KONFIGURIEREN
Warum und wann dieser Vorgang ausgeführt wird
Wenn die DNS-Blacklist-Filter aktiviert sind, führt Domino für jede eingehende SMTP-Verbindung eine DNS-Abfrage der Blacklists auf den angegebenen Sites aus. Wenn ein Host in der Liste gefunden wird, der eine Verbindung herstellen möchte, wird das Ereignis von Domino in einer Konsolennachricht angezeigt und als Eintrag in der Ansicht "Mail-Routing-Ereignisse" im Notes-Protokoll erfasst. Sowohl die Konsolennachricht als auch der Protokolleintrag enthalten den Hostnamen, die IP-Adresse des Servers sowie den Namen der Site, auf der der Server aufgeführt ist.
Sie können Domino so konfigurieren, dass zusätzlich zum Protokollieren dieses Ereignisses Nachrichten von Hosts auf der Blacklist abgelehnt werden oder Nachrichten ein spezielles Notes-Element hinzugefügt wird, um diese als akzeptierte Nachrichten von Hosts in der Liste zu markieren.
Abzufragende DNS-Blacklist-Sites festlegen
Wenn Sie die DNS-Blacklist-Filter aktiviert haben, können Sie die Site(s) angeben, die die SMTP-Task verwendet, um zu ermitteln, ob ein verbindender Host ein "bekanntes" offenes Relais oder eine Werbemail-Quelle ist. Geben Sie Sites an, die IP-basierte DNS-Blacklist-Abfragen unterstützen.
Wenn Domino eine Übereinstimmung für einen verbindenden Host in einer der Blacklists findet, setzt es das Überprüfen der Listen für weitere konfigurierte Sites nicht fort.
Aus Leistungsgründen sollten Sie die Anzahl der Sites begrenzen, da Domino für jede Verbindung eine DNS-Suche für jede Site ausführt.
Sie können aus einer Vielzahl von öffentlich verfügbaren und privaten kostenpflichtigen Abonnementservices auswählen, die DNS-Blacklists verwalten. Wenn Sie einen öffentlichen Blacklist-Service verwenden, führt Domino DNS-Abfragen über das Internet aus. In einigen Fällen kann es einige Zeit in Anspruch nehmen, die an eine Internet-Site eingereichten DNS-Abfragen zu lösen. Wenn die Netzwerkantwortzeit von über das Internet gestellten DNS-Abfragen eine Verringerung der Leistung zur Folge hat, sollten Sie einen privaten Service abonnieren, der Zonentransfer erlaubt, sodass Domino die erforderlichen DNS-Suchen auf einem lokalen Host ausführen kann. Während eines Zonentransfers wird der Inhalt der DNS-Zonentransferdatei beim Service-Provider auf einen DNS-Server im lokalen Netzwerk kopiert.
Jeder Blacklist-Service verwendet seine eigenen Kriterien für das Hinzufügen von Servern. Blacklist-Sites verwenden automatisierte Tests und andere Verfahren, um zu ermitteln, ob ein verdächtiger Server Werbemail sendet oder als offenes Relais agiert. Die restriktiveren Blacklist-Sites fügen ihren Listen Server hinzu, sobald diese die automatisierten Tests nicht bestehen, unabhängig davon, ob der Server als Werbemail-Quelle bestätigt ist. Weniger restriktive Sites listen einen Server nur auf, wenn sein Administrator nach einer angegebenen Frist versäumt, den Server für Fremdanbieter-Relais-Verbindungen zu sperren, oder wenn der Server als Host für bekannte Werbemail-Verteiler agiert.
Wenn Sie das Internet durchsuchen, können Sie Sites finden, die regelmäßige Berichte über die Anzahl der Einträge in den verschiedenen DNS-Blacklist-Services zur Verfügung stellen.
Hosts, die von DNS-Blacklist-Prüfungen ausgenommen sind
Um unnötige DNS-Suchen zu vermeiden, führt Domino DNS-Blacklist-Prüfungen nur auf Hosts aus, die Relais-Überprüfungen unterliegen, wie in den Relais-Einschränkungen für SMTP (Ausgang) festgelegt. Alle Hosts, die für Relais-Funktionen berechtigt sind, sind von Blacklist-Überprüfungen ausgenommen. Beispielsweise erzwingt Domino die Relais-Eingangssteuerung standardmäßig nur für externe Hosts (im Register Router/SMTP -> Beschränkungen und Steuerungen -> SMTP-Eingangsteuerung, Einstellung Anti-Relais-Maßnahmen für diese verbundenen Hosts durchführen). Wenn die Vorgabeeinstellung verwendet wird, unterliegen interne Hosts der Relaissteuerung nicht und sind daher ebenfalls von Blacklist-Überprüfungen ausgenommen.
Festlegen, wie Domino Verbindungen von Hosts verwaltet, die in einer DNS-Blacklist gefunden wurden
Sie können Domino so konfigurieren, dass folgende Aktionen ausgeführt werden, wenn ein verbindender Host in einer der Blacklists gefunden wird:
Wenn Domino Nachrichten mit einem Tag versieht, fügt es den Nachrichten, die von auf Blacklists gefundenen Hosts empfangen wurden, ein spezielles Dokumentelement hinzu. Wenn Domino festgestellt hat, dass ein verbindender Host in der Blacklist enthalten ist, fügt das Programm das Dokumentelement $DNSBLSite zu jeder Nachricht hinzu, die es von dem Host akzeptiert hat, bevor es die Nachricht in MAIL.BOX ablegt. Ein $DNSBLSite-Element enthält die Blacklist-Site, auf der der Host gefunden wurde. Administratoren können mithilfe des Dokumentelements $DNSBLSite eine benutzerdefinierte Handhabung von Nachrichten zur Verfügung zu stellen, die von in einer Blacklist aufgeführten Hosts empfangen wurden. Beispielsweise können Sie das Vorkommen dieses Elements unter Verwendung der Formelsprache in einem Agenten oder einer Ansicht prüfen und ein entsprechendes Verfahren für Nachrichten zur Verfügung stellen, die dieses Element enthalten, z. B. das Verschieben der Nachrichten in eine spezielle Datenbank.
