test

Sun Java System Messaging Server 6 2005Q4 管理指南

啟用 POP Before SMTP

SMTP 認證 (或 SMTP Auth [RFC 2554]) 是提供 SMTP 轉送伺服器安全性的優先方法。SMTP Auth 僅允許認證使用者透過 MTA 傳送郵件。然而,某些舊的用戶端僅支援 POP before SMTP。如果您的系統屬於這種情況,則可如下文所述啟用 POP before SMTP。但是,如有可能,應鼓勵您的使用者升級他們的 POP 用戶端,而不是使用 POP before SMTP。在網站上部署 POP before SMTP 後,使用者便會依賴這些不符合網際網路安全性標準的用戶端,從而使一般使用者處於更大的被侵入風險中,網站速度也會因無法避免的效能降低而變慢,因為系統不得不追蹤並協調最近成功的 POP 階段作業的 IP 位址。

POP before SMTP 的 Messaging Server 實作完全不同於 SIMS 或 Netscape Messaging Server。透過將 Messaging Multiplexor (MMP) 配置為具有 POP 和 SMTP 兩種代理伺服器來支援 POP before SMTP。當 SMTP 用戶端連線至 SMTP 代理時,該代理會檢查記憶體內快取的最近 POP 認證。如果找到來自同一個用戶端 IP 位址的 POP 認證,SMTP 代理會通知 SMTP 伺服器允許郵件被導向至本地和非本地收件者。

Procedure安裝 SMTP 代理

步驟

  1. 安裝 Messaging Multiplexor (MMP)。

    請參閱「Sun Java Enterprise System 2005Q4 安裝指南」,以取得相關說明。

  2. 在 MMP 上啟用 SMTP 代理。

    將字串︰

    msg_svr_base/lib/SmtpProxyAService@25|587

    增加到 msg_svr_base/config/AService.cfg 檔案中的 ServiceList 選項。該選項是一個長行,不能換行。

    備註 –

    升級 MMP 後,將會有四個新檔案,對應於 MMP 的四個現有配置檔案。新檔案是:

    AService-def.cfgImapProxyAService-def.cfgPopProxyAService-def.cfgSmtpProxyAService-def.cfg

    這些檔案由安裝程式建立,本文所述的四個配置檔案不是由安裝程序建立的或不受安裝程序的影響。MMP 在啟動時會查找一般配置檔案 (依目前說明)。如果找不到一般配置檔案,則會嘗試將各個 *AService-def.cfg 檔案分別複製到對應的 *AService.cfg 檔案名稱中。

  3. 在每個 SMTP 轉送伺服器上設定 SMTP 通道選項檔案 tcp_local_option 中的 PROXY_PASSWORD 選項。

    當 SMTP 代理連線至 SMTP 伺服器時,它必須通知 SMTP 伺服器實際的用戶端 IP 位址和其他連線資訊,以便 SMTP 伺服器可以正確地套用轉送封鎖功能和其他安全性策略 (包括 POP before SMTP 授權)。這是一項對安全性敏感的作業,必須通過認證。在 MMP SMTP 代理和 SMTP 伺服器上配置的代理密碼可確保協力廠商無法濫用此功能。

    範例:PROXY_PASSWORD=A_Password

  4. 請確保 INTERNAL_IP 對映表不會將 MMP 用於連線至 SMTP 伺服器的 IP 位址視為「內部」位址。

    請參閱第 17 章, 郵件篩選和存取控制中的新增 SMTP 轉送,以取得有關 INTERNAL_IP 對映表的資訊。

  5. 配置代理 SMTP 以支援 POP before SMTP。

    1. 編輯 msg_svr_base/config/SmtpProxyAService.cfg 配置檔案。

      以下 SMTP 代理伺服器選項與 IMAP 和 POP 代理伺服器的相同選項執行方式相同 (請參閱第 7 章, 配置與管理 Multiplexor 服務,這些選項位於「Sun Java System Messaging Server 6 2005Q4 Administration Reference」中的「Encryption (SSL) Option」一節)。

      LdapURLLogDirLogLevelBindDNBindPassTimeoutBannerSSLEnableSSLSecmodFileSSLCertFileSSLKeyFileSSLKeyPasswdFileSSLCipherSpecsSSLCertNicknamesSSLCacheDirSSLPortsCertMapFileCertmapDNConnLimitsTCPAccess

      未在上面列出的其他 MMP 選項 (包括 BacksidePort 選項) 目前不適用於 SMTP 代理伺服器。

      新增以下五個選項:

      SmtpRelays 是以空格分隔的 SMTP 轉送伺服器主機名稱 (帶有可選連接埠) 清單,用於進行循環轉送。這些轉送必須支援 XPROXYEHLO 延伸。此選項是強制性選項,沒有預設。

      範例default:SmtpRelays manatee:485 gonzo mothra

      SmtpProxyPassword 是用於授權在 SMTP 轉送伺服器上變更來源通道的密碼。此選項為強制性選項,沒有預設,並且必須與 SMTP 伺服器上的 PROXY_PASSWORD 選項相符。

      範例default:SmtpProxyPassword A_Password

      EhloKeywords 選項除提供預設設定外,還會為代理伺服器提供傳送給用戶端的 EHLO 延伸關鍵字清單。MMP 將從 SMTP 轉送器傳回的 EHLO 清單中移除所有無法識別的 EHLO 關鍵字。EhloKeywords 指定不應從清單中移除的其他 EHLO 關鍵字。預設為空白,但是 SMTP 代理將支援以下關鍵字,因此無需在此選項中列出它們:8BITMIMEPIPELININGDSNENHANCEDSTATUSCODESEXPNHELPXLOOPETRNSIZESTARTTLSAUTH

      使用「TURN」延伸 (很少使用) 的站點可以使用以下範例︰

      範例default:EhloKeywords TURN

      PopBeforeSmtpKludgeChannel 選項設定為某個 MTA 通道的名稱,以用於 POP before SMTP 授權連線。預設為空白;對於要啟用 POP before SMTP 的使用者,通常設定為 tcp_intranet。最佳化 SSL 效能不需要此選項 (請參閱如何使用 SMTP 代理最佳化 SSL 效能)。

      範例default:PopBeforeSmtpKludgeChannel tcp_intranet

      ClientLookup 選項預設為 no。如果設定為 yes,DNS 將對用戶端 IP 位址進行無條件反向查詢,因此 SMTP 轉送伺服器便無需執行此作業。此選項可以針對每個託管網域進行設定。

      範例default:ClientLookup yes

    2. 請在 PopProxyAService.cfg 配置檔案中設定 PreAuth 選項和 AuthServiceTTL 選項。為最佳化 SSL 效能,無需使用此選項。(請參閱如何使用 SMTP 代理最佳化 SSL 效能)

      這些選項指定使用者在經過 POP 認證後被授權提交郵件的時間量 (以秒為單位)。通常設定為 900 到 1800 (15-30 分鐘)。

      範例


      default:PreAuth yes
default:AuthServiceTTL 900

    3. 您可以選擇指定在嘗試執行清單中的下一項之前,MMP 等待 SMTP 轉送器回應的秒數。

      預設為 10 (秒)。如果連線至 SMTP 轉送失敗,MMP 會避免在相當於容錯移轉逾時期間 (以分鐘為單位) 內進行嘗試 (因此,如果容錯移轉逾時為 10 秒,並且轉送失敗,則 MMP 在 10 分鐘內不會再次嘗試該轉送作業)。

      範例default:FailoverTimeout 10