领测软件测试网
:o :o :o 为普及Lotus办公自动化平台(OA)而努力......
1.前言
随着Internet技术的普及与发展,电子邮件已经成为大多数人必不可少的通讯工具。企业拥有自己的邮件系统,已经随处可见。然而,一个日益严重的问题却困扰着众多的系统管理员,那就是如何有效地防止—垃圾邮件。
垃圾邮件的破坏性是显而易见的,它不仅阻塞有限的
网络带宽,而且降低了邮件服务器的信誉度,使得其它邮件服务器可能不接收此服务器发出的邮件。那么,如何有效地预防和限制垃圾邮件呢?在这一方面,Domino提供了各种配置参数,如何有效地使用这些参数,来全面制止垃圾邮件,是本文关心的话题。
下文以lxpServer/test为例,图文并茂进行阐述。
2.Domino提供的SMTP配置参数
2.1.服务器文档:
关于SMTP的参数配置有:
·邮件返回(进入服务器)时是否需要进行身份验证。一般的SMTP在返回邮件时是不需要身份认证的。
·是否需要启用SSL端口。这主要是为了防止邮件在传输过程中被人截获而泄密。因为SMTP邮件在网络上传输时,采用的是明码的方式,对于敏感数据,可能需要启用SSL加密。
2.2.配置文档
关于SMTP的诸多限制,都是在配置文档中体现的,包括这几个方面的设置:
·Notes用户限制:允许Notes网络域中的哪些用户向外(Internet)发送邮件。
·转发控制:邮件源地址控制参数,邮件目标地址控制参数,是否需要核实源地址身份。
·外出控制:允许哪些(Internet)用户向外(Internet)发送邮件。
·邮件返回控制:允许哪些用户发邮件给本服务器,是否核实对方的身份。
关于参数的详细说明,大家可以参考Domino管理帮助。下面我们通过一些实际的例子,来看看这些参数如何运用。
|
服务器文档
| 配置文档
| qingzhou 回复于:2004-06-28 16:06:44
| 3.配置举例
大部分客户最常遇到的垃圾邮件是这样的情形:服务器经常接收到中转邮件,即邮件的源地址和目标地址都与此服务器无关,但大量信件被发送到此服务器做转发。
如何拒收这样的邮件,需要根据企业自身的用户使用情况来进行限制,我们分以下三种情况来看:
3.1.情形一:
所有用户都使用Notes客户端接收邮件。如果用户出差到外地,用Notes客户端通过企业自身的拨号服务器,直接拨至Domino服务器、或通过Internet接收邮件。
这种情况下,区分内部用户和外部用户非常容易,因此设置也就非常简单。设置服务器仅接收自己的邮件即可。具体设置如下:
1.服务器文档:启用SMTP任务,设置服务器全限定主机名。服务器的全限定主机名指服务器的主机名+域名,例如:server.cna.com.cn。
|
| | qingzhou 回复于:2004-06-28 16:08:57
| 2.创建配置文档。设置“路由/SMTP \ 限制与控件 \ SMTP返回控件”中的“返回转发控件”,设置其中的“仅禁止来自外部Internet网络域的消息被发送到以下Internet网络域”和“仅禁止来自以下外部Internet网络域的消息被发送到Internet网络域”两个参数为“*”。即禁止所有的转发任务。这两个参数分别用于限制目标和源地址,实际操作时指定其中之一即可。
| | qingzhou 回复于:2004-06-28 16:09:32
| 2.创建配置文档。设置“路由/SMTP \ 限制与控件 \ SMTP返回控件”中的“返回转发控件”,设置其中的“仅禁止来自外部Internet网络域的消息被发送到以下Internet网络域”和“仅禁止来自以下外部Internet网络域的消息被发送到Internet网络域”两个参数为“*”。即禁止所有的转发任务。这两个参数分别用于限制目标和源地址,实际操作时指定其中之一即可。
3.如果用户使用Web 浏览器访问邮件,配置也基本相同。
|
| | qingzhou 回复于:2004-06-28 16:12:11
| 3.2.情形二:
所有用户都从企业内部接收邮件。如果用户出差到外地,通过企业自身的拨号服务器,或者直接拨至Domino服务器接收邮件。有Notes客户端用户,也有Outlook Express用户。
