限制外来 SMTP 连接

为了防止邮件系统接受不需要的邮件,Domino® 提供了一组控制以允许您限制入局 SMTP 连接。“外来连接”控制允许您指定 Domino® 是否检查 DNS 中的连接主机的名称,或者按主机名或 IP 地址指定服务器允许和拒绝其连接的远程主机。

关于此任务

为了确定是允许还是拒绝某个连接尝试,Domino® SMTP 任务会首先检查远程主机的 IP 地址,此地址是服务器的 TCP/IP 堆栈从入局 IP 包头中读取的。如果 IP 地址与“外来连接控制”字段中的任意项都不匹配,SMTP 任务会执行第二次检查,查询 DNS 以获取给定地址的主机名称。如果查询成功,Domino® 会将获取的名称与“允许”和“拒绝”字段中的主机名进行比较。

如果为内部的 SMTP 服务器创建单独的配置设置文档,您可以使用外来连接控制来确保这些内部服务器只接受来自指定 SMTP 主机的 SMTP 连接。例如,将服务器配置为仅允许与那些从因特网接收邮件的服务器建立 SMTP 连接。使用这种方式来限制连接可以禁止使用 POP3 或 IMAP 客户机的用户通过该服务器发送邮件,从而帮助您定义有效的外发路由路径并限制服务器的负载。

注: SMTP 可以为“仅邮件”或“多用途”组类型解析名称。在配置设置文档中创建或修改 SMTP 和路由器设置时,请确保输入组类型为“仅邮件”或“多用途”的组名称。这些组必须属于主目录。该操作适用于“限制”选项卡、“SMTP 外来控制”选项卡和“SMTP 外发控制”选项卡中的设置。

除了这些外来连接控制外,Domino® 还提供了其他两种阻塞连接的方法:

  • DNS 黑名单过滤器

    在 SMTP 对话过程中,DNS 黑名单过滤器会使服务器能够对照一个或多个黑名单来检查主机。如果连接主机与黑名单中的条目匹配,您可以配置服务器以拒绝该连接,标记已接收的任何消息或在 Notes® 日志中记录事务。

  • 通过 Domino® Extension Manager (EM) 服务访问 SMTP 侦听器。

    EM (Extension Manager) 服务允许开发人员访问 SMTP Listener 任务的某些功能。Extension Manager (EM) 允许可执行程序库(如动态链接库或共享对象库)注册回调例程,以在 Domino® 执行选定的内部操作之前和/或之后调用该例程。使用 SMTP Listener 中的 EM 挂钩可以通过提供下列功能来扩展当前功能:

    • 附加的防止垃圾邮件控制
    • 定制地址转换
    • 定制 SMTP 响应
    • 邮件截获

    软件开发包中包含的 Domino® C API 头文件 EXTMGR.H 定义了受支持的 Extension Manager 通知事件和类型的符号。

    有关 Extension Manager 和注册回调例程的其他信息,请参阅从本主题末尾相关引用中链接的其他文档资源主题中列出的 Lotus® C API Toolkit for Notes/Domino。

限制外来 SMTP 连接

过程

  1. 确保要配置的服务器已经拥有“配置设置”文档。
  2. Domino® Administrator 中,单击配置选项卡,并展开邮件处理部分。
  3. 单击配置
  4. 选择要对其进行邮件限制的一个或多个邮件服务器的“配置设置”文档,然后单击编辑配置
  5. 单击路由器/SMTP > 限制和控制 > SMTP 外来控制选项卡。
  6. 填写外来连接控制部分中的以下字段,然后单击保存并关闭
    1. 外来连接控制

    字段

    Enter 键

    通过 DNS 验证连接主机名

    选择以下某个选项:

    • 已启用 - Domino® 通过执行反向 DNS 查找来验证连接主机的名称。Domino® 在 DNS 中检查将连接主机的 IP 地址与主机名相匹配的 PTR 记录。如果由于 DNS 不可用或 PTR 记录不存在而使 Domino® 无法确定远程主机的名称,那么 Domino 将不允许该主机传输邮件。虽然 Domino® 接受了初始连接,但之后在 SMTP 事务中向连接主机返回了错误,以响应 MAIL FROM 命令。因特网 SMTP 主机在 DNS 中不一定有 PTR 项。因此,如果启用此字段,SMTP 任务可能会拒绝来自有效 SMTP 主机的连接。
    • 已禁用 -(缺省值)Domino® 不会检查 DNS 来验证连接主机的名称。

    仅允许从以下 SMTP 因特网主机名/IP 地址进行连接

    允许连接到此服务器上的 SMTP 服务的主机名、组名和/或 IP 地址。如果在此字段中输入主机名和/或 IP 地址,那么只有与这些条目匹配的服务器才能连接到 SMTP 侦听器;来自其他所有服务器的连接请求都将被拒绝。

    输入的 IP 地址应用方括号括起来,如 [192.168.10.17]。

    主机名条目可能是完整的,就像在特定服务器的标准主机名中显示的一样,或者只是一部分,即使用通配符。例如,如果输入:

    abc.com

    Domino® 将只接受来自域中以 *abc.com 表示的邮件主机(即,名称以 abc.com 结尾的所有主机,包括 smtp.abc.com 和 mailhost.abc.com)的连接。Domino® 将拒绝所有其他连接请求。

    如果指定主机名条目,那么每次主机进行连接时,Domino® 都将检查 DNS 以查找连接主机的 PTR 记录。如果由于 DNS 不可用或 PTR 记录不存在而使 Domino® 无法将 IP 地址解析为主机名,那么无法通过此连接接受邮件。

    拒绝从以下 SMTP 因特网主机名/IP 地址进行连接

    不允许连接到此服务器上的 SMTP 服务的主机名、组名和/或 IP 地址。如果在此字段中输入主机名和/或 IP 地址,那么除匹配此字段中的项目的服务器以外的其他所有服务器都可以连接到 SMTP 侦听程序,从匹配此字段中项目的服务器发出的连接请求将被拒绝。

    输入的 IP 地址应用方括号括起来,如 [192.168.10.17]。

    主机名条目可能是完整的,就像在特定服务器的标准的主机名中显示的一样,或者只是一部分,即使用通配符。例如,如果输入:

    abc.com 

    Domino® 隐式将限制扩展到被拒绝的域中的所有邮件主机,从而拒绝来自 *abc.com(即,abc.com 域中的所有主机,包括 smtp.abc.com 和 mailhost.abc.com)的连接。

    项目 abc.com 不会禁止来自 xyzabc.com 的连接。

    请不要在条目中使用前导点号 (.),例如,.abc.com。由于 Domino® 不会与前导点号匹配,因此条目 .abc.com 不会阻止源自 abc.com 域的连接。

    连接终止前的错误限制 指定会话连接终止前允许发生的最大协议错误数。
  7. 重新装入 SMTP 任务,或者更新 SMTP 配置以使更改生效。

限制外来 SMTP 会话的总数

关于此任务

缺省情况下,SMTP 服务支持的外来会话数不受限制,即服务器资源物理上允许多少连接数,SMTP 服务就支持多少外来会话数。要限制服务器可接受的并发 SMTP 会话数,请在服务器的 NOTES.INI 文件中设置变量 SMTPMaxSessions,其中 xxx 是不进行任何缓冲的情况下允许的最大会话数。当到达指定的外来 SMTP 数后,服务器会拒绝其他连接并返回以下错误:

421 Server.domain.com SMTP service not available, closing transmission channel