端口映射/dmz主機

在本系列文章的第1部分中，我們開始了關于如何配置Lotus Notes / Domino以通過DMZ路由SMTP郵件的討論。 我們將在第2部分中繼續這個主題，詳細研究如何在DMZ中托管Domino服務器以為入站流量提供中繼的第一點，為出站流量提供中繼的最后點。 在此過程中，我們提出了幾種不同的示例配置方案。 與第一篇文章一樣，具有管理Lotus Notes和Domino的經驗將有助于您理解我們討論的概念。 而且，如果您尚未閱讀本系列的第1部分 ，建議您現在閱讀。

DMZ中的Domino服務器

部署可被您無法控制的其他系統訪問的服務時，安全始終是重中之重。 在DMZ中托管Domino服務器也不例外。 以下是在DMZ中部署Domino服務器時應使用的最佳實踐：

• 鎖定操作系統并禁用所有不必要的服務。
  從外部到Domino服務器的唯一連接應該在端口25上，以允許SMTP郵件路由。 從內部網絡，需要Notes NRPC通信，以允許管理員訪問權限來管理服務器（并可能用于復制目錄信息）。 您可以使用內部直通服務器作為代理，以僅允許一個IP地址通過防火墻到達DMZ。
• 禁用所有不需要的Internet協議端口。
  缺省情況下，啟用Domino服務器文檔上的端口定義。 除SMTP端口外，所有端口均應禁用。
• 僅運行必要的Domino服務器任務。
  Domino SMTP服務器需要一組核心任務。 沒有其他人可以運行。
• 修改服務器SMTP問候語。
  不要向潛在的黑客宣傳郵件系統。 將SMTP歡迎橫幅設置為不顯示Lotus Domino及其版本信息的通用問候語。 使用Notes.ini變量SMTPGREETING來執行此操作。 例如，設置SMTPGREETING =“ ESMTP服務已在％s就緒”，其中％s被替換為系統日期和時間。
• 不要使用內部驗證者來注冊Domino服務器。
  為這些服務器創建新的驗證者結構，并對這些服務器進行交叉驗證，以供管理員和內部Domino服務器訪問。 使用通用命名約定，而不要遵循內部結構。 同樣，這是為了最大程度地減少可用于外部世界的有關內部環境的信息量。 例如，這些服務器可以是SMTP01 / SERVERS / SMTP。
• 最小化服務器上??托管的可用目錄信息。
  在DMZ中具有內部Domino目錄的完整副本不是一個好主意。 如果安全受到威脅，這可能為垃圾郵件發送者或黑客提供寶庫。 將DMZ服務器放置在其自己的域中，以便Domino目錄中包含的唯一條目是“服務器”文檔和一些配置可能需要的組。 遵循與證書層次結構相同的原則，選擇一個通用域名，例如SMTP。
• 如果需要地址驗證，請使用擴展目錄目錄。
  要執行入站郵件的地址驗證，Domino SMTP服務器需要一個目錄。 同樣，不要發布內部Domino目錄，而是在僅包含用戶名和Internet地址信息的內部服務器上創建擴展目錄目錄。 然后可以將其復制到Domino SMTP服務器，并通過目錄服務進行引用。 僅發布使服務器執行其任務所需的最少信息。 （我們將在本文后面討論這種類型的配置。）

路由進出DMZ

在DMZ中部署服務器之后，您需要對其進行配置，以允許SMTP郵件路由進出。

出站路由

讓我們先看一下出站。 內部Domino服務器必須能夠將郵件路由到SMTP網關。 有兩種方法可以執行此操作：通過NRPC或通過SMTP連接。 NRPC是Domino服務器用于郵件路由和復制的標準，并且要求通過內部防火墻訪問端口1352。 SMTP服務器不應與內部服務器位于同一域中。 因此，它們不能共享Notes命名網絡，因此需要郵件路由連接文檔。

一種更簡單的方法是允許一個或多個內部Domino服務器通過端口25將SMTP路由到DMZ中的這些服務器。應該為要發送到DMZ中這些服務器的每個內部Domino服務器指定一個中繼。 中繼主機名應在內部DNS中解析為一個或多個MX記錄，從而允許冗余的路由路徑。

本系列文章的第1部分展示了一個示例，該示例在面向DMZ的Internet服務器與內部受信任的網絡服務器之間使用不同的SMTP TCP端口。 如果您的公司對此有要求，請使用端口列表TCP2222。也可以通過在兩組服務器之間使用Notes NRPC來容納此規則。 面向Internet的服務器在TCP端口25上偵聽（按照標準），并且穿越DMZ內部的流量通過TCP端口1352路由。

