インバウンドリレー制御の実施を指定する

サーバーのサーバー設定文書を作成するとき、デフォルトでは、SMTP インバウンドリレー制御、つまりアンチリレー設定がすべての外部ホスト (ローカルインターネットドメインの外にあるホスト) のみに適用されます。受信リレー制御を設定したら、受信リレー強制オプションを選択して、 Domino ® がそれらを適用する方法をカスタマイズできます。

このタスクについて

使用可能なオプションで、特定のホストを制限から除外し、リレー制御をどのくらい厳しく実施するのかを指定できます。次の事項に基づいてリレー制御の実施からホストを除外できます。

  • ドメインの場所 - デフォルトでは、 Domino ® はローカルインターネットドメイン外のホストに対してのみリレー制御を適用します。すべての接続ホストに適用してより厳格な制御を実施することも、 Domino ® がリレー チェックを実行しないように完全に制御を緩和することもできます (推奨されません)。
  • 認証ステータス - デフォルトでは、 Domino ® は認証された SMTP セッションにリレー制御を適用します。認証されたすべてのユーザーをリレーチェックから除外して適用を緩めることができます。
  • ホスト名または IP アドレス - デフォルトでは、すべての外部ホストにリレー制御が適用されます。リレーチェックから除外するホストのリストを IP アドレスまたはホスト名で指定できます。

内部ホストにリレー制限を適用する

このタスクについて

デフォルトでは、 Domino ® は外部ホストに対してのみリレー防止設定を適用します。内部ホストはアンチリレー チェックの対象外であるため、 Domino ® は、内部ホストが [受信リレー制御]の [次のインターネット ホストからのメッセージを外部インターネット ドメインに送信することを拒否する] フィールドに明示的にリストされていても、内部ホストをリレーの可能性があるホストとは見なしません。

環境に応じて、リレー制限を内部ホストと外部ホストの両方に適用して実施範囲を拡張できます。これは変数を設定することと同じです SMTPAllHostsExternal=1NOTES.INIファイル内。

内部ホストにリレー制限を適用すると、より安全で制御された配信が可能になります。たとえば、他のDomino ®メール サーバーのみがリレーできるようにDomino ® SMTP サーバーを設定できます。こうすることで、他のメール クライアント (POP または IMAP クライアントなど) を実行している内部ユーザーや、他の内部メール システムのサーバーがDomino ® SMTP サーバーを使用してインターネットにメールを送信することを防ぐことができます。

デュアルインターフェースファイアウォールサーバーからメールを受信するDomino ® SMTP サーバーがある場合は、内部ホストのリレー強制を有効にすることもできます。セキュリティ上の理由から、組織によってはDomino ® SMTP サーバーをインターネットに直接接続せず、代わりに内部 SMTP リレーホストまたはファイアウォールを設定して、組織のインターネットドメイン宛てのインターネットメールを受信することを選択する場合があります。次に、リレーまたはファイアウォールはメールをDomino ® SMTP サーバーにルーティングし、そこから組織の内部メール サーバーに転送します。

ローカルインターネットドメインのホストは、[次のインターネットホストからの拡張インターネットドメイン宛てメールを拒否] フィールドのエントリで明示的に拒否されていない限り、常に外部インターネットドメインに中継できます。

内部リレーまたはファイアウォールが独自のリレー制御を実装していない場合、 Domino ® SMTP サーバーはローカル ユーザー宛ではないメールを受信する可能性があります。Domino ®サーバーが外部ホストに対してのみアンチリレー強制を実行するように設定されている場合、送信システム、リレー、またはファイアウォールが同じローカルインターネットドメインに属しているため、内部リレーまたはファイアウォールから受信したメールは受信リレー制御の対象になりません。したがって、ルーターは、RCPT TO コマンドにリストされているインターネット アドレスがDomino ®ディレクトリの $Users ビューに一致しないと判断した場合、メッセージをインターネットにルーティングし直します。

注: SMTP は、メールのみまたは多目的のグループ タイプの名前を解決できます。サーバー設定文書で SMTP とルーターの設定を作成または変更するときは、必ずメール専用または多目的のグループタイプであるグループ名を入力してください。これらのグループは 1 次ディレクトリに入れる必要があります。この内容は、[制限] タブ、[SMTP インバウンド] タブ、[SMTP アウトバウンド] タブの設定に適用されます。

ローカルドメイン外部から接続する認証ユーザーからの中継を許可する

このタスクについて

デフォルトでは、ドメインまたは一連のドメイン (たとえば、すべての外部ドメイン) への中継を拒否する場合、拒否されたドメインのすべてのホストはリレー制御の対象になります。このレベルの制限により、 Domino ® はメッセージのソースを有効なリレー元として認識しないため、外部ドメインのインターネット サービス プロバイダ (ISP) 経由でDomino ®に接続するリモート IMAP または POP3 クライアントがインターネット メールを送信できなくなります。

