Restriction des connexions SMTP en entrée

Pour empêcher votre système de messagerie d'accepter du courrier indésirable, Domino® met à votre disposition une série de contrôles permettant de limiter les connexions SMTP en entrée. Les contrôles de connexion en entrée vous permettent, par exemple, de spécifier si Domino® vérifie les noms des hôtes connectés sur le serveur DNS ou, si la sélection s'effectue par nom d'hôte ou par adresse IP, d'indiquer les hôtes distants à partir desquels le serveur autorise ou refuse les connexions.

Pourquoi et quand exécuter cette tâche

Pour déterminer si une tentative de connexion va être acceptée ou refusée, la tâche SMTP Domino® commence par vérifier l'adresse IP de l'hôte distant, que la pile TCP/IP du serveur trouve dans les en-têtes des paquets IP en entrée. Si cette adresse IP ne correspond pas à une entrée des champs de contrôle des connexions en entrée, la tâche SMTP effectue une seconde vérification, en demandant au service DNS de lui fournir le nom d'hôte associé à cette adresse. Si la requête aboutit, Domino® compare le nom obtenu aux noms d'hôtes figurant dans les champs Autoriser et Refuser.

Si vous créez un document Paramètres de configuration distinct pour vos serveurs SMTP internes, vous pouvez vous servir des contrôles de connexion en entrée pour que ces serveurs internes acceptent uniquement les connexions SMTP provenant d'hôtes spécifiques. Il est par exemple possible de configurer les serveurs pour qu'ils autorisent uniquement les connexions SMTP provenant de serveurs qui reçoivent du courrier Internet. Cette façon de limiter les connexions interdit aux utilisateurs de clients POP3 ou IMAP d'envoyer du courrier via le serveur, vous aide à définir des chemins de routage en sortie valides et limite la charge sur le serveur.

Remarque : SMTP peut déterminer les noms des types de groupe Messagerie uniquement ou Multifonction. Lorsque vous créez ou modifiez les paramètres SMTP et du routeur dans le document Paramètres de configuration, pensez à entrer des noms de groupes de type Messagerie uniquement ou Multifonction. Ces groupes doivent figurer dans l'annuaire principal. Cette situation concerne les paramètres des onglets Restrictions, Contrôles SMTP en entrée et Contrôles SMTP en sortie.

En plus de ces contrôles de connexion en entrée, Domino® propose deux autres moyens pour bloquer les connexions :

  • filtres de listes noires DNS

    Les filtres de listes noires DNS permettent à un serveur de vérifier un hôte par rapport à une ou plusieurs listes noires au cours de la conversation SMTP. Si un hôte qui se connecte correspond à une entrée de liste noire, vous pouvez configurer le serveur pour qu'il rejette la connexion, marque les messages reçus ou enregistre la transaction dans le journal Notes®.

  • L'accès à la tâche d'écoute SMTP (SMTP Listener) s'effectue via les services du gestionnaire d'extensions Domino® (EM).

    Le gestionnaire d'extensions permet aux développeurs d'accéder à certaines fonctions de la tâche SMTP Listener. Le gestionnaire d'extensions autorise une bibliothèque de programmes exécutables, telle qu'une bibliothèque de liens dynamiques ou d'objets partagés, à enregistrer une routine de rappel qui sera appelée avant, après, ou avant et après que Domino® a effectué les opérations internes sélectionnées. L'utilisation d'appels de fonctions du gestionnaire d'extensions dans la tâche SMTP permet d'étendre ses fonctionnalités en fournissant :

    • Des contrôles anti-spam supplémentaires
    • Une conversion des adresses personnalisée
    • Des réponses SMTP personnalisées
    • L'interception des messages

    Le fichier d'en-tête API C Domino® EXTMGR.H, inclus dans le kit de développement, définit les symboles pour les types et les événements de notification du gestionnaire d'extensions pris en charge.

    Pour plus d'informations sur le gestionnaire d'extensions et l'enregistrement de routines de rappel, consultez le kit Lotus® C API Toolkit pour Notes/Domino, répertorié dans la rubrique Ressources documentaires complémentaires des références connexes.

Pour limiter les connexions SMTP en entrée

Procédure

  1. Vérifiez qu'un document Paramètres de configuration est déjà défini pour le(s) serveur(s) à configurer.
  2. Dans Domino Administrator, cliquez sur l'onglet Configuration® et développez la section Messagerie.
  3. Cliquez sur Configurations.
  4. Sélectionnez le document Paramètres de configuration du ou des serveurs de messagerie sur lesquels vous voulez limiter le courrier, puis cliquez sur Editer configuration.
  5. Cliquez sur l'onglet Routeur/SMTP > Restrictions et contrôles > Contrôles SMTP en entrée.
  6. Renseignez les champs suivants dans la section Contrôle des connexions en entrée, puis cliquez sur Enregistrer et fermer.
    Tableau 1. Contrôle des connexions en entrée

    Champ

    Entrée

    Vérifier dans DNS le nom de l'hôte qui se connecte

    Sélectionnez l'une des options suivantes :

