Hilfe zu IBM Domino Social Edition Administrator 9.0.1

KONFIGURIEREN

SMTP-Sitzungen mithilfe der STARTTLS-Erweiterung sichern
Die über einen standardmäßigen TCP/IP-Channel ausgeführten SMTP-Sitzungen sind Lauschangriffen ausgesetzt, da die unverschlüsselte Übertragung leicht abgefangen werden kann. Um die SMTP-Kommunikation zu sichern, können Server TLS (Transport-Layer Security, bekannt unter der Bezeichnung "SSL-Verschlüsselung") verwenden, um Sicherheit und Authentifizierung zur Verfügung zu stellen.

Einige Server unterstützen SSL für die SMTP-Kommunikation, indem Sie den SMTP-Datenverkehr nur über den SSL-Port (Vorgabe ist Port 465) abwickeln. Da dies jedoch erfordert, dass der sendende als auch der empfangende Server SMTP über SSL unterstützen, bietet sich diese Lösung nicht in jedem Fall an.

Um die SSL-Sicherheit für SMTP-Übertragungen über TCP/IP zur Verfügung zu stellen, unterstützt Domino die Verwendung von vereinbartem SSL. Bei einem vereinbarten SSL-Schema verwenden der sendende und der empfangende Host die in RFC 2487 definierte SMTP-STARTTLS-Erweiterung, um ihre Bereitschaft zu signalisieren, eine SSL-Verbindung zu vereinbaren. Der empfangende Server zeigt das STARTTLS-Schlüsselwort als Antwort auf den EHLO-Befehl des sendenden Servers. Der sendende Server führt den STARTTLS-Befehl aus, um eine sichere Verbindung anzufordern. Wenn der erste TLS-Handshake erfolgreich abgeschlossen ist, fahren die beiden beteiligten Server fort, einen gemeinsamen SSL-Channel einzurichten. Sowohl der sendende als auch der empfangende Server müssen über ein SSL-Zertifikat verfügen.

STARTTLS für ausgehende SMTP-Sitzungen unterstützen

Ein für die Verwendung des vereinbarten SSL für ausgehende Mail konfigurierter Domino-Server stellt eine Verbindung zum SMTP-TCP/IP-Port des empfangenden Servers her (Vorgabe ist Port 25). Wenn die erste SMTP-Antwort des empfangenden Servers darauf hinweist, dass er die STARTTLS-Erweiterung unterstützt, führt Domino den STARTTLS-Befehl aus, um die Verwendung von SSL zur Verschlüsselung der Sitzung anzufordern.

Wenn der empfangende Server als Antwort auf den EHLO-Befehl des Domino-Servers die STARTTLS-Unterstützung nicht anzeigt, setzt der sendende Domino-Server die SMTP-TCP/IP-Sitzung unverschlüsselt fort.

Um die ausgehende STARTTLS-Unterstützung zu aktivieren, setzen Sie den TCP/IP-Portstatus für "SMTP (Ausgang)" auf Vereinbartes SSL.

STARTTLS für eingehende SMTP-Sitzungen unterstützen

Sie können Domino so konfigurieren, dass es den STARTTLS-Befehl für eingehende SMTP-Transaktionen unterstützt. Wenn ein Domino-SMTP-Server für die Verwendung von vereinbartem SSL für eingehende Sitzungen konfiguriert ist, zeigt der Server die Unterstützung für STARTTLS als Antwort auf EHLO-Befehle an, die der TCP/IP-Port von verbindenden Hosts empfängt. Der verbindende Host kann anschließend den STARTTLS-Befehl ausführen, um eine verschlüsselte Sitzung anzufordern.

Wenn Domino so konfiguriert ist, dass STARTTLS für SMTP-Sitzungen über TCP/IP erforderlich ist, und ein verbindender Host kann dieser Anforderung nicht entsprechen, wird über diese Verbindung keine Mail übertragen.

So aktivieren Sie die eingehende STARTTLS-Unterstützung:

Aktivieren Sie die SMTP-Listener-Task.
Aktivieren Sie den TCP/IP-Port für SMTP (Eingang).
Aktivieren Sie die STARTTLS-ESMTP-Erweiterung. Dies veranlasst Domino, STARTTLS als eine der unterstützten Erweiterungen in der Antwort auf die ESMTP-EHLO-Begrüßung anzuzeigen.
(Optional) Aktivieren Sie die Namens- und Kennwortauthentifizierung für den SSL-Port. Obwohl SMTP-Sitzungen, die vereinbartes SSL verwenden, über den Domino-TCP/IP-Port ausgeführt werden, verwendet Domino die Optionen für die Authentifizierung, die Sie für den SSL-Port des Servers festgelegt haben, um zu ermitteln, wie Namens-und-Kennwortargumente gehandhabt werden.

Erforderliche Namens- und Kennwortauthentifizierung für SMTP-STARTTLS-Sitzungen

Durch das Aktivieren der ESMTP-Unterstützung für vereinbartes SSL kann ein Server Anforderungen zur Verwendung von SSL über TCP/IP von Remote-Servern annehmen, die anonym eine Verbindung herstellen. Nicht alle eingehenden Verbindungen sind jedoch anonym. Ein verbindender SMTP-Server kann so konfiguriert sein, dass er Domino einen Namen und ein Kennwort mittels des ESMTP-AUTH-Befehls sendet.

Um Verbindungen von SMTP-Clients zu unterstützen, die während einer vereinbarten SSL-Sitzung einen Namen und ein Kennwort senden, setzen Sie den Wert des Felds "Name und Kennwort" für den SSL-Port für SMTP (Eingang) auf "Ja". Es ist nicht erforderlich, den SSL-Port zu aktivieren. Wenn der SSL-Port die Namens- und Kennwortauthentifizierung nicht unterstützt, lehnt der Domino-SMTP-Server den AUTH-Befehl vom Remote-Server ab und gibt eine Fehlernachricht zurück, die besagt, dass der Befehl nicht implementiert ist.

Obwohl Domino den AUTH-Befehl über den TCP/IP-Port empfängt, verwendet Domino die SSL-Einstellungen für die Namens- und Kennwortauthentifizierung, um zu ermitteln, ob es die AUTH-Anforderung akzeptieren soll, da es den Befehl im Rahmen einer SSL-Sitzung empfangen hat. Die Einstellung für die Namens- und Kennwortauthentifizierung für den TCP/IP-Port wird ignoriert.

Zugehörige Konzepte
SMTP-Routing anpassen

Zugehörige Tasks
SSL auf einem Domino-Server einrichten
SMTP-Porteinstellungen (Ausgang) ändern
Server für das Empfangen von Mail aktivieren, die über das SMTP-Routing gesendet wird
SMTP-Porteinstellungen (Eingang) ändern
SMTP-Erweiterungen (Eingang) unterstützen

Feedback zur Hilfe oder Benutzerfreundlichkeit des Produkts?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feedback zur Hilfe oder Benutzerfreundlichkeit?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe