限制接收 SMTP 連線

若要防止郵件系統接受不想要的郵件,Domino® 會提供控制集,讓您限制送入的 SMTP 連線。「入埠連線」控制項可讓您指定 Domino® 要檢查 DNS 中的連線主機名稱,還是依主機名稱或 IP 位址,讓伺服器允許或拒絕連線的遠端主機。

執行這項作業的原因和時機

為決定允許還是拒絕連線嘗試,Domino® SMTP 作業會先檢查遠端主機的 IP 位址,伺服器的 TCP/IP 堆疊會從送入的 IP 封包標頭中讀取該位址。如果 IP 位址不符合「接收連線」控制欄位中的任何項目,則 SMTP 作業會執行第二次檢查,查詢 DNS 以取得指定位址的主機名稱。如果查詢順利完成,則 Domino® 會將取得的名稱與「容許」及「拒絕」欄位中的主機名稱相比較。

如果您針對內部 SMTP 伺服器建立個別的「配置設定」文件,則可以使用接收連線控制來確定這些內部伺服器只接受來自特定 SMTP 主機的 SMTP 連線。例如,將伺服器配置為只容許接收網際網路郵件的伺服器之 SMTP 連線。以此方式限制連線可防止使用者與 POP3 或 IMAP 用戶端透過伺服器傳送郵件,且可協助您定義有效的發送遞送及限制伺服器上的載入。

註: SMTP 可以為「只能郵寄」或是「多用途」的群組類型解析名稱。當您在「配置設定」文件中建立或修改 SMTP 和路由器設定時,請確認輸入的群組名稱擁有「只能郵寄」或「多用途」的群組類型。這些群組必須在主要目錄中。這會套用至「限制」標籤上的設定、SMTP 接收控制項標籤和 SMTP 外寄控制項標籤。

除了這些入埠連線控制外,Domino® 還提供另外兩種封鎖連線的方法:

  • DNS 黑名單過濾器

    DNS 黑名單過濾程式可以讓伺服器在 SMTP 轉換期間,針對一個以上的黑名單來檢查主機。如果連接的主機符合黑名單中的項目,您可以將伺服器配置為拒絕連線、標記任何接收的訊息,或在「Notes® 日誌」中記錄交易。

  • 透過 Domino® 延伸管理程式 (EM) 服務存取「SMTP 接聽程式」。

    Extension Manager (EM) 服務可以讓開發者存取「SMTP 接聽程式」作業的某些功能。延伸管理程式 (EM) 容許可執行的程式庫(如動態鏈結程式庫或共用的物件程式庫)註冊回呼常式,在 Domino® 執行選取的內部作業之前、之後,或是之前及之後,將會呼叫該常式。在「SMTP 接聽程式」中使用 EM 鏈結鉤可以提供下列以延伸現行功能:

    • 其餘防垃圾控制
    • 自訂位址轉換
    • 自訂 SMTP 回應
    • 攔截訊息

    Domino® C API 標頭檔 EXTMGR.H(內含於 軟體 Development Kit)定義支援的延伸管理程式通知事件與類型的符號。

    如需延伸管理程式及註冊回呼常式的相關資訊,請參閱 Lotus® C API Toolkit for Notes/Domino,其列出在從本主題尾端的相關參照中鏈結的其他文件資源主題。

限制接收 SMTP 連線

程序

  1. 確定您已具備要設定的伺服器的「配置設定」文件。
  2. 在「Domino 管理員」中,按一下「配置®」標籤,並展開「傳訊」區段。
  3. 按一下「配置」
  4. 選取您要限制其郵件的一或多部郵件伺服器的「配置設定」文件,然後按一下「編輯配置」
  5. 按一下「路由器/SMTP > 限制與控制 > SMTP 入埠控制」標籤。
  6. 「入埠連線控制」區段中完成下列欄位,然後按一下「儲存並關閉」
    1. 入埠連接控制

    欄位

    Enter 鍵

    驗證 DNS 中的連接主機名稱

    請選擇其中一項:

