• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Не приходит уведомление о вручении почты или неправельная маршрутизаци

  • Автор темы Nosferatus
  • Дата начала
N

Nosferatus

Всем добрый день.
У меня сложилась такая ситуация.
Архитектура организации и доменов Лотуса такая. Есть одна организация и множество серверов у каждого сервера свой домен (т.е. у каждого админа свой домен и сервер и он им управляет, но все под одной организацией). Я управляю одним сервером и далее по тексту говорю о нем. Все пользователи организации работают с Lotus Notes клиентом. Версия сервера 7.0.3FP1

Так вот, при отправки почты с установкой уведомления о вручении, уведомление приходит только админу (т.е. ко мне), ко всем остальным "смертным" :gifts: уведомление не приходит, при этом не приходит только от получателей на моем сервере, если получатель находится в другом домене-сервере, то уведомление пользователю на моем сервере (отправителю) приходит.
Раньше все работало (а может и не работало, просто не обращались), стали обращаться после проведения мероприятий по усилению безопасности (менял параметры относящихся к безопасности во всех разделах, но в основном на вкладке "безопасность") но и активно стали пользоваться уведомлением после этого, именно по этому пало подозрение на безопасность, особенно на "Подписывание агентов для запуска от имени других пользователей" (указал себя, сервер и Lotus Notes Template Development/Lotus Notes - им подписаны почтовые шаблоны).

Есть еще одно подозрение, в этой ситуации я даже не знаю где что можно посмотреть и исправить :what?: . Все пользователи в лотусе у меня имею следующий формат имен Ivan I. Ivanov/OU/Org в отчестве я пишу первую букву и точку.

Если отправитель при отправки почты в параметрах доставки поставит отчет о доставки = подтвердить доставку, то он получает ВНИМАНИЕ сбой доставки подтверждения отправленного отправителю (т.е. письмо получателю доставлено нормально, формируется отчет о доставки, что все доставлено нормально, но этот отчет до отправителя не доходит, а доходит отчет о сбои доставки этого отчета о доставки) вот так все хитро :rolleyes: При этом так же, как я писал выше, если получатель на другом сервере, то уведомление о доставке нормальное.
И в этом отчете о сбои доставки ВНИМАНИЕ имя пользователя (получателя отчета доставки) уже выглядит как Ivan I/@ Ivanov/OU/Org вместо точки подставляется символ /@ все что после @ сервер воспринимает как имя домена и говорит что домена с таким именем (Ivanov/OU/Org) нет. При этом простая почта (не отчеты о доставки и т.п.) между пользователями ходит нормально (точка не подменяется @). Скорей всего именно по этой причине уведомления и не доходят до пользователей (т.к. я как админ был зарегистрирован еще под старой политикой и в моем лотусовом имени нет этой точки).
Кто-нибудь сталкивался с такой ситуацией? Где и что надо прописать что бы в имени пользователя точка не подменялась на /@?
Прошу помощи знающих людей и предположений с чем это может быть связано, а то голову уже сломал :what?: .
 

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
То есть что, это все не работает в пределах одного сервера? В смысле отправитель и получатель на одном сервере? В одном домене?
 
N

Nosferatus

То есть что, это все не работает в пределах одного сервера? В смысле отправитель и получатель на одном сервере? В одном домене?
Да, именно так.
Я все больше склоняюсь, что это из-за того что в иемнах пользователей точка заменяется на /@.
Теперь осталось разобраться, как это исправить :rolleyes: HELP!
 

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
А точно письмо не покидает сервер? Это сильно смахивает на то конвертацию при раутинге.
 
N

Nosferatus

А точно письмо не покидает сервер? Это сильно смахивает на то конвертацию при раутинге.

А где можно посмотреть настройки этой конвертации при маршрутизации?

Тут такая история, я отследил по логам и по маршрутам:
допустим получатель у нас Ivan I. Ivanov/OU/Org, а отправитель Petor P. Petrov/OU/Org
Само письмо не покидает сервер (Почтовые ящики лежат на одном серваке Server1) и приходит получателю по адресу Ivan I. Ivanov/OU/Org, тут все вроде в порядке.
А вот с уведомлением творятся чудеса: Отправителю формируется уведомление о доставке/прочтении (к сожалению я не знаю глубоко сам механизм формирования уведомления, кто формирует? сервер или клиент? и т.д.) и уведомление уходит Петрову на адрес Petor P/@ Petrov/OU/Org. Соответственно маршрутизатор не может найти домен Petrov/OU/Org на моем сервере Server1/Org и отправляет это уведомление на центральный сервер Server2/Org, который также не может его смаршрутизировать и формирует отчет о сбои доставки. А вот сам отчет о сбои доставки уведомления нормально приходит тому кому должно было прийти уведомление, т.е. Petor P. Petrov/OU/Org. При этом маршрут выгладит следующим образом:
Server1/Org, Server1/Org, Server2/Org, Server2/Org, Server1/Org

У кого какие идеи по этому поводу?
 

Мыш

Lotus Team
12.02.2008
1 213
29
BIT
43
Похоже на SMTP_LEFT_DOT_NEVER_DOMAIN - но без участия SMTP :)
Версии клиентов у пользователей одинаковые? А дизайны почтовых баз? Еще надо посмотреть документы типа Domain, Connection, Person в DD - поищите в них "подозрительные" имена доменов типа ".", "@" и т.д.
Во, нашел - link removed
 
N

Nosferatus

Во, нашел - link removed

Огромное админское спасибо! :KillMe:
Именно в этом и была проблема. У меня было все как написано в ссылки. Не смежные домены не стал прописывать все в ручную, т.к. их насчитывается около 60))) и это не предел.
А установил SMTP_LEFT_DOT_NEVER_DOMAIN=1 и все нормализовалось. Как я понял этот параметр отключает преобразования имен пользователей при отправки почты через SMTP, но так как у меня задача SMTP не запущена, то мне эта настройка ни на что не повлияет, кроме фитчи описанной в ссылке???
 

Мыш

Lotus Team
12.02.2008
1 213
29
BIT
43
Как я понял этот параметр отключает преобразования имен пользователей при отправки почты через SMTP,
Примерно так - символ "точка" слева от символа "собака" перестает трактоваться как разделитель домена.
мне эта настройка ни на что не повлияет, кроме фитчи описанной в ссылке???
Гарантировать не могу :) Посмотрите еще документ Global Domain - как там у Вас формируются адреса почты? Если Notes-домены не включаются, то, вроде, больше этот параметр не влияет ни на что...
 
N

Nosferatus

Гарантировать не могу :) Посмотрите еще документ Global Domain - как там у Вас формируются адреса почты? Если Notes-домены не включаются, то, вроде, больше этот параметр не влияет ни на что...

Спасибо за помощь. Все нормально работает
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!