Domino 與 Rspamd 整合：技術挑戰與可行性評析

Domino 仍是許多企業核心郵件平台，而 Rspamd 作為一個高效、可擴充的開源垃圾郵件過濾器，吸引了大量自架郵件伺服器的關注。將 Rspamd 與 Domino 結合，可大幅提升郵件安全與可維護性，但實務上仍需解決多項技術難題。

1. Domino 內部郵件處理流程概覽

Domino 以其內建的 SMTP 代理為入口，直接接收外部郵件。
進入訊息後，Domino 會進行 SPF、DKIM、DMARC 等驗證，並將訊息寫入資料庫。
訊息經過「Inbox Rules」、「Content Rules」等流程後才進入使用者信箱。

2. Rspamd 的核心原理與特性

基於多模組（正則、統計、URL 黑名單）產生 spam score (Rspamd官方文檔)。
提供 HTTP/SMTP 代理、Lua API 供自訂規則，並支援高併發處理。
允許將訊息標記後交給後端 MTA（如 Postfix、Sendmail）進行遞送或拒絕。

3. 兩者結合的主要技術難點

訊息流轉換：Domino 以 SMTP 直接接收，若將 Rspamd 作為前置過濾器，需要在兩者之間設置 SMTP 代理，確保訊息格式（MIME、Unicode）不被破壞。
身份驗證與授權：Domino 內建 LDAP/AD 認證，Rspamd 需同步使用相同的認證機制，避免重複驗證造成延遲。
郵件加密與簽名：若使用 PGP 或 S/MIME，Rspamd 需在過濾前保留簽名，以免被誤判為垃圾郵件。
性能與擴展：Rspamd 需要足夠的記憶體與 CPU 以處理高併發，並且須與 Domino 的郵件佇列同步，避免訊息堆疊。
日誌整合：Domino 與 Rspamd 的日誌需統一格式，方便排錯與合規審計。

4. 可行的整合方案

方案一：在 Domino 前置一層 Postfix + Rspamd，將所有進入郵件先經過 Rspamd 判斷，再轉發至 Domino。此方式可利用 Postfix 的靈活路由，並保持 Domino 的內部流程不變。
方案二：直接在 Domino 的 SMTP 代理上啟用 Rspamd 的 SMTP 代理功能，使用 smtp_relay 指令將訊息送至 Rspamd，Rspamd 再回傳處理結果給 Domino。此方案簡化了多層代理，但需確保 Rspamd 能正確解析 Domino 的自訂標頭。
方案三：透過 Rspamd 的 HTTP API，將訊息內容傳給 Rspamd 進行分數計算，並在 Domino 的「Inbox Rules」中使用 HTTP Request 觸發 Rspamd，將分數寫回標頭。此方案允許更細緻的規則控制，但延遲較高。
在上述任何方案中，建議使用 Rspamd 的 Lua API 撰寫企業特有的關鍵字、IP 黑名單或自訂報告格式，以配合 Domino 的報表與審計需求。

5. 執行與監控建議

日誌統一：將 Rspamd 的 JSON 日誌寫入 SIEM，並與 Domino 的日誌整合，以便同時追蹤訊息來源與評分。
指標監控：透過 Rspamd 的 metrics API 監控 spam score 分佈、併發連線與記憶體使用。
彈性擴展：在高峰期可使用 Docker 或 Kubernetes 佈署多個 Rspamd 節點，並利用 Postfix 的 load‑balancing 進行負載分散。
安全審計：定期檢查 Rspamd 的黑名單更新頻率與正則規則是否過時，並確保與組織的安全政策保持一致。

6. 成本與風險評估

成本：Rspamd 為開源，無授權費用；但需要投入硬體與維護成本。Domino 仍需授權，但可將其用於企業內部郵件處理。
風險：若 Rspamd 失敗，可能導致郵件延遲或丟失；因此必須設置備援機制與暫停規則。
支援：Rspamd 社群活躍，提供豐富的插件與 Lua 介面；Domino 亦有長期技術支援。

7. 結論與建議

整合 Rspamd 與 Domino 能顯著提升機構的垃圾郵件防護與合規可追蹤性。雖面臨訊息流轉、性能與日誌整合等技術挑戰，但透過正確的代理設計與 Lua 自訂規則，完全可實現高效、可擴充的郵件安全解決方案。建議先在測試環境中部署 Postfix + Rspamd 前置代理，驗證訊息完整性與延遲，隨後再將方案正式投入生產。