入站路由

使用外部DNS中的MX記錄來確定從Internet到SMTP服務器的入站路由，這些記錄決定了將入站郵件路由到哪個或哪些服務器。 一旦郵件到達DMZ中的Domino SMTP服務器，就必須確定下一跳，郵件才能在其入站路徑上繼續。 此時，我們只希望服務器將它們接受的所有入站郵件發送到一個或多個內部Domino服務器。

這是智能主機的工作。 這是一種非常簡單的方法，告訴DMZ中的Domino服務器將它們接受的內部SMTP域的所有郵件移交給特定的中繼地址。 此中繼地址應與DNS中的一個或多個MX記錄相關，以在冗余路徑可用的情況下控制路由路徑的優先級。

路由方案

以下方案和圖表說明了這些概念。 在這些圖中，紅色路徑表示主路徑，藍色路徑表示在主路徑發生故障時使用的備用路徑。

方案A：單點登錄，多個SMTP服務器
在這種情況下，SMTP1是主要的出站路徑，而SMTP2是主要的入站路徑。 在服務器發生故障時，每個服務器充當另一個的備份路徑。

圖1.單點登錄，多個SMTP服務器

入站路由流程如下：

郵件服務器在DNS中查找acme.com，并找到兩個可用的主機SMTP1和SMTP2。

SMTP2具有最低的MX首選項作為首選的入站郵件中繼，因此，郵件將路由到SMTP2（前提是它可用）。 否則，郵件將路由到SMTP1。

SMTP1和SMTP2解析inbound.acme.com的智能主機條目，并找到兩個可能的下一跳主機HUB1和HUB2。

如果HUB1可用，則SMTP服務器將中繼到它，如果沒有HUB2，則使用HUB2。

在到達HUB1或HUB2之后，便會進行常規的Notes郵件路由。

出站路由流程類似：

HUB1或HUB2已將郵件發送到外部Internet地址。

他們解析其中繼主機條目outbound.acme.com，并找到兩個可用的主機SMTP1和SMTP2。

首選的出站服務器SMTP1具有較低的MX首選項。 因此，郵件被路由到那里（只要它可用）。 如果不是，則HUB服務器將路由到SMTP2。

SMTP服務器在DNS中查詢收件人的域（destination.com），并根據返回的MX記錄連接到主機。

MX記錄權重不必偏向于一臺服務器與另一臺服務器。 如果要使入站和出站郵件在服務器之間平均分配，請使每對服務器的MX記錄首選項相同。

分離入站路由和出站路由是一種常見的做法，因為它可以簡化正常情況下的故障排除。 在這些位置的每一個處的單個服務器將代表最簡單的配置。 每點具有多個服務器可為服務器故障提供一定的恢復能力。

方案B：多個存在點，多個SMTP服務器
為了防止重大站點故障（例如ISP網絡連接或災難），需要一種更復雜的方案。 這是真正存在多個優勢的地方。 在這種情況下，我們專門討論兩個存在點，但是體系結構可以擴展多次，以在需要時覆蓋更多。

如果郵件域名是單個實體（例如acme.com），并且不是“子域”（例如us.acme.com和eu.acme.com），則必須將郵件傳遞到主域名具有備份路徑的存在點。 如果存在子域，則應將每個子域的郵件路由到適當的本地存在點，作為主要和其他存在點進行備份。

在下面的示例中，域是acme.com，除非出現故障，否則所有郵件都將傳遞到一個存在點。

圖2.方案B的入站路由

入站路由流程如下：

郵件服務器在DNS中查找acme.com，并找到四個可用主機，SMTP1至SMTP4。

SMTP2作為首選的入站郵件中繼具有最低的MX首選項，并且郵件被路由到SMTP2（如果可用）。

如果SMTP2不可用，則SMTP1是下一個首選的入站中繼。 如果這也不可用，則首選SMTP4，最后是SMTP3。

如果郵件中繼到SMTP1或SMTP2，它們將解析inbounda.acme.com的智能主機條目，并找到四個可能的下一跳主機，從HUB1到HUB4，首選HUB1，然后是HUB2，HUB3，最后是HUB4。

如果將郵件中繼到SMTP3或SMTP4，它們將解析inboundb.acme.com的智能主機條目，并找到四個可能的下一跳主機，從HUB1到HUB4，首選HUB3，然后是HUB4，HUB1，最后是HUB2。

如果首選的HUB服務器可用，則SMTP服務器將中繼到它。 否則，它將按MX首選項的順序使用替代項。

到達內部HUB層后，便會進行常規的Notes郵件路由。

出站路由相應地遵循。

圖3.方案B的出站路由

在圖3中：

HUB1至HUB4已將郵件發送到外部Internet地址。

如果HUB1或HUB2接收到郵件，他們將解析其中繼主機條目outbounda.acme.com并找到四個可用主機，SMTP1至SMTP4，以SMTP1作為主要路由，然后是SMTP2，SMTP3，最后是SMTP4。

