen systemen ist nicht geplant.
gibt es irgendwo beispiel konfigurationen für ein notes smtp relay???
gruß
toaster
-
Hi toaster,
was gibt es für verschiedene arten von querzulasssungen??
Z.B. auf OU1 Ebene, auf CN Ebene, etc.
Meff