    • 已啟用 - Domino® 會執行反向 DNS 查詢以驗證連接主機的名稱。Domino® 會檢查 DNS 以尋找連接主機的 IP 位址與主機名稱相符的 PTR 記錄。如果因為無法使用 DNS 或沒有任何 PTR 記錄存在,Domino® 無法確定遠端主機的名稱,則不允許主機傳送郵件。雖然 Domino® 會接受起始連線,但稍後在 SMTP 交易中,將會傳回錯誤給連接主機,以回應 MAIL FORM 指令。網際網路 SMTP 主機不需要在 DNS 中有 PTR 項目。結果,當此欄位啟動時,SMTP 作業可以拒絕來自有效 SMTP 主機的連線。
    • 已停用 -(預設值)Domino® 不檢查 DNS 以驗證連接主機的名稱。

    只容許來自下列 SMTP 網際網路主機名稱/IP 位址的連線

    允許連接此伺服器上 SMTP 服務的主機名稱、群組名稱及/或 IP 位址。如果您在此欄位中輸入主機名稱及/或 IP 位址,則符合這些項目的伺服器可以連接至 SMTP 接收程式;來自所有其他伺服器的連線要求都會被拒絕。

    輸入以方括弧括住的 IP 位址:例如,[192.168.10.17]。

    主機名稱項目可以是完整的,如以特定伺服器的完整主機名稱顯示,或是部分的並可存在暗喻的萬用字元。亦即,如果您輸入:

    abc.com

    Domino® 延伸只接受來自以 *abc.com 表示的網域中之郵件主機的連線,亦即,所有以 abc.com 結尾的主機名稱(包括 smtp.abc.com 及 mailhost.abc.com)。Domino® 會拒絕所有其他的連線要求。

    如果您指定主機名稱項目,則每一次主機連接時,Domino® 都會檢查 DNS 以取得連接主機的 PTR 記錄。如果因為無法使用 DNS 或不存在任何 PTR 記錄,導致 Domino® 無法將 IP 位址解析成主機名稱,則不接受任何來自連線的郵件。

    拒絕來自下列 SMTP 網際網路主機名稱/IP 位址的連線

    不容許連接此伺服器上之 SMTP 服務的主機名稱、群組名稱及/或 IP 位址。如果在此欄位中輸入主機名稱及/或 IP 位址,則所有伺服器(符合此欄位中使用者的伺服器除外)都可以連接至 SMTP 接聽程式;僅符合此欄位中使用者的伺服器連線要求會被拒絕。

    輸入以方括弧括住的 IP 位址:例如,[192.168.10.17]。

    主機名稱項目可以是完整的,如以特定伺服器的完整主機名稱顯示,或是部分的並可使用暗喻的萬用字元。亦即,如果您輸入:

    abc.com

    Domino® 會默認將限制延伸至拒絕網域中的所有郵件主機,並拒絕來自 *abc.com 的連線,亦即,abc.com 網域中的所有主機(包括 asmtp.abc.com 及 mailhost.abc.com)。

    項目 abc.com 無法防止來自 xyzabc.com 的連線。

    請不要在項目中使用前導點 (.);例如 .abc.com。因為 Domino® 無法比對前導點,項目 .abc.com 無法防止來自網域 abc.com 的連線。

    終止連線前的錯誤限制 指定終止階段作業連線之前,所容許的通訊協定錯誤數上限。
  7. 重新載入 SMTP 作業,或更新 SMTP 配置讓變更生效。

限制接收 SMTP 階段作業的總數

執行這項作業的原因和時機

根據預設,SMTP 服務支援無限制的接收階段作業數;亦即,和伺服器資源實際上所容許的連線數一樣多。若要限制伺服器接受的並行 SMTP 階段作業數目,請在伺服器的 NOTES.INI 檔中設定變數 SMTPMaxSessions,其中 xxx 是容許的最大階段作業數,沒有任何緩衝。達到指定的接收 SMTP 連線數時,伺服器就會拒絕其餘連線並傳回下列錯誤:

421 Server.domain.com SMTP service not available, closing transmission channel