Qmail服务器下防止滥用mail relay完全解决方案
来源:asp之家 发布时间:2010-03-11 18:38:00
软件环境:redhat6.2 Qmail1.3
硬件环境:HP Netserver E60 128M内存 单网卡
1.什么是mail relay及为何要防止被滥用?
设置好一个Qmail服务器以后,该服务器将具有一个或若干个域名(这些域名应该出现在local或viritualdomains文件内),这时Qmail-smtpd将监听25号端口,等待远程的发送邮件的请求。网络上其他的mail服务器或者请求发送邮件的MUA(Mail User Agent,如outlook express、foxmail等等)会连接Qmail服务器的25号端口,请求发送邮件,SMTP会话过程一般是从远程标识自己的身份开始,过程如下:
HELO remote.system.domainname
250 Qmailserver.domain
MAIL FROM:user@somewherer.net
250 OK
RCPT TO: user1@elsewhere.net
邮件的接收者user1@elsewhere.net中的域名并不一定是本地域名,这时候本地系统可能有两种回答。第一种情况下,本地Qmail服务器是允许relay的,它接收并同意传递一个目的地址不是本地的邮件;而第二种情况则不接收非本地邮件。
Qmail有一个名为rcpthosts(该文件名源于RCPT TO命令)的配置文件,其决定了是否接受一个邮件。只有当一个RCPT TO命令中的接收者地址的域名存在于rcpthosts文件中时,才接受该邮件,否则就拒绝该邮件。若该文件不存在,则所有的邮件将被接受。当一个邮件服务器不管邮件接收者和邮件接收者是谁,而是对所有邮件进行转发(relay),则该邮件服务器就被称为开放转发(open relay)的。当Qmail服务器没有rcpthosts时,其是开放转发的。
如果系统管理员将自己的邮件服务器设置为open relay,将会导致一些垃圾邮件发送者将你的邮件服务器作为转发自圾邮件的中继站,这将使垃圾邮件的接收者将矛头对准你,可能会导致报复性的邮件 * ;垃圾邮件还能消耗你大量的资源,占用你的带宽。更为糟糕的事情可能是你的名字可能会上了黑名单,成为其他邮件接收者共同抵制的目标,你的邮件将被这些接收者所拒绝。
2.防止mail relay被滥用的方法一
这种方法仅仅适用于用户IP地址固定的情况,例如某单位拥有自己的一个C类地址,并且拥有自己的局域网,该邮件服务器仅仅是提供给局域网用户收发电子邮件。
设置自己服务器为非open relay的最简单的办法就是将你的邮件服务器的所有域名(若DNS的MX记录指向该机器,也应该包括该域名。例如你的机器有三个域名mail.linxuaid.com.cn、mail1.linuxaid.com.cn,而且linuxaid.com.cn的MX指向mail.linuxaid.com.cn,则qmail的rcphosts的应该包括mail.linuxaid.com.cn、mail1.linuxaid.com.cn和linuxaid.com.cn)。这将只允许客户连接到服务器以后才能发送电子邮件,而不允许用户通过MUA来通过服务器转发邮件,而要支持客户使用MUA来发送邮件,必须允许客户使用服务器转发邮件。qmail-smtpd支持一种有选择性的忽略rcpthosts文件的方法:若qmail-smtpd的环境变量RELAYCLIENT被设置,则rcpthost文件将被忽略,relay将被允许。但是如何识别一个邮件发送者是否是自己的客户呢?就是判断发送邮件者的源IP地址,若该IP地址属于本地网络,则认为该发送者为自己的客户。
这里就要使用ucspi-tcp软件包的tcpserver程序,该程序的功能类似于inetd-监听进入的连接请求,为要启动的服务设置各种环境变量,然后启动指定的服务。tcpserver的配置文件是/etc/tcp.smtp,该文件定义了是否对某个网络设置RELAYCLIENT环境变量。例如,本地网络是地址为192.168.10.0/24的C类地址,则tcp.smtp的内容应该设置如下:
127.0.0.1:allow,RELAYCLIENT=""
192.168.10.:allow,RELAYCLIENT=""
:allow