这种情况下,如果Outelook用户向外发送邮件,Domino服务器会先启动SMTP返回任务接收用户的邮件,然后通过SMTP外出任务向外发送邮件。由于存在Outlook Express用户,所以不能向情形一中的方式设置,否则Outlook用户没有办法向外发送邮件。这时,可以通过用户的IP地址区分企业内部用户还是外部用户。
1.服务器文档:启用SMTP任务,设置服务器全限定主机名。
2.创建配置文档。设置路由/SMTP \ 限制与控件 \ SMTP返回控件 中的返回转发控件,设置其中的“仅允许来自以下外部Internet主机的消息被发送到外部Internet网络域”为内部用户的IP地址段,如:[192.168.0.*]
注意:在很多情况下,服务器被放置在防火墙的DMZ区,这时需要写DMZ区的端口地址段。
|
| | qingzhou 回复于:2004-06-28 16:17:16
| 3.3.情形三:
用户使用Outlook Express接收邮件,而且用户出差或在家中工作时,要求通过Internet访问邮箱,系统不能通过IP地址区分用户的身份。
这种情况下比较复杂,但经常会有企业提出这样的要求。在Domino的配置中,有两种方法可以用来限制垃圾邮件:
·管理员经常观察邮件队列Mail.box中的邮件,记录垃圾邮件的来源或目标地址,然后将该地址添入服务器配置文档的如下两个域中:
第一项是目标地址限制,第二项是源地址限制。(如图)
这种方式虽然比较被动,但是简单实用,因此也有不少用户采用。
·通过设置两台服务器,一台服务器处理所有企业用户的邮件请求(接收、发送),另一台服务器做Internet邮件接收,以及内部用户向外邮件的转发工作。由于配置比较复杂,下面详细介绍配置过程。
我们假定该企业的域名为cna.com.cn。邮件系统的基本结构如下图所示:(如图)
说明:
1.Server1和Server2是同一个Notes域中的两台服务器,共享一个公用通讯录,属于同一个Notes命名网。
2.Server1为所有的内部用户服务,用户收发邮件都是用该服务器,用户在配置SMTP和POP3服务器是都直接使用服务器的IP地址即可。Server1要求SMTP用户名/口令验证。
3.Server2起的作用是:
·接收其它Internet SMTP服务器发给本系统(cna.com.cn)的邮件,然后转交给Server1
·单位用户向Internet发送的邮件由Server1转发给Server2,再由Server2发送到Internet
·Server2不做SMTP转发。
4.DNS中cna.com.cn的MX记录指向Server2
| 使用Outlook Express接收邮件
| 邮件系统的基本结构
| | qingzhou 回复于:2004-06-28 16:26:31
| 具体配置:
Server1:
1.服务器文档:启用SMTP任务,设置服务器全限定主机名。如果单位的邮件系统只有唯一的域名,则不必设置全球网络域文档,通过服务器的全限定主机名即可确定邮件系统的域名,服务器的全限定主机名为:服务器名.域名,如:Server1.cna.com.cn
(如图)
2.服务器文档:要求SMTP端口进行用户口令验证。这样,仅有能够提供正确口令的用户才能访问该SMTP服务器。
(如图)
| 1.服务器文档
| 2.服务器文档
| | qingzhou 回复于:2004-06-28 16:27:52
| 3.创建配置文档:在配置文档的“路由器/SMTP”页签的“基本”栏目中,设置“在本地Internet网络域之外发送消息时所用的SMTP”项目为“禁用”。Server1不直接向外发送Internet邮件。所有的外出邮件均通过Notes协议先发送到Server2,然后由Server2转出。
(如图)
4.如果Server1和Server2不在同一个Notes命名网,则需要创建Server1和Server2之间的双向Notes邮件连接文档。
| 3.创建配置文档
| | qingzhou 回复于:2004-06-28 16:29:47
