限制入站 SMTP 連接

為了防止郵件系統接受不需要的郵件, Domino ®提供了一組控制項來限制傳入的 SMTP 連線。入站連接控制項可讓您指定Domino ®是否檢查 DNS 中連接主機的名稱,或者如果透過主機名稱或 IP 位址,則檢查伺服器允許和拒絕連接的遠端主機。

關於這個任務

為了確定是否允許或拒絕連線嘗試, Domino ® SMTP 任務首先檢查遠端主機的 IP 位址,伺服器的 TCP/IP 堆疊會從傳入的 IP 封包標頭中讀取該位址。如果 IP 位址與入站連線控製欄位中的任何項目都不匹配,則 SMTP 任務將執行第二次檢查,查詢 DNS 以取得給定位址的主機名稱。如果查詢成功, Domino ®會將獲得的名稱與「允許」和「拒絕」欄位中的主機名稱進行比較。

如果您為內部 SMTP 伺服器建立單獨的配置設定文檔,則可以使用入站連線控制來確保這些內部伺服器僅接受來自特定 SMTP 主機的 SMTP 連線。例如,將伺服器設定為僅允許來自 Internet 接收郵件的伺服器的 SMTP 連線。以這種方式限制連線可以防止具有 POP3 或 IMAP 用戶端的使用者透過伺服器傳送郵件,幫助您定義有效的出站路由路徑,並限制伺服器上的負載。

注意: SMTP 可以解析「僅郵件」或「多用途」群組類型的名稱。當您在設定設定文件中建立或修改 SMTP 和路由器設定時,請務必輸入群組類型為「僅郵件」或「多用途」的群組名稱。這些群組必須位於主目錄中。這適用於「限制」標籤、「SMTP 入站控制」標籤和「SMTP 出站控制」標籤上的設定。

除了這些入站連線控制之外, Domino ®還提供另外兩種阻止連線的方法:

  • DNS 黑名單過濾器

    DNS 黑名單過濾器可讓伺服器在 SMTP 會話期間根據一個或多個黑名單檢查主機。如果連接主機與黑名單中的項目匹配,您可以將伺服器設定為拒絕連線、標記任何收到的訊息或在Notes ®記錄中記錄交易。

  • 透過Domino ® Extension Manager (EM) 服務存取 SMTP 偵聽器。

    擴充管理員 (EM) 服務可讓開發人員存取 SMTP 偵聽器任務的某些功能。擴充功能管理器 (EM) 允許可執行程式庫(例如動態連結程式庫或共用物件庫)註冊回呼例程,該例程將在Domino ®執行選定的內部操作之前、之後或之前和之後呼叫。在 SMTP 偵聽器中使用 EM 掛鉤可以透過提供以下功能來擴充目前功能:

    • 額外的反垃圾郵件控制
    • 自訂地址翻譯
    • 自訂 SMTP 回應
    • 訊息攔截

    軟體開發工具包中包含的Domino ® C API 頭檔 EXTMGR.H 定義了支援的 Extension Manager 通知事件和類型的符號。

    有關擴展管理器和註冊回調例程的其他信息,請參閱Lotus ® C API Toolkit for Notes/Domino,該主題列於其他文檔資源主題(從本主題末尾的相關參考連結連結)。

限制入站 SMTP 連接

程序

  1. 確保您已經擁有要設定的伺服器的配置設定文件。
  2. Domino ® Administrator 中,按一下「設定」標籤並展開「訊息傳遞」部分。
  3. 按一下“配置”
  4. 選擇要限制郵件的郵件伺服器的「配置設定」文檔,然後按一下「編輯配置」
  5. 點選路由器/SMTP > 限制和控制 > SMTP 入站控制標籤。
  6. 填寫「入站連線控制」部分中的這些字段,然後按一下「儲存並關閉」
    1 .入站連接控制

    場地

    進入

    驗證 DNS 中的連線主機名

    選一個:

    • 啟用 - Domino ®透過執行反向 DNS 查找來驗證連接主機的名稱。Domino ®檢查 DNS 中是否有與連接主機的 IP 位址與主機名稱相符的 PTR 記錄。如果Domino ®由於 DNS 不可用或不存在 PTR 記錄而無法確定遠端主機的名稱,則不允許該主機傳輸郵件。儘管Domino ®接受初始連接,但在稍後的SMTP 事務中,它會向連接主機傳回錯誤以回應MAIL FROM 命令。Internet SMTP 主機不需要在 DNS 中具有 PTR 項目。因此,當啟用此欄位時,SMTP 任務可能會拒絕來自有效 SMTP 主機的連線。
    • 停用 -(預設) Domino ®不會檢查 DNS 來驗證連線主機的名稱。

    僅允許來自下列 SMTP Internet 主機名稱/IP 位址的連接

    允許連接到該伺服器上的 SMTP 服務的主機名稱、群組名稱和/或 IP 位址。如果在此欄位中輸入主機名稱和/或 IP 位址,則只有與這些項目相符的伺服器才能連接到 SMTP 偵聽器;來自所有其他伺服器的連接請求都被拒絕。

    在括號中輸入 IP 位址 - 例如,[192.168.10.17]。

    主機名條目可以是完整的,如特定伺服器的完全限定主機名,也可以是部分的並暗示存在通配符。也就是說,如果您輸入:

    abc.com

    Domino ® Extends 僅接受來自 *abc.com 表示的網域中的郵件主機的連接,即所有以 abc.com 結尾的主機名,包括 smtp.abc.com 和 mailhost.abc.com。Domino ®拒絕所有其他連線要求。

    如果指定主機名稱項目,則每次主機連線時, Domino ®都會在 DNS 中檢查連接主機的 PTR 記錄。如果Domino ®由於 DNS 不可用或不存在 PTR 記錄而無法將 IP 位址解析為主機名,則不會從該連線接受任何郵件。

    拒絕來自下列 SMTP Internet 主機名稱/IP 位址的連接

    不允許連接到該伺服器上的 SMTP 服務的主機名稱、群組名稱和/或 IP 位址。如果在此欄位中輸入主機名稱和/或 IP 位址,則除此欄位中符合的項目之外的所有伺服器都可以連接到 SMTP 偵聽器;僅拒絕與此欄位中的條目相符的伺服器的連線請求。

    在括號中輸入 IP 位址 - 例如,[192.168.10.17]。

    主機名條目可以是完整的,如特定伺服器的完全限定主機名,也可以是部分的並使用隱含的通配符。也就是說,如果您輸入:

    abc.com

    Domino ®隱含地將限制擴展到被拒絕網域內的所有郵件主機,拒絕來自 *abc.com 的連接,即 abc.com 網域中的所有主機,包括 smtp.abc.com 和 mailhost.abc.com。

    條目 abc.com 不會阻止來自 xyzabc.com 的連線。

    請勿在條目中使用前導點 (.);例如,.abc.com。由於Domino ®與前導點不匹配,因此條目 .abc.com 不會阻止源自域 abc.com 的連接。
    連線終止前的錯誤限制 指定會話連線終止之前允許的最大協定錯誤數。
  7. 重新載入 SMTP 任務或更新 SMTP 配置以使變更生效。

限制入站 SMTP 會話總數

關於這個任務

預設情況下,SMTP 服務支援無限數量的入站工作階段;也就是說,伺服器資源物理允許的連線數。若要限制伺服器接受的並發 SMTP 會話數,請設定變數 SMTPMaxSessions 在伺服器的NOTES.INI檔案中,其中xxx 是在沒有任何緩衝的情況下允許的最大會話數。當達到指定的入站 SMTP 連線數時,伺服器將拒絕其他連線並傳回下列錯誤:

421 Server.domain.com SMTP service not available, closing transmission channel