邮件

指定外来中继控制的强制选项
在第一次创建服务器的“配置设置”文档时,缺省情况下,SMTP 外来中继控制(即反中继设置)仅应用于所有外部主机,即没有本地 Internet 网络域以外的主机。在设置了外来中继控制后,就可以通过选择外来中继强制选项来定制 Domino 如何应用这些外来中继控制。

通过使用可用选项指定某些不强制执行中继控制的主机,可以指定强制执行中继控制的强度。可以根据以下因素来决定不强制执行中继的主机:

对内部主机应用中继限制

缺省情况下,Domino 只对外部主机强制执行禁止中继设置。由于内部主机被免除禁止中继检查,因此即使内部主机被明确地列在“拒绝将来自以下 Internet 主机的邮件发送到外部 Internet 网络域”域中,Domino 也不认为它会是可能的中继。

根据环境情况,您可能希望对内部和外部主机都应用中继限制,以便扩展强制的范围。将 NOTES.INI 文件中的变量 SMTPAllHostsExternal 设置为 1 也可以达到此目的。

对内部主机应用中继强制可以获得更安全、更受控制的路由。例如,可以配置 Domino SMTP 服务器,以便只允许其他 Domino 邮件服务器进行中继。这样做可以防止那些运行其他邮件客户机(如 POP 或 IMAP 客户机)以及其他内部邮件系统中的服务器的内部用户使用 Domino SMTP 服务器向 Internet 发送邮件。

如果 Domino SMTP 服务器可以接收来自双接口防火墙服务器的邮件,则您也可以启用对内部主机的中继强制。出于安全考虑,一些组织不能将其 Domino SMTP 服务器直接连接到 Internet,而是改为设置内部 SMTP 中继主机或防火墙来接收向组织的 Internet 网络域发送的 Internet 邮件。中继或防火墙会将邮件路由到 Domino SMTP 服务器,Domino SMTP 服务器再将该邮件传输到组织的内部邮件服务器。

除非被“拒绝将来自以下 Internet 主机的邮件发送到外部 Internet 网络域”域中的项目明确拒绝,否则本地 Internet 网络域中的主机可以始终中继到外部 Internet 网络域。

如果内部中继或防火墙没有实现其自身的中继控制,则 Domino SMTP 服务器可能接收发往非本地用户的邮件。如果将 Domino 服务器设置为只对外部主机执行禁止中继强制,则接收的来自内部中继或防火墙的邮件不受外来中继控制的约束,因为发送系统、中继或防火墙属于同一本地 Internet 网络域。因此,当路由器确定 RCPT TO 命令中列出的 Internet 地址与 Domino 目录中的 $Users 视图不匹配后,路由器会将邮件路由回 Internet。

允许从外部本地网络域连接的已通过验证的用户使用中继

缺省情况下,如果您拒绝一个网络域或一组网络域(如所有外部网络域)使用中继,则被拒绝网络域中的所有主机都会受制于中继控制。这种限制级别可以禁止那些通过外部网络域中的 ISP(Internet 服务提供商)连接到 Domino 的远程 IMAP 或 POP3 客户机发送外出 Internet 邮件,因为 Domino 不会将邮件源认可为有效的中继源。

要确保 Domino 允许 POP3 或 IMAP 用户发送外出 Internet 邮件,您可以定制中继强制以允许所有通过验证的用户进行中继。当 Domino SMTP 侦听程序确定某个连接主机已通过验证后,会将此连接视为源自某个本地用户并不对此连接执行外来中继控制。

根据主机名或 IP 地址指定强制例外

缺省情况下,在您拒绝某个网络域的中继后,该网络域中的所有主机都要受制于中继控制。通过在“在进行禁止中继检查时不检查这些连接的主机”域中输入主机名或 IP 地址,可以定制中继强制,以便允许网络域中特定的客户机或服务器进行中继。对于每个指定的例外,Domino 不会强制执行外来中继控制。使用例外可以允许本地 Internet 网络域以外的主机将 Domino SMTP 服务器用作中继,以便向 Internet 发送邮件或从 Internet 接收邮件,同时仍可以防止 Domino 被未通过验证的 Internet 主机用作开放的中继。

注意 由于许多 ISP 使用 DHCP(动态主机控制协议)将 IP 地址分配给每一个连接用户,因此用户的 IP 地址在不同的会话中可能不同。因此,根据主机名或 IP 地址来指定强制例外并不能有效地确保从 ISP 连接到 Domino IMAP 和 POP3 的用户能够进行中继访问。要确保这些用户的中继访问,应启用对通过验证的用户的强制例外。

指定中继强制

1. 确保已具有用于要配置的服务器的“配置设置”文档

2. 从 Domino Administrator 中,单击“配置”附签并展开“消息处理”区段。

3. 单击“配置”。

4. 选择要对其进行邮件限制的邮件服务器的“配置设置”文档,然后单击“编辑配置”。

5. 单击“路由器/SMTP”“限制和控制”“SMTP 外来控制”附签。

6. 在“外来中继强制”区段中填写下列域,然后单击“保存并关闭”:
外来中继强制
描述
对这些连接主机强制执行禁止中继检查指定服务器对其强制执行外来中继控制的连接。选择下列选项之一:
  • 外部主机(缺省)-- 服务器只将外来中继控制应用于从本地 Internet 网络域外部连接到它的主机。本地 Internet 网络域中的主机被免除禁止中继检查限制。本地 Internet 网络域由“全局网络域”文档定义(如果存在),或者被定义为主机服务器的 Internet 网络域。
  • 所有连接的主机 -- 服务器将外来中继控制应用于试图将邮件中继到外部 Internet 网络域的所有主机。
  • 无 -- 服务器忽略外来中继控制中的设置。所有主机始终都能使用中继。
通过验证的用户例外指定是否对连接到服务器时提供登录证书的用户免除外来中继控制检查。选择下列选项之一:
  • 对通过验证的用户进行禁止中继检查 -- 服务器不允许将通过验证的用户作为例外。通过验证的用户与未通过验证的用户都要接受相同的强制检查。
  • 允许所有通过验证的用户中继 -- 使用有效名称和口令登录的用户可免除所应用的外来中继控制。使用此选项可以让从本地 Internet 网络域以外的 ISP 帐户连接到网络的 POP3 或 IMAP 用户进行中继。
在进行禁止中继检查时不检查这些连接的主机可以创建一个例外列表,其中包含中继到任何允许的网络域的主机的 IP 地址或主机名。对于每个指定的例外,将不会强制要求外来中继控制。输入要免受限制(在外来中继控制区段中所指定)的主机的 IP 地址或主机名。

输入 IP 地址时,应将其用方括号括起来,例如 [127.0.0.1]。可以使用通配符表示整个子网地址,但不能表示某个范围内的值。例如,[127.*.0.1] 是有效的,而 [123.123.12-*.123] 则无效。

7. 重新加载 SMTP 任务更新 SMTP 配置,以使更改生效。

另请参阅