| Server2:
1.启用SMTP任务,设置服务器全限定主机名:
(如图)
2.服务器文档:SMTP端口允许匿名访问(缺省设置即可):
(如图)
| 2.服务器文档
| 1.启用SMTP任务
| | qingzhou 回复于:2004-06-28 16:32:29
| 3.配置文档:在配置文档的“路由器/SMTP”页签的“基本”栏目中,设置“在本地Internet网络域之外发送消息时所用的SMTP”项目为“启用”。Server2直接向外发送Internet邮件。
(如图)
4.配置文档:限制所有中转邮件(垃圾邮件),服务器Server2不做任何中转任务。下图中我们使用了两个“*”号,分别用于限制目标和源地址,实际操作时指定其中之一即可。
(如图)
| 3.配置文档
| 4.配置文档
| | qingzhou 回复于:2004-06-28 16:35:06
| 5.创建外部SMTP网络域文档。“Internet网络域”是指目标地址,表明什么样的目标地址的邮件使用此外部SMTP网络域。thenInternet是虚拟网络域名称。
(如图)
6.创建Server2 外部SMTP网络域的SMTP连接文档,“源服务器”为Server2,“目标服务器”为虚拟的服务器名称,“目标服务器”使用上一步定义的虚拟网络名称。
(如图)
修改配置后请重新启动Domino服务器。
| 5.创建外部SMTP网络域文档
| 6.创建Server2 外部SMTP网络域的SMTP连接文档
| | qingzhou 回复于:2004-06-28 16:37:40
| Outlook客户端配置:
创建邮箱账号,POP3和SMTP都是用Server1的IP地址,选中“我的服务器要求身份验证”选项。“设置”中选择“使用与接收服务器相同的设置”即可
(如图)
4.结束语
本文简单介绍了关于Domino 服务器文档及配置文档中的若干参数的应用,在配置文当中,还有很多参数本文没有涉及到,这些参数也是很有用的,大家可以根据自己的实际需求使用这些配置。
总之,Domino提供了很多可选的配置项,使得我们可以有效地控制和防止垃圾邮件,从而保证了邮件系统的稳定运行,提高了邮件的安全性。
|
|
| | 居士 回复于:2004-06-28 16:54:28
| 你这篇文章,我2年前看到过,也按照这个设置的,不过有一些地方还是需要修改的,并不能向文章中的那样。
文章中没有考虑一个问题,对于很多用户,只有一个固定IP,关于domino如何设置的方法
| | qingzhou 回复于:2004-06-28 17:10:23
| [quote:76a050a851="居士"]你这篇文章,我2年前看到过,也按照这个设置的,不过有一些地方还是需要修改的,并不能向文章中的那样。
文章中没有考虑一个问题,对于很多用户,只有一个固定IP,关于domino如何设置的方法[/quote:76a050a851]
上面的方法已经经过测试,是可行的。。。
对于许多用户,只有一个固定的IP,我们可以通过选取IP地址的段落来进行限制,也是可以的。
目前在我司是采用“情形一”的方法来进行配置,取得不错的效果。。。
这篇文章写得很好,所以我吸收后,虽然可以写成自己的文章,但觉得没有必要,原稿是由一个朋友在去年转发过来的。我后来经过测试,觉得很实用,所以贴出来目的是提高大家的Notes方面的水平。
目前CU400里面使用Lotus的用户很少,为了刺激人气,所以我会比较偏重OA这块的引导。。。
| | 居士 回复于:2004-06-29 09:52:47
| 嗯,谢谢qingzhou的热心。
我在做相关domino防止垃圾邮件的时候遇到过一个问题。
对于smtp服务,其使用25端口,而且两台domino服务器均需要使用该端口。但是你的路由器上只有一个25端口,这就造成了问题。而且这个问题资料里的情形都没写,而且均做了回避。因此并不能做到完全的外网outlook用户收发自如,内网outlook用户,notes也收发自如。
| | qingzhou 回复于:2004-06-29 10:54:14
