Index Hem Bakåt Framåt

Identifiera en POP3 användare

När en POP3 användare loggar in, bifogar han eller hon ett användarnamn och ett lösenord. (Om ett APOP kommando används, finns det ytterligare en kryperingsoperation tillagd på lösenordet, men det ändrar inte faktumet att endast två bitar av information måste bifogas.) Om din server har multipla interface är Weasel Pro också kapabel att räkna ut vilken IP adress som klienten är uppkopplad mot. Den behöver däremot, inte känna till vilken domän som adresseras, därför att det finns ingenting i POP3 protokollet som bifogar den informationen.

Det finns grundläggande två sätt att lösa det problemet:

  1. Kräva att användare loggar in med användarnamn i formen user@domain. Det betyder, att loginnamnet inkluderar en specifikation av vilken domän som användaren loggar in på.
  2. Tillåta användaren att logga in med ett användarnamn på det vanliga sättet, utan att specificera domän, och låta Weasel ta reda på vilken domän som skall användas från de tillgängliga uppgifterna: den IP adress som användaren har använt för att kontakta POP servern, och användarens lösenord.

Det är upp till dig, som systemadministratör, att bestämma vilken av dessa två metoder som skall användas. Metod 1 ger en otvetydig specifikation av domänen (under förutsättning att du inte har duplicerat ett domännamn), men är mindre bekvämt för användaren. Metod 2 ger en användare intrycket att POP servern är helt och hållet avsedd för hans eller hennes domän, men det skapar en risk att användaren kan logga in på fel domän om samma användarnamn förekommer i en eller flera av de domäner som din mailserver är host för.

De två metoderna är inte inbördes exklusiva. Du kan, till exempel, tillåta de flesta användare att logga in med metod 2, men kräva inloggningsformen user@domain för de användare och/eller domäner för vilka det finns en risk för tvetydigheter.

Notera: Närvaron av firewalls och proxies kan, i vissa fall, göra det omöjligt för användare att inkludera @ tecknet i sitt loginnamn. För att komma runt det, tillåter Weasel en alternativ form av user'domain. Om ett enstaka citattecken (') hittas, kommer Weasel inte att söka mera efter ett @ tecken.

Den exakta sekvensen av steg som används av Weasel Pro för att härleda domänen är beskrivet nedanför.

Identifikationsprocess

När en användare loggar in, antingen med USER/PASS metoden eller med APOP metoden, utför Weasel Pro följande kontroller.

Login måste ha inträffat när en användare ansluter till en specifik adress. Om din server endast har en IP adress så erbjuder den ingen användbar information. Om, däremot, den har ett flertal IP adresser då begränsas detta till en uppsättning möjliga domäner. Endast den domän som har den IP adress (antingen explicit, som en numerisk adress, eller implicit, som ett resultat av namnserver lookup) på deras Setupsida "Local" beaktas under resten av kontrollprocessen.

Om användaren har bifogat ett explicit domännamn, genom att logga in med formen user@domain av användarnamnet, kommer detta ytterligare att begränsa uppsättningen möjliga domäner. Normalt skulle detta betyda att det endast finns en domän som är en möjlig kandidat.

Från de domäner som återstår efter dessa kontroller, behåller vi de för vilka ett användarnamn matchar. Oftast, men inte alltid, kommer det endast att återstå en domän att överväga vid det här stadiet.

Vad som händer härnäst beror på om du har specificerat "Accept only the first user/domain match" på sidan "Options 2" i Setup notboken. (Den här option är synlig bara om du har aktiverat multipla-domänläget.) Om du har aktiverat optionen, och sökningen ovanför har funnit multipla-domäner, kommer endast den första att användas. Login kommer att lyckas om och endast om vi har ett användarnamn och lösenord som matchar den domänen.

Om, å andra sidan, du lämnar den här optionen avaktiverad, kommer lösenordet att användas för att lösa några tveksamheter. Vi väljer den första domänen för vilken användarnamnet matchar och lösenordet är korrekt. Sannolikheten för att samma användarnamn finns i flera än en domän är relativt hög. Sannolikheten för att samma lösenord uppträder i fler än en domän är extremt låg. Därför är, genom att använda lösenordet för att lösa tvetydigheter ett troligtvis alldeles säkert sätt att välja rätt domän. I det motsatta fallet att en användare skulle få fel domän, kommer detta att upptäckas den första gången som en användare försöker logga in, och problemet kan åtgärdas genom att ändra lösenordet för en av de drabbade användarna.

Strategin med att använda lösenord för att lösa tvetydigheter ökar risken något för att någon kan bryta sig i ditt system genom att gissa användarnamn och lösenord. De flesta människor skulle anse att en sådan risk är acceptabelt låg. Om du anser att den risken är oacceptabel, bör du aktivera optionen "Accept only the first user/domain match".