请教:怎么禁止单位外的人利用我们的LOTUS DOMINO SMTP服务

时间:2022-06-01 17:49:18
我发现有人利用我们的服务器,发送大量的垃圾邮件。

17 个解决方案

#1


up

#2


Domino 5以下的版本有设计缺陷,不能完全禁止通过服务器的转信。
不过按我的经验,你可以通过加IP限制的方法来阻止大多数发垃圾邮件的人。

#3


可以完全禁止非本系统的用户转发邮件的。
问下IBM的工程师

#4


在服务器配置文档-》限制和控件-》SMTP返回控件

仅允许来自外部 Internet 网络域的消息被发送到以下 Internet 网络域: yourdomain.com
仅禁止来自以下外部 Internet 主机的消息被发送到外部 Internet 网络域:
[您服务器的IP]; [127.*.*.*]
禁止来自以下 SMTP Internet 主机名/IP 地址的连接: [您服务器的IP]; [127.*.*.*]
禁止来自以下 Internet 地址/网络域的消息:   [您服务器的IP]; [127.*.*.*]

就可以了

#5


谢谢ntko,cmliu,w102272
 我试一试

#6


不行,第一次挡住了,后试多次后,就过了。

#7


这是最严格的设置了,再设置严格就会阻碍正常的邮件通讯了。用R6会好些。不过这样已经可以阻挡绝大多数了。

#8


增加一台服务器,通过两台smtp_in和smtpo_out来阻止这类现象

#9


在服务器配置文档-》限制和控件-》SMTP返回控件

仅允许来自以下外部 Internet 主机的消息被发送到外部 Internet 网络域: [192.168.0.*;你的解析域名]
我目前用这种方法基本上堵决了别人来转发邮件问题.

#10


使用2台domino服务器,一台做为发件服务器,一台作为收件服务器。在发件服务器服务器上需要设置“smtp验证”。在收件服务器上需要设置“不能作为转发主机”和垃圾邮件地址列表就可以了。我这里有一篇关于如何防止垃圾邮件的文档留下你的邮箱我可以发给你。

#11


我用的是domino 5.0.6,也只有一台服务器,不知能否在一台上装两个domino server。

#12


spamtest真可恶,从早上9:30到现在一直在发邮件到服务器上。test 变成攻击了.

#13


同意xmzhy(张缘) 的方法,我也是这样。 如果用SMTP控件的禁止什么,还是不能保证非法IP。应该用仅允许来自以下外部 Internet 主机的消息被发送到外部 Internet 网络域: [192.168.0.*;你的解析域名]

但最好用接入的IP作限制,而不是用解析域名作限制。
比如我自己那个Notes服务器,用的是[61.48.11.*],就是说用你的单位出口的IP去限制。

一般企业肯定是通过一个ISP共享上网。比如中国网通的ADSL接入,给你们上网分配的IP分配的IP一般都是固定,或定死在一个范围内的。
假设你们单位是ADSL上网,你可以看看自己企业的出口IP通常都是在那个范围内,比如用[61.48.*.*]来设置限制就宽一些,[61.48.11.*]就限制到了这个网段下的255台机器才能向你的邮件服务器发信了。

这么设置以后,效果是:
  允许外部任何服务器发给系统中的用户。(这是收信)
  仅仅允许自己单位上网的网段,用一个B类或C类地址能给你的服务器发信。(这是转信)
  如果有多个分公司,那也类似,把这些分公司的地址加进去。甚至直接加固定IP地址。
  对其它外部发到外部的信,一律禁止。
  对SMTP发邮件的人进行服务器认证(这个不是绝对必要的,想加也可以加)
  
那么在这个范围内,发垃圾邮件的人恰好和你们公司的网关出口在一个网段255个地址内,或者65535个地址内,这个可能性就非常非常小了。

就算他真的能发,说明发垃圾邮件的人和你们很近,是一个局接入的,最后也能查到他或者与他有关的人,他跑不了,就会有顾虑的。就是他能发到你的服务器上,也转不出去。如果都对着某个内部员工的邮箱发,那是攻击了,发垃圾邮件的人达不到目的。

对内部员工来说,收信是不受任何限制的,外发邮件的唯一的限制就是必须在办公室内发(你允许的网段内),而这个要求除非是那些在家办公的员工,基本上都是自然而然就满足了。
对于回家办公的员工,你可以要求他们使用WebMail,有固定IP的人可以他上网的固定IP。

这种方法,基本上可以屏蔽一切垃圾邮件了。

#14


早期的SMTP协议为了保证传输可靠性,提供了服务器之间的转信功能。
由于设计上的问题,即使加了SMTP认证,也不能组织调用底层接口的服务器之间进行转信。

这个问题说到底并不完全是Domino服务器的问题,而是SMTP协议的设计问题。
所以你最终需要的是,从IP限制上入手,

用ADSL发垃圾邮件的人,IP范围北京地区一般是61.*.*.*, 不同的局B类地址不同。如果是宽带接入发垃圾邮件,那么他的IP范围通常是211.什么的。

所以如果你和他是不同的ISP接入,基本上这种方法就绝对能保证垃圾邮件发不过来了。如果是同一个ISP接入,那么可以进一步增加IP限制的范围。

发垃圾邮件最多的人是用ADSL接入的,把限制增加到C类地址范围,正好在一个网段的可能性非常小。就算是在一个网段,如果他用ADSL,他的出口速度不够,那么干至少会让他多付点上网费,他会很累的。就算是宽带,正好在一个ISP管理下,着急了去查,一定能查到是谁。

呵呵...

我遇到的情况比你还有趣,我给服务器加了IP限制以后,对方这招不灵了,就用黑客软件攻击我们的服务器,我们的管理员经验不够,口令太简单,竟然让他用MD5算法枚举的口令字典猜到了口令,结果跑上来安了个什么“客户挖掘大师”,管理员发现了删除,这伙计又给安装上,来回好多次。
最后我们派了技术人员去,把所有不必要的IP端口全部封闭,把所有找的到的补丁都打上,删除了什么Wscript,FSO这些东西,加上了各种各样的IP限制,然后把管理员密码从4位加到了30位,虽然保不准那里还有漏洞,但估计再来字典攻击,那就要累死他了。

要说服务器在你手里头,对付不了黑客和这些垃圾邮件者是不可能的。只是这些人确实很有毅力。只是不把精力用在正当地方上。发一些垃圾邮件能赚多少钱,有这个功夫不如写个软件去卖了,可惜了大好水平。想想觉得真是有意思,呵呵...

#15


你可以通过加IP限制的方法来实现,
另外可以通过交换机来过滤限制的IP地址

#16


发件人是空的,怎么跟踪,发现对方的IP

#17


怎么做SMTP验证.

#1


up

#2


Domino 5以下的版本有设计缺陷,不能完全禁止通过服务器的转信。
不过按我的经验,你可以通过加IP限制的方法来阻止大多数发垃圾邮件的人。

#3


可以完全禁止非本系统的用户转发邮件的。
问下IBM的工程师

#4


在服务器配置文档-》限制和控件-》SMTP返回控件

仅允许来自外部 Internet 网络域的消息被发送到以下 Internet 网络域: yourdomain.com
仅禁止来自以下外部 Internet 主机的消息被发送到外部 Internet 网络域:
[您服务器的IP]; [127.*.*.*]
禁止来自以下 SMTP Internet 主机名/IP 地址的连接: [您服务器的IP]; [127.*.*.*]
禁止来自以下 Internet 地址/网络域的消息:   [您服务器的IP]; [127.*.*.*]

就可以了

#5


谢谢ntko,cmliu,w102272
 我试一试

#6


不行,第一次挡住了,后试多次后,就过了。

#7


这是最严格的设置了,再设置严格就会阻碍正常的邮件通讯了。用R6会好些。不过这样已经可以阻挡绝大多数了。

#8


增加一台服务器,通过两台smtp_in和smtpo_out来阻止这类现象

#9


在服务器配置文档-》限制和控件-》SMTP返回控件

仅允许来自以下外部 Internet 主机的消息被发送到外部 Internet 网络域: [192.168.0.*;你的解析域名]
我目前用这种方法基本上堵决了别人来转发邮件问题.

#10


使用2台domino服务器,一台做为发件服务器,一台作为收件服务器。在发件服务器服务器上需要设置“smtp验证”。在收件服务器上需要设置“不能作为转发主机”和垃圾邮件地址列表就可以了。我这里有一篇关于如何防止垃圾邮件的文档留下你的邮箱我可以发给你。

#11


我用的是domino 5.0.6,也只有一台服务器,不知能否在一台上装两个domino server。

#12


spamtest真可恶,从早上9:30到现在一直在发邮件到服务器上。test 变成攻击了.