Bei der Überlegung, welche Aktion ausgeführt werden soll, wenn Domino einen Host in der Blacklist findet, sollten Sie eine Aktion auswählen, die mit den Richtlinien der von Ihnen verwendeten DNS-Blacklist-Site kompatibel ist. Wenn der von Ihnen verwendete Service beispielsweise sehr restriktiv ist, kann seine Blacklist "False Positives" enthalten, d. h., sie kann Hosts enthalten, die keine bekannten Quellen von Werbemail sind. Wenn Sie daher die Aktion zum Ablehnen von Mail von allen Hosts wählen, die in der Blacklist aufgeführt sind, verhindern Sie u. U. das Empfangen wichtiger Nachrichten.
Seien Sie bei der Auswahl der Aktion zurückhaltend, besonders, wenn Sie die Blacklist einer restriktiveren Site verwenden. Die ausgewählte Aktion wird auf alle angegebenen Blacklist-Sites angewendet. Das bedeutet, dass Sie Domino nicht so konfigurieren können, dass Verbindungen für Hosts, die auf einer der Site-Listen gefunden wurden, abgelehnt und nur die Ereignisse für Hosts einer anderen Site-Liste protokolliert werden.
DNS-Blacklist-Statistiken
Die SMTP-Task erstellt Statistiken über die Gesamtzahl der verbundenen Hosts, die in der gesamten DNSBL aller Sites gefunden wurden, sowie über die Anzahl der verbundenen Hosts, die in der DNSBL jeder konfigurierten Site gefunden wurden. Da die Statistiken von der SMTP-Task verwaltet werden, werden sie nur für die Dauer der Task aufgezeichnet und gehen beim Stoppen der Task verloren.
Sie können die Statistiken in Domino Administrator anzeigen oder indem Sie den Befehl SHOW STAT SMTP an der Serverkonsole eingeben. Sie können die Statistiken erweitern, um anzuzeigen, wie oft eine gegebenen IP-Adresse in einer der konfigurierten DNSBLs gefunden wurde. Wenn Sie die erweiterten Informationen erfassen möchten, legen Sie in der Datei NOTES.INI auf dem Server die Variable SMTPExpandDNSBLStats fest. Aufgrund der durch die erweiterten Statistiken generierten großen Anzahl von Informationen zeichnet Domino die erweiterten Statistiken standardmäßig nicht auf.
Anmerkung: Domino verwendet bei der Abfrage von DNS-Blacklist-Sites IP-Adressen der Version 4 (IPv4), um festzustellen, ob ein verbindender Host in der Liste aufgeführt ist. Wenn der verbindende Host eine IP-Adresse der Version 6 (IPv6) verwendet, überspringt Domino die DNSBL-Überprüfung für diesen Host.
Vorgegebene Fehlernachricht ändern
Prozedur
Beim Zurückweisen eines in einer Blacklist aufgeführten Hosts gibt Domino eine vorgegebene SMTP-Antwort an den Host zurück, die die IP-Adresse des Remote-Hosts und die Blacklist-Site enthält, die den Host auflistet. Sie können diese Antwort im Dokument mit den Konfigurationseinstellungen im Feld für benutzerdefinierte Fehlernachrichten für zurückgewiesene Hosts anpassen. Der Text einer benutzerdefinierten Antwort kann den Zeichenfolgeformatbezeichner %s enthalten, um die IP-Adresse des zurückgewiesenen Hosts und die DNSBL-Site, auf der der Host gefunden wurde, darzustellen. Weitere Informationen hierzu finden Sie in der nachfolgend beschriebenen Vorgehensweise.
So aktivieren Sie DNS-Blacklist-Filter
Stellen Sie sicher, dass Sie bereits über ein Konfigurationsdokument für den (die) zu konfigurierenden Server verfügen.
1. Klicken Sie in Domino Administrator auf das Register Konfiguration und erweitern Sie den Abschnitt Nachrichten.
2. Klicken Sie auf Konfigurationen.
3. Wählen Sie das Konfigurationsdokument für den Mail-Server oder die Server aus, auf denen Sie die DNS-Blacklist-Filter aktivieren möchten, und klicken Sie auf Konfiguration bearbeiten.
4. Klicken Sie auf das Register Router/SMTP -> Beschränkungen und Steuerungen -> SMTP-Eingangsteuerung.
5. Geben Sie im Abschnitt "DNS-Blacklist-Filter" Werte in die folgenden Felder ein und klicken Sie anschließend auf Speichern und schließen:
Sie können den Formatbezeichner %s verwenden, um die IP-Adresse des abgelehnten Hosts und die DNS-Blacklist-Site anzugeben, auf der Domino den Host gefunden hat. Geben Sie beispielsweise Folgendes ein:
Zugehörige Tasks Verhindern, dass unbefugte SMTP-Hosts Domino als Relais verwenden Konfigurationsdokumente erstellen SMTP-Verbindungen (Eingang) beschränken Domino-SMTP-Service stoppen und starten SMTP-Konfiguration aktualisieren Kreis der Personen beschränken, die Internet-Mails an Ihre Benutzer senden können Mit DNS-Whitelists für SMTP-Verbindungen arbeiten