| [quote:284630b898="居士"]我在做相关domino防止垃圾邮件的时候遇到过一个问题。
对于smtp服务,其使用25端口,而且两台domino服务器均需要使用该端口。但是你的路由器上只有一个25端口,这就造成了问题。而且这..........[/quote:284630b898]
呵呵。。。 :P
居士言重了。 :mrgreen:
对于2台即使是同一IP网段的DOMINO服务器,不管它们有没有建立主、附服务器关系(一般是建议一台做主服务器,另一台做辅加服务器。这样做的好处是在用户数多、用户邮件量比较大时服务器负担可以减轻,因为其中一台可以兼做转发邮件的作用),或者2台DOMINO服务器都设置成主服务器,只要这2台服务器的IP地址不相同,就可以让邮件畅通无阻,收发自如。
一个IP地址对应一个PORT=25的端口,是丝毫不影响SMTP的工作。因为:路由器的工作原理是先根据IP地址来判断,然后再判断端口号(PORT=?),然后再来发送数据包。
所以居士不必担心“2台DOMINO服务器抢占SMTP服务器的25号端口的问题”。
| | Ginger 回复于:2004-06-29 13:40:44
| 这份文件偶也有,不过偶的是Word文档,一年前的这个时候从网上下的~
只是个人感DOMINO的邮件功能真的不强,如果只是用作邮件服务器,千万别用它,还有很多更好的选择~
第三种情况才是最常见的,但DOMINO却必须需要两个SERVER来实现,而且控制方面还不太好~
| | ibmas400 回复于:2004-06-29 14:07:24
| [quote:778cc26c7e="Ginger"]这份文件偶也有,不过偶的是Word文档,一年前的这个时候从网上下的~
只是个人感DOMINO的邮件功能真的不强,如果只是用作邮件服务器,千万别用它,还有很多更好的选择~
第三种情况才是最常见的,但DOMINO却必须..........[/quote:778cc26c7e]
可能是因为你们公司使用不够理想的缘故,但却不要以个人观点去评论LOTUS产品如何,因为别人都用得好好的。
感谢qingzhou同志的努力,期待有更多、更实用的好经验出来。
| | Ginger 回复于:2004-06-29 21:28:12
| [quote:adc6b5ef11="ibmas400"]
可能是因为你们公司使用不够理想的缘故,但却不要以个人观点去评论LOTUS产品如何,因为别人都用得好好的。
感谢qingzhou同志的努力,期待有更多、更实用的好经验出来。[/quote:adc6b5ef11]
不仅仅是偶的评论,LOTUS的专业网站上,说它的邮件功能强的也没几个吧?
至于使用,小小的IMAIL也有人用得好好的,而一般的邮件服务提供商所用的邮件系统绝对不会是DOMINO!
DOMINO/NOTES有它的强项,但不绝不是在邮件方面!
| | chengx 回复于:2004-06-29 22:08:09
| 平心而论,domino毕竟不是专门的邮件服务器,但对于一般要求足够了.
对于垃圾邮件:
R5只能在个人邮件数据库中设置邮件规则,而R6则可以在"配置"文档中对服务器设置邮件过滤规则. 所以尽可能使用高版本的Domino服务器.能提供更好的功能.
另外,可以使用第三方的软件,如趋势科技的Trend Micro scan mail for Domino on AS400 ,到以下网址可下载30天的试用版http://www.trendmicro.com/download/zh-cn/product.asp?productid=10
可以对邮件的内容,附件等进行细致的配置过滤规则.
:o
| | qingzhou 回复于:2004-06-30 09:36:30
| 呵呵。。。 :mrgreen: :mrgreen:
既然大家对Lotus产品这么有兴趣,我也说说自己的看法。
任何产品都有它的发光点和卖点,不然这种产品就很难立足市场!
作为最初是由莲华公司自主开发的产品,后来IBM看重它的市场和客户群后,毫不犹豫将他们收购为麾下,我想IBM作为号称“兰色巨人”的跨国集团,他们的决策层应该是很睿智的吧!
