如何在Domino SMTP服务器设置禁止用户匿名连接
如何在Domino SMTP服务器设置禁止用户匿名连接
用户的环境中,SMTP服务器接收MTA中继的外来邮件,同时移动用户也会通过SMTP验证后,向Internet发送外出邮件,现在管理员面临的问题是,时常收到垃圾邮件其中发件人伪造地址,使用了与收件人相同的 Internet 域名地址,这样就不会被转发的限制设置限制,所以管理员希望限制匿名发送邮件。
管理员可以通过设置验证选项来提高DOMINO SMTP服务器的安全性,使其拒绝匿名的SMTP连接请求(如下图):
从DOMINO 506开始,可以用一个NOTESINI参数:SMTPAllowConnectionsAnonymous。
如果在DOMINO SMTP服务器的NOTESINI中把这个参数值设成1(SMTPAllowConnectionsAnonymous=1),
则在该服务器配置文档 > 路由器/SMTP > SMTP外来控制 >“仅允许从以下 SMTP Internet 主机名/IP 地址进行连接”域中列出的主机名或IP地址就可以不经验证连接这个SMTP服务器了。
请注意,如果是IP地址的话,请将其写在方括号中
我们来看一段Consolelog
[03D8:0008-090C] 2012/08/08 下午 06:53:09 SMTP Server: domino852lotustestcom (100215) connected
[03D8:0008-090C] 2012/08/08 下午 06:53:09 SMTP Server [03D8:0008-090C] Processing in Connected state
[03D8:0008-090C] 2012/08/08 下午 06:53:09 SMTP Server [03D8:0008-090C] HELO command received
[03D8:0008-090C] 2012/08/08 下午 06:53:09 SMTP Server [03D8:0008-090C] Processing in Connected state
[03D8:0008-090C] 2012/08/08 下午 06:53:09 SMTP Server [03D8:0008-090C] MAIL command received
[03D8:0008-090C] 2012/08/08 下午 06:53:09 SMTP Server [03D8:0008-090C] 530 Authentication required
错误代码530 要求身份验证,要求提供SMTP验证信息方可发送邮件
[03D8:0008-090C] 2012/08/08 下午 06:53:09 SMTP Server [03D8:0008-090C] Processing in Connected state
[03D8:0008-090C] 2012/08/08 下午 06:53:09 SMTP Server [03D8:0008-090C] QUIT command received
[03D8:0008-090C] 2012/08/08 下午 06:53:09 SMTP Server [03D8:0008-090C] State change from Connected to Terminal
[03D8:0008-090C] 2012/08/08 下午 06:53:09 SMTP Server: domino852lotustestcom (100215) disconnected 0 message[s] received
[03D8:0002-0758] 2012/08/08 下午 06:53:18 SMTP Server: List value SMTPAllowRelayHosts updated from configuration record
SMTPAllowRelayHosts变更生效,取得配置文档中允许转发的IP地址
[03D8:0002-0758] 2012/08/08 下午 06:53:18 SMTP Server: Configured value:
[03D8:0002-0758] 2012/08/08 下午 06:53:18 SMTP Server: {
[03D8:0002-0758] 2012/08/08 下午 06:53:18 SMTP Server: } 0 entries
[03D8:0002-0758] 2012/08/08 下午 06:53:18 SMTP Server: List value SMTPRlyExcpts updated from configuration record
SMTPRlyExcpts变更生效,取得配置文档中转发例外的IP地址
[03D8:0002-0758] 2012/08/08 下午 06:53:18 SMTP Server: Configured value:
[03D8:0002-0758] 2012/08/08 下午 06:53:18 SMTP Server: {
[03D8:0002-0758] 2012/08/08 下午 06:53:18 SMTP Server: } 0 entries
[03D8:0006-0B20] 2012/08/08 下午 06:53:3325 SMTP CIServ Listen> Connection Accepted on Port 25 for Session 04D10001
[03D8:0008-090C] 2012/08/08 下午 06:53:3326 SMTP CITask StateMachine> Sent 117 bytes to 100215
[03D8:0008-090C] [03D8:0008-090C] S: 220 vbox-domino853cnibmcom ESMTP Service (Lotus Domino Release 853FP1) ready at Wed, 8 Aug 2012 18:53:33 +0800<CRLF>
