处理 LDAP 结果 (Sun Java System Messaging Server 6 2005Q4 管理指南)

Sun Java System Messaging Server 6 2005Q4 管理指南

处理 LDAP 结果

可以通过若干顺序独立的阶段完成 LDAP 别名结果的处理。以下各节介绍了这些阶段。

对象类检查

如果别名搜索成功，将检查条目的对象类以确保其包含用户或组的一组相应的对象类。通常，用户和组的所需对象类的可能设置由有效的模式来确定。这由 local.imta.schematag 设置确定。

表 9–1 显示了从各种 schematag 值得到的用户对象类和组对象类。

表 9–1 从各个 schematag 值得到的对象类


`schematag`	用户对象类	组对象类
sims40	`inetMailRouting+inetmailuser`	`inetMailRouting+inetmailgroup`
nms41	`mailRecipient + nsMessagingServerUser`	`mailGroup`
ims50	`inetLocalMailRecipient+inetmailuser`	`inetLocalMailRecipient + inetmailgroup`

很难编码该表中的信息（如处理其余的模式标记）。但是，在 option.dat 文件中还有两个 MTA 选项 LDAP_USER_OBJECT_CLASSES 和 LDAP_GROUP_OBJECT_CLASSES，可以设置这两个选项以分别指定用户对象类集和组对象类集。

例如，模式标记设置 ims50,nms41 将等价于以下选项设置：

LDAP_USER_OBJECT_CLASSES=inetLocalMailRecipient+inetmailuser, mailRecipient+nsMessagingServerUser

LDAP_GROUP_OBJECT_CLASSES=inetLocalMailRecipient+inetmailgroup, mailGroup

如果 LDAP 结果不具有适用于用户或组的一组正确的对象类，将只会忽略该结果。MTA 还确定其是否处理用户或组，并保存该信息。稍后将重复使用此处保存的信息。

请注意，此处所述的对象类设置还用于构建实际的 LDAP 搜索过滤器，该过滤器可用于检查以查看条目是否具有用户或组的正确对象类。可以通过 $K 元字符访问该过滤器。该过滤器还存储在 MTA 的配置内，以备通道程序使用，并作为 LDAP_UG_FILTER 选项（在使用命令 imsimta cnbuild -option 时）写入到 MTA 选项文件 option.dat 中。该选项只写入到文件中。MTA 不通过选项文件读取该选项。

条目状态检查

接下来检查条目的状态。有两个状态属性，一个用于常规条目，另一个专用于邮件服务。

表 9–2 介绍了在生效的模式标记条目中要检查的常规和特定于邮件的用户或组属性

表 9–2 要进行检查的属性


`schematag`	类型	General	邮件特定
sims40	用户	`inetsubscriberstatus`	`mailuserstatus`
sims40	组	无	`inetmailgroupstatus`
nms41	用户	无	`mailuserstatus`
nms41	组	无	无
Messaging Server 5.0	用户	`inetuserstatus`	`mailuserstatus`
Messaging Server 5.0	组	无	`inetmailgroupstatus`

如果需要，option.dat 文件中的LDAP_USER_STATUS 和 LDAP_GROUP_STATUS MTA 选项可分别用于选择用户和组的备用常规状态属性。特定于邮件的用户和组状态属性分别由 LDAP_USER_MAIL_STATUS 和 LDAP_GROUP_MAIL_STATUS MTA 选项控制。

起控制作用的另一个因素是域本身的状态（LDAP_DOMAIN_ATTR_STATUS 和 LDAP_DOMAIN_ATTR_MAIL_STATUS）。总共有四种状态属性。以下列顺序考虑这些属性的组合：

域状态
域邮件状态
用户或组状态
邮件用户或邮件组状态

这些属性中的第一个属性，如果指定了除“活动”状态以外的其他状态，则优先于所有其他属性。其他允许的状态值包括“非活动”、“已删除”、“已移除”、“已禁用”、“保留”和“超过配额”。“保留”、“已禁用”和“已移除”状态仅可以用于邮件域、邮件用户或邮件组。“超过配额”状态仅能指定为邮件域或邮件用户状态。

如果不存在特定状态属性，则所有状态都默认为“活动”。未知状态值将被解释为“非活动”。

组合使用四种状态时，可能出现用户或组的下列状态：“活动”、“非活动”、“已删除”、“已移除”、“已禁用”、“保留”和“超过配额”。活动状态会使别名处理继续进行。不活动或超过配额状态将会立即拒绝具有 4xx（临时）错误的地址。已删除、已移除和已禁用状态将会立即拒绝具有 5xx（永久）错误的地址。就状态处理而言，可以将“保留”状态视为“活动”状态，但它设置了内部标志，以便以后发送选项，此处所有选项都将被仅包含一个“保留”条目的选项列表覆盖。

UID 检查

下一步将考虑条目的 UID。UID 可用于各种目的，它必须是所有用户条目的一部分，并且可以包含在组条目中。不具有 UID 的用户条目将被忽略，并且该别名 URL 的处理也会不成功终止。托管域中条目的 UID 可以包含实际 UID、分隔符以及域。MTA 只使用实际 UID，因此会使用通过 option.dat 文件中的 LDAP_DOMAIN_ATTR_UID_SEPARATOR MTA 选项获得的域分隔符来删除其余部分（如果存在）。

万一使用了非 uid 的某个属性来存储 UID，则可使用 LDAP_UID MTA 选项来强制使用该属性。

邮件捕获

接下来检查用于指定一个或多个邮件捕获地址的 LDAP 属性。必须使用 LDAP_CAPTURE MTA 选项指定用于此目的的属性。没有默认值。该属性的值将被视为地址，生成一个特殊的“捕获”通知，并将该通知发送到以附件方式包含当前邮件的这些地址。此外，如果捕获地址用于初始化地址反向高速缓存，该地址以后将显示为信封 from: 地址。

初始化反向高速缓存

接下来将考虑主地址和附加到用户条目的所有别名。该信息可用于初始化地址反向高速缓存。此操作在当前地址转换进程中不起作用。首先，考虑主地址、个人名称、收件人限制、收件人截止日期和源块限制属性。主地址通常存储在 "mail" 属性中；另一属性可以通过相应地设置 LDAP_PRIMARY_ADDRESS MTA 选项来指定。（当然，主地址的反向结果与其自身相同。）所有其他属性都没有默认属性。如果要使用这些属性，您必须通过 LDAP_PERSONAL_NAME（请参见休假自动回复属性）、 LDAP_RECIPIENTLIMIT、LDAP_RECIPIENTCUTOFF（请参见对邮件收件人进行限制）和 LDAP_SOURCEBLOCKLIMIT（请参见指定绝对邮件大小限制）MTA 选项指定这些属性。此时还要考虑相应的域级别收件人限制、收件人截止日期和源块限制属性。用户级别设置将完全覆盖所有域级别设置。

接下来，将考虑所有次地址，并为每个地址设置一个高速缓存条目。次地址包括两类：一类进行地址反向，另一类则不进行。必须考虑这两类地址以便正确初始化地址反向高速缓存，因为在所有情况下都需要检查邮件捕获请求。

进行反向的辅助地址通常存储在 mailAlternateAddress 属性中。另一属性可以通过设置 LDAP_ALIAS_ADDRESSES MTA 选项来指定。不进行反向的辅助地址通常存储在 mailEquivalentAddress 属性中。另一属性可以通过 LDAP_EQUIVALENCE_ADDRESSES MTA 选项来指定。

邮件主机和路由地址

现在来考虑 mailhost 和 mailRoutingAddress 属性。可以使用 LDAP_MAILHOST 和 LDAP_ROUTING_ADDRESS MTA 选项分别覆盖要使用的实际属性。这些属性协同工作以确定此时这些属性是否应作用于地址或转发给其他系统。

第一步要确定 mailhost 对于该条目是否有意义。执行作用于条目的有效传送选项的初步检查，以查看该条目是否为邮件主机特定的。如果不是，则省略 mailhost 检查。要了解该检查的执行方法，请参见传送选项处理（尤其是 # 标志）的说明。

就用户条目而言，mailhost 属性必须标识本地系统，才能使该属性对本地系统起作用。将 mailhost 属性与 local.hostname configutil 参数的值相比较，并与 local.imta.hostnamealiases configutil 参数指定的值的列表相比较。如果出现任一匹配，则 mailhost 属性将被视为本地主机标识。

成功匹配意味着别名可以在本地起作用，并且别名处理将继续进行。不成功匹配则意味着需要将邮件转发给邮件主机才能起作用。将构建格式为

@mailhost:user @domain

的新地址，该地址将成为别名扩展操作的结果。

根据该条目是用户还是组，对缺少 mailhost 属性情况的处理有所不同。就用户而言，邮件主机是必需的，因此如果不存在 mailhost 属性，则格式为

@smarthost: user@domain

的新地址可以使用通过 LDAP_DOMAIN_ATTR_SMARTHOST MTA 选项确定的域的智能主机来构造。如果该域不存在智能主机，则会报告错误。

另一方面，组不需要邮件主机，因此缺少邮件主机将被解释为意味着可以随处扩展组。因此别名处理将继续进行。

mailRoutingAddress 属性将添加一个最终难题。如果该问题存在，则别名处理将终止，结果为 mailRoutingAddress。但是，如果邮件主机存在，会将该问题添加到作为源路由的 mailRoutingAddress 中。

其他属性支持

接下来，考虑 mailMsgMaxBlocks 属性。首先，使用通过 LDAP_DOMAIN_ATTR_BLOCKLIMIT MTA 选项返回的域块限制将其最小化。如果已知当前邮件的大小超过限制，别名处理将终止，产生一个超过大小的错误。如果大小未知或未超过限制，则会存储该限制并在稍后检查邮件自身时重新检查限制。可以用 LDAP_BLOCKLIMIT MTA 选项覆盖 mailMsgMaxBlocks 的使用。

下一步将访问并保存若干属性。最终，这些属性将被写入到队列文件条目中以供 ims_master 通道程序使用，然后该程序将使用这些属性来更新存储的用户信息高速缓存内容。如果未找到单个用户的属性，可以使用域级别属性设置默认属性。

如果 LDAP 条目适用于组而不适用于用户，或者如果 LDAP 条目来自别名高速缓存而不是来自 LDAP 目录，则跳过此步骤。后一个标准的逻辑是不需要经常更新此信息，如果需要更新，应使用别名高速缓存提供合理的标准。检索到的属性的名称由各个 MTA 选项设置。

表 9–3 显示了设置检索到的磁盘配额和邮件配额属性的 MTA 选项。

表 9–3 设置检索到的磁盘配额和邮件配额属性的 MTA 选项


MTA 选项	属性
`LDAP_DISK_QUOTA`	`mailQuota`
`LDAP_MESSAGE_QUOTA`	`mailMsgQuota`

接下来，将存储若干属性，以备稍后可能与元字符替换结合使用。

表 9–4 显示了 MTA 属性、默认属性和元字符。

表 9–4 MTA 选项、默认属性和元字符


MTA 选项	默认属性	元字符
`LDAP_PROGRAM_INFO`	`mailProgramDeliveryInfo`	`$P`
`LDAP_DELIVERY_FILE`	`mailDeliveryFileURL`	`$F`
`LDAP_SPARE_1`	没有默认属性	`$1E $1G $E`
`LDAP_SPARE_2`	没有默认属性	`$2E $2G $G`
`LDAP_SPARE_3`	没有默认属性	`$3E $3G`
`LDAP_SPARE_4`	没有默认属性	`$4E $4G`
`LDAP_SPARE_5`	没有默认属性	`$5E $5G`

还包含用于其他属性的备用插槽，以便您可以使用这些插槽构建自定义地址扩展设备。

接下来，将把与 mailconversiontag 属性相关联的所有值添加到当前的一组转换标记中。可以使用 LDAP_CONVERSION_TAG MTA 选项更改该属性的名称。如果存在与该域的 mailDomainConversionTag 属性相关联的任何值，也将附加这些值。

传送选项处理

接下来，将检查 mailDeliveryOption 属性。可以用 LDAP_DELIVERY_OPTION MTA 选项更改该属性的名称。这是一个多值选项，该选项的各个值确定了由别名转换进程生成的地址。此外，用于用户和组的允许值是不同的。通用允许的值包括 program、forward 和 hold。仅限用户使用的值包括 mailbox、native、unix 和 autoreply。仅限组使用的值包括 members、members_offline 和 file。

mailDeliveryOption 属性到相应地址的转换由 DELIVERY_OPTIONS MTA 选项来控制。该选项不仅指定每个允许的 mailDeliveryOption 值生成哪些地址，而且还指定允许的 mailDeliveryOption 值以及每个值是否适用于用户或/和组。

该选项的值由 deliveryoption=template 对的以逗号分隔的列表组成，每对都具有一个或多个可选单字符前缀。

DELIVERY_OPTIONS 选项的默认值为：

DELIVERY_OPTIONS=*mailbox=$M%$\\$2I$_+$2S@ims-ms-daemon, \
     &members=*,                                           \
     *native=$M@native-daemon,                             \
     /hold=@hold-daemon:$A,                                \
     *unix=$M@native-daemon,                               \
     &file=+$F@native-daemon,                              \
     &@members_offline=*,                                  \
     program=$M%$P@pipe-daemon,                            \
     #forward=**,                                          \
     *^!autoreply=$M+$D@bitbucket

每个传送选项对应于可能的 mailDeliveryOption 属性值，相应的模板使用元字符替换方案（与 URL 处理使用的相同）来指定结果地址。

表 9–5 显示了可用于 DELIVERY_OPTIONS 选项的单字符前缀。

表 9–5 用于 DELIVERY_OPTIONS MTA 选项中的选项的单字符前缀。


字符前缀	说明
`@`	设置一个标志，表明需要将邮件重定向至重新处理通道。放弃处理当前用户/组。忽略源自重新处理通道的邮件的标志。
`*`	传送选项应用于用户。
`&`	传送选项应用于组。
`$`	设置一个标志，表明要延迟该用户或组的扩展。
`^`	设置一个标志，表明应检查休假开始时间和结束时间以查看此传送选项是否真正有效。
`#`	设置一个标志，表明在条目的指定邮件主机中不需要进行此传送选项的扩展。即后面的条目独立于邮件主机。这将使 MTA 进行检查，以查看给定的用户或组的所有传送选项是否均独立于邮件主机。如果满足此条件，则 MTA 可以立即操作此条目，而无需将此邮件转发给邮件主机。
`/`	设置一个标志，该标记会保留由该传送选项生成的所有地址。包含这些收件人地址的邮件文件将具有 `.HELD` 扩展名。
`!`	设置一个标志，表明自动回复操作应该由 MTA 进行内部处理。只有在自动回复选项中使用此前缀才有意义。选项的值应将邮件定向到 bitbucket 通道。

如果 * 和 & 都不存在，则将传送选项应用于用户和组中。

传送选项中使用的附加元字符

已经添加了若干附加元字符以支持使用此 MTA 的 URL 模板的新增功能。这些元字符包含：

表 9–6 显示了其他元字符以及在传送选项中使用这些元字符的说明。

表 9–6 传送选项中使用的附加元字符


元字符	说明
`$\`	强制后续文本转为小写。
`$^`	强制后续文本转为大写。
`$_`	不对后续文本执行大小写转换。
`$nA`	插入地址的第 `n` 个字符。第一个字符是字符 0。如果省略 `n`，则替换整个地址。这适用于构建自动回复目录路径。
`$D`	插入地址的域部分。
`$nE`	插入第 `n` 个备用属性的值。如果省略 `n`，则使用第一个属性。
`$F`	插入传送文件的名称（`mailDeliveryFileURL 属性`）。
`$nG`	插入第 `n` 个备用属性的值。如果省略 `n`，则使用第二个属性。
`$nH`	在从 0 计数的原地址中插入域的第 `n` 个组件。如果省略 `n`，则默认值为 0。
`$nI`	插入与别名相关联的托管域。该元字符接受整数参数 `n`，其语义如表 9–7 所述。
`$nJ`	插入从 0 计数的托管域的第 `n` 部分。`n` 的默认值为 0。
`$n`O	插入与当前地址关联的源路由。该元字符接受整数参数 n，其语义如表 9–7 所述。
`$K`	插入与用户或组的对象类相匹配的 LDAP 过滤器。请参见 `LDAP_UG_FILTER` 仅用于输出的 MTA 选项的说明。
`$L`	插入地址的本地部分。
`$nM`	插入 UID 的第 `n` 个字符。第一个字符是字符 0。如果省略 n，则替换整个 UID。
`$P`	插入程序名称（通过 `mailProgramDeliveryInfo` 属性）。
`$nS`	插入与当前地址关联的子地址。该元字符接受整数参数 n，其语义如表 9–7 所述。
`$nU`	插入当前地址的邮箱部分的未用引号引起格式的第 n 个字符。第一个字符是字符 0。如果省略 n，则替换整个未用引号引起的邮箱。
`$nX`	插入邮件主机的第 `n` 个组件。如果省略 `n`，则插入整个邮件主机。

