Parameter:
SMTPGreetingKurzbeschreibung: Definiert den Begrüßungstext (220-Banner) des SMTP-Listeners. Wird zur Härtung gesetzt, um Hostname und Domino-Versionsinformationen aus der Banner-Antwort zu entfernen.
Steckbrief
Parameter | SMTPGreeting |
Kategorie | Mail / Router |
Komponente | Server (Outbound- und Inbound-SMTP) |
Verfügbar seit | Domino 6.5 (durchgehend bis 14.5.1) |
Unterstützte Versionen | 9.0.1, 10.0, 11.0, 12.0, 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Konfigurations-Dokument → NOTES.INI Settings |
Mögliche Werte | Frei wählbarer String; %S = Platzhalter für Datum/Uhrzeit; nicht gesetzt = Default-Banner mit Hostname + Domino-Version |
Beschreibung
Der Domino-SMTP-Listener sendet bei jeder eingehenden TCP-Verbindung einen 220-Banner zurück. Der Default-Banner enthält neben dem Hostnamen auch die Domino-Software-Version, z. B.:
220 server.example.com ESMTP Service (HCL Domino Release 14.5.1) ready at Sat, 8 May 2026 06:55:00 +0200
Diese Information ist für Angreifer nützlich, weil sie OS-Hinweise und Versionssprünge offenlegt. Mit
SMTPGreeting wird der Banner durch einen eigenen, neutralen Text ersetzt:SMTPGreeting=mail.example.com SMTP Server Ready at %S
Damit antwortet der Server stattdessen z. B. mit:
220 mail.example.com SMTP Server Ready at Sat, 8 May 2026 06:55:00 +0200
Die Variable wird auch vom Outbound-SMTP-Pfad eingelesen, ist also auf dem Outbound-SMTP-Server zu setzen. Sie wirkt zusammen mit
SMTPNOVERSIONINRCVDHDR=1, das die Versionsinformation in den Received:-Headern entfernt — beide werden in HCL KB0088717 als Härtungsempfehlung paaren.Beispiel-Konfiguration
Klassische Härtung (versteckt Domino-Version + Hostname-Detailgrad):
SMTPGreeting=mail.example.com SMTP Server Ready at %S
Neutrale Variante ohne Hostname:
SMTPGreeting=ESMTP Service Ready at %S
Laufzeit-Variante (ohne Server-Restart):
set config SMTPGreeting=mail.example.com SMTP Server Ready at %S tell smtp update config
Hinweise & Stolperfallen
- Platzhalter
%S: Wird beim Senden des Banners durch das aktuelle Datum/Uhrzeit ersetzt. Ohne%Sbleibt der Banner statisch — manche Spam-Filter und SMTP-Clients reagieren auf statische Banner empfindlicher.
- Outbound-SMTP-Server: Laut HCL KB0088717 muss der Parameter auf dem Outbound-SMTP-Server gesetzt sein, damit auch bei initiierten Verbindungen der eigene Banner gilt.
- Kombiniert mit
SMTPNOVERSIONINRCVDHDR=1: Versteckt zusätzlich die Domino-Version in denReceived:-Headern abgehender Mails. Beide Settings gemeinsam reduzieren das Information-Disclosure-Risiko.
- Aktivierung: Wirkt nach Server-Restart oder dynamisch via
tell smtp update config.
- Keine Auswirkung auf andere Protokolle: Für POP3 nutzt man
POP3GREETING, für IMAP das Greeting-Feld im Server-/Internet-Site-Dokument, für HTTPDominoNoBanner=1undHTTPDisableServerHeader=1.
- Keine Validierung: Domino prüft den Banner-Text nicht. Ein leerer oder syntaktisch falscher Banner kann SMTP-Connections von strikten Clients (z. B. RFC-5321-Validatoren) brechen.
Quellen
- HCL Domino 11.0.1 Administrator Documentation — Changing the inbound SMTP port settings (Abschnitt: Changing the default SMTP greeting)
- HCL Support Knowledge Base — How to hide Domino information in the banner for SMTP, IMAP, POP3 and HTTP telnet sessions (KB0088717)
- HCL Notes and Domino Wiki — Changing the inbound SMTP port settings