理解 SMTP 身份验证，让您的 IBM Lotus Domino 8 服务器远离垃圾邮件

Shrikant JamkhandiIBM Software Group高级软件工程师 Pune, India

2010 年 12 月

© Copyright International Business Machines Corporation 2009。版权所有。

摘要：了解 SMTP 协议和 SMTP 身份验证流程的工作原理，了解如何检查 IBM® Lotus® Domino® 8 服务器是否设置为开放转发，以及了解如何让 Lotus Domino 遵从

SMTP 身份验证，从而保护服务器避免垃圾邮件的干扰。

目录

1简介.........................................................................................................................................22 SMTP 流程概述......................................................................................................................2

2.1 SMTP 流程......................................................................................................................33 SMTP 身份验证概述............................................................................................................3

3.1 开放转发...........................................................................................................................43.2 SMTP Authentication...........................................................................................................5

4确定 Lotus Domino 的转发功能是否开放.............................................................................65将 Lotus Domino 设置为关闭转发服务器...........................................................................7

5.1 设置入站转发控制...........................................................................................................76在 Domino 服务器上启用 SMTP Authentication..............................................................9

6.1 在不使用 Internet Site 文档的服务器上配置 SMTP-AUTH 选项.............................. 96.2 在使用 Internet Site 文档的服务器上配置 SMTP-AUTH 选项..................................12

7在 Lotus Domino 和 Outlook 客户端之间的 SMTP 身份验证....................................... 137.1 使用 Microsoft Outlook Express 客户端.................................................................... 147.2 使用 Microsoft Outlook 客户端................................................................................... 16

8转发来自通过身份验证的用户的邮件时避免地址欺骗...................................................... 189传输到外部 Internet 域的入站反转发设置和消息.............................................................2010 结束语................................................................................................................................2111附录 A：SMTP Notes.ini 变量........................................................................................2112 参考资料..............................................................................................................................24

1

关于作者..................................................................................................................................25

1 简介

Simple Mail Transfer Protocol (SMTP) 是在 Internet 上广泛使用的标准电子邮件协议，该协议

也是 TCP/IP 协议的一部分。SMTP 定义消息的格式和负责储存和转发邮件的消息传输代理

（MTA）。SMTP 使用 TCP 端口 25。

SMTP 的主要目的是在邮件服务器之间传输电子邮件。不过，它对电子邮件客户端也非常关键。

在发送电子邮件时，客户端首先将消息发送到出站邮件服务器，然后由它联系目标邮件服务器。

因此，在配置电子邮件客户端时，必须指定一个 SMTP 服务器。

关于 SMTP 协议，必须指出的是它在默认情况下不需要身份验证。这样，Internet 上的任何人都

可以向其他人或众多人发送电子邮件。正是 SMTP 的这个特点给垃圾邮件留下了生存空间。

2 SMTP 流程概述 当 SMTP 客户端有需要传输的消息时，它将建立一条通向 SMTP 服务器的双向传输通道。

SMTP 客户端的职责是将邮件消息发送给一个或多个 SMTP 服务器。

当该传输通道建立并完成第一次握手之后，SMTP 客户端将发起一个邮件事务。该事务包含一系

列命令，用于指定邮件的创建者和目的地，以及传输消息内容本身（包含任何头部或其他结构）。

服务器通过回复响应每个命令；回复可能表明接受命令、期望更多命令或存在临时或永久错误。当

指定的邮件消息被传送出去之后，客户端要么请求关闭连接或发起另一个邮件事务。

SMTP 定义了一组基本的必要命令集，以及几个能够提供方便的可选命令。SMTP 发送客户端

必须使用的命令：

HELO：问候邮件服务器。每次会话使用一次，在会话的开始使用。

MAIL FROM: <source email address>。声明发送者是谁。每个邮件使用一次，在为邮件

指定收件人之前或在 RSET 之后使用。

RCPT TO: < destination email address >。该命令标识电子邮件消息的收件人。允许有多个

收件人，并且每个收件人必须有自己的 RCPT TO：在 MAIL FROM: 之后输入。

SIZE=numberofbytes。指定消息大小的命令，它告诉远程邮件发送系统消息的字节大小。

DATA。启动邮件条目模式。在 DATA 之后的行输入的内容将被视为消息的主体，并发

送给收件人。DATA 在行上以点号“.”结束。当输入“.”之后，将把邮件消息放到队列中

或立即发送；不过，在这个阶段不能重置。

RSET。重置当前事务的状态。清除当前事务的 MAIL FROM: 和 RCPT TO: 。

QUIT。结束会话。提交消息并关闭通道。

2.1 SMTP 流程

3

SMTP 邮件事务包含 3 个步骤：

1. 使用一个 MAIL 命令开始事务，该命令给发送者一个身份。如果该命令被接受，接收者

SMTP 将回复 250 OK。

2. 一系列 RCPT 命令，它们提供接收者的信息。如果命令被接受，接收者 SMTP 将回复

250 OK，并存储转发路径。如果收件人为未知，那么接收者 SMTP 将返回一个 550 Failure。

3. 然后，DATA 命令提供邮件数据。如果该命令被接受，接收者 SMTP 将回复 354 Intermediate，并将所有连续的行看作是消息文本。最后，将通过一个邮件结尾数据标识符

确认事务。当接收到并储存文本的结尾之后，接收者 SMTP 将回复 250 OK。

SMTP 流程示例 这个 SMTP 例子显示在主机 Alpha.ARPA 上的 Smith 向在主机 Beta.ARPA 上的

Jones、Green 和 Brown 发送的邮件。在这里，我们假设主机 Alpha 直接与主机 Beta 联系。

S: MAIL FROM:<Smith@Alpha.ARPA>R:250 OKS:RCPT TO:<Jones@Beta.ARPA>R:250 OKS:RCPT TO:<Green@Beta.ARPA>R:550 No such user hereS:RCPT TO:<Brown@Beta.ARPA>R:250 OKS:DATAR:354 Start mail input; end with <CRLF>.<CRLF>S:Blah blah blah...