表 9–7 显示整数参数如何控制 $nI 和 $nS 元字符的性能。

表 9–7 控制 $nI 和 $nS 元字符的性能修改的整数


整数	性能说明
`0`	如果没有可用的值，则失败（默认值）。
1	如果有可用的值，则插入该值。如果没有，则不插入任何值。
2	如果有可用的值，则插入该值。如果没有可用值，则不插入任何值，并删除前面的字符（`ims-ms` 通道需要此特殊性能）。
3	如果有可用的值，则插入该值。如果没有可用值，则不插入任何值并忽略后面的字符。

除这些元字符之外，表 9–8 还显示了两个特殊的模板字符串。

表 9–8 特殊的模板字符串


特殊的模板字符串	说明
`*`	执行组扩展。该值对于用户条目无效。
`**`	扩展由 `LDAP_FORWARDING_ADDRESS` MTA 选项命名的属性。默认值设置为 `mailForwardingAddress`。

以组扩展为例，如果将用户的 mailDeliveryOption 值设置为 mailbox，将形成一个新地址，该地址由以下几部分组成：已拆开的 UID、百分比符号（后面跟托管域，如果有托管域）、加号（后面跟子地址，如果指定了子地址）和最后的 @ims-ms-daemon。

传送选项默认设置

如果此时活动传送选项列表为空，则为用户激活列表中的第一个选项（通常为邮箱），并为组激活列表中的第二个选项（通常为成员）。

开始和结束日期检查

读取传送选项列表后，将检查开始和结束日期。有两个属性，其名称分别由 LDAP_START_DATE（默认值为 vacationStartDate）和 LDAP_END_DATE（默认值为 vacationEndDate）MTA 选项控制。如果一个或多个活动传送选项指定了 ^ 前缀字符，则将针对当前日期检查这些选项的值。如果当前日期超出这些选项所指定的范围，将从活动集中删除带有 ^ 前缀的传送选项。有关更多信息，请参见休假自动回复属性。

Optin 和 Presence 属性

LDAP_OPTIN MTA 选项可用于指定包含垃圾邮件过滤器选定值的列表的 LDAP 属性。如果指定了该选项并且存在该属性，则将其附加到当前垃圾邮件过滤器选定列表中。域级别属性（由 LDAP_DOMAIN_ATTR_OPTIN MTA 选项设置）设置的所有值也将被附加到列表中。

LDAP_PRESENCE MTA 选项可用于指定 URL，解析此 URL 后可以返回有关用户的当前信息。如果指定了该选项并且存在该属性，则会保存该属性的值以备与 Sieve 存在测试结合使用。如果用户条目不存在值，则会将 LDAP_DOMAIN_ATTR_PRESENCE MTA 选项所设置的域级别属性用作此 URL 的源。

Sieve 过滤器处理

接下来将检查应用于此条目的 Sieve 过滤器的 mailSieveRuleSource 属性。如果存在该属性，此时将分析并保存该属性。该属性的值的两种可能的格式为包含一个完整 Sieve 脚本的单个值或每个值包含一段 Sieve 脚本的多个值。后一种格式由 Web 过滤器构造界面生成。特殊代码用于对这些值进行排序并将其正确组合在一起。

特别是，通过使用 LDAP_FILTER MTA 选项可以覆盖 mailSieveRuleSource 属性的使用。

延迟的处理控制

接下来将检查 mailDeferProcessing 属性。通过使用 LDAP_REPROCESS MTA 选项可以更改此属性。如果存在该属性并被设置为 no，则通常将继续进行处理。但如果该属性被设置为 yes，并且当前源通道不是重新处理通道，则该条目的扩展将被终止并且原 user@domain 地址将只被排入到重新处理通道中。如果不存在该属性，将检查与传送选项处理相关联的延迟处理字符前缀的设置。（请参见传送选项处理一节，用户默认值为 no。组的默认设置由 MTA 选项 DEFER_GROUP_PROCESSING 控制，其默认值为 1（是）。此时将结束用户条目的别名处理。

