郵件

使用 STARTTLS 擴充保護 SMTP 階段作業
透過標準 TCP/IP 通道執行的 SMTP 階段作業很容易被竊聽,因為未編碼的傳輸可輕易地被攔截。若要保護 SMTP 通訊,伺服器可以使用「傳輸層安全 (TLS)」(通稱為 SSL 加密) 以提供私密性與鑑定。

部份伺服器只能透過 SSL 通訊埠 (預設值為通訊埠 465) 來傳送及接收 SMTP 通信,以支援 SSL 進行 SMTP 通訊。然而,因為這需要傳送及接收伺服器都支援透過 SSL 的 SMTP,所以此解決方案不一定實用。

若要透過 TCP/IP 提供 SMTP 轉送的 SSL 安全,Domino 支援使用協議的 SSL。在協議的 SSL 綱目中,傳送及接收主電腦均使用 SMTP STARTTLS 擴充 (定義於 RFC 2487),以將其準備狀態標示為協議 SSL 連線。接收伺服器會顯示 STARTTLS 關鍵字以回應傳送伺服器的 EHLO 指令。傳送伺服器發出 STARTTLS 指令以要求建立安全連線。起始 TLS 協商順利完成後,兩方會繼續設定之間的 SSL 通道。傳送與接收伺服器都必須處理 SSL 憑證。

如需取得伺服器憑證的相關資訊,請參閱主題在 Domino 伺服器上設定 SSL。

支援發送 SMTP 階段作業的 STARTTLS

配置為在發信時使用協議 SSL 的 Domino 伺服器會連接至接收伺服器的 SMTP TCP/IP 通訊埠 (預設為通訊埠 25)。如果來自接收伺服器的起始 SMTP 回應表示它支援 STARTTLS 擴充,則 Domino 會發出 STARTTLS 指令以要求使用 SSL 加密階段作業的其餘部份。

如果接收伺服器未宣佈支援 STARTTLS 以回應 Domino 伺服器的 EHLO 指令,則傳送 Domino 伺服器會繼續未加密的 SMTP TCP/IP 階段作業。

若要啟動發送 STARTTLS 支援,請將 SMTP 發送 TCP/IP 通訊埠狀態設定為:協議 SSL。

支援接收 SMTP 階段作業的 STARTTLS

您可以將 Domino 配置為在支援接收 SMTP 異動的 STARTTLS 指令。當 Domino SMTP 伺服器設定為使用接收階段作業的協議 SSL 時,伺服器會通知支援 STARTTLS 以回應 TCP/IP 通訊埠接收自連接主電腦的 EHLO 指令。然後,連接主電腦會發出 STARTTLS 指令以要求加密的階段作業。

如果 Domino 配置為需要透過 TCP/IP 之 SMTP 階段作業的 STARTTLS,且連接主電腦不符合此需求,則不會透過連線傳送任何郵件。

若要啟動接收 STARTTLS 支援:

SMTP STARTTLS 階段作業需要名稱與密碼鑑定

啟動協議 SSL 中的 ESMTP 支援可讓伺服器接受匿名連接的遠程伺服器透過 TCP/IP 使用 SSL 的要求。但是,不是所有接收連線都是匿名的。連接 SMTP 伺服器可以配置為依據 ESMTP AUTH 指令,將名稱與密碼傳送給 Domino。

若要在協議 SSL 階段作業期間支援傳送名稱與密碼的 SMTP 用戶端連線,請將 SMTP 接收 SSL 通訊埠的「名稱與密碼」欄位值設定為「是」。您不必啟動 SSL 通訊埠。如果 SSL 通訊埠不支援名稱與密碼鑑定,則 Domino SMTP 伺服器會拒絕遠程伺服器的 AUTH 指令並傳回錯誤,表示未執行指令。

即使 Domino 透過 TCP/IP 通訊埠收到 AUTH 指令,Domino 會使用 SSL 名稱與密碼鑑定設定來決定是否接受 AUTH 要求,因為它會在 SSL 階段作業的內文中收到該指令。TCP/IP 通訊埠的「名稱與密碼」鑑定設定會被忽略。

另請參閱