KONFIGURIEREN
Warum und wann dieser Vorgang ausgeführt wird
Mithilfe der verfügbaren Optionen können Sie festlegen, wie strikt die Relaissteuerung durchgesetzt werden soll, indem Sie bestimmte Hosts von der Erzwingung ausnehmen. Sie können Hosts von Anti-Relais-Maßnahmen basierend auf Folgendem ausnehmen:
Standardmäßig erzwingt Domino die Anti-Relais-Einstellungen nur für externe Hosts. Interne Hosts sind von Anti-Relais-Prüfungen ausgenommen, sodass Domino einen internen Host nicht als mögliche Relais-Verbindung betrachtet, selbst wenn er in dieser Relaissteuerung (Eingang) explizit im Feld Mail ablehnen, die von diesen Internet-Hosts an externe Internetdomänen gesendet wird: (* bedeutet alle) aufgeführt ist.
Abhängig von der Umgebung können Sie den Durchsetzungsbereich erweitern, indem Sie die Relais-Beschränkungen sowohl auf interne als auch auf externe Hosts anwenden. Dies entspricht der Variablen SMTPAllHostsExternal=1 in der NOTES.INI-Datei.
Wenn Sie die Relaissteuerung auf interne Hosts anwenden, können Sie das Routing besser steuern und es zudem sicherer machen. Sie können den Domino-SMTP-Server beispielsweise so konfigurieren, dass nur andere Domino-Mail-Server Nachrichten übertragen dürfen. Hierdurch können Sie verhindern, dass interne Benutzer, die andere Mail-Clients ausführen (z. B. POP- oder IMAP-Clients), sowie Server in anderen internen Mailsystemen den Domino-SMTP-Server zum Senden von Mail an das Internet verwenden.
Sie können die Relaissteuerung auch für interne Hosts aktivieren, wenn Sie über einen Domino-SMTP-Server verfügen, der Mail von einem Dual Interface Firewall-Server empfängt. Aus Sicherheitsgründen verbinden einige Organisationen ihre Domino-SMTP-Server nicht direkt mit dem Internet, sondern richten stattdessen einen internen SMTP-Relaishost oder eine Firewall ein, um Internet-Mail zu empfangen, die an die Internetdomäne der Organisation adressiert ist. Der Relaishost oder die Firewall leitet die Mail anschließend an einen Domino-SMTP-Server weiter, der sie wiederum an die internen Mail-Server der Organisation weiterleitet.
Ein Host in der lokalen Internetdomäne kann Mail immer an externe Internetdomänen übertragen, es sei denn, dies wird durch einen Eintrag im Feld Mail ablehnen, die von diesen Internet-Hosts an externe Internetdomänen gesendet wird: (* bedeutet alle) explizit abgelehnt.
Wenn der interne Relaishost oder die Firewall keine eigenen Relaissteuerungen implementieren, kann der Domino-SMTP-Server Mail empfangen, die nicht an einen lokalen Benutzer adressiert ist. Wenn der Domino-Server so konfiguriert ist, dass er Anti-Relais-Maßnahmen nur auf externen Hosts ausführt, unterliegt die vom internen Relaishost oder der Firewall empfangene Mail nicht der Relaissteuerung (Eingang), da das sendende System, der Relaishost oder die Firewall zur selben lokalen Internetdomäne gehört. Wenn der Router daher ermittelt, dass die im RCPT TO-Befehl aufgeführte Internetadresse in der Ansicht "$Users" im Domino-Verzeichnis keine Entsprechung hat, leitet er die Nachricht wieder zurück an das Internet.
Anmerkung: SMTP kann Namen der Gruppentypen "Nur Mail" und "Mehrere Zwecke" auflösen. Wenn Sie die SMTP- und Router-Einstellungen im Konfigurationsdokument erstellen oder bearbeiten, dürfen Sie nur Gruppen vom Typ "Nur Mail" oder "Mehrere Zwecke" verwenden. Diese Gruppen müssen sich im primären Verzeichnis befinden. Dies gilt für die Einstellungen in den Registern "Beschränkungen", "SMTP-Eingangsteuerung" und "SMTP-Ausgangsteuerung".
