SMTP の受信接続を制限する
メールシステムが不要なメールを受信しないようにするため、Domino® には、SMTP 受信接続を制限する一連の制御が用意されています。インバウンド接続制御により、Domino® が DNS 内の接続ホストをチェックするかどうか、ホスト名または IP アドレスで、リモートホストからの接続を許可および拒否するかをチェックするかを指定できるようになります。
このタスクについて
接続試行を許可するか拒否するかを決定するために、Domino® SMTP タスクは最初にリモートホストの IP アドレスを調べます。この IP アドレスは、サーバーの TCP/IP スタックが受信 IP パケットヘッダーから読み取ります。IP アドレスが、[インバウンド接続制御] フィールドのエントリと一致しない場合、SMTP タスクが 2 番目のチェックとなる DNS に照会し、目的のアドレスのホスト名を取得します。照会に成功すると、Domino® は取得したホスト名と [許可] フィールドと [拒否] フィールドのホスト名を比較します。
内部 SMTP サーバーに専用のサーバー設定文書を作成した場合、インバウンド接続制御を使用して、これらの内部サーバーが特定の SMTP ホストのみから SMTP 接続を受け入れるようにできます。たとえば、インターネットからメールを受信するサーバーからの SMTP 接続のみを許可するようにサーバーを設定できます。このように接続を制限すると、POP3 または IMAP クライアントを使用しているユーザーはそのサーバーを使用してメールを送信できなくなり、有効なアウトバウンド配信パスの定義とサーバーの負荷の制限に役立ちます。
これらのインバウンド接続制御の他に、Domino® では接続を制限する 2 つの方法があります。
- DNS ブラックリストフィルタ
サーバーは、DNS ブラックリストフィルタで、SMTP カンバセーション中に 1 つ以上のブラックリストに対してホストを検証できます。接続ホストがブラックリストのエントリに一致する場合、接続を拒否する、受信したメッセージにタグを付ける、Notes® Log にトランザクションを記録するようにサーバーを設定できます。
- Domino® Extension Manager (EM) サービスを使用した SMTP リスナーへのアクセスです。
拡張マネージャ (EM) サービスで、開発者は SMTP listener タスクの関数にアクセスできます。拡張マネージャ (EM) で、実行可能プログラムライブラリ (ダイナミックリンクライブラリや共有オブジェクトライブラリ) は、Domino® が選択した内部操作を実行した前、後、前と後に呼び出されるコールバックルーチンを登録できます。SMTP リスナーで EM フックを使用すると、次の機能が提供されて現在の機能を拡張できます。
- 追加の SPAM 対策制御
- カスタムアドレス変換
- カスタム SMTP 応答
- メッセージの捕捉
ソフトウェア開発キットに含まれている Domino® C API ヘッダーファイル EXTMGR.H は、サポートされる拡張マネージャ通知イベントとタイプに対するシンボルを定義します。
拡張マネージャとコールバックルーチンの登録の詳細については、「追加の文書リソース」トピック (このトピックの末尾にある関連参照からリンクされています) にリストされた、Notes/Domino 用の Lotus® C API Toolkit を参照してください。
SMTP の受信接続を制限するには
手順
- 設定するサーバーのサーバー設定文書が既に存在することを確認します。
- Domino Administrator で、[設定]® タブをクリックし、[メッセージング] セクションを展開します。
- [設定] をクリックします。
- メールを制限するメールサーバーのサーバー設定文書を選択し、[サーバー設定の編集] をクリックします。
- タブをクリックします。
- [インバウンド接続制御] セクションの以下のフィールドに入力し、[保存して閉じる] をクリックします。
表 1. インバウンド接続制御 フィールド
Enter
接続するホスト名を DNS で確認
新しく作成したグループのオプションとして、