    • Activée : Domino® vérifie le nom de l'hôte qui se connecte en effectuant une recherche DNS inversée. Domino® consulte le DNS afin de localiser un enregistrement PTR faisant correspondre l'adresse IP de l'hôte de connexion à un nom d'hôte. Si Domino® ne parvient pas à déterminer le nom de l'hôte distant, parce que le DNS n'est pas disponible ou parce qu'aucun enregistrement PTR n'existe, l'hôte n'est pas autorisé à transférer du courrier. Même si Domino® accepte la connexion initiale, l'hôte de connexion reçoit plus tard une erreur dans la transaction SMTP, en réponse à la commande MAIL FROM. Les hôtes SMTP Internet ne sont pas obligés d'avoir des entrées PTR dans DNS. C'est pourquoi, lorsque ce champ est activé, la tâche SMTP peut rejeter les connexions provenant d'hôtes SMTP valides.
    • Désactivé : (par défaut) Domino® ne fait pas appel à DNS pour vérifier le nom de l'hôte qui se connecte.

    Autoriser uniquement les connexions de ces hôtes/adresses IP Internet SMTP

    Noms d'hôtes, noms de groupes et/ou adresses IP autorisés à se connecter au service SMTP sur ce serveur. Si vous entrez des noms d'hôtes et/ou des adresses IP dans ce champ, seuls les serveurs correspondant à ces entrées pourront se connecter à la tâche d'écoute SMTP ; les demandes de connexion émises par tous les autres serveurs seront refusées.

    Entrez les adresses IP entre crochets - [192.168.10.17], par exemple.

    Les entrées de nom d'hôte peuvent être complètes (nom d'hôte qualifié complet d'un serveur particulier), ou partielles (emploi implicite d'un caractère générique dans le nom d'hôte). En d'autres termes, si vous entrez :

    abc.com

    Les extensions Domino® acceptent uniquement les connexions provenant des hôtes de messagerie dans les domaines représentés par *abc.com, c'est-à-dire tous les noms d'hôtes finissant par abc.com, y compris smtp.abc.com et mailhost.abc.com. Domino® rejette toutes les autres demandes de connexion.

    Si vous spécifiez des entrées de noms d'hôte, à chaque fois qu'un hôte se connecte, Domino® recherche l'enregistrement PTR correspondant à cet hôte dans DNS. Si Domino® ne parvient pas à convertir l'adresse IP en nom d'hôte parce que le service DNS n'est pas disponible ou parce qu'il n'existe pas d'enregistrement PTR, aucun courrier n'est accepté à partir de cette connexion.

    Refuser les connexions de ces hôtes/adresses IP Internet SMTP

    Noms d'hôtes, nom de groupes et/ou adresses IP non autorisés à se connecter au service SMTP sur ce serveur. Si vous entrez des noms d'hôtes et/ou des adresses IP dans ce champ, tous les serveurs à l'exception de ceux correspondant aux entrées de ce champ pourront se connecter à l'écoute SMTP ; les demandes de connexion sont refusées uniquement pour les serveurs correspondant aux entrées de ce champ.

    Entrez les adresses IP entre crochets - [192.168.10.17], par exemple.

    Les entrées de nom d'hôte peuvent être complètes (nom d'hôte qualifié complet d'un serveur particulier), ou partielles (emploi implicite d'un caractère générique dans le nom d'hôte). En d'autres termes, si vous entrez :

    abc.com

    Domino® étend implicitement la restriction à tous les hôtes de messagerie du domaine refusé, en rejetant les connexions provenant de *abc.com, c'est-à-dire de tous les hôtes appartenant au domaine abc.com, y compris smtp.abc.com et mailhost.abc.com.

    L'entrée abc.com n'empêche pas les connexions à partir de xyzabc.com.

    Ne faites pas commencer une entrée par un point (.) ; .abc.com, par exemple. Etant donné que Domino® n'établit pas de correspondance pour le premier point, l'entrée .abc.com n'interdit pas les connexions originaires du domaine abc.com.

    Limite d'erreur avant la fin de la connexion Indique le nombre maximum d'erreurs de protocole avant que la connexion d'une session ne soit interrompue.
  7. Rechargez la tâche SMTP ou actualisez la configuration SMTP pour appliquer les modifications.

Restriction du nombre total de sessions SMTP en entrée

Pourquoi et quand exécuter cette tâche

Par défaut, le service SMTP prend en charge un nombre illimité de sessions en entrée - c'est-à-dire autant de connexions que les ressources physiques du serveur le permettent. Pour limiter le nombre de sessions SMTP simultanées sur un serveur, définissez la variable SMTPMaxSessions dans le fichier NOTES.INI du serveur, où xxx est le nombre maximum de sessions autorisées sans mise en tampon. Lorsque le nombre de connexions SMTP entrantes spécifié est atteint, le serveur refuse les connexions supplémentaires et renvoie l'erreur suivante :

421 Server.domain.com SMTP service not available, closing transmission channel