19.2.5 Relay与认证机制的重要性

19.2.5  Relay与认证机制的重要性

当需要MTA帮您将信寄送到下一台MTA去时，这个操作就称为邮件转发（Relay），即图19-1中的Step 2.2操作。我们来想一想，如果所有的人都可以通过这一台MTA帮忙进行Relay时，这个情况称之为Open Relay的操作。当您的MTA发生Open Relay时，会有什么问题？问题可就大了。

当您的MTA由于设置不良的关系导致具有Open Relay的状况，加上您的MTA确实是连上因特网时，由于因特网上面用端口扫描软件的闲人太多，您的MTA具有Open Relay的功能这件事情，将会在短时间内被很多人察觉，此时那些不法的广告邮件、色情垃圾信将会利用您的这台Open Relay MTA发送他们的广告，所以您会发生的问题至少有以下几项：

· 主机所在的网段正常使用的联机速度将会变慢，因为网络带宽都被广告、垃圾信吃光了。
· 您的主机可能由于大量发送信件导致主机资源被耗尽，容易产生不明原因宕机之类的问题。
· 您的MTA将会被因特网放入“黑名单”，从此很多正常的邮件都会无法收发。
· MTA所在的这个IP将会被上层ISP所封锁，直到您解决这个Open Relay的问题为止。
· 某些用户将会对您的能力产生质疑，对您公司或者是您个人失去信心，甚至可能流失客源。
· 如果您的MTA被利用来发“黑信”，您是找不到原发信者的，所以您这台MTA将会被追踪为最终站。

所以，目前所有的distributions都一样，几乎都将MTA默认启动为仅监听内部循环接口（lo）而已，而且也将Open Relay的功能取消了。既然取消Open Relay的功能，那么怎么使用这台MTA的Relay来帮忙转信呢？所以我们在前面才会一直说，您必须取得合法使用该MTA的权限。也就是说，设置谁可以使用Relay的功能就是管理员的任务了。通常设置Relay的方法有以下几种：

· 规定某一个特定客户端的IP或网段，例如规定内部LAN的192.168.1.0/24可使用Relay。
· 若客户端的IP不固定时（例如拨号连接取得的非固定IP）可以利用认证机制来处理。

认证机制上最常见的是SMTP邮件认证机制以及SMTP after POP两种，不论是哪一种机制，基本上都是通过让用户输入认证用的账号与密码，来确定它有合法使用该MTA的权限，然后针对通过认证者开启Relay的支持。如此一来您的MTA不再启动Open Relay，并且客户端还是可以正常的利用认证机制来收发信件，身为管理员的您可就轻松多了。