iPlanet Messaging Server 5.2 管理员指南 （二）

过滤 UBE（大宗商业电子邮件，亦称垃圾邮件）：参阅第 10 篇 “邮件过滤与访问控制”。 

iPlanet 已具备大量的文档，这些文档分别涵盖各种有关安全性主题。有关本文提及的主题详细背景信息以及其他与安全有关的信息，请访问 iPlanet 文献网站，网址：http://docs.iplanet.com。 

关于 HTTP 安全性 


--------------------------------------------------------------------------------

Messaging Server 支持用户 ID/口令认证和客户证书认证两种认证方法。但是，这两个协议在处理客户与服务器之间的网络连接上有所不同。 
当 POP、IMAP、或是 SMTP 客户登录到 Messaging Server 时，系统将为其建立连接和作业时段（会话）。在会话持续期间，即从登录到退出期间，将保持连接。当建立新连接时，客户必须重新认证到服务器。 

当 HTTP 客户登录到 Messaging Server 时，服务器将为客户提供一个独特的作业时段或会话 ID。在会话持续期间，客户可用该会话 ID 多次建立连接。HTTP 客户无需每次连接时重新认证。只有当会话被切断而且客户要建立新的会话时才需要重新认证。（若空闲的 HTTP 会话持续了一段时间后，服务器会自动切断此 HTTP 会话时段并注销该客户；默认时间段为 2 小时）。 

以下方法用于改进 HTTP 会话的安全性： 


会话 ID 现可捆定在特定的 IP 地址上。 

每个会话 ID 都有与之关联的超时值，若在指定时间段未使用会话 ID，则该会话 ID 将无效。 

服务器保留所有打开会话的数据库，所以客户无法伪造 ID。 

会话 ID 存储在 URL 而不是 cookie 文件中。 

有关为改进连接性能而指定配置参数方面的信息，请参阅第 3 篇 “配置 POP、IMAP 和 HTTP 服务”。 

配置认证机制 


--------------------------------------------------------------------------------

认证机制是客户向服务器证明其身份的一种特定方法。Messaging Server 支持由 SASL（简单认证和安全层）协议定义的认证方法，并支持基于证书的认证。本节描述 SASL 安全机制。有关基于证书的认证的详细信息，请参阅“配置加密的和基于证书的认证”。 
Messaging Server 支持下列基于口令认证的 SASL 认证方法。 


PLAIN - 这种机制在网络上传送用户的明文口令，因而可能被他人偷窥。 

注意 SSL 可用来减轻偷窥问题。有关详细信息，请参阅“配置加密的和基于证书的认证”。 

DIGEST-MD5 - 是一种 challenge/response（问题与答案）认证机制，定义请见 RFC 2831。（Messaging Multiplexor 现还不能支持 DIGEST-MD5）。 

CRAM-MD5 - 一种与 APOP 类似的 challenge/response 认证机制，但也适用于其他协议。定义见 RFC 2195。 

APOP - 一种 challenge/response 认证机制，只能与 POP3 协议配合使用。定义见 RFC 1939。 

使用 challenge/response 认证机制时，服务器先向客户发送一个 challenge 字符串。客户以该 challenge 及用户口令的散列码应答。若客户的应答与服务器自身的散列码匹配，用户则通过认证。散列码是不可逆的，所以当用户的口令在网络中传送时不会失密。 

论坛热门帖子:	[lch203] 写得蛮好的linux学习笔记(10-21) [黑马制造] 学习java的30个目标(10-19) [笑傲股林] 做测试半年了，有点迷茫，应该再学些什么提高自己的测试水平和测试能力呢？(10-19) [udp8589] 大家用google的来吱一声? 用百度的~~也来报道下?(10-18) [沂偌掳兆] 本人总结的一些认为C++比较经典的书籍，希望对大家有用(10-18)
TAG标签:	管理员 指南 邮件 文件 日志 用户 通道 服务器 使用 一个