SMTP-Echtheitsbestätigung |
Scrollen Zurück Oberste Ebene Weiter Mehr |
SMTP-Echtheitsbestätigung (AUTH)
Nachrichtenversand durch lokale Benutzerkonten erfordert immer Echtheitsbestätigung
Ist diese Option aktiv, und versendet ein Absender eine Nachricht, die nach ihrer Absenderadresse aus einer durch MDaemon verwalteten Domäne stammt, so muss sich der Absender mit Benutzername und Kennwort angemeldet haben, damit die Nachricht entgegengenommen und weitergeleitet wird. Diese Option ist per Voreinstellung aktiv.
...außer die Nachrichten sind an lokale Benutzerkonten gerichtet
Falls der Versand von Nachrichten durch lokale Benutzerkonten grundsätzlich nur nach Echtheitsbestätigung zulässig ist, kann es gewünscht sein, Nachrichten von lokalen Benutzern an lokale Benutzer von diesem Erfordernis auszunehmen. Dies wird durch Aktivieren dieser Option erreicht. Beachte: Dies kann etwa dann erforderlich sein, wenn einige Benutzer für eingehende und abgehende Nachrichten unterschiedliche Mailserver nutzen müssen.
...außer die Domänen-Verteilung findet den Absender auf einem anderen Server
Absender, die durch die Domänen-Verteilung auf einem anderen Server gefunden werden, sind durch diese Option von der Option Nachrichtenversand durch lokale Benutzerkonten erfordert immer Echtheitsbestätigung oben ausgenommen. Diese Option ist per Voreinstellung aktiv. Falls Sie auch für solche Absender die Echtheitsbestätigung verlangen wollen, deaktivieren Sie diese Option.
Nachrichtenversand durch lokale IPs erfordert immer Echtheitsbestätigung
Diese Option bewirkt, dass für eingehende Nachrichten, die von lokalen IP-Adressen aus versandt werden, eine Echtheitsbestätigung immer verlangt wird. Wird keine Echtheitsbestätigung durchgeführt, oder schlägt sie fehl, so wird die betroffene Nachricht abgewiesen. Vertraute IPs sind von diesem Erfordernis ausgenommen. Bei Neuinstallationen ist diese Option per Voreinstellung aktiv.
Anmeldedaten müssen mit der Adresse aus dem Antwortpfad übereinstimmen
Diese Option bewirkt, dass die Anmeldedaten für die SMTP-Echtheitsbestätigung mit den Daten übereinstimmen müssen, die im Antwortpfad der Nachricht enthalten sind. Diese Option ist per Voreinstellung aktiv. Falls Sie den Abgleich zwischen Anmeldedaten und Antwortpfad nicht wünschen, deaktivieren Sie diese Option. Damit Speicherung und Übermittlung von Gateway-Nachrichten nicht beeinträchtigt werden, ist im Konfigurationsdialog Globale Gateway-Einstellungen eine Option enthalten, mit der per Voreinstellung die Gateway-Nachrichten vom Abgleich der Anmeldedaten ausgenommen werden.
Anmeldedaten müssen mit der Adresse aus der Absenderkopfzeile "From:" übereinstimmen
Diese Option bewirkt, dass die Anmeldedaten für die SMTP-Echtheitsbestätigung mit den Daten übereinstimmen müssen, die in der Absenderkopfzeile "From:" der Nachricht enthalten sind. Diese Option ist per Voreinstellung aktiv. Falls Sie den Abgleich zwischen Anmeldedaten und Absenderkopfzeile "From:" nicht wünschen, deaktivieren Sie diese Option. Damit Speicherung und Übermittlung von Gateway-Nachrichten nicht beeinträchtigt werden, ist im Konfigurationsdialog Globale Gateway-Einstellungen eine Option enthalten, mit der per Voreinstellung die Gateway-Nachrichten vom Abgleich der Anmeldedaten ausgenommen werden.
Ausnahmeliste
In dieser Ausnahmeliste für Abgleich der Anmeldedaten mit Adressdaten können Sie E-Mail-Adressen erfassen, die von den beiden Optionen "Anmeldedaten müssen mit ... übereinstimmen" oben ausgenommen sind. Damit die Ausnahme von der Prüfung auf Übereinstimmung mit dem Antwortpfad wirksam wird, muss die Adresse aus dem Antwortpfad in der Ausnahmeliste erfasst sein. Damit die Ausnahme von der Prüfung auf Übereinstimmung mit der Absenderkopfzeile From wirksam wird, muss die Adresse aus der Absenderkopfzeile From: in der Ausnahmeliste erfasst sein.
Nachrichten von "Postmaster", "Abuse" und "Webmaster" erfordern Echtheitsbestätigung
Ist diese Option aktiv, so nimmt MDaemon Nachrichten mit den Absenderadressen "postmaster@...", "abuse@..." und "webmaster@..." aus den eigenen Domänen nur dann zur Zustellung an, wenn diese Nachrichten über Verbindungen mit Echtheitsbestätigung übertragen wurden. Spam-Versender und Hacker wissen, dass diese Adressen auf vielen Systemen bestehen, und sie könnten daher versuchen, die Adressen als gefälschte Absenderadressen zu nutzen, um so Nachrichten über den Mailserver zu versenden. Diese Option verhindert solche missbräuchliche Nutzung, und zwar auch durch nicht berechtigte Benutzer der eigenen Domäne. Diese Option ist im Abschnitt Optionen des Konfigurationsdialogs für die Aliasnamen gespiegelt. Änderungen an der Einstellung wirken sich auf beide Konfigurationsdialoge aus.
POP vor SMTP nicht auf echtheitsbestätigte Verbindungen anwenden
Bei Nutzung der Sicherheitsfunktion POP vor SMTP können mithilfe dieser Option die Benutzer, die sich mit Benutzernamen und Kennwort echtheitsbestätigen, die Funktion POP vor SMTP umgehen. Sie müssen dann vor dem Versand von Nachrichten ihr Postfach nicht abgerufen haben.
Echtheitsbestätigung auf dem SMTP-Port nicht zulassen
Diese Option deaktiviert die Unterstützung für AUTH auf dem SMTP-Port. Wenn diese Option aktiv ist, wird AUTH nicht in der Antwort auf den Befehl EHLO angeboten, und es wird als unbekannter Befehl behandelt, falls ein SMTP-Client AUTH übermittelt. Die Einstellung "...IPs von Gegenstellen nach versuchter Echtheitsbestätigung in Dynamischen Filter eintragen" unten ist in den Konfigurationen besonders nützlich, in denen alle ordnungsgemäßen Benutzerkonten den MSA-Port oder einen anderen Port nutzen, um Nachrichten mit Echtheitsbestätigung zu übermitteln. In solchen Konfigurationen besteht Grund zur Annahme, dass Versuche zur Echtheitsbestätigung auf dem SMTP-Port von Angreifern ausgehen.
... IPs von Gegenstellen nach versuchter Echtheitsbestätigung in Dynamischen Filter eintragen
Ist die Option Echtheitsbestätigung auf dem SMTP-Port nicht zulassen oben aktiv, so bewirkt diese Option, dass alle IP-Adressen der Clients in den Dynamischen Filter eingetragen werden, die trotzdem auf dem SMTP-Port die Echtheitsbestätigung versuchen. Die Verbindungen werden dann jeweils sofort getrennt.