S: . . .etc. etc. etc.S: <CRLF>.<CRLF>R: 250 OK

发送给 Jones 和 Brown 的已经已被接收。但 Green 在主机 Beta 上没有邮箱。

3 SMTP 身份验证概述 SMTP 是广泛用于从邮件客户端发送电子邮件的协议，比如 Lotus Notes®、Domino Web Access、Microsoft® Outlook Express 和 Microsoft Outlook。SMTP 协议监听端口 25，更精确

地说，SMTP 服务器在端口 25 上监听客户端连接。

4

最初的 SMTP 被不被看好，身份验证是在它的发展过程中实现的。SMTP 服务器通常位于组织内

部，用于接收外部向组织发送的邮件。这些服务器还负责将消息从组织转发到外部。

随着 SMTP 服务器逐渐演化成电子邮件用户的消息提交代理，现在一些 SMTP 服务器已经从组

织的外部转发邮件；例如，公司的移动员工希望在旅途中使用公司的 SMTP 服务器发送电子邮件。

这意味着 SMTP 协议必须包含特定的规则和方法来转发邮件和验证用户的身份，从而阻止滥用，

比如转发垃圾邮件。

SMTP 身份验证 是 Netscape Communications 的 J. Myers 在 1999 年引入的模式。

最后，它在 RFC 2554 ("SMTP Service Extension for Authentication") 中发布，RFC 2554 已经废除，目前已在 RFC 4954 中定义。

现在的大部分 SMTP 实现都支持 SMTP Authentication，并且大部分 Mail User Agents (MUAs)，包括 SMTP 客户端，都提供 SMTP Authentication（例如 Outlook、Eudora、Netscape 和