#13


同意xmzhy(张缘) 的方法,我也是这样。 如果用SMTP控件的禁止什么,还是不能保证非法IP。应该用仅允许来自以下外部 Internet 主机的消息被发送到外部 Internet 网络域: [192.168.0.*;你的解析域名]

但最好用接入的IP作限制,而不是用解析域名作限制。
比如我自己那个Notes服务器,用的是[61.48.11.*],就是说用你的单位出口的IP去限制。

一般企业肯定是通过一个ISP共享上网。比如中国网通的ADSL接入,给你们上网分配的IP分配的IP一般都是固定,或定死在一个范围内的。
假设你们单位是ADSL上网,你可以看看自己企业的出口IP通常都是在那个范围内,比如用[61.48.*.*]来设置限制就宽一些,[61.48.11.*]就限制到了这个网段下的255台机器才能向你的邮件服务器发信了。

这么设置以后,效果是:
  允许外部任何服务器发给系统中的用户。(这是收信)
  仅仅允许自己单位上网的网段,用一个B类或C类地址能给你的服务器发信。(这是转信)
  如果有多个分公司,那也类似,把这些分公司的地址加进去。甚至直接加固定IP地址。
  对其它外部发到外部的信,一律禁止。
  对SMTP发邮件的人进行服务器认证(这个不是绝对必要的,想加也可以加)
  
那么在这个范围内,发垃圾邮件的人恰好和你们公司的网关出口在一个网段255个地址内,或者65535个地址内,这个可能性就非常非常小了。

就算他真的能发,说明发垃圾邮件的人和你们很近,是一个局接入的,最后也能查到他或者与他有关的人,他跑不了,就会有顾虑的。就是他能发到你的服务器上,也转不出去。如果都对着某个内部员工的邮箱发,那是攻击了,发垃圾邮件的人达不到目的。

对内部员工来说,收信是不受任何限制的,外发邮件的唯一的限制就是必须在办公室内发(你允许的网段内),而这个要求除非是那些在家办公的员工,基本上都是自然而然就满足了。
对于回家办公的员工,你可以要求他们使用WebMail,有固定IP的人可以他上网的固定IP。

这种方法,基本上可以屏蔽一切垃圾邮件了。

#14


早期的SMTP协议为了保证传输可靠性,提供了服务器之间的转信功能。
由于设计上的问题,即使加了SMTP认证,也不能组织调用底层接口的服务器之间进行转信。

这个问题说到底并不完全是Domino服务器的问题,而是SMTP协议的设计问题。
所以你最终需要的是,从IP限制上入手,

用ADSL发垃圾邮件的人,IP范围北京地区一般是61.*.*.*, 不同的局B类地址不同。如果是宽带接入发垃圾邮件,那么他的IP范围通常是211.什么的。

所以如果你和他是不同的ISP接入,基本上这种方法就绝对能保证垃圾邮件发不过来了。如果是同一个ISP接入,那么可以进一步增加IP限制的范围。

发垃圾邮件最多的人是用ADSL接入的,把限制增加到C类地址范围,正好在一个网段的可能性非常小。就算是在一个网段,如果他用ADSL,他的出口速度不够,那么干至少会让他多付点上网费,他会很累的。就算是宽带,正好在一个ISP管理下,着急了去查,一定能查到是谁。

呵呵...

我遇到的情况比你还有趣,我给服务器加了IP限制以后,对方这招不灵了,就用黑客软件攻击我们的服务器,我们的管理员经验不够,口令太简单,竟然让他用MD5算法枚举的口令字典猜到了口令,结果跑上来安了个什么“客户挖掘大师”,管理员发现了删除,这伙计又给安装上,来回好多次。
最后我们派了技术人员去,把所有不必要的IP端口全部封闭,把所有找的到的补丁都打上,删除了什么Wscript,FSO这些东西,加上了各种各样的IP限制,然后把管理员密码从4位加到了30位,虽然保不准那里还有漏洞,但估计再来字典攻击,那就要累死他了。

要说服务器在你手里头,对付不了黑客和这些垃圾邮件者是不可能的。只是这些人确实很有毅力。只是不把精力用在正当地方上。发一些垃圾邮件能赚多少钱,有这个功夫不如写个软件去卖了,可惜了大好水平。想想觉得真是有意思,呵呵...

#15


你可以通过加IP限制的方法来实现,
另外可以通过交换机来过滤限制的IP地址

#16


发件人是空的,怎么跟踪,发现对方的IP

#17


怎么做SMTP验证.