限制入站 SMTP 连接

为了防止您的邮件系统接受不需要的邮件, Domino ®提供了一组控件来限制传入的 SMTP 连接。通过外来连接控制,您可以指定Domino ®是否检查 DNS 中连接主机的名称,或者如果通过主机名或 IP 地址检查,是否检查服务器允许和拒绝连接的远程主机。

关于这个任务

为了确定是否允许或拒绝连接尝试, Domino ® SMTP 任务首先检查远程主机的 IP 地址,该地址由服务器的 TCP/IP 堆栈从传入的 IP 数据包头中读取。如果 IP 地址与入站连接控制字段中的任何条目都不匹配,则 SMTP 任务将执行第二次检查,查询 DNS 以获取给定地址的主机名。如果查询成功, Domino ®会将获取的名称与“允许”和“拒绝”字段中的主机名进行比较。

如果为内部 SMTP 服务器创建单独的“配置设置”文档,则可以使用入站连接控制来确保这些内部服务器仅接受来自特定 SMTP 主机的 SMTP 连接。例如,配置服务器以仅允许从 Internet 接收邮件的服务器建立 SMTP 连接。以这种方式限制连接可阻止使用 POP3 或 IMAP 客户端的用户通过服务器发送邮件,帮助您定义有效的出站路由路径,并限制服务器上的负载。

注意: SMTP 可以解析仅邮件或多用途组类型的名称。在配置设置文档中创建或修改 SMTP 和路由器设置时,请确保输入组类型为“仅邮件”或“多用途”的组名。这些组必须位于主目录中。这适用于“限制”选项卡、“SMTP 入站控制”选项卡和“SMTP 出站控制”选项卡上的设置。

除了这些入站连接控制之外, Domino ®还提供了另外两种阻止连接的方法:

  • DNS 黑名单过滤器

    DNS 黑名单过滤器使服务器能够在 SMTP 对话期间根据一个或多个黑名单检查主机。如果连接主机与黑名单中的条目匹配,则可以配置服务器以拒绝连接、标记任何收到的消息或在Notes ®日志中记录事务。

  • 通过Domino ®扩展管理器 (EM) 服务访问 SMTP 监听器。

    扩展管理器 (EM) 服务允许开发人员访问 SMTP 侦听器任务的某些功能。扩展管理器 (EM) 允许可执行程序库(例如动态链接库或共享对象库)注册一个回调例程,该例程将在Domino ®执行选定的内部操作之前、之后或前后调用。在 SMTP 侦听器中使用 EM 挂钩可以通过提供以下功能来扩展当前功能:

    • 额外的反垃圾邮件控制
    • 自定义地址翻译
    • 自定义 SMTP 响应
    • 拦截信息

    Domino ® C API 头文件 EXTMGR.H(包含在软件开发工具包中)定义了受支持的扩展管理器通知事件和类型的符号。

    有关扩展管理器和注册回调例程的其他信息,请参阅Lotus ® C API Toolkit for Notes/Domino,它列在本主题末尾相关参考资料链接的附加文档资源主题中。

To restrict inbound SMTP connection

程序

  1. 确保您已经拥有要配置的服务器的配置设置文档。
  2. Domino ® Administrator 中,单击“配置”选项卡并展开“消息传递”部分。
  3. 单击配置
  4. 选择您想要限制邮件的邮件服务器的“配置设置”文档,然后单击“编辑配置”
  5. 单击路由器/SMTP > 限制和控制 > SMTP 入站控制选项卡。
  6. 填写“入站连接控制”部分中的这些字段,然后单击“保存并关闭”
    Table 1. Inbound Connection Controls

    场地

    进入

    验证 DNS 中的连接主机名

    选一个:

    • 已启用 — Domino ®通过执行反向 DNS 查找来验证连接主机的名称。Domino ®检查 DNS 中是否存在与连接主机的 IP 地址和主机名相匹配的 PTR 记录。如果Domino ®由于 DNS 不可用或不存在 PTR 记录而无法确定远程主机的名称,则不允许该主机传输邮件。尽管Domino ®接受了初始连接,但在稍后的 SMTP 事务中,它会响应 MAIL FROM 命令并向连接主机返回错误。Internet SMTP 主机不需要在 DNS 中具有 PTR 条目。因此,当启用此字段时,SMTP 任务可能会拒绝来自有效 SMTP 主机的连接。
    • 禁用 —(默认) Domino ®不检查 DNS 来验证连接主机的名称。

    仅允许来自以下 SMTP Internet 主机名/IP 地址的连接

    允许连接到此服务器上的 SMTP 服务的主机名、组名和/或 IP 地址。如果在此字段中输入主机名和/或 IP 地址,则只有与这些条目匹配的服务器才能连接到 SMTP 侦听器;所有其他服务器的连接请求都会被拒绝。

    在括号中输入 IP 地址 - 例如,[192.168.10.17]。

    主机名条目可能是完整的,如特定服务器的完全限定主机名,也可能是部分的,并暗示通配符的存在。也就是说,如果您输入:

    美国广播公司

    Domino ®扩展仅接受来自 *abc.com 所表示的域中的邮件主机的连接,即所有以 abc.com 结尾的主机名,包括 smtp.abc.com 和 mailhost.abc.com。Domino ®拒绝所有其他连接请求。

    如果指定主机名条目,则每次主机连接时, Domino ®都会检查 DNS 以查找连接主机的 PTR 记录。如果Domino ®由于 DNS 不可用或不存在 PTR 记录而无法将 IP 地址解析为主机名,则不会从该连接接受任何邮件。

    拒绝来自以下 SMTP Internet 主机名/IP 地址的连接

    不允许连接到此服务器上的 SMTP 服务的主机名、组名和/或 IP 地址。如果在此字段中输入主机名和/或 IP 地址,则除与此字段中的条目匹配的服务器之外的所有服务器都可以连接到 SMTP 侦听器;仅拒绝与此字段中的条目匹配的服务器的连接请求。

    在括号中输入 IP 地址 - 例如,[192.168.10.17]。

    主机名条目可能是完整的,如特定服务器的完全限定主机名,也可能是部分的并使用隐含的通配符。也就是说,如果您输入:

    美国广播公司

    Domino ®隐式地将限制扩展到被拒绝域内的所有邮件主机,拒绝来自 *abc.com 的连接,即 abc.com 域中的所有主机,包括 smtp.abc.com 和 mailhost.abc.com。

    条目 abc.com 不会阻止来自 xyzabc.com 的连接。

    请勿在条目中使用前导点 (.);例如,.abc.com。由于Domino ®与前导点不匹配,因此条目 .abc.com 不会阻止来自域 abc.com 的连接。
    连接终止前的错误限制 指定会话连接终止之前允许的最大协议错误数。
  7. 重新加载 SMTP 任务或更新 SMTP 配置以使更改生效。

Restricting the total number of inbound SMTP sessions

关于这个任务

默认情况下,SMTP 服务支持无限数量的入站会话;也就是说,只要服务器资源物理允许,就可以支持任意数量的连接。要限制服务器接受的并发 SMTP 会话数,请设置变量 SMTPMaxSessions 在服务器的NOTES.INI文件中,其中 xxx 是在没有任何缓冲的情况下允许的最大会话数。当达到指定的入站 SMTP 连接数时,服务器将拒绝其他连接并返回以下错误:

421 Server.domain.com SMTP service not available, closing transmission channel