其实,每种产品都有它的定位,有它的优势和不足之处,就跟昨天下午我和中国Microsoft华南区人员电话沟通时所说:“Microsoft产品是个很优秀的产品,也是由当初的'Windows'视窗而一跑走红,用户也可以说是普及天下,这个是彼尔·盖茨先生创业的成功之道。但是,截止目前为止,个人觉得在大、中型企业的服务器的操作系统领域方面,它的NT系统有时显得苍白无力,因为他的操作系统往往无法满足许多大、中型企业的性能要求,所以很难竞争得过UNIX、LINUX、OS/400等市场。当然在个人PC操作系统领域,它却是一枝独秀!”。Microsoft华南区人员:“¥%%¥····##”(不得不承认这个事实,无语)。
Lotus产品的卖点不是单从e-mail角度,这个不是它的设计产品的初衷,e-mail只是它的其中一部分集成的功能,正如上面俩位仁兄所说“Lotus邮件功能做得不好!”。诚然,它有些地方有它的不足之处;因为它的定位当初就是定位在群件平台、协作平台以及处理公文OA方面等等领域。此外,Lotus产品为了加强市场的竞争力,在逐年推出的新版本中增加了许多功能,而且还提供了许多接口和Toolkits。
按Lotus产品系列来分,Lotus提供下列产品系列的工具包:
·Notes/Domino
·Sametime
·QuickPlace
·Discovery Server
·Other
其中,Notes/Domino和Sametime的工具包比较多,C、C++、Java语言的都有,其他产品的则较少。从这个角度,也可以看出文档数据处理、协同工作是Lotus系列产品的核心价值所在。其中,Notes/Domino的工具包有:
·Lotus C API toolkit
·Lotus C++ API toolkit
·Lotus Domino Toolkit for Java/CORBA
·Lotus and Notes Toolkit for COM
·Lotus Domino Driver for JDBC (简称LDDJ)
·NotesSQL
·Lotus XML Toolkit(简称DXL)
·Custom Tag Converion kit(简称DCT)
·LotusScript Extensions toolkit(简称LSX)
从下面的系列手写稿(个人笔记)也可以看出:[size=18:e66c0afced][color=red:e66c0afced]Lotus产品≠邮箱[/color:e66c0afced][/size:e66c0afced],我们应该清醒、深入地认识到这点。
Lotus Domino/Notes Toolkits综述(一)
Lotus Domino/Notes Toolkits综述(二) C API
Lotus Domino/Notes Toolkits综述(三) C++ API
Lotus Domino/Notes Toolkits综述(四) Java
Lotus Domino/Notes Toolkits综述(五) LDDJ
Lotus Domino/Notes Toolkits综述(六) 其他
Lotus Domino/Notes Toolkits综述(七) 分析比较
Lotus Domino/Notes Toolkits综述(八) 分析比较(续)
Lotus Domino/Notes Toolkits综述(九) 小结
另外, IBM网站Lotus Toolkits介绍和下载:[url]http://www-10.lotus.com/ldd/toolkits[/url]
有兴趣的朋友不妨去看看。
| | Ginger 回复于:2004-06-30 11:50:52
| 哈哈,这些偶明白,
因此,偶前提是[b:7382c98dc7]“如果只是用作邮件服务器”[/b:7382c98dc7]!!!
在纯邮件服务器方面,UNIX下的SENDMAIL、QMAIL等邮件系统,绝对是更好的选择!而选择FreeBSD/Linux的话,一切差不多是免费的(如果有这些系统的技术支持能力)~
偶曾经发现,在华南(或者说广东吧),很多单位只是拿Domino和AS/400来做邮件服务器而已,邮件用户也不多,功能应用单一(仅邮件而已),这只是说明了一个问题,这些单位有钱而已,因为AS/400、DOMINO够贵,所以要用它!
| | qingzhou 回复于:2004-06-30 15:35:47
| [quote:e219484b6d="Ginger"]
哈哈,这些偶明白,
因此,偶前提是“如果只是用作邮件服务器”!!!
在纯邮件服务器方面,UNIX下的SENDMAIL、QMAIL等邮件系统,绝对是更好的选择!而选择FreeBSD/Linux的话,一切差不多是免费的(如果有这些系统的技术支持能力)~
..........[/quote:e219484b6d]
嘿嘿。。。 :roll: :roll: :roll:
就是把Lotus Domino单纯作为邮件服务器也是无可厚非的呀!