这几个规则的含义是指若连接来自127.0.0.1和192.168.10则允许,并且为其设置环境变量RELAYCLIENT,否则允许其他连接,但是不设置RELAYCLIENT环境变量。这样当从其他地方到本地的25号连接将会被允许,但是由于没有被设置环境变量,所以其连接将会被qmail-smptd所拒绝。
但是tcopserver并不直接使用/etc/tcp.smtp文件,而是需要先将该文件转化为cbd文件:
[ideal@aidmail /etc]$ # tcprules tcp.smtp.cdb tcp.smtp.temp < tcp.smtp
然后在/service/qmail-smtpd目录下的run文件中应该具有如下的内容:
/usr/local/bin/tcpserver -v -p -x /etc/tcp.smtp.cdb
可以看到,tcpserver利用了/etc/smtp.cbd文件。若本地有多个网络,则需要这些网络都出现在/etc/tcp.smtp文件中。
这样就实现了允许本地客户relay邮件,而防止relay被滥用。
猜你喜欢
- 日前,因QQ互联帐号接入政策限制在新浪微博上出现了广泛的争议,多个知名社区负责人表示无法申请QQ互联接入服务,随后有消息称Discuz将推独
- 通过版本:Discuz! X1.5解决方法:UCENTER的数据备份页面,点击 Discuz! Board---》》进入 编辑应用 页面 -
- 泛搜索时代,我在考虑了很久后才决定用“泛搜索”这样一个词来表达我的想法,这个泛有广泛的意思。泛搜索即搜索已经无处不在,并不仅仅局限于传统的通
- 相信大多数站长都曾经遭遇过iframe木马的侵害,有朋友的网站被注入了N回iframe,心情可想而知。而且现在ARP攻击,注入iframe也
- 大量复制内容网站有的时候会影响关键字的排名。比如说原本是你写的文章,本来应该排名很好,但是其他人抄袭或转载你的文章,而且搜索引擎不幸的判断那
- 在页面中添加一个随机文章列表的好处是降低站内页面相似度,避免对搜索引擎将页面当做复制页面来处理。我的QQ代码站,这个站就是这种情况。那么要实
- 3月3日消息,今年的两会将于今天下午拉开序幕,经向出席两会的电信、IT、家电业两会人大代表、政协委员咨询,除个别人员外,绝大多数上述行业人大
- 404错误页面是当有人试图访问你的网站尚不存在的某个网页时显示的错误页面。我们的托管帐户允许你使用主页当作404错误页面page,或者你可以
- 10月16日消息 最近一份市场调查报告表明,2009年第三季度全球互联网搜索广告市场的表现基本令人满意,不过分析师仍然表示,对即将来到的第四
- 引言:ResellerClub是域名注册行业的领头军,创建于1998年,是通过ICANN和CNNIC认证的域名注册商。ResellerClu
- 百度k站也是有一定规律可寻的 ,我总结了几点,也许大家用的着。总的原则是在百度没关键词没带去多少ip的站基本不k 。要k的起码你的站从bai
- 大家好,我是秦剑,先介绍下我的新站QQ2009 (www.qq2009live.cn),一个关于QQ2009的小站,大家可以用whois查看
- 现在是个人主页风行的年代,只要上网,必定穿梭在网上人家的大街小巷之中。不可否认,这些网站当中优秀的比比皆是,但不值一提的网站也是屡见不鲜。显
- 手工为局域网工作站分配IP地址,不但容易造成IP地址冲突现象发生,而且也不利于高效管理网络,特别是在一些规模较大的局域网环境中,这些弊病尤其
- 其实SQL注入漏洞并不可怕,知道原理 + 耐心仔细,就可以彻底防范!下面给出4个函数,足够你抵挡一切SQL注入漏洞!读懂代码,你就能融会贯通
- 不知道为啥,我的IIS访问asp就这样了。------------------------------------Server Applic
- 无论是在校生,上班族,还是网吧用户,一定都遇到过令人怒不可遏的ARP攻击,ARP攻击会恶意阻断你的计算机与别的计算机之间的网络通信,导致网络
- 从去年到现在,百度已经进行了大规模的算法调整。而且现在已经有一个不成文的规律,那就是每个月低的动作特别大,不例外,从上个月低开始,百度又开始
- GoDaddy主机用户在购买、建立、管理托管帐户过程中,创建了多个帐户来登陆与其托管网站有关的不同界面。每个帐户都由一个用户名及密码来保护。
- 腾讯的Web版QQ推出正式版并广获好评之时,网页版的新浪UC也顺势推出,凭借着新浪强大的门户力量,WebUC也加入到网络化软件的大阵营之中。