Mozilla）。

SMTP Authentication 是由 SMTP Authentication 服务器发出的，并且要求客户端进行身份验证，

以及双方都相互接受和支持选择的身份验证流程。

使用最初作为 Host-to-Host 协议发明的 SMTP Authentication 之后，用户 必须出示身份，只有

成功通过身份验证之后，才能接收/传输他们的电子邮件。

3.1 开放转发 开放邮件转发 SMTP 服务器被配置为允许 Internet 上的任意用户通过它发送电子邮件，而不仅

是由已知用户接收或发出的邮件（见图 1）。

垃圾邮件制造者能够从 Internet 上找到自动化工具，这些工具可以定位可访问的开放转发服务器。

通过同时在几个开放转发邮件服务器上转发邮件，他们就能够在被检测到之前向 Internet 发送大

量垃圾邮件。

使用第三方邮件转发服务的垃圾邮件制造者不仅损害服务器所有者的声誉、通过垃圾邮件堵塞网

络和导致服务器崩溃，他们还涉嫌违法，因为他们通过技术手段窃取服务。

5

图 1. 作为开发转发服务器的 Domion 服务器

6

这个图演示了当滥用者利用您的 Domino 服务器进行开放转发时会发生什么：

Host A 是滥用者的系统，它与您的 Domino SMTP 服务器 Host B 没有任何关系。Host B 将被利用进行开放转发。

滥用者将消息发送到未受保护的 Host B，Host B 直接帮助滥用者将消息转发到

Destination Domains C，即 abc.com 和 xyz.com。

不断收到这些主动上门的垃圾邮件的用户将变得不耐烦，他们将对滥用者和开放转发

服务器采取措施。

不管在什么情况下，只要您的系统是可以自由访问的开放转发服务器，那么您的系统资源就

存在被滥用的危险。

3.2 SMTP Authentication总体而言，SMTP Authentication (SMTP-AUTH) 是对未执行身份验证的 SMTP 的一个安全改进；

但是，它还可能带入另一个缺陷。如果通过身份验证的用户能够从 IP 地址提交消息，而未通过

身份验证的用户则不行，那么获得用户帐号凭证的攻击者仍然可以使用通过身份验证的服务器

作为开放邮件转发服务器。

因此，用户的密码成为邮件系统安全的关键。良好的密码策略能够有效地阻止这类攻击。

在邮件服务器上使用 SMTP Authentication 有许多好处。它能够为发送邮件添加另外一层安全性，

并且为需要切换主机的移动用户提供这样的能力，即可以使用相同的邮件服务器而不需要在切换

主机时重新配置邮件客户端设置。

SMTP-AUTH 扩展提供一个访问控制机制。它包含一个身份验证步骤，通过这个步骤客户端能够

在处理发送邮件期间有效地登录到邮件服务器。支持 SMTP-AUTH 的服务器通常能够配置为要求

客户端使用该扩展，从而确保了解发送者的真实身份。SMTP-AUTH 扩展在 RFC 4954 中定义。

SMTP-AUTH 可用于让合法用户转发邮件，同时拒绝非法用户使用转发服务，比如垃圾邮件制

造者。它不一定能保证 SMTP 信封发送者或 RFC 2822 "From:" 头部的真实性。

例如，欺骗仍然能绕过 SMTP-AUTH，因为在此时发送者将伪装成其他人。要避免这种攻击，

服务器必须配置为仅接收身份通过验证的 AUTH 用户的消息。

SMTP-AUTH 扩展还允许在转发邮件时让一个邮件服务器告诉另一个邮件服务器发送者已经通过

身份验证。一般情况下，这需要接收服务器信任发送服务器，这意味着 SMTP-AUTH 的这个方面

很少在 Internet 上使用。电子邮件的接收者不能够识别发送者是否通过了身份验证，因此使用

SMTP-AUTH 仅是解决垃圾邮件的解决方案的一部分。

适当使用和检查 RFC 4408 Sender Policy Frame (SPF) 记录能够提供帮助，就像使用 RFC 4408 SUBMISSION 协议从用户代理提交邮件一样（与从外部邮件服务器传输邮件相反）。

4 确定 Lotus Domino 的转发功能是否开放 您可以使用 TELNET 实用程序从命令提示符窗口确定 Domino 服务器的转发功能是否打开。为此，

请遵循以下步骤：

1.在操作系统上打开命令提示符窗口。

7

2.输入以下命令然后按 Enter：

Telnet “Domino 服务器的完全限定主机名/IP 地址” “SMTP 端口号” (例如，

Telnet Domino-704.acme.com 25 或 Telnet 192.168.1.4 25)

3.Telnet 窗口将打开，如图 2 和 3 所示。

图 2. 针对 704.acme.com 的 Telnet 窗口

图 3. 针对 192.168.1.4 的 Telnet 窗口

4. 现在，输入以下命令：

220 Server-704.acme.com ESMTP Service (Lotus Domino Release 7.0.4) ready at Sat,25 Jul 2009 16:51:40 +0530

helo abc.com -> Press Enter key250 Server-704.acme.com Hello abc.com ([10.10.1.8]), pleased to meet you mail from:bogus.user@bogus.com -> Press Enter250 bogus.user@bogus.com... Sender OKrcpt to:john.doe@ibm.com -> Press Enter250 john.doe@ibm.com... Recipient OK

“Recipient OK”意味着您的 Domino 服务器开放转发功能，因此所有人都能够使用您的

Domino SMTP 服务器向 Internet 转发电子邮件。

5 将 Lotus Domino 设置为闭合转发服务器 要保护 SMTP 服务器免受未授权的转发，Lotus Domino 提供一个入站转发控制，用于定义

服务器能够向其收发消息的主机。Domino SMTP 监听器拒绝向未授权的主机转发消息的请

求。

8

5.1 设置入站转发控制 要设置入站转发控制，请遵循以下步骤：

1. 确保您已经具有一个可供配置的针对 SMTP 服务器的 Configuration Settings 文档。

2. 从 Domino Administrator，单击 Configuration 选项卡，然后展开 Messaging 部分。

3. 单击 Configurations，然后为您想要管理的邮件服务器选择 Configuration Settings 文档；单

击 Edit Configuration。

4. 选择 Router/SMTP > Restrictions and Controls > SMTP Inbound Controls 选项卡（见图

4）。

图 4. SMTP Inbound Controls 选项卡

5. 将以下字段设置为星号 (*)：

Deny messages to be sent to the following external Internet domains

Deny messages from the following Internet hosts to be sent to external Internet domains

6.单击“Save and Close”保存更改。

9

7.在服务器控制台发出以下命令，以让更改立即生效；否则，需要 5 分钟之后才能更新

路由表：

Tell router update config (updates the routing tables)Tell SMTP update config (updates SMTP tables)

Deny messages to be sent to the following external Internet domains。这个字段指定

Lotus Domino 不对其转发消息的 Internet 域。这个字段中的星号 (*) 阻止 Domino 服务器向任

何外部 Internet 域转发消息。

10

Deny messages from the following Internet hosts to be sent to external Internet domains。这个字段指定 Domino SMTP 服务不允许转发出站 Internet 邮件的主机或域。

如果该字段波爱护有效条目，那么 Lotus Domino 将拒绝从与这些条目匹配的服务器转发消息，

并且允许从其他所有服务器转发消息。您可以指定单个主机名或组名。这个字段中的星号 (*) 阻止 Domino 服务器从任何受转发控制的主机转发消息。

现在，如果您连接到 Domino SMTP 服务器，然后尝试向 Internet 转发电子邮件，那么将

收到消息 “554 Relay rejected for policy reasons”：

220 Server-704.acme.com ESMTP Service (Lotus Domino Release 7.0.4) ready at Sat,25 Jul 2009 16:51:40 +0530

helo abc.com -> Press Enter key250 Server-704.acme.com Hello abc.com ([10.10.1.8]), pleased to meet you mail from:bogus.user@bogus.com -> Press Enter250 bogus.user@bogus.com... Sender OKrcpt to:john.doe@in.ibm.com -> Press Enter554 Relay rejected for policy reasons.