组扩展属性

许多附加属性与组扩展相关联，此时必须对这些属性进行处理。这些属性的名称都可以通过各个 MTA 选项进行配置。

表 9–9 列出了默认属性名、设置属性名的 MTA 选项和 MTA 处理属性的方式。此表中元素的排序显示了处理各个组属性的顺序。该排序对于正确操作极为重要。

表 9–9 组扩展默认属性和用于设置属性名称的 MTA 选项


默认属性	（用于设置属性名称的 MTA 选项）处理属性的方法
mgrpMsgRejectAction	(`LDAP_REJECT_ACTION`) 单值属性，用于控制后续访问检查失败时的操作。只定义了一个值：`TOMODERATOR`，如果设置该值，将指示 MTA 把所有访问失败重定向到由 `mgrpModerator` 属性指定的中介人。默认值（以及该属性的所有其他值）将会报告一个错误并拒绝邮件。
mailRejectText	(`LDAP_REJECT_TEXT`) 保存存储于该属性的第一个值中的文本的第一行。如果以下任一验证属性使邮件被拒绝，将返回此文本。这意味着文本可以显示在 SMTP 响应中，因此只能将值限定为 US-ASCII 才能符合当前的邮件服务标准。
mgrpBroadcasterPolicy	(`LDAP_AUTH_POLICY`) 指定发送到组所需的验证级别。可能的标记为 `SMTP_AUTH_REQUIRED` 或 `AUTH_REQ`，两者都表示 SMTP AUTH 命令必须用于标识发件人以便发送到组；`PASSWORD_REQUIRED`、`PASSWD_REQUIRED` 或 `PASSWD_REQ` 都表示由 mgrpAuthPassword 属性指定的列表的密码必须显示在邮件的 Approved: 标题字段中；OR 用于将此列表的 `OR_CLAUSES` MTA 选项设置改为 1；AND 用于将此列表的 `OR_CLAUSES` MTA 选项设置改为 0；`NO_REQUIREMENTS` 为 no-op。允许多值。每个值由以逗号分隔的标记列表组成。如果调用 SMTP AUTH，它还表示所有后续验证检查将针对 SASL 层所提供的电子邮件地址而不是 MAIL FROM 地址来完成。
mgrpAllowedDomain	(`LDAP_AUTH_DOMAIN`) 允许将邮件提交到该组的域。`OR_CLAUSES` MTA 选项设置为 0 时（默认值）匹配失败，表明访问检查已失败且将避开所有后续测试。`OR_CLAUSES` MTA 选项设置为 1 时匹配失败，将设置“失败暂挂”标志；其他访问检查必须都成功才能使访问检查成功。如果提交者已经与 `LDAP_AUTH_URL` 匹配，则避开此检查。可具有多个值，并允许使用全局样式通配符。
mgrpDisallowedDomain	(`LDAP_CANT_DOMAIN`) 不允许将邮件提交到该组的域。出现匹配就表示访问检查已失败且将避开所有后续检查。如果提交者已经与 `LDAP_AUTH_URL` 匹配，则避开此检查。可具有多个值，并允许使用全局样式通配符。
mgrpAllowedBroadcaster	(`LDAP_AUTH_URL`) 允许将邮件发送到该组的标识邮件地址的 URL。可具有多个值。每个 URL 都扩展为地址列表，并针对当前信封 From: 地址检查每个地址。`OR_CLAUSES` MTA 选项设置为 0（默认值）时匹配失败，表明访问检查已失败且将避开所有后续测试。`OR_CLAUSES` MTA 选项设置为 1 时匹配失败，将设置“失败暂挂”标志；其他允许的访问检查必须都成功才能使访问检查成功。出现匹配还将禁用后续的域访问检查。执行的扩展类似于禁用了所有访问控制检查的 SMTP `EXPN`。
mgrpDisallowedBroadcaster	(`LDAP_CANT_URL`) 不允许将邮件发送到该组的标识邮件地址的 URL。可具有多个值。每个 URL 都扩展为地址列表，并针对当前信封 From: 地址检查每个地址。出现匹配就表示访问检查已失败且将避开所有后续检查。执行的扩展类似于禁用了所有访问控制检查的 SMTP `EXPN`。
mgrpMsgMaxSize	(`LDAP_ATTR_MAXIMUM_MESSAGE_SIZE`) 可以发送给组的最大邮件大小（以字节为单位）。该属性已作废，但仍支持向后兼容；应该使用新的 `mailMsgMaxBlocks` 属性。
mgrpAuthPassword	(`LDAP_AUTH_PASSWORD`) 指定发送到列表所需的密码。如果存在 `mgrpAuthPassword` 属性，则将强制执行重新处理传送。邮件被重新排入到重新处理通道时，将从标题中获取密码并把密码放置在信封中。然后，在进行重新处理时，将从信封中获取密码并针对该属性检查密码。另外，只能从标题字段中删除实际使用的密码。 OR_CLAUSES MTA 选项将按照其操作其他访问检查属性的同一种方法来操作此属性。
mgrpModerator	(`LDAP_MODERATOR_URL`) 该属性给出的将被扩展为一系列地址的 URL 列表。该地址列表的解释取决于 `LDAP_REJECT_ACTION` MTA 选项的设置。如果将 `LDAP_REJECT_ACTION` 设置为 `TOMODERATOR`，该属性将指定要接受邮件的中介人地址（如果任一访问检查失败）。如果缺少 `LDAP_REJECT_ACTION` 或具有任何其他值，则将把该地址列表与发件人地址相比较。如果出现匹配，处理将继续进行。如果未出现匹配，则邮件将被重新发送到该属性所指定的所有地址。通过将属性的值设为组的 URL 列表，可以实现该属性的扩展。清除与该组相关联的 RFC822 地址或 DN 的所有列表，并将该组的传送选项设置为 `members`。最后，忽略该表中列出的后续组属性。
mgrpDeliverTo	(`LDAP_GROUP_URL1`) 扩展时，将提供邮递列表成员地址的 URL 列表。
memberURL	(`LDAP_GROUP_URL2`) 扩展时，将提供邮递列表成员地址的另一个 URL 列表。
uniqueMember	(`LDAP_GROUP_DN`) 组成员的 DN 列表。DN 可以指定整个子树。通过将唯一成员 DN 嵌入到 LDAP URL 中可以扩展这些 DN。要使用的确切 URL 由 `GROUP_DN_TEMPLATE` MTA 选项指定。此选项的默认值为：`ldap:///$A?mail?sub?(mail=*)` `$A` 指定了 `uniqueMember` DN 的插入点。
mgrpRFC822MailMember	(`LDAP_GROUP_RFC822`) 该列表的成员的邮件地址。
rfc822MailMember	`(LDAP_GROUP_RFC822) rfc822MailMember` 支持向后兼容。`rfc822MailMember` 或 `mgrpRFC822MailMember` 都可以（但不能同时）用于任何给定组。
mgrpErrorsTo	(`LDAP_ERRORS_TO`) 将发件人 (MAIL FROM) 地址设置为属性指定的内容。
mgrpAddHeader	(`LDAP_ADD_HEADER`) 将在属性中指定的标题变为标题剪裁 ADD 选项。
mgrpRemoveHeader	(`LDAP_REMOVE_HEADER`) 将指定的标题变为标题裁剪 `MAXLINES=-1` 选项。
mgrpMsgPrefixText	(`LDAP_PREFIX_TEXT`) 将指定的文本添加到邮件文本（如果有）的开头。
mgrpMsgSuffixText	(`LDAP_SUFFIX_TEXT`) 将指定的文本添加到邮件文本（如果有）的结尾。
`No Default`	(LDAP_ADD_TAG) 检查指定文本的主题；如果没有主题，将把文本添加到主题字段的开头。