Domino ® でPOP3 または IMAP ユーザーがインターネットメールを送信できるようにするには、認証されたすべてのユーザーがリレーできるようにリレー強制をカスタマイズします。Domino ® SMTP リスナーは、接続ホストが認証されていると判断すると、その接続をローカル ユーザーから発信されたものとして扱い、受信リレー制御から除外します。

ホスト名または IP アドレスに基づいて実施の例外を指定する

このタスクについて

デフォルトでは、ドメインに対して中継を拒否する場合、そのドメインのすべてのホストがリレー制御の対象になります。[指定した接続ホストをアンチリレーチェックから除外する] フィールドにホスト名または IP アドレスを入力し、ドメイン内の特定のクライアントまたはサーバーが中継できるようにリレー制限をカスタマイズできます。指定された例外ごとに、 Domino ® は受信リレー制御を適用しません。例外を使用すると、ローカルインターネットドメインの外部のホストがDomino ® SMTP サーバーをリレーとして使用してインターネットからのメールを送受信できるようになります。その一方で、権限のないインターネットホストによってDomino ® がオープンリレーとして使用されるのを防ぐこともできます。

注:多くの ISP は、動的ホスト制御プロトコル (DHCP) を使用して各接続ユーザーに IP アドレスを割り当てるため、ユーザーの IP アドレスはセッションごとに異なる場合があります。その結果、ホスト名または IP アドレスに基づいて強制例外を指定しても、ISP からDomino ®に接続する IMAP および POP3 ユーザーのリレー アクセスを保証するのに効果的ではありません。これらのユーザーがリレーアクセスを使用できるようにするには、認証されたユーザーに対して適用の例外を有効にします。

リレーの実施を指定するには

手順

  1. 設定するサーバーのサーバー設定文書が既に存在することを確認します。
  2. Domino ® Administrator で、 「設定」タブをクリックし、 「メッセージング」セクションを展開します。
  3. [設定] をクリックします。
  4. メールを制限するメールサーバーのサーバー設定文書を選択し、[サーバー設定の編集] をクリックします。
  5. Click the Router/SMTP > Restrictions and Controls > SMTP Inbound Controls tab.
  6. Complete these fields in the Inbound Relay Enforcement section, and then click Save & Close:
    1 [インバウンドリレー実施] フィールド
    フィールド 説明
    Perform Anti-relay enforcement for these connecting host指定した接続ホストへアンチリレー制限を実施する

    サーバーがインバウンドリレー制御を実施する接続を指定します。新しく作成したグループのオプションとして、

    • [外部ホスト] - (デフォルト) ローカルインターネットドメイン外部から接続するホストにのみインバウンドリレー制御が適用されます。ローカルインターネットドメインのホストは、アンチリレー制限から除外されます。ローカルインターネットドメインは、グローバルドメイン文書 (存在する場合) で、またはホストサーバーのインターネットドメインとして定義されます。
    • [すべての接続ホスト] - 外部インターネットドメインにメールを中継しようとするすべてのホストに、インバウンドリレー制御が適用されます。
    • [なし] - インバウンドリレー制御の設定は無視されます。すべてのホストで常に中継が可能です。
    認証ユーザーの例外

    サーバーに接続するときにログインの資格情報を提供するユーザーを、インバウンドリレー制御の実施から除外するかどうかを指定します。新しく作成したグループのオプションとして、

    • [認証ユーザーにアンチリレーチェックを実行] - 認証されたユーザーに対して例外を許可しません。認証されたユーザーは、認証されていないユーザーと同様に実施の対象となります。
    • [すべての認証されたユーザーにリレーを許可] - (デフォルト) 有効な名前とパスワードを使用してログインしたユーザーを、適用可能なインバウンドリレー制御から除外します。ローカルインターネットドメイン外部の ISP アカウントからネットワークに接続する POP3 または IMAP ユーザーによる中継を有効にするには、この設定を使用します。
    指定した接続ホストをアンチリレーチェックから除外する

    許可されたドメインに中継するホストの IP アドレスまたはホスト名を含む例外リストを作成します。指定した各ホストには、インバウンドリレー制御は実施されません。[インバウンドリレー制御] セクションに指定された制限から除外するホストの IP アドレスまたはホスト名を入力します。このフィールドにはグループ名も入力できます。

    IP アドレスの入力時には、アドレスを大括弧で囲んでください (例: [127.0.0.1])。

    ワイルドカードを使用してサブネットアドレス全体を表すことはできますが、値の範囲を表すことはできません。たとえば、 [127.*.0.1]は有効ですが、 [123.123.12-*.123]は無効です。
  7. SMTP タスクを再ロードするか、SMTP の設定を更新して、新しい設定を有効にします。