不单是我们公司,许多全球500强企业和国内的一些银行也是用Domino/Notes for UNIX/NT作为邮件服务器。
RICOH GROUP目前在全球有分布500多家子公司,全球已经通过DDN等专线实现联网,各个子公司之间跑Notes邮件也是速度很快、畅通无阻的。
为什么说Lotus产品不好呢?
| RICOH中国片区局部WAN示意图
| | zhaox 回复于:2004-06-30 16:29:38
| 大家好,我是新手,我想请教:2台Domino Server防范垃圾邮件的效果很好吗?是不是用户就收不到垃圾邮件了??谢谢
| | Ginger 回复于:2004-06-30 16:55:52
| [quote:c7de1f7261="zhaox"]大家好,我是新手,我想请教:2台Domino Server防范垃圾邮件的效果很好吗?是不是用户就收不到垃圾邮件了??谢谢[/quote:c7de1f7261]
这里所指的防垃圾是指防止Email Server成为垃圾邮件的转发中心,与用户是否接收垃圾邮件并不关系~
不过,可以探讨从SERVER端进行垃圾邮件控制方面的话题~
| | 居士 回复于:2004-06-30 16:59:09
| qingzhou,我又看了看你发的东西。
对于第三种情况,当时我公司的mail系统也要这么做的,不过后来没有成功,无法抵挡全部的垃圾邮件,而且还会造成外部pop3用户无法收到公司内部邮件的问题(不知道这一点你们公司的系统有没有解决)
因此,我后来采用的是另外一种方法来解决,也就又出现了2台domino服务器抢占25端口的问题(先问题均已经解决)。
后来,我们把mail系统升级为R6.0版本,通过domino提供的邮件规则阻止垃圾邮件,结果毫无成效(经测试,是domino的bug)。
通过以上方法设计的系统能够阻止relay,如果收件人是合法用户的话无法阻止,需要另外的软件来做。
| | jyxu007 回复于:2004-07-16 18:55:12
| 在6.5中,是否可以用一个SERVER实现以下功能?
| | ynacc 回复于:2004-07-18 16:57:00
| 居士,我们这里也是按照这个文档来设置的,不过比文档里描述的多了一点,就是在连接文档里多加了SERVER1和SERVER2之间的TCPIP连接和SMTP连接,外部internet用户连接SERVER1进行邮件收发也很正常。
我们这里装的是6。5版本,里面的邮件规则还是有用的,只是我对里面邮件规则的设定方法觉得不是太喜欢,它里面不知道能不能设定如同“A AND (B OR C OR D OR D)”的规则?要是把这些规则拆开来A AND B OR A AND C ......设定就太麻烦了。
不知道你们对合法用户收到的垃圾邮件是怎么处理的?
(希望能开个DOMINO/NOTES的专版,这样讨论起来也方便些啊)
| | qingzhou 回复于:2004-07-19 10:58:40
| 唉。。。 :cry:
现在使用Lotus Domino/Notes的用户除了大的外企、政府机构和一些国内银行外,似乎使用的用户很少,单单靠我们几个在这里呐喊也顶不了什么作用。
再说毕竟这个是IBM AS/400讨论区,大家可能还是对400关注多些。
自己也是打算自个儿慢慢摸索了。。。 :mrgreen:
| | ynacc 回复于:2004-07-19 13:32:35
| qingzhou,想问你个问题,看你知道怎么弄不?
假设A部门有50员工,他们的用户名分别为1/A,2/A等等,现在要把这30个人全部划到B部门去,按我设想的办法只有拿B部门的验证字一个一个去重新验证这些用户。这个办法是可行的,但是我觉得好麻烦。我想请教的就是能不能有什么简便的办法,可以把这些用户快速的迁移到B部门去,而不影响他们正常的使用?
我公司经常会遇到这样的情况,有时候一个部门几十上百号人随着工作职责变换而全部换部门,这样他们的用户也要跟着换,每次重新验证用户时头都大了。
| | kapi 回复于:2005-08-17 10:43:26
| 情形2看起来比较好设置
但是一个公司的网络划分了好几个网段要如何设置??
比如:192.168.0.*,192.168.1.*,192.168.5.*等等
是不是把这些网段都添加进去呢??
|
文章来源于领测软件测试网 https://www.ltesting.net/
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
