BSFI400初始上线基本设置(domino邮件系统为例)

一、 目的
 按照梭子鱼官方技术资料和domino环境
 基本设置只包含梭子鱼默认的各自安全策略和规则
 基本设置保证domino收发邮件的正常
二、 需要说明的前提条件
 梭子鱼可以配置成接收过滤和外发模式两种工作模式，但梭子鱼只能工作于一种模式下。默认下，梭子鱼被配置成接收过滤模式
 通过键盘和显示器，先配置梭子鱼的IP和网络设置，本文假定梭子鱼的IP设置为192.168.1.200
 梭子鱼上线前请保证网络顺畅，domino处于正常收发邮件状态，DNS解析正常
 对于初始上线，基本设置以外的设置，建议保持默认状态
三、 基本设置
1、 web的基本设置
 打开IE，输入http://192.168.1.200:800即可打开管理页面
 输入默认账号和密码

 进入基本设置－>IP设置
 设置或修改IP(TCP端口)、子网掩码、网关
 服务器名称/IP、端口以及有效测试帐户
 设置或修改所在网络的DNS
 设置梭子鱼的域名和主机名，加入允许收件人的域名，在此之外的域名，不能被梭子鱼所接收
 进入基本设置－>系统管理，可对web管理密码进行修改和设置

2、 如果梭子鱼在企业防火墙之后，需要开放如下端口

3、 将接收的外部邮件路由到梭子鱼上使得梭子鱼对邮件进行扫描处理，可用如下任意一种办法将邮件路由到梭子鱼上
 端口转发
 当梭子鱼位于运行NAT的企业防火墙后时使用
 在企业防火墙上做一个端口重定向(端口转发)，将进入的SMTP流量(端口是25时)指向梭子鱼上
 MX记录
 当梭子鱼位于DMZ区域(不受防火墙保护)时使用
 将之前A记录指向domino服务器IP修改为梭子鱼的IP

4、 经过路由邮件后，外域发送到domino的邮件将会在日志中出现，梭子鱼将会对外来邮件进行扫描，domino本域用户往来邮件，梭子鱼不作扫描和记录

5、 垃圾过滤设置
 当前面的安装完成后，系统开始基于默认设置来过滤进入的邮件
 默认设置包括对邮件进行病毒检查，使用梭子鱼的内置黑名单和关键词识别垃圾邮件

四、 各项基本设置
1、 基本设置
 IP设置按上述说明进行设置
 隔离
 一般在未正式推广使得用户熟悉情况下，建议选择隔离类型为全局，这样系统的隔离邮件列表将会集中，按时间设置发送给全局隔离邮件地址
 当隔离类型是分用户时，每个用户在当收到外来邮件为隔离邮件时，系统会从隔离通知回复地址中发出通知邮件，邮件中包括隔离邮件的链接，用户点击链接后可以根据判别对隔离邮件进行处理
 “基本设置”下其它设置保持默认

2、 过滤设置
 保持默认
 注意，梭子鱼中对于“阻断”的邮件，只会记录在日志中，梭子鱼不会接收该邮件，直接将其删除或弹回，因此也不会出现在邮件处理列表发送给收件人；对于“隔离”邮件，记录并且存在于日志中，梭子鱼会将邮件列表发给收件人，用户可以对其进行处理

3、 用户设置
 保持默认

4、 域设置
 添加domino服务器中所有邮件域名
 如果域名已经存在，保持默认即可

5、 高级设置
 速率控制，在“排除速率控制的IP区间”将domino服务器IP和子网掩码添加进去 
 信任转发，在“信任转发IP区间”将domino服务器IP和掩码填入，SMTP认证，SMTP认证服务器将domino服务器IP和端口25填入，其余保持默认
 
 其它项保持默认即可

五、 其它几个问题
1、 实现将梭子鱼作为domino的SMTP外发服务器
 打开domino admin－>配置－>服务器－>配置－>domino服务器名称

 

 Router/SMTP－>basic－>设置如图，特别地，Relay host for message leaving the local internet domain填入梭子鱼的IP (192.168.1.200)，保存后重启domino服务器

2、 domino不在线(停机)的话，梭子鱼代收外来(外域)邮件
 登录梭子鱼－>高级设置，然后在当前IE地址最后加入字段&expert=1，回车，即可出现“专家自定义变量”，点击进入

 

 “外发邮件队列邮件生存期”就是当domino不在线时，所需要梭子鱼代收的时间段数值，默认是48个小时。当梭子鱼收到的外来邮件，且无法检测到domino超过48小时的话，就会将该代收邮件返回给发件人信箱。

 

 该时间段内，梭子鱼如果检测到domino在线，将会按照梭子鱼内在计算序列，逐步将代收邮件发送到用户邮箱中(经测试一般为domino启动20分钟后)
 如果不等待梭子鱼自动派发，可使用2种办法直接将代收邮件发到domino中
 在日志中点击所需要发到domino中的代收邮件选中，点击发送
 将梭子鱼连接键盘和显示器，使用底层命令直接将代收邮件一次性发送给domino
 连接键盘显示器(不用重启梭子鱼，直接连接上即可使用)
 输入root密码，然后输入命令
postsuper -c /home/emailswitch/code/firmware/current/etc_outbound -r ALL

3、 修改梭子鱼内host记录
 连接键盘和显示器，开机
 输入帐户root和密码
 进入后，输入vi /etc/hosts
 按键盘E，编辑host文件
 按键盘insert，输入host记录，输入完成后按键盘ESC，并输入:wq后保存退出

4、 启用domino smtp认证的设置
在Domino中，希望能够使用一个SMTP服务器处理公开的外来SMTP流量，但需要阻止Domino服务器是开放的外来中继站(被垃圾邮件利用)，但允许经过身份验证的客户进行中继或转发邮件
 要启用此配置，打开服务器文档－>当前服务器文档－>端口－> Internet端口 选项卡。设置端口25邮件的身份验证选项（SMTP外来）的“姓名和口令”为“是”，“匿名”选项为“是”。

备注：
“姓名和口令”，如果希望允许通过TCP/IP(SMTP 外来)连接的客户机使用名称和口令进行验证，请选 “是”
“匿名”，如果希望允许通过用于SMTP外来的TCP/IP进行匿名连接，请选择“是”
 打开服务器文档－>配置－>路由器/SMTP－>限制和控制－>SMTP外来控制 的外来中继控制项中的以下字段输入一个星号 *

 “拒绝将邮件发送到以下外部Internet网络域：（*表示全部）”
 “拒绝邮件将来自以下Internet主机的邮件发送到外部Internet网络域：（ *表示全部） ” 。
 在外来中继强制部分，确保该领域的“通过验证的用户例外”设置为“允许所有通过身份验证的用户中继” 。
 重新启动Domino服务器的SMTP任务，使更改起作用。 连接客户端时必须配置其帐户在连接过程中使用的身份验证信息（姓名和密码），在OE设置界面，必须勾选“我的服务器要求身份验证”。 经过上述配置，未经认证的连接将不会被允许中继SMTP，无法发信(梭子鱼或者domino都会给予阻断)。经过认证的连接可以把SMTP邮件发送到外部Internet域。