IBM Support

如何配置 Domino 使用 STARTTLS 扩展支持加密 SMTP 会话?

Technote (FAQ)


疑问

如何配置 Domino®使用 STARTTLS 扩展支持加密 SMTP 会话?

答案

为了对通过 TCP/IP 传输的 SMTP 邮件进行 SSL 加密,Domino 支持使用协商 SSL。 在协商 SSL 方案中,发送方和接收方都需要使用在 RFC 2487 中定义的 SMTP STARTTLS 扩展,表示已准备就绪,可以协商进行 SSL 连接。 发送方和接收方的服务器必须具有 SSL 证书,以便传输层安全性(TLS)握手能够成功。
使外来 SMTP 会话支持 STARTTLS 扩展:

1. 在服务器文档(基本选项卡)启用 “SMTP 侦听任务”。
2. 在服务器文档:端口 -> Internet 端口 -> 邮件选项卡 ,邮件(SMTP外来)的 “TCP/IP 端口状态" 设为“启用”。
3. 在配置文档:路由器/SMTP -> 高级 -> 命令和扩展选项卡,“通过 TCP/IP 端口可协商的 SSL:”设为“启用”。
4. 重启 SMTP 任务.





注: 设置“通过TCP/IP端口可协商的 SSL”为“必需”会强制任何发送服务器只能使用TLS/SSL,我们建议将此设置设为"启用"。否则如果发送服务器未启用此功能,可能导致发送到您的 Domino 服务器的外来邮件丢失。

使外出 SMTP 会话支持 STARTTLS 扩展:

1. 在服务器文档:端口 -> Internet 端口 -> 邮件选项卡 ,邮件(SMTP外出)的 “TCP/IP 端口状态" 设为“可协商的 SSL”。 2. 重启 Router 任务。


以下是在启用SMTPDebugIO之后调试输出的样例(STARTTLS表示即将开始加密会话):

    [06D8:0008-0324] R: STARTTLS
    03/18/2003 04:05:56.74 PM [06D8:0008-0324] SMTP CITask StateMachine> Sent 24 bytes to 129.42.208.182

    [06D8:0008-0324] S: 220 Ready to start TLS<CRLF>

注: 某些服务器支持 SMTP 通讯使用 SSL 的方式为:仅通过 SSL 端口(缺省为端口 465)发送和接收 SMTP 邮件。但是,由于这样会要求发送服务器和接收服务器都支持 SSL 加密发送 SMTP 邮件,因此该解决方案并不总是可行。

另外,不再推荐将端口 465 用于 SMTP-SSL。取而代之的是 TLS/SSL 通过端口 25 通信。更多信息,请点击:
http://www.iana.org/assignments/port-numbers

关于通过第三方认证机构(CA) 配置 SSL 的信息,请参阅技术文档 "如何使用第三方认证中心(CA)设置SSL".

关于通过 Domino CA 配置 SSL 的信息,请参阅技术文档 "Quick guide to setting up SSL using Domino as the Certificate Authority".

关于 SSL, TLS 和 STARTTLS 的附加信息,可以查询管理员帮助与 RFC 2487 文档。

相关信息

An US English translation is available

Document information

More support for: IBM Domino
SMTP / MIME

Software version: 7.0, 8.0, 8.5

Operating system(s): AIX, Linux, Solaris, Windows

Reference #: 1678453

Modified date: 08 July 2014


Translate this page: