Restreindre les connexions SMTP entrantes

Pour empêcher votre système de messagerie d'accepter du courrier indésirable, Domino ® fournit un ensemble de contrôles qui vous permettent de restreindre les connexions SMTP entrantes. Les contrôles de connexion entrante vous permettent de spécifier si Domino ® vérifie les noms des hôtes connectés dans DNS ou, par nom d'hôte ou adresse IP, les hôtes distants à partir desquels le serveur autorise et refuse les connexions.

À propos de cette tâche

Pour déterminer si une tentative de connexion est autorisée ou refusée, la tâche SMTP Domino ® vérifie d'abord l'adresse IP de l'hôte distant, que la pile TCP/IP du serveur lit à partir des en-têtes de paquets IP entrants. Si l'adresse IP ne correspond à aucune entrée dans les champs de contrôle de connexion entrante, la tâche SMTP effectue une deuxième vérification, en interrogeant le DNS pour obtenir le nom d'hôte pour l'adresse donnée. Si la requête réussit, Domino ® compare le nom obtenu aux noms d’hôtes dans les champs Autoriser et Refuser.

Si vous créez un document de paramètres de configuration distinct pour vos serveurs SMTP internes, vous pouvez utiliser les contrôles de connexion entrante pour garantir que ces serveurs internes acceptent uniquement les connexions SMTP provenant d'hôtes SMTP spécifiques. Par exemple, configurez les serveurs pour autoriser les connexions SMTP uniquement à partir de serveurs qui reçoivent du courrier provenant d’Internet. Restreindre les connexions de cette manière empêche les utilisateurs disposant de clients POP3 ou IMAP d'envoyer du courrier via le serveur, vous aide à définir des chemins de routage sortants valides et limite la charge sur le serveur.

Remarque : SMTP peut résoudre les noms des types de groupe de type Courrier uniquement ou Multi-usage. Lorsque vous créez ou modifiez les paramètres SMTP et du routeur dans le document Paramètres de configuration, veillez à saisir des noms de groupe ayant un type de groupe de messagerie uniquement ou polyvalent. Ces groupes doivent être dans le répertoire principal. Cela s'applique aux paramètres de l'onglet Restrictions, de l'onglet Contrôles entrants SMTP et de l'onglet Contrôles sortants SMTP.

En plus de ces contrôles de connexion entrante, Domino ® fournit deux autres moyens pour bloquer les connexions :

  • Filtres de liste noire DNS

    Les filtres de liste noire DNS permettent à un serveur de vérifier un hôte par rapport à une ou plusieurs listes noires pendant la conversation SMTP. Si un hôte connecté correspond à une entrée dans une liste noire, vous pouvez configurer le serveur pour rejeter la connexion, marquer tous les messages reçus ou enregistrer la transaction dans le journal Notes ® .

  • Accès à l'écouteur SMTP via les services Domino ® Extension Manager (EM).

    Les services Extension Manager (EM) permettent aux développeurs d'accéder à certaines fonctions de la tâche SMTP Listener. Le gestionnaire d'extensions (EM) permet à une bibliothèque de programmes exécutables, telle qu'une bibliothèque de liens dynamiques ou une bibliothèque d'objets partagés, d'enregistrer une routine de rappel qui sera appelée avant, après ou avant et après que Domino ® ait effectué des opérations internes sélectionnées. L'utilisation de hooks EM dans l'écouteur SMTP peut étendre les fonctionnalités actuelles en fournissant :

    • Contrôles anti-spam supplémentaires
    • Traduction d'adresse personnalisée
    • Réponses SMTP personnalisées
    • Interception de messages

    Le fichier d'en-tête API Domino ® C EXTMGR.H, inclus dans le kit de développement logiciel, définit les symboles pour les événements et types de notification du gestionnaire d'extensions pris en charge.

    Pour plus d'informations sur le gestionnaire d'extensions et l'enregistrement des routines de rappel, consultez la boîte à outils Lotus ® C API pour Notes/Domino, répertoriée dans la rubrique Ressources de documentation supplémentaires liée aux références associées à la fin de cette rubrique.

To restrict inbound SMTP connection

Procédure

  1. Assurez-vous que vous disposez déjà d'un document Paramètres de configuration pour le(s) serveur(s) à configurer.
  2. From the Domino® Administrator, click the Configuration tab and expand the Messaging section.
  3. Cliquez sur Configurations .
  4. Sélectionnez le document Paramètres de configuration pour le ou les serveurs de messagerie sur lesquels vous souhaitez restreindre le courrier, puis cliquez sur Modifier la configuration .
  5. Cliquez sur le routeur/SMTP > Restrictions et contrôles > Onglet Contrôles entrants SMTP .
  6. Remplissez ces champs dans la section Contrôles de connexion entrante , puis cliquez sur Enregistrer et fermer .
    Tableau 1 . Contrôles des connexions entrantes

    Champ

    Entrer

    Vérifier le nom de l'hôte connecté dans DNS

    Choisissez-en un:

