配置 Domino SMTP 服务器以减少垃圾邮件
可以将直接从因特网接收 SMTP 邮件的 Domino 服务器配置为使用 SPF 协议,来评估发送服务器是否为授权服务器。
发件人策略框架 (SPF) 是一种用于减少电子邮件欺骗的标准化协议。它允许从另一个 SMTP 服务器接收邮件的 SMTP 服务器通过 IP 地址将发送服务器认证为来自邮件明显发件人域的邮件的授权发件人。发送域通过 TXT 记录在其 DNS 中发布 SPF 策略。接收服务器通过 DNS 查找来检索发送域的 SPF 策略,并确定是否将发送服务器的 IP 地址指定为来自该域的邮件的授权发件人。如果发送服务器不是授权发件人,那么该策略指定如何对 SPF 评估结果进行分类。
| 结果 | 原因 | 不可信? |
|---|---|---|
| 无 | 在 DNS 中找不到可用于验证发送服务器的语法有效 SPF 策略,或者明显邮件发件人的域未发布任何 SPF 记录,因此无法进行评估。 | 否 |
| 不确定 | 发送域的 SPF 策略明确声明它没有断言 IP 地址是否被授权。 | 否 |
| 通过 | 发送 SMTP 服务器的 IP 已根据明显发件人的域在 DNS 中发布的 SPF 策略进行验证。 | 否 |
| 失败 | 发送 SMTP 服务器的 IP 未根据明显发件人的域在 DNS 中发布的 SPF 策略进行验证,并且 SPF 策略明确声明将发件人视为无权为明显发件人的域发送邮件。 | 是 |
| 软失败 | 根据 SPF 策略,“软失败”结果是明显发件人的域发布的弱声明,即主机可能未获授权。它没有发布导致“失败”的更强有力、更明确的策略。 | 否 |
| 暂时性错误 | Domino 在执行检查时遇到暂时性错误,通常是 DNS。稍后的重试可能会成功,而无需明显发件人的域执行进一步操作。 | 否 |
| 永久性错误 | 无法正确解释明显发件人的域的已发布记录。这标志着需要明显发件人域的干预才能解决的错误情况。 | 是 |
域密钥识别邮件 (DKIM) 是一种用于减少电子邮件欺骗的标准化协议。发送域可以将链接到域名的一个或多个 DKIM 签名头附加到邮件中。然后,接收服务器可以使用这些签名和发送域在 DNS 中发布的公用密钥来验证邮件是否已由域授权,以及邮件的内容是否未在传输过程中修改。Domino 会在附加到邮件的 Authentication-Results 头中记录每个签名验证的结果。最终用户通常看不到签名和认证结果。
| 结果 | 原因 | 不可信? |
|---|---|---|
| 无 | 在邮件中找不到 DKIM 签名 | 否 |
| 不确定 | 邮件已签名,但签名包含语法错误或无法处理。此结果还用于此列表中其他未涵盖的失败情况。 | 否 |
| 通过 | 邮件已签名,签名可接受并且签名通过了验证。 | 否 |
| 失败 | 邮件已签名并且签名可接受,但它们未通过验证。 | 是 |
| 暂时性错误 | 由于某些可能是暂时性的错误(例如暂时无法从 DNS 检索公用密钥),邮件无法验证。稍后的尝试可能会产生最终结果。 | 否 |
| 永久性错误 | 由于某些不可恢复的错误(例如缺少必填头字段),邮件无法验证。稍后的尝试不太可能产生最终结果。 | 否 |
DKIM 签名验证可能会导致多次 DNS 查找,因此可能会影响 SMTP 服务器的性能。Domino 利用内部高速缓存来减少这种影响。
域可以选择使用多个签名对邮件进行签名。例如,域可以选择使用多个签名算法。如果其中任何一个签名通过,则邮件被视为可信。
关于本任务
可以将直接从因特网接收 SMTP 邮件的 Domino 服务器配置为使用 SPF 和 DKIM 签名验证。由于发送服务器的 IP 地址用作 SPF 评估的输入,因此通常不应在非面向外部的服务器上启用 SPF 评估。执行 SPF 评估的 Domino 服务器会将 Received-SPF 头添加到接收到的邮件及其评估结果,并会将结果添加到 Authentication-Results 头。执行 DKIM 签名验证的 Domino 服务器会将每个签名的验证结果添加到 Authentication-Results 头。
操作步骤
- 在 Domino® Administrator 中,单击配置选项卡,并展开邮件处理部分。
- 单击配置。
- 选择要管理的 SMTP 服务器的配置设置文档,然后单击编辑配置。
- 单击。
- 找到外来发件人域认证控制部分。
- 如果需要 DKIM 签名验证,请在 DKIM 签名验证字段中将设置更改为 启用 。
- 在发件人策略框架 (SPF) 检查字段中,将设置更改为启用。
- 在当发送 IP 对发件人域的 SPF 检查硬失败时所需执行的操作字段中,选择要对由于 SPF 评估而被确定为不可信的邮件执行的操作:
- 记录并标记邮件 - 在服务器控制台中输出邮件,并记录用于确定失败的域和 IP 地址。例如,“SMTP 服务器:邮件将被标记但允许。域 example.com 的 SPF 策略未将主机 10.100.127.35 指定为允许的发件人。” 会在 Received-SPF 头和 Authentication-Results 头中记录 SPF 评估结果状态。
- 记录并拒绝邮件 - 在服务器控制台中输出邮件,并记录用于确定失败的域和 IP 地址。例如,“SMTP 服务器:由于策略原因邮件被拒绝。域 example.com 的 SPF 策略未将主机 10.100.127.35 指定为允许的发件人。” 通过向发送 SMTP 服务器返回以下消息来拒绝协议中的邮件:“554 由于策略原因邮件被拒绝。域 example.com 的 SPF 策略未将主机 10.100.127.35 指定为允许的发件人。”
- 如果您有内部服务器或可信的外部服务器,您通过 SMTP 协议从这些服务器接收邮件并且您不想对其执行 SPF 检查,请在不对以下因特网主机名/IP 地址执行 SPF 检查字段中输入这些服务器。
- 管理员可以选择将标记为不可信的邮件发送到收件人的“垃圾邮件”文件夹。请参阅将不可信邮件传递到“垃圾邮件”文件夹以配置用于发送到“垃圾邮件”文件夹的控件。