Relais von authentifizierten Benutzer zulassen, die eine Verbindung von außerhalb der lokalen Domäne herstellen
Wenn Sie die Relais-Funktion für mehrere Domänen, z. B. alle externen Domänen, ablehnen, unterliegen alle Hosts in den abgelehnten Domänen standardmäßig der Relaissteuerung. Dieser Beschränkungsgrad verhindert, dass Remote-IMAP- oder -POP3-Clients, die eine Verbindung zu Domino über ISPs (Internet Service-Provider) in externen Domänen herstellen, ausgehende Internet-Mail senden, da Domino die Quelle der Nachricht nicht als gültigen Relais-Ursprung erkennt.
Um sicherzustellen, das Domino-POP3- oder IMAP-Benutzern erlaubt, ausgehende Internet-Mail zu senden, können Sie die Relais-Maßnahmen anpassen, um die Relais-Funktion für alle authentifizierten Benutzer zuzulassen. Wenn der Domino-SMTP-Listener ermittelt, dass ein verbindender Host authentifiziert wurde, behandelt er die Verbindung, als ob sie von einem lokalen Benutzer initiiert wurde und nimmt sie von der Relaissteuerung (Eingang) aus.
Ausnahmen zur Relais-Erzwingung basierend auf Hostnamen oder IP-Adressen festlegen
Wenn Sie die Relais-Funktion für eine Domäne ablehnen, unterliegen alle Hosts in dieser Domäne standardmäßig der Relaissteuerung. Sie können die Relais-Maßnahmen anpassen, um bestimmten Clients oder Servern in einer Domäne das Verwenden der Relais-Funktion zu ermöglichen, indem Sie Hostnamen oder IP-Adressen in das Feld Diese verbundenen Hosts von Anti-Relais-Prüfungen ausnehmen eingeben. Domino erzwingt die Relaissteuerung (Eingang) nur für die nicht angegebenen Einträge. Verwenden Sie Ausnahmen, um Hosts außerhalb der lokalen Internetdomäne zu ermöglichen, den Domino-SMTP-Server als Relais zu verwenden, um ihre Mail von und an das Internet zu senden und gleichzeitig zu verhindern, dass unbefugte Internet-Hosts Domino als offenes Relais verwenden.
Anmerkung: Da viele ISPs das DHCP (Dynamic Host Control Protocol) verwenden, um jedem Benutzer, der eine Verbindung herstellt, eine IP-Adresse zuzuweisen, kann sich die IP-Adresse eines Benutzers von Sitzung zu Sitzung ändern. Dies hat zur Folge, dass das Festlegen von Ausnahmen basierend auf Hostnamen oder IP-Adressen nicht ausreicht, um den Relaiszugriff für IMAP- und POP3-Benutzer sicherzustellen, die auf Domino über einen ISP zugreifen. Um den Relaiszugriff für diese Benutzer sicherzustellen, aktivieren Sie die Ausnahmen für authentifizierte Benutzer.
So legen Sie Relais-Ausnahmen fest
Prozedur
1. Stellen Sie sicher, dass Sie bereits über ein Konfigurationsdokument für den (die) zu konfigurierenden Server verfügen.
2. Klicken Sie in Domino Administrator auf das Register Konfiguration und erweitern Sie den Abschnitt Nachrichten.
3. Klicken Sie auf Konfigurationen.
4. Wählen Sie das Konfigurationsdokument für den bzw. die Mail-Server aus, auf dem bzw. denen Mail beschränkt werden soll, und klicken Sie auf Konfiguration bearbeiten.
5. Klicken Sie auf das Register Router/SMTP -> Beschränkungen und Steuerungen -> SMTP-Eingangssteuerung.
6. Geben Sie Werte in diese Felder im Abschnitt Anti-Relais-Maßnahmen (Eingang) ein und klicken Sie anschließend auf Speichern und schließen:
Schließen Sie IP-Adressen in eckige Klammern ein, beispielsweise [127.0.0.1].
Sie können Platzhalter verwenden, um eine gesamte Subnetzadresse, aber nicht Werte in einem Bereich, anzugeben. Beispielsweise ist [127.*.0.1] eine gültige Angabe, während [123.123.12-*.123] keine gültige Angabe ist.
Zugehörige Tasks Konfigurationsdokumente erstellen Domino-SMTP-Service stoppen und starten SMTP-Konfiguration aktualisieren Verhindern, dass unbefugte SMTP-Hosts Domino als Relais verwenden Die Relaissteuerung (Eingang) einrichten Domino für das Senden von Mail an einen Relaishost oder eine Firewall konfigurieren So verwendet Domino Dokumente des Typs "Globale Domäne" während des Routings von ein- und ausgehenden SMTP-Nachrichten