• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Запретить Серверу Отправлять Почту Через Nrpc

  • Автор темы lemuriez
  • Дата начала
L

lemuriez

Здравствуйте!
Третий день ломаю голову, как запретить серверу отдавать почту через NRPC другому почтовому серверу внутри домена? Сервера в кластере.

Поясняю:
Есть кластер из двух серверов Post и Post1.
Никаких конекшен документов соответственно нет.
Сервер Post видит внешний релей и может отдавать на него почту, второй сервер выхода наружу не имеет, занимается только внутренней пересылкой, в частности на другие домино-сервера сети.
Если телнетом отправлять сообщение наружу через Post1, то не имея прямого выхода наружу он благополучно передает сообщение на Post via Notes, а тот уже в свою очередь отдает сообщение в интернет via SMTP.
 

aameno2

Lotus Team
27.01.2009
730
134
BIT
109
Попробуйте параметр, "всегда использовать smtp" в документе сервера
 
L

lemuriez

Попробуйте параметр, "всегда использовать smtp" в документе сервера

Это не подойдет, так как в сообщения, отправляемые с помощью SMTP Добавляются Disclaimers, а внутри они не нужны.
Надо именно запретить двум кластерным серверам общаться с помощью внутреннего транспорта.
 
B

Baneslaer

Это не подойдет, так как в сообщения, отправляемые с помощью SMTP Добавляются Disclaimers, а внутри они не нужны.
Надо именно запретить двум кластерным серверам общаться с помощью внутреннего транспорта.


убрать сервер из кластера и вуаля..
 

Мыш

Lotus Team
12.02.2008
1 213
29
BIT
43
Lemmi, а в чем смысл данного ограничения? Почта на то и нужна, чтоб доставляться. :)
Серверным почтовым правилом или restriction'ами в док-те Configuration никак нельзя решить?
 
L

lemuriez

убрать сервер из кластера и вуаля..

Пробовал. Убирал из кластера и перезагружал оба сервера - почта все-равно доставляется. Переводить сервер в другую именованную сеть - не вариант.


Добавлено:
Lemmi, а в чем смысл данного ограничения? Почта на то и нужна, чтоб доставляться. :)
Серверным почтовым правилом или restriction'ами в док-те Configuration никак нельзя решить?

Смысл в том, что согласно архитектурному решению в организации один из серверов кластера имеет выход наружу и хосты, которые есть в списке "Allow connections only from the following SMTP internet hostnames/IP addresses:" могут отправлять через этот сервер сообщения, в т.ч. в интернет, а второй сервер должен отправлять только внутри сети без возможности выхода наружу. В случае, когда обмен сообщениями между серверами был по SMTP это работало ограничениями в Configuration документе, но были нюансы, когда же я установил настройку "SMTP allowed within the local internet domain:" в Disabled, чтобы сообщения внутри сети Домино работали по родному транспорту, сообщения, которые второй сервер не может отправить сам (наружу) передает первому серверу, который это и может сделать. Как запретить ему сообщения передавать? Возвращать их отправителю или складывать задедленные в мейлбоксе - не имеет значения.
Правила на relay не распространяется, рестрикшены, как я написал выше работают только на SMTP, но не на NRPC.
 

Мыш

Lotus Team
12.02.2008
1 213
29
BIT
43
Правила на relay не распространяется
Мммм, не понял. Вы хотите сказать, что серверные правила на "ограниченном сервере" не работают? Из-за наличия кластера что ли? Давно просто с кластерами не работал...
UPD. Я имею в виду почтовые правила, указанные в документе Configuration-Router/SMTP-Restrictions and contorls-Rules
 
L

lemuriez

Мммм, не понял. Вы хотите сказать, что серверные правила на "ограниченном сервере" не работают? Из-за наличия кластера что ли? Давно просто с кластерами не работал...
UPD. Я имею в виду почтовые правила, указанные в документе Configuration-Router/SMTP-Restrictions and contorls-Rules

Да, эти правила не работают, если сервер используется в качестве тупого релея сообщения. Я пробовал и в кластере и без.
 

Мыш

Lotus Team
12.02.2008
1 213
29
BIT
43
Lemmi, а что означает "в качестве тупого релея сообщения"?
У меня есть сервер, принимающий почту по SMTP (всякие системные уведомлялки), но отправляющий только через NRPC (уведомлялки идут юзерам как в свой DOMINO-домен, так и в др. DOMINO-домены). Так вот, правила на нем замечательно пашут - скажем, "When sender contains example.com don't accept message".
 
B

Baneslaer

ТС, поставьте еще один сервер и через него отправляйте почту на релей. Так будет проще и с настройками и не нужно будет что либо делать с кластером, который правильно работает.

p.s. От себя напишу, что хреновое архитектурное решение. При падении сервера, который отправляет на релей - почта не будет идти наружу и к вам извне, а письма будут накапливаться на релее и других серверах. Архитектору кое-что надо оторвать.
 
L

lemuriez

Все заработало!
Перенаправили всю почту по SMTP, запретили все релеи на сервере, который должен работать внутри и в глобал домен документе в качестве алиасов прописали сервера, на которые можно перенаправлять. Согласен, что это криво, но работает! Как все успокоится, буду потихоньку оптимизировать, в частности смтп вообще хочу внутри домино убрать.
Всем спасибо! :)
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!