6 在 Domino 服务器上启用 SMTP Authentication 您可以使用 SMTP 发送者身份验证来确保消息的发送者是 SMTP 服务器的合法用户。SMTP 发送者身份验证要求提供目标 SMTP 服务器的帐户名和密码。您使用的帐户必须是转发主机

SMTP 服务器上的帐户，特定的 Domino 服务器将向该 SMTP 服务器路由消息。

SMTP 发送者身份验证的目的是验证 Domino 路由器和 SMTP 服务器之间的连接。可以

在不允许匿名连接的 SMTP 服务器上使用该特性，或在同时允许验证和非验证连接的

SMTP 服务器上使用该特性。

在 Domino 服务器上配置 SMTP-AUTH 有两种场景，这取决于是否使用 Internet Site 文档。

现在，我们查看这两个场景。

6.1 在不使用 Internet Site 文档的服务器上配置 SMTP-AUTH 选项 在不使用 Internet Site 文档的 Domino 服务器上，SMTP 服务从 Server 文档获取端口验证设

置，以接受 SMTP 端口访问限制。

更改默认端口号 默认情况下，在启用 SMTP 任务之后，它将在 Domino 服务器的 TCP/IP 端口上监听客户端

连接。默认的 SMTP SSL 端口是 465。在某些情况下 —— 例如，在分区服务器上 —— 您可

能需要指定默认端口号之外的端口号，以避免冲突。

11

您可能还需要将默认端口更改为非标准的端口号，从而对试图连接默认端口的客户“隐藏”起来，

或另一个应用程序在该服务器上使用了默认的端口。

禁用 SMTP Inbound TCP/IP 端口或 SSL 端口将阻止其他服务器从该端口访问 SMTP Listener。

注意：在保护多个 TCP/IP 端口的服务器上，默认情况下 SMTP 服务将使用在 Note.ini 文件中

首先列出的端口作为首选路径。如果需要，您可以配置服务以使用其他端口。

更改默认的 SMTP 问候 您可以修改在响应连接主机时 SMTP 服务发送的默认回复。默认情况下，Domino SMTP 服务

器将向连接客户端发送它的主机名和软件版本。

出于安全性考虑，您可以更改默认的问候，从而让服务器不披露关键信息。使用 Notes.ini 变量

SMTPGreeting 来定制 SMTP 服务问候。

执行以下步骤更改入站 SMTP TCP/IP 端口设置：

1. 从 Domino Administrator，单击 Configuration 选项卡，并为运行 SMTP 服务的

服务器打开 Server 文档。

2. 选择 Ports > Internet Ports > Mail 选项卡。

3. 在 Mail (SMTP Inbound) 列中，将 “Authentication options: Name & password” 字段设

置为 “Yes”（见图 5）。单击 Save & Close。

图 5. SMTP Inbound 身份验证选项

4. 在 Domino 服务器上重新启动 SMTP 任务以让修改生效。发出命令 “Restart Task SMTP”。

5. 再一次从 Domino Administrator 单击 Configuration 选项卡，然后展开

Messaging 部分；单击 Configurations。

6. 为您想要管理的 SMTP 邮件服务器选择 Configuration Settings 文档并单击 Edit Configuration。

7. 选择 Router/SMTP > Restrictions and Controls > SMTP Inbound Controls 选项卡。

12

8. 在 Inbound Relay Enforcement 部分（见图 6），确保字段 “Exceptions for authenticated users” 设置为 “Allow all authenticated users to relay”。

图 6. Exceptions for authenticated users 字段

注意：“Perform Anti-relay enforcement for these connecting hosts” 字段有以下 3 个选

项，因此您要确保选择了正确的选项：

External hosts (default)。服务器仅将入站转发控制应用到从外部的本地 Internet 域连

接到它的主机。在本地 Internet 域中的主机不受反转发限制。本地 Internet 域可以由

Global Domain 文档（如果存在的话）定义，或作为主机服务器的 Internet 域。

All connecting hosts。服务器将入站转发控制应用到所有尝试向外部 Internet 域转发邮件的主机。

None。服务器忽略转发控制中的设置。所有主机都能够转发邮件。

如果您仅希望对外部主机应用转发控制，请保留默认的 External 主机设置。如果您希望同时

对外部和内部主机应用转发控制，请选择 All connecting hosts 选项。

您的 Domino 服务器现在启用了 SMTP Inbound 身份验证，因此仅有通过身份验证的用户能够

用它转发邮件。要进行确认，请遵循以下步骤：

1.打开系统的命令提示符窗口。

2.输入以下命令并按下 Enter：

13

Telnet “Domino 服务器的完全限定主机名/IP 地址” “SMTP 端口号”

例如，Telnet Domino-704.acme.com 25 Press EnterTelnet 192.168.1.4 25 Press Enter

3.将为 Domino 服务器打开 Telnet 窗口。

4.输入命令 ehlo abc.com；您将看到 250-AUTH LOGIN，如下所示：

220 Server-704.acme.com ESMTP Service (Lotus Domino Release 7.0.4) ready at Sat, 25 Jul 2009 16:55:40 +0530

ehlo abc.com -> Press Enter key250 Server-704.acme.com Hello abc.com ([10.10.1.8]), pleased to meet you 250-HELP250-AUTH LOGIN250-SIZE250 PIPELINING

6.2 在使用 Internet Site 文档的服务器上配置 SMTP-AUTH 选项 在使用 Internet Site 文档的 Domino 服务器上，SMTP 访问从 SMTP Inbound Site 文档的

Security 选项卡获取端口验证设置，而不是 Server 文档。

因此，当使用 Internet Site 文档时，您就不能在 SMTP 端口上使用 Server 文档来配置

TCP/IP 和SSL 身份验证设置。不过，Server 文档中的设置提供了 SMTP TCP/IP 和 SSL 端口的端口号和状态，并且允许 SMTP 端口接受服务器访问限制。

