本節中的範例顯示控制存取的多種方法。在研究這些範例時,請記住允許篩選器在拒絕篩選器之前處理,找到符合項目時搜尋終止,如果根本找不到符合項目則授予存取權。
此處列出的範例使用主機和網域名稱,而不是 IP 位址。請記住,您可以在篩選器中納入位址和網路遮罩資訊,這可以在名稱服務失敗的情況下提高可靠性。
在這種情況下,依預設拒絕存取。只有明確授權的主機才被允許存取。
預設策略 (無存取權) 透過單一、普通的拒絕檔案實作:
ALL: ALL
此篩選器拒絕所有未被允許篩選器明確授予存取權的用戶端存取所有服務。而允許篩選器可能類似於:
ALL: LOCAL @netgroup1 ALL: .siroe.com EXCEPT externalserver.siroe.com
第一個規則允許本機網域中的所有主機 (即,主機名稱中不帶小數點號的所有主機) 和群組 netgroup1 的成員進行存取。第二個規則使用前導小數點號萬用字元式樣來允許 siroe.com 網域中的所有主機進行存取,但主機 externalserver.siroe.com 除外。
在這種情況下,依預設授予存取權。只有明確指定的主機才被拒絕存取。
在此預設策略 (授予存取權) 中,不需要使用允許篩選器。不想要的用戶端在拒絕篩選器中明確列出,如下所示:
ALL: externalserver.siroe1.com, .siroe.asia.com ALL EXCEPT pop: contractor.siroe1.com, .siroe.com
第一個篩選器拒絕特定主機和特定網域存取所有服務。第二個篩選器僅允許特定主機和特定網域存取 POP。
您可以在篩選器中使用 DNSSPOOFER 萬用字元名稱來偵測主機名稱仿冒。當您指定 DNSSPOOFER 時,存取控制系統會執行正向或反向 DNS 查詢,以驗證該用戶端提供的主機名稱是否符合其實際 IP 位址。以下是拒絕篩選器的一個範例:
ALL: DNSSPOOFER
此篩選器拒絕所有 IP 位址與 DNS 主機名稱不相符的遠端主機存取所有服務。
如果您的郵件傳送安裝使用虛擬網域,其中單一伺服器實例與多個 IP 位址和網域名稱相關聯,您可以透過允許篩選器和拒絕篩選器的組合來控制存取每個虛擬網域。例如,您可以使用如下所示的允許篩選器:
ALL@msgServer.siroe1.com: @.siroe1.com ALL@msgServer.siroe2.com: @.siroe2.com ...
與如下所示的拒絕篩選器進行組合:
ALL: ALL
每個允許篩選器僅允許 domain N 中的主機連線至 IP 位址回應 msgServer.siroeN.com 的服務。所有其他連線均被拒絕。