如果HUB3或HUB4收到郵件，它們將解析其中繼主機條目outboundb.acme.com并找到四個可用主機，SMTP1至SMTP2，以SMTP3作為主要路由，其次是SMTP4，SMTP1，最后是SMTP2。

如果首選的SMTP服務器可用，則HUB服務器將中繼到該服務器。 否則，HUB服務器將按照MX首選項的順序使用替代項。

SMTP服務器在DNS中查詢收件人的域（destination.com），并根據返回的MX記錄連接到主機。

基本概念與方案A相似，只是稍微復雜一點。 如果發生故障，所有服務器都可以選擇發送到acme.com的郵件的更多選擇。 這提供了一種非常靈活的體系結構，可以應對從單個服務器到整個站點或存在點的各種故障。

方案A和方案B之間的另一個主要區別是，每個中繼點的SMTP中繼主機條目都需要不同，以便可以獨立控制往返于各個中繼點的路由。 同樣，可以使MX首選項等于平衡路由，而不是拆分首選路徑和備用路徑。

使用智能主機

智能主機用于入站郵件路由（本地域收件人），而中繼主機用于出站郵件路由（外部域收件人）。 智能主機條目特定于每個服務器，并在服務器配置文檔中配置。 如果一組服務器對下一跳中繼具有完全相同的選擇，則相同的智能主機條目可以用于多個服務器。

但是，正如我們之前討論的那樣，當您需要為一組主機使用不同的路由首選項（或成本）時，必須使用多個智能主機條目，每個條目都解析為一組唯一的MX首選項。 可在服務器配置文檔“路由器/ SMTP基本”選項卡上找到智能主機中繼的條目。

圖4.路由器/ SMTP基本選項卡

除了指定本地Internet域智能主機值外，還必須啟用選項“所有本地Internet域收件人都使用智能主機”以指示服務器應將所有本地郵件中繼到智能主機。 否則，Domino服務器將僅為無法在所有可用目錄中找到的收件人中繼郵件。 如果使用擴展目錄目錄（如本文稍后所述）來完成地址驗證，則僅接受的消息必須在目錄中具有一個條目。 您希望Domino將這些消息中繼到智能主機，如果不啟用此設置，它將不會這樣做。

使用DMZ的配置示例

在本節中，我們提供了兩個使用DMZ設置Domino服務器的示例：沒有包含用戶信息目錄的Domino服務器和帶有用戶目錄信息的Domino服務器。

沒有用戶目錄信息的Domino服務器

在這種情況下，由于Domino服務器無法訪問任何用戶目錄信息，因此將其配置為充當中繼服務器并且無法進行任何電子郵件地址驗證。 如前所述，您不需要DMZ中內部生產域目錄的副本。 下圖說明了此配置。

圖5.沒有用戶目錄信息的Domino服務器

Domino SMTP服務器上的Domino目錄將不包含任何超出管理員身份驗證所需的用戶信息。 DMZ中沒有發布內部Domino目錄中的任何信息。

具有用戶目錄信息的Domino服務器

通常希望對傳入郵件執行某種地址驗證，以確保最早將垃圾郵件（通常發送至隨機生成的電子郵件地址）阻止。 只應傳遞給合法內部收件人的郵件。 為此，Domino SMTP服務器必須具有一個目錄，它們可以在該目錄中比較地址以進行驗證，以區分合法的地址并拒絕不合法的地址。

再次，信息安全性是重中之重。 如果您不想將內部Domino目錄復制到這些服務器上，那么它們可以將哪個目錄用于地址驗證？ 在這種情況下，擴展目錄目錄（EDC）是一種簡單有效的解決方案。 使用EDC具有以下好處：

• 控制從內部目錄提取哪些信息并將其發布到EDC中。
• 創建和維護目錄的內置機制，即目錄編錄器任務。
• 復制是一種強大且易于實現的分發機制。

那么，這與使用沒有用戶目錄信息的Domino服務器有何不同？ 圖6顯示了該體系結構。

圖6.具有用戶目錄信息的Domino服務器

Directory Cataloger任務負責在內部域中的服務器上維護EDC，該服務器具有對源目錄的訪問權，需要從源目錄中聚合用戶信息。 但是，并非所有內部目錄信息都匯總到EDC中。

要創建EDC，請基于標準Domino目錄模板創建一個新數據庫。 （我們將示例數據庫稱為smtpedc.nsf。）這與創建移動目錄目錄不同，后者是經過壓縮的，并且需要全文索引才能提高查找性能。 EDC包含通常與標準Domino目錄相關聯的所有視圖，可以對這些視圖執行查找。