要确定是否对服务器使用了 Internet Site 文档，请在 Server 文档的 Basics 选项卡上检查

“Load Internet configurations from Server\Internet Sites documents”字段的值。如果该字段设置

为“Enabled”，那么服务器就使用 Internet Site 文档配置它的所有 Internet 协议

（SMTP、IMAP 和 POP3 等）。

如果服务器使用 Internet Site 文档，那么就必须在该服务器上使用 Site 文档来配置所有

Internet 协议。如果 Domino Directory 中没有出现 SMTP Site 文档，或者已配置的 SMTP Site 文档中的身份验证选项被设置为 No，那么用户就不能连接到 SMTP 服务。

对于以上两种情况，SMTP 客户端都会在试图连接到 SMTP 服务时收到错误：“This site is not enabled on the server”。

创建 Inbound SMTP Site 文档并启用 SMTP-AUTH

为此，请遵循以下步骤：

1. 从 Domino Administrator 单击 Configuration 选项卡，并展开 Web 部分。

2. 选择 Internet Sites。

3. 单击 “Add Internet Site” 并选择 SMTP Inbound 选项。这时将打开一个新的 SMTP Inbound 文档。

14

4. 使用您的信息完成 Basics 选项卡中的以下字段（见图 7）：

Descriptive name for this site:Organization:Host names or addresses mapped to this site: Domino servers that host this site:

图 7. SMTP Inbound Site 文档的 Basic 选项卡document

5. 现在，转到 Security 选项卡，在 TCP Authentication 部分，对 Name & Password 字段选择 Yes（见图 8）。

图 8. Name and password 字段

15

6. 单击 Save and Close 保存 SMTP Inbound 文档。

7. 通过在服务器上发出命令 Restart Task SMTP 重新启动 SMTP 任务，以让新的设

置生效。

7 在 Lotus Domino 和 Outlook 客户端之间的 SMTP 身份验证 当 Outlook Express / Microsoft Outlook / Netscape 用户从内部网或 Internet 通过 Domino 服务器发送或接收邮件时，SMTP 身份验证在允许用户通过 Domino 服务器转发邮件方面扮演着

重要角色。

7.1 使用 Microsoft Outlook Express 客户端 要启用 SMTP 身份验证，请遵循以下步骤：

1.转到 Tools > Accounts 并选择 Mail 选项卡。

2.选择您的 Mail 帐户，然后单击“Properties”按钮（见图 9）。

图 9. Outlook Express Mail 选项卡

16

3.择您的 Intermedia 帐户并单击 Properties 按钮。

4.转到 Servers 选项卡，然后在 Outgoing Mail Server 下启用“My server requires

authentication”选项（见图 10）。

图 10. Outlook Express Properties >Servers 选项卡

5. 单击 Settings 按钮并选择“Use same settings as my incoming mail server”；两次单击

OK 保存更改，然后单击 Close 返回到 Outlook Express。

6. 最后，重新启动 Outlook Express 客户端。

现在，当用户从 Outlook Express 客户端向 Internet 发送电子邮件时，该客户端将首先在 Domino 服务器上通过帐户名和密码进行身份验证。如果凭证正确，将允许转发电子邮件。

17

如果名称和密码不正确，那么将在客户端和服务器上看到“Authentication failed...”错误消息。

在客户端上，将通过登录屏幕提示您，如图 11 所示。

图 11. 用户名和密码 提示

在 Domino 服务器上，您将看到下列消息（见图 12）：

07/26/2009 05:41:33 PM SMTP Server: Authentication failed for user John Doe ; connecting host 10.10.1.8

18

图 12. Domino 服务器上的认证失败消息

7.2 使用 Microsoft Outlook 客户端要启用 SMTP 身份验证，请遵循以下步骤：

1. 转到 Tools > E-Mail Accounts，然后选择“View or change existing e-mail accounts”。

2. 单击 Next，然后选择 Mail 帐户；然后单击“More Setting”按钮并单击“Change”按钮。

3. 选择 Outgoing Server 选项卡，然后启用选项“My outgoing server (SMTP) requires authentication”（见图 13）。

19

图 13. Outlook Outgoing Serve 选项卡

4. 选择“Use same settings as my incoming mail server”并单击 OK。

5. 单击 Next 接着单击 Finish 完成身份验证设置。最后，重新启动 Outlook 客户端。

现在，如果用户从 Outlook 向 Internet 发送邮件，该客户端将首先在 Domino 服务器上通过

帐户名和密码进行身份验证。如果凭证正确，将允许发送者转发电子邮件。

如果名称和密码不正确，那么将在客户端和服务器上看到“Authentication failed...”错误消息和

一个登录提示屏幕，这类似于 Express 客户端（见图 14）。

20

图 14.

