SMTP Security and Configuration Troubleshooting in Domino

Chris Miller je prý ten největší odborník, akorát prý mluví trochu rychle. Což naštěstí nebylo ve finále tak hrozné, ale těch informací měl opravdu ohromnou spoustu. Celé to začal tím, že Connectria je největší hostingové centrum pro Lotus Domino, takže prý dostává denně takové množství spamu, o kterém se nám ostatním ani nezdálo.

Celé to začal celkem jednoduše – upozorněním, že konfigurační dokumenty mohou být určeny pro skupiny serverů nebo se tam dají používat i * a funkce je stejná jako v ACL – */SRV/Company se přebíjí konkrétními skupinami serverů (ApplicationServers) a pak konkrétními servery. Takže pokud možno se máme vyvarovat konfiguračním dokumentům pro každý server, ale spojovat je dohromady.

Použití více mail.boxů – doporučená věc, maximum je snad 10 v dnešní době, nicméně dřív prý zkoušeli 14 – 24 mail.boxů a při tomto objemu už začínají problémy s padáním serveru. A použití je jednoduché – používají se v cyklu (mail1.box – mail2.box – mail1.box – ….). Mail.box server vždy přepne na jednu z těchto databází a pokud uložím něco přímo do mail.box tak to nikdy nikam neodejde.

Konfigurace Anti-Relay nastavení aneb jak se pozná „local Internet domain“. Vezmou se domény z global domain dokumentu a server dokumentu a všem ze stejné domény to důvěřuje. Takže vlastně bezpečnost nic moc, protože na interní servery se nevztahují anti-relay testy. A když už jsme u konfiguračního dokumentu – pokud specifikujete relay host server, tak ho dávejte pomocí DNS jména a klidně udělejte v DNS virtuální jméno, které vlastně může sloužit jako load-balancing nebo fail-over pro odchozí SMTP servery. Šikovné a snadné – práce je na někom jiném, na DNS.

Při té příležitosti zmínil, že je možné mít globálních domén více – výhodou je, že se pak mezi sebou nemixují a každý uživatel může dostávat maily pouze ve své doméně. Tedy, pokud na jednom serveru mám jako hlavní doménu martinhumpolec.cz a jako alias martinhumpolec.com tak libovolný uživatel může dostat email jak na @…cz tak @….com. Pokud to rozdělím do dvou global domain dokumentů, tak pak na dokumentu uživatele určím, ve které doméně má adresu a na adresu jiné domény mail nepřijme. Šikovná věcička.

A jeden vtípek, který má od Susan – nemluvte s uživateli, budete mít méně problémů. To je kruté, ale pravdivé.

TLS – šifrovaný přenos pošty. Málokdo ho používá, ještě méně lidí asi ví, že používá port 465. A aby to nebylo snadné, tak port 465 není zaregistrován pro tento účel, takže si ho Cisco před lety zabralo a pokud máte Cisco routery, tak vám nikdy TSL fungovat nebude. Přijít na to prý trvalo pouhé 4 dny, protože to nikoho nenapadlo jako důvod nefunkčnosti. A pokud už budete TLS používat, tak nemáte používat vlastní certifikáty, ale nějaké důvěryhodné. To že musíte povolit v server dokumentu na záložce portů možnost příchozí i odchozí pošty na šifrovaném kanálu je asi jasné.

Pravidla na serverové straně – nepoužívejte to jako antispam a antivirové nástroje, na to jsou speciální věci a tohle vám moc nepomůže, spíš zatíží server. A nepoužívejte znak lomítko (/), protože lomítko i text za ním bude vyjmut a vezme se v potaz pouze to předtím.

To že při komunikaci serverů se používá abeceda (ty dříve v abecedě se i prioritně používají) už po včerejšku víme, ale že čísla jsou před písmeny ještě ne. Další střípek do mozaiky. A tímto střípkem to nejzajímavější skončilo.

Leave a Reply