iPlanet Messaging Server 5.2 管理员指南 （二）

若需在阻塞未授权的转发活动的同时又允许合法的本地用户使用转发功能，则需对 Messaging Server 进行配置，以使其知道如何区分这两类用户。例如，使用 POP 或 IMAP 的本地用户所依靠的是用 Messaging Server 进行 SMTP 转发。 

若需预防 SMTP 转发，您必须能： 


区分内部邮件和外部邮件 

区分已认证用户邮件 

防止邮件分程转发 

要启用内部主机和客户程序的 SMTP 转发，必须将“内部”IP 地址或者子网络添加到 INTERNAL_IP 映射表中。 


MTA 如何区分内部邮件和外部邮件 

为了阻塞邮件转发活动，您首先必须能够区分您所在网站来的内部邮件和从互联网来的并通过您的系统回到互联网上的外部邮件。在这两类邮件中，前者是您需要准许通行的邮件；后者是您需要阻塞的邮件。区分是通过将 switchchannel 关键字用于入站 SMTP 通道上而实现的，该通道通常就是 tcp_local 通道，并且是默认的。 

switchchannel 关键字可使 SMTP 服务器对与外来 SMTP 连接相关的实际 IP 地址进行检查。Messaging Server 可通过该 IP 地址，加上您制定的重写规则，二者可结合起来对域内来的 SMTP 连接和域外来的连接进行区分。这一信息随后便可用来隔离内部和外部邮件信量。 

以下说明的 MTA 配置是默认设置的，在这样的配置下服务器可以区分内部和外部邮件传送。 


配置文件中，在本地通道之前是带有关键字 noswitchchannel 的 defaults 通道： 

! final rewrite rules
defaults noswitchchannel
! Local store
ims-ms ... 

入站 TCP/IP 通道指定了 switchchannel 和 remotehost 这两个关键字；例如： 

tcp_local smtp single_sys mx switchchannel remotehost
TCP-DAEMON 

在入站 TCP/IP 通道定义之后是一个名字不同的类是通道；例如： 

tcp_intranet smtp single_sys mx allowswitchchannel routelocal 
tcp_intranet-daemon 

routelocal 通道关键字在重写地址到通道时促使 MTA 尝试使任何通过该通道的地址中的显式接路由“短路”，从而对通过内部 SMTP 主机借助于显式源路由地址进行循环转发的尝试加以阻塞。 

在做了上述配置变更后，您所在域中生成的 SMTP 邮件都将通过 tcp_intranet 通道入站。所有其它 SMTP 邮件都将通过 tcp_local 通道入站。根据邮件入站的通道区分内部和外部邮件。 
这是如何实现的？关键在于 switchchannel 这个关键字。该关键字被用于 tcp_local 通道。当一封来件送达到 SMTP 服务器时，该关键字可使服务器查找与外来连接相关的源 IP 地址。服务器此时将尝试对外来连接的实际 IP 地址以反指向进行信封重写，以期查找相关的通道。如果源 IP 地址与 INTERNAL_IP 映射表中的 IP 地址或子网络匹配，应用于该映射表的重写规则将使地址重写到 tcp_intranet 通道。 

因为 tcp_intranet 通道标有 allowswitchchannel 关键字，所以该邮件将被转换到 tcp_internal 通道，并从该通道入站。如果邮件来自于其 IP 地址不在 INTERNAL_IP 映射表中的某个系统，反向信封重写可能重写到 tcp_local 或其他通道。但绝不会在 tcp_intranet 通道里重写；同时，由于所有其它通道都在第 1 步中被标志为 noswitchchannel，所以邮件只能保留在 tcp_local 通道而不会转换到另一通道。 

论坛热门帖子:	[lch203] 写得蛮好的linux学习笔记(10-21) [黑马制造] 学习java的30个目标(10-19) [笑傲股林] 做测试半年了，有点迷茫，应该再学些什么提高自己的测试水平和测试能力呢？(10-19) [udp8589] 大家用google的来吱一声? 用百度的~~也来报道下?(10-18) [沂偌掳兆] 本人总结的一些认为C++比较经典的书籍，希望对大家有用(10-18)
TAG标签:	管理员 指南 邮件 文件 日志 用户 通道 服务器 使用 一个