[03D8:0008-090C] 2012/08/08 下午 06:53:3330 SMTP CITask StateMachine> Received 18 bytes from 100215
[03D8:0008-090C] [03D8:0008-090C] R: HELO vboxdomino853
[03D8:0008-090C] 2012/08/08 下午 06:53:3330 SMTP CITask StateMachine> Sent 86 bytes to 100215
[03D8:0008-090C] [03D8:0008-090C] S: 250 vbox-domino853cnibmcom Hello vboxdomino853 ([100215]), pleased to meet you<CRLF>
[03D8:0008-090C] 2012/08/08 下午 06:53:3330 SMTP CITask StateMachine> Received 26 bytes from 100215
[03D8:0008-090C] 2012/08/08 下午 06:53:33 SMTP Server [03D8:0008-090C] State change from Greeting to Greeting
[03D8:0008-090C] 2012/08/08 下午 06:53:33 SMTP Server [03D8:0008-090C] Processing in Greeting state
[03D8:0008-090C] 2012/08/08 下午 06:53:33 SMTP Server [03D8:0008-090C] State change from Greeting to Connected
[03D8:0008-090C] 2012/08/08 下午 06:53:33 SMTP Server: domino852lotustestcom (100215) connected
IP地址100xx允许匿名连接,不要求提供SMTP验证信息即可发送邮件
[03D8:0008-090C] [03D8:0008-090C] R: MAIL FROM: <admin@ftmcom>
[03D8:0008-090C] 2012/08/08 下午 06:53:3338 SMTP CITask StateMachine> Sent 32 bytes to 100215
[03D8:0008-090C] [03D8:0008-090C] S: 250 admin@ftmcom Sender OK<CRLF>
[03D8:0008-090C] 2012/08/08 下午 06:53:3339 SMTP CITask StateMachine> Received 24 bytes from 100215
[03D8:0008-090C] [03D8:0008-090C] R: RCPT TO: <admin@ftmcom>
[03D8:0008-090C] 2012/08/08 下午 06:53:33 SMTP Server [03D8:0008-090C] Processing in Connected state
[03D8:0008-090C] 2012/08/08 下午 06:53:33 SMTP Server [03D8:0008-090C] HELO command received
[03D8:0008-090C] 2012/08/08 下午 06:53:3346 SMTP CITask StateMachine> Sent 35 bytes to 100215
[03D8:0008-090C] [03D8:0008-090C] S: 250 admin@ftmcom Recipient OK<CRLF>
[03D8:0008-090C] 2012/08/08 下午 06:53:3346 SMTP CITask StateMachine> Received 22 bytes from 100215
[03D8:0008-090C] [03D8:0008-090C] R: RCPT TO: <rea@ftmcom>
[03D8:0008-090C] 2012/08/08 下午 06:53:3346 SMTP CITask StateMachine> Sent 33 bytes to 100215
[03D8:0008-090C] [03D8:0008-090C] S: 250 rea@ftmcom Recipient OK<CRLF>
[03D8:0008-090C] 2012/08/08 下午 06:53:3346 SMTP CITask StateMachine> Received 4 bytes from 100215
[03D8:0008-090C] [03D8:0008-090C] R: DATA
[03D8:0008-090C] 2012/08/08 下午 06:53:3348 SMTP CITask StateMachine> Sent 53 bytes to 100215
[03D8:0008-090C] 2012/08/08 下午 06:53:33 SMTP Server [03D8:0008-090C] Processing in Connected state
[03D8:0008-090C] 2012/08/08 下午 06:53:33 SMTP Server [03D8:0008-090C] MAIL command received
[03D8:0008-090C] 2012/08/08 下午 06:53:33 SMTP Server: Originator: <admin@ftmcom>