- [有効] - Domino® で DNS 逆検索を実行して接続ホストの名前を確認します。Domino® で DNS の、接続ホストの IP アドレスをホスト名と一致させる PTR レコードを調べます。Domino® で DNS を使用できないか PTR レコードがないためにリモートホストの名前を判別できない場合、ホストはメールを転送できません。Domino® は最初の接続を受け付けても、後の SMTP トランザクションで MAIL FROM コマンドに応答して接続ホストにエラーを返します。インターネット SMTP ホストは、DNS に PTR エントリがなくても構いません。その結果、このフィールドが有効になっていると、SMTP タスクが有効な SMTP ホストからの接続を拒否することがあります。
- [無効] - (デフォルト) Domino® は DNS で接続ホスト名を確認しません。
次のホスト名、IP アドレスの SMTP ホストからの接続のみを許可
このサーバーの SMTP サービスに接続を許可されるホスト名、グループ名、IP アドレス。このフィールドにホスト名または IP アドレスを入力すると、入力情報と一致したサーバーだけが SMTP リスナーに接続でき、その他のすべてのサーバーからの接続要求は拒否されます。
[192.168.10.17] のように、IP アドレスは角カッコ [ ] で囲んで入力します。
ホスト名エントリは、特定のサーバーの完全修飾ホスト名ですべて指定することも、ワイルドカードの存在を示して一部を指定することもできます。たとえば、次のように入力するとします。
abc.com
Domino® は *abc.com で表されるドメインのメールホスト、つまり abc.com で終わるホスト名すべて (smtp.abc.com や mailhost.abc.com など) からの接続のみを受け付けます。Domino® はそれ以外の接続要求はすべて拒否します。
ホスト名を指定すると、ホストが接続するたびに Domino® は DNS で接続ホストの PTR レコードを調べます。Domino® で DNS を使用できないか PTR レコードがないために IP アドレスをホスト名に解決できない場合、その接続からのメールは受け付けません。
次の SMTP インターネットホスト名/IP アドレスからの接続を拒否
このサーバーの SMTP サービスに接続を許可されないホスト名、グループ名、IP アドレス。このフィールドにホスト名と IP アドレスを入力すると、入力情報と一致したサーバー以外のサーバーのすべてが SMTP リスナーに接続でき、このフィールドの入力内容と一致したサーバーの接続要求だけが拒否されます。
[192.168.10.17] のように、IP アドレスは角カッコ [ ] で囲んで入力します。
ホスト名エントリは、特定のサーバーの完全修飾ホスト名ですべて指定することも、ワイルドカードを使用して一部を指定することもできます。たとえば、次のように入力するとします。
abc.com
Domino® では *abc.com からの接続、つまり abc.com ドメインのすべてのホスト (smtp.abc.com や mailhost.abc.com など) からの接続を拒否し、拒否されたドメイン内のすべてのメールホストに制限を暗黙的に拡張します。
abc.com と入力すると、xyzabc.com からの接続は拒否されません。
.abc.com などのように先頭にドット (.) を使用しないでください。Domino® では先頭のドットを一致させないため、.abc.com と入力してもドメイン abc.com からの接続は拒否されません。
接続が終了されるエラー数制限 セッション接続が終了するまでに許可されるプロトコルエラーの最大数を指定します。 - SMTP タスクを再ロードするか、SMTP の設定を更新して、新しい設定を有効にします。
インバウンド SMTP セッションの合計数を制限する
このタスクについて
デフォルトでは、SMTP サービスがサポートするインバウンドセッションの数に制限はありません。つまり、サーバーリソースで物理的に可能な数の接続がサポートされます。サーバーが受け付ける同時 SMTP セッションの数を制限するには、サーバーの NOTES.INI ファイルに変数 SMTPMaxSessions を設定し、xxx には、バッファリングせずに許可される最大セッション数を指定します。インバウンド SMTP 接続が指定した数に達すると、サーバーは追加の接続を拒否し、次のエラーを返します。
421 Server.domain.com SMTP service not available, closing transmission channel