    • Activé – Domino ® vérifie le nom de l’hôte connecté en effectuant une recherche DNS inversée. Domino ® vérifie le DNS pour un enregistrement PTR qui correspond à l'adresse IP de l'hôte de connexion à un nom d'hôte. Si Domino ® ne peut pas déterminer le nom de l'hôte distant parce que le DNS n'est pas disponible ou qu'aucun enregistrement PTR n'existe, il n'autorise pas l'hôte à transférer le courrier. Bien que Domino ® accepte la connexion initiale, plus tard dans la transaction SMTP, il renvoie une erreur à l'hôte de connexion en réponse à la commande MAIL FROM. Les hôtes SMTP Internet ne sont pas tenus d’avoir des entrées PTR dans DNS. Par conséquent, lorsque ce champ est activé, la tâche SMTP peut rejeter les connexions provenant d’hôtes SMTP valides.
    • Désactivé - (par défaut) Domino ® ne vérifie pas le DNS pour vérifier le nom de l'hôte connecté.

    Autoriser les connexions uniquement à partir des noms d'hôtes/adresses IP Internet SMTP suivants

    Les noms d’hôtes, les noms de groupes et/ou les adresses IP autorisés à se connecter au service SMTP sur ce serveur. Si vous entrez des noms d'hôtes et/ou des adresses IP dans ce champ, seuls les serveurs correspondant à ces entrées peuvent se connecter à l'écouteur SMTP ; les demandes de connexion de tous les autres serveurs sont refusées.

    Saisissez les adresses IP entre parenthèses, par exemple [192.168.10.17].

    Les entrées de nom d'hôte peuvent être complètes, comme dans le nom d'hôte entièrement qualifié d'un serveur particulier, ou partielles et impliquer l'existence d'un caractère générique. C'est-à-dire, si vous entrez :

    abc.com

    Domino ® extends accepte uniquement les connexions provenant d'hôtes de messagerie dans les domaines représentés par *abc.com, c'est-à-dire tous les noms d'hôtes se terminant par abc.com, y compris smtp.abc.com et mailhost.abc.com. Domino ® rejette toutes les autres demandes de connexion.

    Si vous spécifiez des entrées de nom d'hôte, chaque fois qu'un hôte se connecte, Domino ® vérifie le DNS pour un enregistrement PTR pour l'hôte qui se connecte. Si Domino ® ne peut pas résoudre l'adresse IP en un nom d'hôte parce que le DNS n'est pas disponible ou qu'aucun enregistrement PTR n'existe, aucun courrier n'est accepté depuis la connexion.

    Refuser les connexions à partir des noms d'hôtes/adresses IP Internet SMTP suivants

    Les noms d'hôtes, le nom de groupe et/ou les adresses IP qui ne sont pas autorisés à se connecter au service SMTP sur ce serveur. Si vous entrez des noms d'hôtes et/ou des adresses IP dans ce champ, tous les serveurs, à l'exception de ceux correspondant aux entrées de ce champ, peuvent se connecter à l'écouteur SMTP ; les demandes de connexion sont refusées uniquement pour les serveurs correspondant aux entrées de ce champ.

    Saisissez les adresses IP entre parenthèses, par exemple [192.168.10.17].

    Les entrées de nom d'hôte peuvent être complètes, comme dans le nom d'hôte entièrement qualifié d'un serveur particulier, ou partielles et utiliser un caractère générique implicite. C'est-à-dire, si vous entrez :

    abc.com

    Domino ® étend implicitement la restriction à tous les hôtes de messagerie dans le domaine refusé, refusant les connexions depuis *abc.com, c'est-à-dire tous les hôtes du domaine abc.com, y compris smtp.abc.com et mailhost.abc.com.

    L'entrée abc.com n'empêche pas les connexions depuis xyzabc.com.

    N'utilisez pas de point (.) en tête d'une entrée ; par exemple, .abc.com. Étant donné que Domino ® ne correspond pas au point d'initiale, l'entrée .abc.com n'empêche pas les connexions provenant du domaine abc.com.
    Limite d'erreur avant la fin de la connexion Spécifiez le nombre maximal d’erreurs de protocole autorisées avant la fin d’une connexion de session.
  7. Rechargez la tâche SMTP ou mettez à jour la configuration SMTP pour appliquer les modifications.

Restricting the total number of inbound SMTP sessions

À propos de cette tâche

Par défaut, le service SMTP prend en charge un nombre illimité de sessions entrantes, c'est-à-dire autant de connexions que les ressources du serveur le permettent physiquement. Pour limiter le nombre de sessions SMTP simultanées qu'un serveur accepte, définissez la variable SMTPMaxSessions dans le fichier NOTES.INI du serveur, où xxx est le nombre maximal de sessions autorisées sans mise en mémoire tampon. Lorsque le nombre spécifié de connexions SMTP entrantes est atteint, le serveur refuse les connexions supplémentaires et renvoie l'erreur suivante :

421 Server.domain.com SMTP service not available, closing transmission channel