|
Datenquellen für Benutzerprüfung |
Scrollen Zurück Oberste Ebene Weiter Mehr |
|
Geht eine Nachricht ein, die an einen für SecurityGateway unbekannten lokalen Benutzer gerichtet ist, so fragt SecurityGateway die Datenquellen für die Benutzerprüfung ab, die für die Zieldomäne eingerichtet sind, um festzustellen, ob die Adresse zu einem gültigen Benutzerkonto gehört. Besteht ein solches gültiges Benutzerkonto, so legt SecurityGateway ein Benutzerkonto für die Zieladresse an und versucht dann, die Nachricht an den Mailserver der Domäne zuzustellen. Ergibt die Prüfung, dass die Adresse nicht gültig ist, so wird die Nachricht abgewiesen. Nachdem auf diese Weise ein neues Benutzerkonto angelegt wurde, kann dem Benutzer eine Begrüßungsnachricht übermittelt werden, die auch eine Verknüpfung für die Anmeldung an SecurityGateway enthält.
Versendet ein lokaler Benutzer, der SecurityGateway noch nicht bekannt ist, abgehend eine Nachricht, so fragt SecurityGateway die Datenquellen für die Benutzerprüfung in gleicher Weise ab, wie es bei eingehenden Nachrichten geschieht. Versucht ein Benutzer, mithilfe seiner E-Mail-Adresse und seines Kennworts eine Echtheitsbestätigung durchzuführen, so leitet SecurityGateway diese Anmeldedaten an die Datenquellen für die Benutzerprüfung weiter. Schlägt die Echtheitsbestätigung fehl, so wird die Nachricht abgewiesen. Ist die Echtheitsbestätigung erfolgreich, so wird die Nachricht zur Zustellung entgegengenommen, und es wird in SecurityGateway für den Benutzer ein Benutzerkonto angelegt. Ist ein solches Benutzerkonto bereits vorhanden, so prüft SecurityGateway die Anmeldedaten des Benutzers erst anhand der lokalen Benutzerdatenbank. Ergibt sich nach dieser Prüfung keine Übereinstimmung, so werden die Datenquellen für die Benutzerprüfung abgefragt.
|
Die Datenquellen für die Benutzerprüfung werden in der Reihenfolge abgefragt, in der Sie auf der Registerkarte Prüfung im Dialog Eigenschaften der Domäne erscheinen. Sobald entweder ein positives oder ein negatives Ergebnis eingetreten ist, nimmt SecurityGateway dieses Ergebnis an und fragt keine weiteren Datenquellen mehr ab. Sind beispielsweise drei Datenquellen der Domäne zugeordnet, und teilt die erste Datenquelle mit, dass der Benutzer nicht existiert, so nimmt SecurityGateway dieses Ergebnis an und fragt die verbleibenden beiden Datenquellen nicht mehr ab. Tritt bei der Abfrage hingehen ein vorübergehender Fehler auf, etwa, weil eine Datenquelle vorübergehend nicht verfügbar ist, so wird die Nachricht mit einem Fehlerkode 4xx abgewiesen; dieser Fehlerkode fordert den Absender auf, die Zustellung später erneut zu versuchen. |
|
Es ist äußerst wichtig, dass die Datenquellen für die Benutzerprüfung richtig konfiguriert sind und ausschließlich wirklich gültige Benutzer als solche bestätigen. Handelt es sich etwa bei einer Datenquelle um ein offenes Relais, oder besteht bei der Datenquelle ein "Catch-all-Alias" für eine durch SecurityGateway verwaltete Domäne, so bestätigt diese Datenquelle jede beliebige Nachricht, die für einen unbekannten Benutzer eingeht. Da die meisten eingehenden Spam-Nachrichten an ungültige und nicht bestehende Benutzer gerichtet sind, diese Benutzer aber durch die falsch konfigurierte Datenquelle als echt bestätigt werden, führt dieses Vorgehen mit Sicherheit dazu, dass zahlreiche Benutzer irrtümlich angelegt werden. Die Höchstzahl der Benutzer, die nach der jeweiligen Lizenz zulässig sind, würde dann sehr schnell erreicht werden. |
In der Übersicht über die Datenquellen für die Benutzerprüfung wird ein Eintrag pro Zeile angezeigt, und jede Zeile ist in vier Spalten unterteilt: Beschreibung, Server, Port und Typ. In der Spalte Beschreibung erscheint eine Beschreibung der Datenquelle (z.B. "Server X bei example.com"). In der Spalte Server erscheinen der Hostname oder die IP-Adresse der Datenquelle, und in der Spalte Port erscheint die Portnummer, die die jeweilige Datenquelle nutzt. In der Spalte Typ wird die Art der Datenquelle angezeigt: SMTP-Prüfung (vorwärtsgerichtet), Active Directory/Exchange, MDaemon (Minger), MDaemon (XML-API), LDAP oder Office 365. Um eine Datenquelle zu bearbeiten, klicken Sie doppelt auf ihren Eintrag, oder wählen Sie die Datenquelle durch Einfachklick aus, und klicken Sie in der Symbolleiste am oberen Seitenrand auf Bearbeiten. In beiden Fällen öffnet sich der Dialog Datenquelle für Benutzerprüfung bearbeiten.