在组扩展作为 SMTP EXPN 命令一部分的特殊情况下，将检查一个最终属性：mgmanMemberVisibility 或可扩展属性。LDAP_EXPANDABLE MTA 选项可用于选择要检查的其他属性。可能的值包括：anyone，表示任何人都可以扩展组；all 或 true，表示用户必须先通过 SASL 成功验证后才允许扩展；none，表示不允许扩展。不可识别的值被解释为 none。如果不存在该属性，EXPANDABLE_DEFAULT MTA 选项将控制是否允许扩展。

以此方式缓存的别名条目类似于域条目。控制别名高速缓存的 MTA 选项为 ALIAS_ENTRY_CACHE_SIZE（默认值为 1000 个条目）和 ALIAS_ENTRY_CACHE_TIMEOUT（默认值为 600 秒）。给定别名的整个 LDAP 返回值保留在高速缓存中。

别名条目的负缓存由 ALIAS_ENTRY_CACHE_NEGATIVE MTA 选项控制。非零值启用别名匹配的缓存失败。零值将其禁用。默认情况下，禁用别名条目的负缓存。理论上可以重复说明无效地址，实际上不可能经常发生。此外，负缓存可能会影响及时识别已添加到目录中的新用户。但是，在频繁使用虚名域的情况下，站点应该考虑重新启用别名的负缓存。由 ALIAS_URL0 指定的 URL 所执行的搜索不大可能会成功。