在 Domino 服务器上将看到“Authentication failed...”消息，就像在前面的 Express 客户端看到

的一样。

从来自客户端的身份验证成功之后，您将在服务器的控制台上看到一条消息“Authentication succeeded...”（见图 15），该消息被成功地转发到目标域：

07/26/2009 07:26:37 PM SMTP Server: Authentication succeeded for user John Doe/Don ; connecting host 10.10.1.8

图 15. 身份验证成功消息

8 转发来自通过身份验证的用户的邮件时避免地址欺骗 SMTP-AUTH 并不一定能够保证 SMTP 信封发送者或 RFC 2822 "From:" 头部的真实性。实际

21

上，欺骗仍然能绕过 SMTP-AUTH，因为在此时发送者将伪装成其他人。

在Domino 服务器上，您可以通过使用 Notes.ini 参数 SMTPVerifyAuthenticatedSender 避免电

子邮件地址欺骗。这个变量允许您确定在身份验证 SMTP 会话期间发送的邮件是否由该用户的

Internet 地址发出。

语法：SMTPVerifyAuthenticatedSender=val ue

说明：指定 SMTP 服务器是否要求在身份验证会话期间发送的邮件来自通过身份验证的用户

的 Internet 地址。

0 – 不要求发送者使用自己的 Internet 地址。

1 – 要求发送者或接收者（如果不存在发送者头部的话）匹配通过身份验证

的用户的 Internet 地址。

它主要验证发送者在 Person 文档中的电子邮件地址是否匹配。例如，假设发送者是 John Doe，他的电子邮件地址为 john.doe@acme.com ，但发件人的电子邮件地址不正确，比如

John@acme.com （见图 16）。

22

图 16. Outlook: Tools > Email Accounts > Change

在这种情

况下，Domino 服务器将拒绝转发电子邮件，您将在服务器的控制台看到以下消息（见图 17）：

07/26/2009 08:10:42 PM SMTP Server: Message rejected. Authenticated user John Doe/Acme from host 10.10.1.8 sending mail from John@acme.com failed to match directory address John.Doe@acme.com

图 17. 由于目录不匹配消息被拒绝

23

24

注意：

该设置不影响路由器，也不影响不通过 SMTP 进行提交的消息。

当配置了 SMTPTranslateAddresses 时，SMTPVerifyAuthenticatedSender 参数将不生效。如果因为匹配失败而转换地址，邮件将失败。

仅能在 From 或 Sender 字段中的单地址条目中使用该特性。

9 传输到外部 Internet 域的入站反转发设置和消息

入站反转发设置控制消息传输到外部 Internet 域的流程如下：

1. SMTP 监听器收到连接请求。

2. 服务器执行反向 DNS 查找，通过查询 DNS 找到与连接主机 IP 地址相匹配的主机名。

如果该地址解析为本地 Internet 域的名称之一，那么就认为主机是内部的。如果 IP 地址

解析为本地 Internet 域之外的主机名，或者不包含 DNS 条目，那么就认为主机是外部的。

3. 服务器检查“Perform Anti-Relay enforcement for these connecting hosts”字段的设置，以

确定是否启用了反转发控制，如果已启用，则确定控制是否应用到所有主机或仅应用到外

部主机。如果来自发送域的连接不受入站转发控制，服务器将在该会话中允许转发。

4. 如果转发控制适用，Lotus Domino 接下来将检查主机名是否出现在字段“Exclude these connecting hosts from anti-relay checks”中。如果找到主机名，那么服务器将允许在这次会话

中进行转发。

5. 如果转发控制仍然适用并且连接主机成功通过服务器的身份验证，那么服务器将检查字段

“Exceptions for authenticated users”，以确定通过身份验证的用户是否能够免受入站转

发检查。如果通过身份验证的用户能够免受检查，服务器将允许在这次会话中进行转发。

注意：仅当 Domino 服务器请求身份验证凭证时，连接主机才会提供它们。因为如果身份验

证失败 Lotus Domino 将关闭会话，所以不存在 Lotus Domino 需要决定是否允许未通过身份

验证的主机进行转发的情况。

6. SMTP 监听器从连接主机接收“RCPT TO”命令。

7. 服务器对每个收件人地址进行检查，看看是否存在转发到外部域的消息。如果存在，服务

器将检查入站转发控制，以决定是否：

允许连接主机转发邮件，或

允许转发到目标域

25

服务器通过查看受限制的域名是否是接收者的域的附带子字符串来执行域匹配检查。如果您拒绝了

域 spamme.com ，那么也将拒绝域 you.spamme.com。作为对 RCPT 命令的响应，被拒绝的接

收者会收到一个失败状态。

入站端口设置影响其他 SMTP 主机如何连接到 Lotus Domino。对于入站连接，您可以指定

TCP/IP 端口设置和 SSL 端口设置。您可以为这两个端口定义端口号、端口状态和支持的身份验

证方法。

10 结束语许多用户不理解为什么会收到垃圾邮件。通过设置服务器阻止垃圾邮件能够减少处理垃圾邮件所

需的时间。

现在，您应该很好地理解了什么是 SMTP 身份验证，以及如何使用 SMTP-AUTH 配置您的

Domino 服务器，从而让 Lotus Domino 远离垃圾邮件。

11 附录 A：SMTP Notes.ini 变量这个部分列出一些 Notes.ini 变量，您可以使用它们帮助阻止垃圾邮件，以及配置 SMTP 和路由

器限制。本文列出的所有 Notes.ini 设置仅适用于 Domino 服务器。（该材料节选自

developerWorks® Lotus 文章，“Controlling spam: Advanced SMTP settings in Lotus Domino, Part 2”）。

SMTPStrict821AddressSyntax=value。允许您定义 SMTP 任务是否要求出现在 MAIL FROM 命令或 RCPT TO 命令中的地址与 821 标准保持一致（必须包含 <>）。设置为 1 将执行 821 标准；默认设置 0 不会执行该标准。

SMTPGreeting=string。当 SMTP 客户端连接到 SMTP 服务器时，允许您编写发送到

SMTP 客户端的文本消息。您必须在消息中包含字符串“%s”。（当连接成功之后，这个字符

串将被替换成当前的日期/时间）。默认情况下，SMTPGreeting 为“host-name ESMTP Service (Lotus Domino build-name) ready at %s”。

SMTPStrict821LineSyntax=value。如果该变量设置为 1，SMTP 任务将要求通过回车和换

行（CRLF）结束所有协议文本，如 821 标准定义的一样。如果该变量设置为 0（默认设

置），将不执行 821 标准，并且将换行（LF）看作是行结束符。

SMTPNonStandardLineTermination=value。SMTP 监听器任务遵循 RFC 2821，要求使用回

车和换行。您可以通过变量改变这个功能。如果该变量设置为 0，SMTP 监听器任务将同时需要回

车和换行（CRLF）。如果该变量设置为 1，SMTP 监听器任务仅需要回车（CR）或换行（LF）。

SMTPNotesPort=portname。强制 SMTP 绑定到特定的 TCP/IP 端口，而不是在服务器的

Notes.ini 文件的 PORTs 变量中列出的第一个端口。您可能需要在带有多个网卡的服务器上使用

该变量。

SMTP_Config_Update_Interval=value。允许您定义 Lotus Domino 检查 Configuration Settings 文档以进行更新的频率（分钟）。默认值为 2 分钟。

26

SMTPAllowConnectionsAnonymous=value。确定 SMTP 任务如何处理连接 —— 如果需

要身份验证的话 —— 并填充 “Allow connections only from the following SMTP internet hostnames/IP addresses”字段中的主机。

如果该变量指定为 0，SMTP 任务将要求身份验证，并且拒绝“Allow connections only from the following SMTP internet hostnames/IP addresses”字段中的主机。如果指定为 1，SMTP 任务将要

求身份验证，并且“Allow connections only from the following SMTP internet hostnames/IP addresses”字段中的主机属于例外，可以进行连接。

SMTPTimeoutMultiplier=value。每个 SMTP 协议交互都有一个超时等待值。如果客户端没有

在这个时段内做出响应，连接将终止。您可以通过定义 SMTPTimeoutMultiplier 变量的倍数值

增加超时时长。例如，如果您设置为 5，那么超时时长将延长 5 倍。默认值为 1。

RouterDSNForNULLReversePath=value。允许您决定路由器是否使用 null RFC 821 反向路

径为通过 SMTP 接收的消息返回提交状态通知（DSN）。默认值为 0，这告诉路由器不返回

失败的 DSN。

对于这种情况，路由器将创建未提交报告，但将其标记为 DEAD。（随后您可以删除或释放这些

消息）。如果该变量设置为 1，路由器将创建并发送提交状态通知；如果设置为 2，路由器就不

创建任何提交状态通知。

SMTPVerifySendersDomainTimeout=value。允许在 “Verify Sender's Domain in DNS” 字段中为 SMTP Inbound Sender Control 设置默认超时（以秒为单位），默认超时值为 30 秒。

SMTPErrorLimit=value。当某个连接的错误次数超过管理员定义的次数之后，将告诉 SMTP 删除该连接。如果未能识别结束命令的客户端打开了 SMTP 会话，这个变量将终止会话。该变

量的默认值取决于可用资源和 SMTP 连接的数量。

RouterDisableDSNRelayReports=Value。当路由器不能将提交确认请求发送到下一个

SMTP 站时，包括在 Configuration Settings 文档中禁用了当前路由器的出站 DSN，路由器将

生成一个 SMTP DSN Relay 报告。将变量设置为 1 将禁用 SMTP DSN Relay 报告。默认值为

0，允许路由器在禁用出站 DSN 时发送转发报告。

RouterDisableMailToGroups=value。决定路由器拒绝还是允许向一个组发送邮件。默认值为

0，允许路由器扩展组并将邮件转发给组成员。要禁止路由器扩展组，请将该变量设置为 1。路由器将消息作为失败报告返回给发送者，表示消息由于策略因素被拒绝。

SMTPLookupNoDircat=value。决定 SMTP 是否使用目录查找。这阻止列出在目录中的用户在服

务器上接收入站 Internet 邮件。默认值为 0，允许路由器使用在其配置中引用的任何 Extended Directory Catalogs。如果该变量设置为 1，在查找入站 Internet 邮件时，路由器将不能使用在其