[03D8:0008-090C] 2012/08/08 下午 06:53:33 SMTP Server [03D8:0008-090C] Processing in Connected state
[03D8:0008-090C] [03D8:0008-090C] S: 354 Enter message, end with "" on a line by itself<CRLF>
[03D8:0008-090C] 2012/08/08 下午 06:53:3350 SMTP CITask StateMachine> ITASK_STATE_RECV_TEXT: Received total line 19, 1 bytes from 100215
[03D8:0008-090C] 2012/08/08 下午 06:53:33 SMTP Server [03D8:0008-090C] RCPT command received
[03D8:0008-090C] 2012/08/08 下午 06:53:33 SMTP Server: Recipient: <admin@ftmcom>
[03D8:0008-090C] 2012/08/08 下午 06:53:33 SMTP Server [03D8:0008-090C] Processing in Connected state
[03D8:0008-090C] 2012/08/08 下午 06:53:3363 SMTP CITask StateMachine> Sent 35 bytes to 100215
[03D8:0008-090C] [03D8:0008-090C] S: 250 Message accepted for delivery<CRLF>
[03D8:0008-090C] 2012/08/08 下午 06:53:3367 SMTP CITask StateMachine> Received 4 bytes from 100215
[03D8:0008-090C] [03D8:0008-090C] R: QUIT
[03D8:0008-090C] 2012/08/08 下午 06:53:3367 SMTP CITask StateMachine> Sent 73 bytes to 100215
[03D8:0008-090C] 2012/08/08 下午 06:53:33 SMTP Server [03D8:0008-090C] RCPT command received
[03D8:0008-090C] 2012/08/08 下午 06:53:33 SMTP Server: Recipient: <rea@ftmcom>
[03D8:0008-090C] 2012/08/08 下午 06:53:33 SMTP Server [03D8:0008-090C] Processing in Connected state
[03D8:0008-090C] 2012/08/08 下午 06:53:33 SMTP Server [03D8:0008-090C] DATA command received
[03D8:0008-090C] [03D8:0008-090C] S: 221 vbox-domino853cnibmcom SMTP Service closing transmission channel<CRLF>
邮件接收完毕
[03D8:0008-090C] 2012/08/08 下午 06:53:33 SMTP Server [03D8:0008-090C] Processing in Connected state
[03D8:0008-090C] 2012/08/08 下午 06:53:33 SMTP Server [03D8:0008-090C] DATA command (cont)
[03D8:0008-090C] 2012/08/08 下午 06:53:33 SMTP Server [03D8:0008-090C] RFC822 message inbound stream saved to C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\notes74483D\st837147TMP
[05B0:0009-0A54] 2012/08/08 下午 06:53:33 Router: Delivery to local recipient admin/ftm is ready with 1 messages
[05B0:0009-0A54] 2012/08/08 下午 06:53:33 Router: Delivery to local recipient Rea/ftm is ready with 1 messages
邮件发送成功
出自:http://mylotustipsblog163com/blog/static/19601504820127611231697/
a 保存验证者ID文件及其口令 验证者标识符文件(certid及所有组织单元的ID文件)是Domino系统中最重要的的文件。特别是certid,所有其它的ID文件都是由它创建的。如果丢失了这个文件或忘记了它的口令,就无法在创建新的服务器和用户了。因此,从系统建立之初就要注意保存验证者ID文件及其口令。一定要将它保存在安全的地方并作备份,不要将它放在共享的网络驱动器上;将口令记录下来,但不要将口令告诉无关的人员。注意不要将口令设为“password”或其它易猜的单词。 b 定期运行Compact、Fixup和Updall任务 Compact、Fixup和Updall任务是服务器自身的维护性任务。Compact用于释放数据库中的无用空间;Fixup检测无效的文档和损坏的数据库,并尝试修复它们;Updall重建视图索引和全文索引。这三个任务至少每周要运行一次。可以按以下步骤设置它们的运行时间。 