|
|
| Qmail邮件系统下防止滥用mail relay完全解决方案 |
| 出自:www.linuxaid.com.cn/ LinuxAid工程师ideal(ideal@btamail.net.cn) 2002年04月13日 18:16 |
Qmail邮件系统下防止滥用mail relay完全解决方案
摘要:本文讨论了在qmail环境下如何防止mail relay被垃圾邮件发送者滥用的解决方法。
软件环境:redhat6.2 qmail1.3
硬件环境:HP Netserver E60 128M内存 单网卡
一、什么是mail relay及为何要防止被滥用?
设置好一个qmail服务器以后,该服务器将具有一个或若干个域名(这些域名应该出现在local或
viritualdomains文件内),这时qmail-smtpd将监听25号端口,等待远程的发送邮件的请求。网
络上其他的mail服务器或者请求发送邮件的MUA(Mail User Agent,如outlook express、foxmail
等等)会连接qmail服务器的25号端口,请求发送邮件,SMTP会话过程一般是从远程标识自己的身
份开始,过程如下:
HELO remote.system.domainname
250 qmailserver.domain
MAIL FROM:user@somewherer.net
250 OK
RCPT TO: user1@elsewhere.net
邮件的接收者user1@elsewhere.net中的域名并不一定是本地域名,这时候本地系统可能有两种回
答,接受它:
250 OK
或者拒绝接受它:
553 sorry,.that domain is not in my domain list of allowed recphosts
第一种情况下,本地qmail服务器是允许relay的,它接收并同意传递一个目的地址不是本地的邮件;
而第二种情况则不接收非本地邮件。
qmail有一个名为rcpthosts(该文件名源于RCPT TO命令)的配置文件,其决定了是否接受一个邮件。
只有当一个RCPT TO命令中的接收者地址的域名存在于rcpthosts文件中时,才接受该邮件,否则就拒
绝该邮件。若该文件不存在,则所有的邮件将被接受。当一个邮件服务器不管邮件接收者和邮件接收
者是谁,而是对所有邮件进行转发(relay),则该邮件服务器就被称为开放转发(open relay)的。当
qmail服务器没有rcpthosts时,其是开放转发的。
如果系统管理员将自己的邮件服务器设置为open relay,将会导致一些垃圾邮件发送者将你的邮件服
务器作为转发自圾邮件的中继站,这将使垃圾邮件的接收者将矛头对准你,可能会导致报复性的邮件
炸弹;垃圾邮件还能消耗你大量的资源,占用你的带宽。更为糟糕的事情可能是你的名字可能会上了
黑名单,成为其他邮件接收者共同抵制的目标,你的邮件将被这些接收者所拒绝。
二、防止mail relay被滥用的方法一
这种方法仅仅适用于用户IP地址固定的情况,例如某单位拥有自己的一个C类地址,并且拥有自己
的局域网,该邮件服务器仅仅是提供给局域网用户收发电子邮件。
设置自己服务器为非open relay的最简单的办法就是将你的邮件服务器的所有域名(若DNS的MX记录指向
该机器,也应该包括该域名。例如你的机器有三个域名mail.linxuaid.com.cn、mail1.linuxaid.com.cn,
而且linuxaid.com.cn的MX指向mail.linuxaid.com.cn,则qmail的rcphosts的应该包括mail.linuxaid.com.cn、
mail1.linuxaid.com.cn和linuxaid.com.cn)。这将只允许客户连接到服务器以后才能发送电子邮件,而
不允许用户通过MUA来通过服务器转发邮件,而要支持客户使用MUA来发送邮件,必须允许客户使用服务器
转发邮件。qmail-smtpd支持一种有选择性的忽略rcpthosts文件的方法:若qmail-smtpd的环境变量RELAYCLIENT
被设置,则rcpthost文件将被忽略,relay将被允许。但是如何识别一个邮件发送者是否是自己的客户呢?