配置中引用的任何 Extended Directory Catalogs。

SMTPMaxCommandLength=value。设置 SMTP 任务能够接受的最大字符数。默认值为

1200 个字符。

SMTPMaxForRecipients=value。决定当 SMTP 任务向收到的消息添加收到的头部时可以

添加多少个地址。默认值取决于可用资源。

SMTPMaxSessions=value。指定允许的入站 SMTP 连接数。当达到指定值之后，Domino

27

将返回错误 421 消息。默认值取决于可用资源。

SMTPVerifyAuthenticatedSender=value。允许您确定在身份验证 SMTP 会话期间发送的

邮件是否来自该用户的 Internet 地址。默认值为 0，要求 Domino 不检查通过身份验证的

SMTP 会话的 Internet 地址。如果该变量设置为 1，Domino 将确定在身份验证 SMTP 会话期间

发送的邮件是否来自该用户的 Internet 地址。

SMTPSmartHostAllDisableGroupExpansion=value。当对本地 Internet 域中的所有接收

者启用 Smarthost 时，将禁用组扩展。如果该变量设置为 0，当对本地 Internet 域中的所有

接收者启用 Smarthost 时，将启用组扩展。如果该变量设置为 1，当对本地 Internet 域中的

所有接收者启用 Smarthost 时，将禁用组扩展。 默认值为 0。

SMTPNoVersionInRcvdHdr=value。设置为 1 时，该变量阻止在 SMTP 接收到的头部

中披露 Domino 服务器产品信息。默认值为 0。

SMTPMaxRecipientCount=value。这个变量能够在 SMTP 协议的 RCPT TO 命令期间控制接

收者的数量。当达到指定值之后，Domino 将发出错误 552 消息。默认值取决于可用资源。

SMTPTranslateAddresses=value。如果消息由 SMTP 任务通过 SMTP 接收，就不需要对地

址进行任何修改。某些站点喜欢将本地 Notes 用户的 Internet 地址转换成 Notes 地址（具有层次

结构）。要转换地址，将变量设置为以下值之一：0 -（默认）不转换；1- 仅转换发送者的地址；或

2- 转换所有地址。

SMTPTranslateLookupFullThenLocal=value。如果您将上一个变量

SMTPTranslateAddresses 设置为 1 或 2，那么可以使用该变量针对地址查找覆盖

Configuration Setting 文档。要覆盖 Configuration Setting 文档，将

SMTPTranslateLookupFullThenLocal 设置为 1。这样，Lotus Domino 将首先转换全名，

然后再转换本地部分。默认值为 0。

SMTPTranslateAddressLookup=value。如果您将 SMTPTranslateAddresses 设置为 1 或2，那么可以使用该变量执行查找，即使地址不是本地地址。该变量设置为 1 时启用地址查找。

默认值为 0。

SMTPTranslateAddressesPreserve822=value。这个变量将原始的 Internet 地址保存在

Inetxxx 条目中。Lotus Notes/Domino 6.5.2 和更新版本维护 RFC821 形式的 Inet 条目，

RFC821 是 Inet 的首选形式。将该变量设置为 1 恢复到先前的行为，并保留在 Inetxxx 条目中

转换的任意 RFC822 地址。

SMTPRelayHostsandDomain=value。如果该变量设置为 1，当发生冲突时，SMTP 入站转

发控制的 Deny 字段中的条目将优于 Allow 字段中的条目。默认值为 0。

SMTP_RIGHT_DOT_NEVER_NOTESDOMAIN=value。如果该变量设置为 1，它将在向

user@notes.domain.com 地址发送消息时纠正问题，该地址的主机名“notes”匹配 Notes 域名。

它阻止路由器尝试从本地发送消息。

RouterUseFromAsSMTPOriginator=value。该变量设置为 1 时，将导致 RFC821 反向路径

MAIL FROM 命令基于 From 字段中的值。默认值为 0。

28

RouterLanguageVisibleNDRStatus=value。如果您有需要安装的语言包，可以使用该变量

支持翻译非提交消息。设置为 1 启用该特性。Lotus Domino 将翻译路由器在 NDR 中返回的

某些英语消息。

最后介绍的 Notes.ini 变量是在 Domino 7 中引入的，它们是：

SMTPDenyMailToGroups=value。要求您启用选项“Verify that local domain recipient exist in the Domino Directory”。如果该变量设置为 1，当向一个组发送邮件时，执行 RCPT TO 命令之

后所有外部主机都会收到一个持久性错误。如果该变量设置为 2，当向一个组发送邮件时，执行

RCPT TO 命令之后所有连接主机都会收到一个持久性错误。默认值为 0。

SMTPDenyNotUniqueRCPT=value。要求您启用选项“Verify that local domain recipient exist in the Domino Directory”。如果该变量设置为 1，SMTP 任务仅接受唯一的接收者名称。默

认值为 0。

12 参考资料

developerWorks Lotus Notes 和 Domino 产品页面： http://www.ibm.com/developerworks/lotus/products/notesdomino/?STACT=105AGX13&S CMP=LP

Lotus Knowledge Base Technote，“Using Domino authenticated access for SMTP”：http://www-01.ibm.com/support/docview.wss?uid=swg21085735

Lotus Notes 和 Domino wiki：http://www-10.lotus.com/ldd/dominowiki.nsf

Lotus Support Web 站点： http://www-01.ibm.com/software/lotus/support

Lotus Notes 和 Domino 论坛： http://www.ibm.com/developerworks/lotus/community/index.html?STACT=105AGX13&SC MP=LP

29

developerWorks 文章“Controlling Spam: Advanced SMTP settings in Lotus Domino”第 1 部分和第 2 部分：

http://www.ibm.com/developerworks/lotus/library/spam-smtp1/ http://www.ibm.com/developerworks/lotus/library/spam-smtp2/

关于作者Shrikant Jamkhandi 是位于印度浦那市的 IBM Software 的高级软件工程师。他从 2005 年开

始研究 Lotus Domino，在 Domino 环境中工作超过 6 年，并且是认证 Lotus 专家（CLP）。

商标 developerWorks、Domino、IBM、Lotus 和 Notes 是 IBM Corporation 公司在美国

和/或其他国家的商标或注册商标。

Microsoft 和 Windows 是 Microsoft 公司在美国和/或其他国家的商标。

Java 和所有基于 Java 的商标是 Sun Microsystems 公司在美国和/或其他国家的商标。

其他公司产品或服务名称可能是其他公司的商标或服务标志。

30