手揣网教程/杀毒教程/内容

SMTP安全手册—Qmail安全

杀毒教程2024-05-21 阅读
[摘要]Qmail有一个名为rcpthosts(该文件名源于RCPT TO命令)的配置文件,其决 定了是否接受一个邮件。只有当一个RCPT TO命令中的接收者地址的域名存在于 rcpthosts文件中时,才...

Qmail有一个名为rcpthosts(该文件名源于RCPT TO命令)的配置文件,其决
定了是否接受一个邮件。只有当一个RCPT TO命令中的接收者地址的域名存在于
rcpthosts文件中时,才接受该邮件,否则就拒绝该邮件。若该文件不存在,则所有的邮
件将被接受。当一个邮件服务器不管邮件接收者和邮件接收者是谁,而是对所有邮件进
行转发(relay),则该邮件服务器就被称为开放转发(open relay)的。当qmail服务器没
有rcpthosts时,其是开放转发的。



  设置自己服务器为非open relay的最简单的办法就是将你的邮件服务器的所
有域名(若DNS的MX记录指向该机器,也应该包括该域名。例如你的机器有三个域名
mail.linxuaid.com.cn、mail1.linuxaid.com.cn,而且linuxaid.com.cn的MX指向
mail.linuxaid.com.cn,则qmail的rcphosts的应该包括mail.linuxaid.com.cn、
mail1.linuxaid.com.cn和linuxaid.com.cn)。



  但是这将导致你的本地客户也被拒绝使用你的服务器转发邮件,而要支持客
户使用MUA来发送邮件,必须允许客户使用服务器转发邮件。qmail-smtpd支持一种有选
择性的忽略rcpthosts文件的方法:若qmail-smtpd的环境变量RELAYCLIENT被设置,则
rcpthost文件将被忽略,relay将被允许。但是如何识别一个邮件发送者是否是自己的
客户呢?qmail并没有采用密码认证的方法,而是判断发送邮件者的源IP地址,若该IP
地址属于本地网络,则认为该发送者为自己的客户。



  这里就要使用ucspi-tcp软件包。在这里我们要使用该软件包的tcpserver程
序。该程序的功能类似于inetd-监听进入的连接请求,为要启动的服务设置各种环境变
量,然后启动指定的服务。



  tcpserver的配置文件是/etc/tcp.smtp,该文件定义了是否对某个网络设置
RELAYCLIENT环境变量。例如,本地网络是地址为192.168.10.0/24的C类地址,则
tcp.smtp的内容应该设置如下:



  127.0.0.1:allow,RELAYCLIENT=""



  192.168.10.:allow,RELAYCLIENT=""



  :allow



  这几个规则的含义是指若连接来自127.0.0.1和192.168.10则允许,并且为
其设置环境变量RELAYCLIENT,否则允许其他连接,但是不设置RELAYCLIENT环境变量。
这样当从其他地方到本地的25号连接将会被允许,但是由于没有被设置环境变量,所以
其连接将会被qmail-smptd所拒绝。



  但是tcopserver并不直接使用/etc/tcp.smtp文件,而是需要先将该文件转
化为cbd文件:



  [lix@mail /etc]$ # tcprules tcp.smtp.cdb tcp.smtp.temp < tcp.smtp



  然后再回头看在/service/qmail-smtpd目录下的run文件中有



  /usr/local/bin/tcpserver -v -p -x /etc/tcp.smtp.cdb



  可以看到,tcpserver利用了/etc/smtp.cbd文件。若本地有多个网络,则需
要这些网络都出现在/etc/tcp.smtp文件中。



  这样就实现了允许本地客户relay邮件,而防止relay被滥用。


网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。

……

相关阅读