邮件服务器的安全解决方案
来源:云南设计港 发布时间:2008-01-04 10:36:00
Sendmail作为免费的邮件服务器软件,已被广泛应用于Internet各种操作系统的服务器中。如:Solaris,HPUX,AIX,IRIX,Linux等等。随着互连网的普及,邮件服务器受攻击的机会也大大增加。目前互连网上的邮件服务器所受攻击有两类:一类就是中继利用(Relay),即远程机器通过你的服务器来发信,这样任何人都可以利用你的服务器向任何地址发邮件,久而久之,你的机器不仅成为发送垃圾邮件的帮凶,也会使你的网络国际流量激增,同时将可能被网上的很多邮件服务器所拒绝。另一类攻击称为垃圾邮件(Spam),即人们常说的邮件 * ,是指在很短时间内服务器可能接收大量无用的邮件,从而使邮件服务器不堪负载而出现瘫痪。这两种攻击都可能使邮件服务器无法正常工作。因此作为一个校园网邮件服务器防止邮件攻击将不可缺少。
目前对于sendmail邮件服务器,阻止邮件攻击的方法有两种。一种是升级高版本的服务器软件,利用软件自身的安全功能。第二种就是采用第三方软件利用其诸如动态中继验证控制功能来实现。下面就以sendmailV8.9.3为例,介绍这些方法。
1、服务器自身安全功能
(1)编译sendmail时的安全考虑
要利用sendmail8.9.3的阻止邮件攻击功能,就必须在系统编译时对相关参数进行设置,并借助相关的软件包。目前主要就是利用BerkeleyDB数据库的功能,BerkeleyDB包可以从相关站点上下载,并需要预先编译好。然后将BerkeleyDB的相关参数写进sendmail的有关文件中。
a、修改site.config.m4文件
将编译好的BerkeleyDB有关库文件路径加入到site.config.m4文件中,使sendmail编译后能够使用BerkeleyDB数据库。例如:
#cd$/sendmail-8.9.3/BuidTools/Site
修改site.config.m4文件
define(confINCDIRS,-I/usr/local/BerkeleyDB/include)
define(confLIBDIRS,L/usr/local/BerkeleyDB/lib)
b、修改sendmail.mc文件
sendmail.mc是生成sendmail.cf的模板文件之一,要使sendmail具有抗邮件攻击功能还需在该文件中进行相关定义。主要包括以下几项:
......
FEATURE(relay_entire_domain)
FEATURE(ACCESS_DB)dn1
FEATURE(blacklist_recipients)
......
(2)相关文件的配置
正确编译好sendmail是邮件服务器安全控制的基础,而真正的安全设置主要还是利用相关文件进行的。这种包含控制语句的文件主要是access和relay-domains。
access是邮件安全控制的主要数据库文件,在该文件中可以按照特定的格式将需控制的域名、IP地址或目标邮件地址,以及相应的动作值写入,然后使用makmap命令生成access.db文件(#makemaphashaccess.db
spam.comREJECT
edu.cnOK
hotmail.comDISCARD
其中reject动作是拒绝接受从指定地址发来的邮件;ok是允许特定地址用户任意访问;relay允许通过本邮件服务器进行中转邮件;discard是将收到的邮件交给特定命令进行处理,例如:可以设定将收到的邮件丢弃,或者设定收到邮件后返回给使用者一条出错信息等等。
Relay-domains文件是设定哪些域是该服务器可以中继的域,其格式为每个域占一行。如:
......
CN
EDU
JP
......
在服务器开始使用时建议将所有顶级域名加入其中,以后再根据安全需要对其进行修改,否则将会使pop3用户发送邮件时出现relayreject错误,而无法向没有加入的域名目标邮件地址发送邮件。
猜你喜欢
- Godaddy主机是支持Zend Optimizer,但是,我看到一些朋友对它不了解,不知道它是做什么的,下面我就来介绍一下Zend Opt
- 有的Godaddy主机用户反映,不能生成HTML?针对Godaddy WINDOWS 主机生成HTML问题如下:第一、生成HTML用的是FS
- 做国外网络赚钱,很多新手都会面临一个如何拿到钱的问题,今天我就对此做个基础知识介绍教程。一般国外联盟主流采用支票,paypal,电汇,西联等
- 11月20日下午消息,搜狐IT今日从播放软件暴风影音内部获悉,该公司在10月份首次实现盈亏平衡,当月收入突破1000万元。内部员工透露,暴风
- 分词是很多做SEO的人常听到的概念,为了让大家在这个方面不会有疑惑,现在要来讲一下分词以及索引库。这也是更深入的了解搜索引擎的开始。搜索引擎
- DoS (Denial of Service)攻击其中文含义是拒绝服务攻击,这种攻击行动使网站服务器充斥大量要求回复的 信息,消耗网络带宽或
- 大家好!第一次来Chinaz,希望我们在此一起学习一起努力!“地方站”可能对于现在的大众化站长们来说
- 有几个朋友反应,在使用系统的图集功能上传图片时会提示FILEID:X错误,缩略图显示为红色
- Manuel Caballero在BLUEHAT大会探讨了《A Resident in My Domain》议题,字面上的意思就是驻留在自己
- 有没有可能在5R2版OS/400操作系统中设置一个具有SSL功能的FTP服务器?答案是肯定的。iSeries FTP服务器既支持TLS(传输
- 解决了这两个问题,剩下的工作就简单了。从以上内容也可以说明一点,从内网不能发布IIS的FTP服务器,因为IIS既没有选项可以选择PASV端口
- 小编最近在追一部由安以轩、吴建豪主演的偶像剧--《下一站,幸福》,这部剧目前的收视率还不错,但离大家的期望值貌似还差那么一点点。看到很多粉丝
- 在"授权模式"对话框,选择客户端的授权模式,可以是"每客户"或"每服务器"方式。
- 牛年岁末,虎年岁初,一轮前所未有的激烈贺岁片大战旋即展开。近日刚刚上映的灾难巨片《2012》拉开了贺岁档大幕,而在未来三个月内贺岁大片将超过
- 亲们好,不知道大家有没有发现今年冬天好像特别冷呢,北方大雪南方大雨,各地都在降温,建议亲们还是宅在家里比较惬意!所以今天YUMMY就来教亲们
- 对于大多数Web站点来说,有匿名访问或基本认证就足够了,或者干脆只保留匿名访问形式。在有些地方,最简单的往往是最有效的!8、为IIS5中的文
- 微软周五宣布,使用Microsoft IIS Web Server与Microsoft SQLServer的网站遭到大量SQL注入式攻击与其
- 俗称“脚本小鬼”的家伙是属于那种很糟糕的黑客,因为基本上他们中的许多和大多数人都是如此的没有技巧。可以这样说,如果你安装了所有正确的补丁,拥
- 如果没有任何经验,学习如何扩展一个网站是相当困难的。假设现在你有很多像highscalability.com那样网站,你需要一些好的解决方案
- 北京时间11月3日晚间消息,据国外媒体今日报道,谷歌旗下YouTube的内容合作伙伴总监乔丹·霍夫纳(Jordan H