就是判断发送邮件者的源IP地址,若该IP地址属于本地网络,则认为该发送者为自己的客户。
这里就要使用ucspi-tcp软件包的tcpserver程序,该程序的功能类似于inetd—监听进入的连接请求,
为要启动的服务设置各种环境变量,然后启动指定的服务。tcpserver的配置文件是/etc/tcp.smtp,该
文件定义了是否对某个网络设置RELAYCLIENT环境变量。例如,本地网络是地址为192.168.10.0/24的C类
地址,则tcp.smtp的内容应该设置如下:
127.0.0.1:allow,RELAYCLIENT=""
192.168.10.:allow,RELAYCLIENT=""
:allow
这几个规则的含义是指若连接来自127.0.0.1和192.168.10则允许,并且为其设置环境变量RELAYCLIENT,
否则允许其他连接,但是不设置RELAYCLIENT环境变量。这样当从其他地方到本地的25号连接将会被允许,
但是由于没有被设置环境变量,所以其连接将会被qmail-smptd所拒绝。
但是tcopserver并不直接使用/etc/tcp.smtp文件,而是需要先将该文件转化为cbd文件:
[ideal@aidmail /etc]$ # tcprules tcp.smtp.cdb tcp.smtp.temp &1 > /dev/null
也就是每40分钟清除允许relay的IP地址的列表,则当某个用户首先通过pop3取信件(因为通过pop3收取信件是需要
认证的,则可以保证这是合法的用户)结束以后,则用户在后来的40分钟以内可以通过该邮件系统转发邮件,之后就
不允许通过该系统转发邮件。
二、防止mail relay被滥用的方法三
对于有漫游用户的邮件系统来说,防止其relay功能被滥用的另外一个方法就是在发送邮件时要求用户认证,
就象用户收信是需要认证一样。这里假设系统已经安装成功qmail-1.03和vpopmail,并且原有系统运行正常。
1、 下载程序:
qmail-smtp补丁:http://members.elysium.pl/brush/qmail-smtpd-auth/
密码检验补丁:http://members.elysium.pl/brush/cmd5checkpw/
从这两个地址下载得到qmail-smtpd-auth-0.26.tar.gz及cmd5checkpw-0.22.tar.gz。
2、编译安装qmail-smtpd
将qmail-smtpd-auth-0.26.tar.gz解压缩:
[root@www src]# tar xvfz qmail-smtpd-auth-0.26.tar.gz
[root@www src]# cd qmail-smtpd-auth-0.26
[root@www qmail-smtpd-auth-0.26]# ls
CHANGES Makefile README TODO inetd.conf qmail-smtpd.c
qmail-smtpd.patch
将安装成功的qmail目录下的qmail-smtp.c拷贝到qmail-smtpd-auth-0.26目录下:
[root@www qmail-smtpd-auth-0.26]# cp ../qmail-1.03/qmail-smtpd.c ./
然后对该文件进行补丁处理:
[root@www qmail-smtpd-auth-0.26]# patch -p1 &1
改为:
#!/bin/sh
QMAILDUID=qmaild
NOFILESGID=nofiles
exec /usr/local/bin/softlimit -m 2000000 \
/usr/local/bin/tcpserver -H -R -l 0 -t 1 -v -p -x /etc/tcp.smtp.cdb \
-u $QMAILDUID -g $NOFILESGID 0 smtp /var/qmail/bin/qmail-smtpd /home/vpopmail/bin/vchkpw /bin/true \
/bin/cmd5checkpw /bin/true 2>&1
5、 其他一些设置:
设置vpopmail的用户目录直到/目录都被任何用户可以读取;
6、 重新启动qmail
/etc/rc.d/init.d/qmailstart stop
/etc/rc.d/init.d/qmailstart start
6、在客户端上使用 OutlookExpress 和 Netscape 4.6 以上版本的邮件软件进行检验。
|
| 【】【http://www.trainlinux.com】【Close】 |
|
|
『相关资料』
|
|
|
|
|
|
