指定外来中继控制的强制选项
在创建服务器的“配置设置”文档时,缺省情况下,SMTP 外来中继控制或反中继设置仅应用于所有外部主机,即不在本地因特网域中的主机。在设置了外来中继控制后,就可以通过选择外来中继强制实施选项来定制 Domino® 如何应用这些控制。
关于此任务
通过使用可用选项指定某些不强制执行中继控制的主机,可以指定强制执行中继控制的强度。可以根据以下因素来决定不强制执行中继的主机:
- 域位置 - 缺省情况下,Domino® 仅对本地因特网域以外的主机强制实施中继控制。通过将这些中继控制应用于所有的连接主机,可以执行更为严格的控制;也可以完全不放松中继控制,这样 Domino® 就不会执行任何中继检查(建议不要使用这种做法)。
- 认证状态 - 缺省情况下,Domino® 对通过认证的 SMTP 会话应用中继控制。可以让所有通过认证的用户免除中继检查,以便放松强制程度。
- 主机名或 IP 地址 -- 缺省情况下,对所有外部主机都要执行中继控制。可以指定希望免除中继检查的主机的列表(按 IP 地址或主机名)。
对内部主机应用中继限制
关于此任务
缺省情况下,Domino® 只对外部主机强制实施反中继设置。由于内部主机被免除反中继检查,因此即使内部主机明确列在外来中继控制的拒绝将来自以下因特网主机的消息发送到外部因特网域字段中,Domino® 也不会将该主机视为可能的中继。
根据环境情况,您可能希望对内部和外部主机都应用中继限制,以便扩展强制的范围。这等同于在 NOTES.INI 文件中设置变量 SMTPAllHostsExternal=1
。
对内部主机应用中继强制可以获得更安全、更受控制的路由。例如,可以配置 Domino® SMTP 服务器,以便只允许其他 Domino® 邮件服务器进行中继。这样做可以防止那些运行其他邮件客户机(如 POP 或 IMAP 客户机)的内部用户以及其他内部邮件系统中的服务器使用 Domino® SMTP 服务器向因特网发送邮件。
如果您的 Domino® SMTP 服务器接收来自双接口防火墙服务器的邮件,那么您也可以启用对内部主机的中继强制实施。出于安全考虑,一些组织不能将其 Domino® SMTP 服务器直接连接到因特网,而是改为选择设置内部 SMTP 中继主机或防火墙来接收发往组织的因特网域的因特网邮件。然后,中继或防火墙会将邮件路由到 Domino® SMTP 服务器,后者再将该邮件传输到组织的内部邮件服务器。
除非被拒绝将来自以下因特网主机的邮件发送到外部因特网域字段中的条目明确拒绝,否则本地因特网域中的主机始终可以中继到外部因特网域。
如果内部中继或防火墙没有实现其自己的中继控制,那么 Domino® SMTP 服务器可能接收发往非本地用户的邮件。如果将 Domino® 服务器设置为只对外部主机执行反中继强制实施,那么从内部中继或防火墙接收的邮件不受外来中继控制的约束,因为发送系统(中继或防火墙)属于同一本地因特网域。因此,如果路由器确定 RCPT TO 命令中列出的因特网地址在 Domino® 目录中的 $Users 视图内没有匹配项,就会将消息路由回因特网。
允许从外部本地域连接的已通过认证的用户使用中继
关于此任务
缺省情况下,如果您拒绝一个域或一组域(如所有外部域)使用中继,则被拒绝域中的所有主机都会受制于中继控制。这种限制级别将禁止那些通过外部域中的因特网服务提供商 (ISP) 连接到 Domino® 的远程 IMAP 或 POP3 客户机发送外发因特网邮件,因为 Domino® 不会将消息源识别为有效的中继源。
要确保 Domino® 允许 POP3 或 IMAP 用户发送外发因特网邮件,您可以定制中继强制实施以允许所有已认证的用户进行中继。在 Domino® SMTP 侦听器确定某个连接主机已通过认证后,它会将此连接视为如同源自某个本地用户,并不对此连接执行外来中继控制。
根据主机名或 IP 地址指定强制例外
关于此任务
缺省情况下,在您拒绝某个域的中继后,该域中的所有主机都要受制于中继控制。通过在不对这些连接主机执行反中继检查字段中输入主机名或 IP 地址,可以定制中继强制实施,以便允许域中的特定客户机或服务器进行中继。对于每个指定的例外,Domino® 不会强制实施外来中继控制。使用例外可允许本地因特网域以外的主机将 Domino® SMTP 服务器用作中继,以便向因特网发送邮件或从因特网接收邮件,同时仍防止 Domino® 被未经授权的因特网主机用作开放的中继。
指定中继强制
过程
- 确保要配置的服务器已经拥有“配置设置”文档。
- 在 Domino® Administrator 中,单击配置选项卡,并展开邮件处理部分。
- 单击配置。
- 选择要对其进行邮件限制的一个或多个邮件服务器的“配置设置”文档,然后单击编辑配置。
- 单击 选项卡。
- 填写外来中继强制实施部分中的以下字段,然后单击保存并关闭。
表 1. “外来中继强制实施”字段 字段 描述 对这些连接主机强制执行反中继 指定服务器对其强制执行外来中继控制的连接。选择以下某个选项:
- 外部主机 -(缺省值)服务器只将外来中继控制应用于从本地因特网域外部连接到它的主机。本地因特网域中的主机被免除禁止中继检查限制。本地因特网域由“全局域”文档定义(如果存在),或者被定义为主机服务器的因特网域。
- 所有连接的主机 - 服务器将外来中继控制应用于试图将邮件中继到外部因特网域的所有主机。
- 无 - 服务器忽略外来中继控制中的设置。所有主机始终都能使用中继。
认证用户例外 指定是否对连接到服务器时提供登录证书的用户免除外来中继控制检查。选择以下某个选项:
- 对通过认证的用户执行反中继检查 - 服务器不允许已认证的用户例外。通过认证的用户与未通过认证的用户都要接受相同的强制检查。
- 允许所有通过认证的用户中继 -(缺省值)使用有效名称和密码登录的用户不受适用的外来中继控制。使用此选项可以让从本地因特网域以外的 ISP 帐户连接到网络的 POP3 或 IMAP 用户进行中继。
反中继检查中不包含这些连接主机 可以创建一个异常列表,其中包含中继到任何允许的域的主机的 IP 地址或主机名。对于每个指定的异常,将不会强制要求外来中继控制。输入要免受限制(在外来中继控制部分中所指定)的主机的 IP 地址或主机名。您还可以在该字段中输入组名。
输入 IP 地址时,应将其用方括号括起来,例如 [127.0.0.1]。
可以使用通配符表示整个子网地址,但不能表示某个范围内的值。例如,[127.*.0.1] 有效,而 [123.123.12-*.123] 则无效。
- 重新装入 SMTP 任务,或者更新 SMTP 配置以使更改生效。