1) 在Domino管理员客户端中打开要管理的服务器 2) 在“配置”标签下,展开“服务器”-“程序”,点击“添加程序” 3) 在“基本”标签下, “程序名”中输入任务的名称,即Compact、Fixup或Updall “命令行”中输入所需的命令行选项 “运行的服务器”中输入运行此任务的服务器的层次名 4) 在“日程安排”标签下,将日程安排设为“启用”,并按需要设置任务启动的时间 如果到了Compact、Updall和Fixup所安排的运行时间,而系统正在执行其它任务,这三个任务可能不被执行。因此,在设置时间安排时,应当尽量避免和其它任务以及定时代理重合。可以在服务器的控制台上输入命令“show schedule”来查看其它程序的时间安排,输入命令“tell amgr schedule”来查看定时代理的时间安排。 每个任务都有自己的命令行选项。例如,“updall -R”将会重建已有的索引,而不加“-R”选项时则只是更新已有的索引。必需选择适当的选项以完成所需的任务。每个任务的选项列表都可以在《Domino 5 管理员帮助》数据库中找到。 c 创建拒绝访问群组 禁止某些用户访问服务器是十分必要的。当用户离开公司时,需要确保他们不能使用原来的Notes ID文件来访问服务器。管理员可以将这些用户的层次名加入拒绝访问群组来保证这一点。创建拒绝访问群组的步骤如下: 1) 在Domino管理员客户端中打开要管理的服务器 2) 在“个人和群组”标签下,点击“拒绝访问群组”,点击“添加群组”按钮 3) 在“群组名称”中输入一个名字,如DenyGroup;将“群组类型”选为“仅禁止存取列表” 4) 在“成员”中输入或选择要禁止访问的用户名 5) 保存并退出此文档 6) 在“配置”标签下打开要拒绝用户访问的服务器文档 7) 在“安全性”标签下“拒绝访问的服务器”中输入上面创建的拒绝访问群组名称,在此例中是DenyGroup。 提示:创建了拒绝访问群组之后,管理员删除用户时可以将用户名自动地加入此群组中,这样,不需手工操作就可以保证每个被删除的用户不再能访问服务器。 d 了解服务器上的应用 要确定服务器所支持的数据库的类型。服务器是主要用于一两个大型数据库,还是用于多个小的应用数据库?服务器上的应用设计怎样?是否使用了对性能有较大影响的方式,如在视图中使用日期/
文档名称 创建人: 创建日期: 信息技术部 DOMINO 服务器日常维护SOP 版本: 67223722doc 4/16/2013 2 of 4 时间查询?如果应用数据库的设计不合理,管理员所能做的调整不可能起太大作用。 管理员还需要留意服务器的日志(Lognsf)。服务器日志中的信息是了解服务器及用户活动的关键。特别是日志中的“其它事件”视图,大部分需要观察的信息都包含在其中。每天都应当浏览lognsf,从中找出错误信息和异常信息,判断服务器是否正常运行。 e 去掉不必要的服务器任务 缺省情况下,Domino服务器会自动启动一组服务器任务,其中有些任务用户可能不会用到。去掉这些不必要的任务可以节省系统资源,有利于其他任务和应用的运行。 服务器上自动启动的任务列表在服务器的notesini文件中。用任一文本编辑器打开Domino程序目录中的notesini文件,找到“ServerTasks=”行,删除其中不需要的任务名称,则下一次启动服务器时,这些任务就不会再启动了。例如,如果不使用Notes的日历和日程安排功能,可以将“calconn”和“sched”任务去掉。 在指定时间运行的服务器任务也可以考虑去掉。在服务器的notesini文件中,找到“ServerTasksAtY=”行,其中Y是代表时间的数字(1代表凌晨1点,5代表凌晨5点,以此类推),删除其中不需要的任务名称。例如,如果不使用共享邮件,则“ServerTasksAt2=, Object Collect mailobjnsf”行中的“Object Collect mailobjnsf”可以去掉。下一次重新启动服务器后,这些被去掉的任务就不会再定时运行了。 关于每个服务器任务的名称和用途,可参阅《Domino 5管理员帮助》中“Domino服务器任务”主题。 f 监视存取控制列表(ACL) 管理员必须保证每个用户对每个数据库都有适合其需要的访问权限。存取控制列表(ACL)是服务器安全性的核心,如果用户能够访问到他不应接触的信息,则会威胁到服务器的安全和信息的安全。 要想方便地查看每个用户对每个数据库的权限,可以打开服务器上的“目录 (R5)”数据库,查看“存取控制列表”-“按级别”视图。“目录 (R5)”数据库的文件名是catalognsf,它是由服务器自动创建并更新的,如果在服务器上未找到catalognsf,可以在服务器控制台上输入命令“load catalog”来立即创建它。 某些关键数据库的ACL必须被严格监控,这包括通讯录(namesnsf)、目录(catalognsf)、服务器日志(lognsf)及所有包含重要信息的数据库。 进一步来说,管理员需要查看哪些用户对数据库具有管理者(Manager)权限。由于管理者可以改变数据库的ACL及其他设置,只应给予需要管理这些设置的用户这一权限。建议最好使用群组来设置管理者权限。例如,可以创建名为DomainManagers的群组,将系统管理员的名字加入其中,然后在数据库的ACL中将DomainManagers设为管理者。这样,即使系统管理员有所变动,也只需修改该群组的定义。 在服务器上安装新数据库时,需要注意其ACL的缺省设置,特别是Default和Anonymous的权限设置。对于重要的数据库,最好不要让Default和Anonymous的权限高于“不能存取者”。当服务器可以从Web上进行访问时, Anonymous或Default的权限高于“不能存取者”时会更为危险。 g 操作系统和Domino的补钉程序 各种操作系统都会发布一些补钉程序,用于修补所发现的错误和漏洞。管理员应该留意这些补钉程序,并将需要的补钉程序及时安装在服务器上。
0条评论