|
Alle Datenquellen außer LDAP unterstützen die dynamische Echtheitsbestätigung. Versuchen Benutzer, die Echtheitsbestätigung durchzuführen oder sich an SecurityGateway anzumelden, werden ihre Anmeldedaten zunächst lokal durch SecurityGateway geprüft; falls SecurityGateway keine Übereinstimmung feststellt, werden die Anmeldedaten zur Echtheitsbestätigung an die Datenquellen weitergeleitet. Die Benutzer können somit die Echtheitsbestätigung durchführen und sich an SecurityGateway anmelden, ohne dass sie sich gesonderte Anmeldedaten nur für SecurityGateway merken müssen. AUTH-Kennwörter können nicht dynamisch geprüft werden, falls das Verfahren CRAM-MD5 zur Echtheitsbestätigung eingesetzt wird. |
Die Symbolleiste am oberen Seitenrand enthält die folgenden fünf Optionen:
Neu
Um eine neue Datenquelle für Benutzerprüfung zu erstellen, klicken Sie auf Neu. Es öffnet sich der Dialog Neue Datenquelle für Benutzerprüfung, der dem Dialog Datenquelle für Benutzerprüfung bearbeiten entspricht.
Bearbeiten
Um die gerade in der Liste ausgewählte Datenquelle zu bearbeiten, klicken Sie in der Symbolleiste auf Bearbeiten. Es öffnet sich der Dialog Datenquelle für Benutzerprüfung bearbeiten. Sie können diesen Dialog auch durch einen Doppelklick auf den gewünschten Eintrag aufrufen.
Löschen
Um einen oder mehrere Datenquellen für Benutzerprüfung zu löschen, wählen Sie die Einträge in der Liste aus, und klicken Sie dann auf Löschen. Es erscheint eine Sicherheitsabfrage, auf die Sie bestätigen müssen, dass Sie die Datenquellen wirklich löschen wollen. Sie können mehrere Einträge auswählen, indem Sie während des Anklickens der Einträge die Strg-Taste oder die Hochschalttaste gedrückt halten.
Benutzer prüfen
Ist im Auswahlfeld Für Domäne: der Eintrag "-- Alle --" aktiv, so versucht SecurityGateway nach einem Klick auf dieses Steuerelement sofort, alle Benutzer zu prüfen — und zwar auch jene, die in der Vergangenheit bereits einmal geprüft wurden. Alle Benutzer, die über die Datenquelle nicht erfolgreich geprüft werden können, einschließlich der manuell angelegten Benutzer, werden dann gelöscht. Wird in dem Auswahlmenü Für Domäne: eine bestimmte Domäne ausgewählt, so prüft SecurityGateway nur die Benutzer dieser Domäne.
Durch Anklicken dieses Steuerelements wird die Seite Optionen zur Datenquelle für Benutzerprüfung aufgerufen. Sie können hier Optionen für das Zwischenspeichern von Antworten und für die turnusgemäße Überprüfung von Benutzern in bestimmten Zeitabständen festlegen.
Benutzer vormerken zur erneuten Prüfung nach [xx] Stunden
Diese Option erleichtert die Pflege der Benutzerliste. Sie fragt bei der Datenquelle für Benutzerprüfung in regelmäßigen Abständen ab, ob die Benutzer noch existieren. Sobald die hier in Stunden angegebene Zeit abgelaufen ist, werden die früher schon geprüften Benutzer für eine erneute Prüfung vorgemerkt. Sobald sie dann E-Mail-Nachrichten versenden oder empfangen, werden sie erneut überprüft. Deaktivierte Benutzer werden nicht gelöscht.
Negative Antworten zwischenspeichern für [xx] Minuten
Meldet eine Datenquelle für Benutzerprüfung auf die Abfrage hin, dass ein Benutzerkonto nicht existiert, so wird diese Antwort für die hier in Minuten angegebene Zeit im Cache gespeichert. Dies verringert die Zahl der redundanten Abfragen bei der Datenquelle.
Standard-Datenquellen für Benutzerprüfung stets nach externen Aliasnamen abfragen
Ist diese Option aktiv, so werden alle unbekannten Adressen durch Abfrage bei den Standard-Datenquellen für Benutzerprüfung geprüft. Meldet eine Datenquelle für Benutzerprüfung, dass es sich bei der Adresse um einen externen Alias eines Benutzers in einer lokalen Domäne handelt, so wird der lokale Benutzer nötigenfalls angelegt, und der Alias wird mit dem Benutzer verknüpft. Diese Option ist nur verfügbar, wenn mindestens eine Datenquelle für Benutzerprüfung konfiguriert ist.
|
Da alle unbekannten Adressen in dieser Weise geprüft werden, kann sich eine hohe Anzahl von Abfragen ergeben. |
Für Domäne:
Mithilfe des Auswahlfeldes Für Domäne: können Sie die Domäne auswählen, deren Datenquellen für Benutzerprüfung in der Liste angezeigt werden sollen. Per Voreinstellung werden alle Datenquellen angezeigt. Sie können stattdessen "-- Standard --" auswählen, um nur die Datenquellen anzuzeigen, die Sie im Dialog Datenquelle für Benutzerprüfung bearbeiten als Standard-Datenquellen bestimmt haben, und Sie können eine Domäne auswählen, um nur die Datenquellen für diese Domäne anzuzeigen.