創建此數據庫后，設置一個非常嚴格的ACL。 下表顯示了所需的ACL條目的示例：

ACL條目名稱 訪問權限 其他角色

-默認-	不可訪問	沒有
匿名	不可訪問	沒有
Acme管理員	經理	刪除文件
* /服務器/ SMTP	經理	刪除文件
HUB1 /服務器/ ACME	經理	管理服務器 刪除文件

注：如果DMZ中的服務器相互復制EDC，則需要* / SERVERS / SMTP。

最后，您需要創建一個EDC配置文檔。

圖7.創建一個EDC配置文檔

在“基本”選項卡上的“要包括的其他字段”選項中，選擇“ InternetAddress”。 （這是服務器將與傳入收件人名稱進行比較的內容。）在“限制聚合到服務器”字段中，指定負責聚合的服務器以及應發送給管理員以監視問題的處理報告。

圖8. Extended Directory Catalog Basics選項卡

在“高級”選項卡上，您可以輸入選擇性復制公式以進一步限制源內容。 在這種情況下，我們只希望聚合包含有效Internet地址值的用戶，組和郵件數據庫條目。 這可以用作僅允許這些實體的子集接收Internet郵件的控件。

圖9. Extended Directory Catalog Advanced選項卡

可以使用“允許外部目錄同步”來進一步增強該公式。 出現在目錄條目上的標志，作為控制聚合哪些條目的另一種方法。

在指定的聚合服務器的“服務器”文檔中，您的EDC必須列為要處理的目錄以及聚合計劃。 為此，請在目錄目錄文件名字段中輸入其文件名。

圖10.目錄目錄文件名

然后，您可以按計劃將EDC復制到DMZ，以使此信息保持最新。 這里要注意的一點是，目錄編目聚合計劃和復制計劃共同決定將新用戶識別為有效接收者所花費的時間。

現在，Domino SMTP網關必須能夠引用此輔助目錄。 要啟用此功能，需要簡單的目錄服務設置。 在DMZ中的一臺服務器上創建目錄服務數據庫。 在我們的示例中，我們將其稱為dmzda.nsf。 一旦配置此數據庫，應將其復制到每個SMTP服務器。

在目錄服務數據庫中，創建一個條目以指向EDC。 在“基本”選項卡上，輸入描述性域名，并確保已啟用該條目。

圖11.“目錄服務基礎”選項卡

在“副本”選項卡中，在“服務器名稱”字段中輸入一個星號（*），允許服務器引用任何可用的副本。 然后輸入EDC數據庫名稱，并確保也在此處啟用它。

圖12.目錄幫助副本選項卡

在每個Domino SMTP服務器的“服務器”文檔中，將“目錄服務”數據庫名稱添加到適當的字段中。

更新服務器文檔后，請重新啟動服務器以使更改生效。 要驗證服務器重新啟動后是否正在引用目錄，請在服務器控制臺上輸入SHOW XDIR。 您應該看到類似于以下的輸出。

圖13. SHOW XDIR輸出

配置EDC和目錄服務后，可以啟用地址驗證。 為此，請在“ SMTP服務器配置”文檔中，轉到“路由器/ SMTP基本”選項卡，并將地址查找設置為“僅全名”。 這將強制服務器使用完整的Internet電子郵件地址進行查找，并阻止服務器拆分本地部分并進行本地部分名稱匹配。 然后在“路由器/ SMTP”“限制和控制”“ SMTP入站控制”選項卡上，設置選項以驗證是否啟用了本地域收件人。

Domino SMTP服務器現在將針對您創建和配置的EDC執行地址驗證。 通過使用已知的正確和無效收件人地址的組合向它們發送電子郵件來測試服務器，并觀察服務器控制臺，因為策略原因拒絕了不良主機。 那些有效的應該路由到內部域。

您的選擇

本系列文章討論了幾種有關如何配置和設置安全的基于Domino的SMTP服務的方案。 如您所見，有許多不同的組件供您使用。 這些包括：

• 隔離的可信企業網絡
• DMZ使您的受信任網絡與不受信任的Internet隔離
• 通過Lotus Domino提供世界一流的SMTP服務
• 先進的Domino SMTP安全功能，包括中繼和垃圾郵件防護以及DNS黑名單
• 各種DMZ配置
• 通過MX記錄進行DNS設置
• 名為網絡的注釋
• 災難恢復配置

您可以混合和匹配這些選擇，以構建滿足您的業務需求的SMTP體系結構。

今天，SMTP已成為首選的電子郵件。 但是，大多數最終用戶可能不知道和/或不在乎這個事實。 因此，您需要構建一個安全有效的解決方案。 Lotus Domino提供了允許您執行此操作的工具和功能。

---

翻譯自: https://www.ibm.com/developerworks/lotus/library/smtp-dmz2/index.html

端口映射/dmz主機

總結

以上是生活随笔為你收集整理的端口映射/dmz主机_在DMZ中使用Notes / Domino SMTP的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。