Qmail服务器下防止滥用mail relay完全解决方案(2)
来源:asp之家 发布时间:2010-03-11 18:38:00
3.防止mail relay被滥用的方法二
方法一对于局域网应用场合来说是足够了,但是如果对于象263或163这样的电子邮件系统来说,这种解决方法就不大适合,因为这些邮件系统的用户遍布全世界各个地方,因此用户可能从任何一个IP连接过来发送信件,因此就需要寻找其他的方法来限制邮件系统的relay功能被滥用。
若在qmail系统中使用vpopmail,则可以利用vpopmail专门针对漫游用户的配置选项来实现防止邮件系统的relay功能被滥用。
若希望支持漫游用户通过邮件服务器的转发邮件(mail relay),则需要在安装vpopmail时使用如下配置选项:
[root@aidmail vpopmail-4.9.4]# ./configure --enable-roaming-users=y
其支持漫游用户的原理是:当某个漫游用户通过pop3取信以后,则在某段时间内允许该地址通过邮件服务器的转发信件。vpopmail安装完成以后,通过cron来定时运行程序如下:
40 * * * * /home/vpopmail/bin/clearopensmtp 2>%26amp;1 > /dev/null
也就是每40分钟清除允许relay的IP地址的列表,则当某个用户首先通过pop3取信件(因为通过pop3收取信件是需要认证的,则可以保证这是合法的用户)结束以后,则用户在后来的40分钟以内可以通过该邮件系统转发邮件,之后就不允许通过该系统转发邮件。
4.防止mail relay被滥用的方法三
对于有漫游用户的邮件系统来说,防止其relay功能被滥用的另外一个方法就是在发送邮件时要求用户认证,就象用户收信是需要认证一样。这里假设系统已经安装成功qmail-1.03和vpopmail,并且原有系统运行正常。
4.1.下载程序:
qmail-smtp补丁:http://members.elysium.pl/brush/qmail-smtpd-auth/
密码检验补丁:http://members.elysium.pl/brush/cmd5checkpw/
从这两个地址下载得到qmail-smtpd-auth-0.26.tar.gz及cmd5checkpw-0.22.tar.gz。
4.2.编译安装qmail-smtpd
将qmail-smtpd-auth-0.26.tar.gz解压缩:
[root@www src]# tar xvfz qmail-smtpd-auth-0.26.tar.gz
[root@www src]# cd qmail-smtpd-auth-0.26
[root@www qmail-smtpd-auth-0.26]# ls
CHANGES Makefile README TODO inetd.conf qmail-smtpd.c
qmail-smtpd.patch
将安装成功的qmail目录下的qmail-smtp.c拷贝到qmail-smtpd-auth-0.26目录下:
[root@www qmail-smtpd-auth-0.26]# cp ../qmail-1.03/qmail-smtpd.c ./
然后对该文件进行补丁处理:
[root@www qmail-smtpd-auth-0.26]# patch -p1 < qmail-smtpd.patch
将qmail-smtpd.c 拷贝到qmail 的源文件目录里:
[root@www qmail-smtpd-auth-0.26]# cp qmail-smtpd.c ../qmail-1.03
最好先将原文件备份。单独编译 qmail-smtpd :
[root@aidmail qmail-smtpd]# make qmail-smtpd
./load qmail-smtpd rcpthosts.o commands.o timeoutread.o
timeoutwrite.o ip.o ipme.o ipalloc.o control.o constmap.o
received.o date822fmt.o now.o qmail.o cdb.a fd.a wait.a
datetime.a getln.a open.a sig.a case.a env.a stralloc.a
alloc.a substdio.a error.a str.a fs.a auto_qmail.o `cat
socket.lib`
将新生成的qmail-smtpd 拷贝到/var/qmail/bin 目录下。在之前应该对原来的执行文件进行备份。
4.3.编译安装kpw-0.22.tar.gz
解压缩,编译安装:
[root@www src]# tar xvfz cmd5checkpw-0.22.tar.gz
[root@www src]# cd cmd5checkpw-0.22
[root@www cmd5checkpw-0.22]# make ;make instll
4.4.设置relay规则。
relay的意思是:服务器接受客户端的smtp请求,将客户端发往第三方的邮件进行转发。 qmail下控制relay很简单,只要客户端接入的smtp进程的环境变量里包含(RELAYCLIENT="")就允许relay ,否则拒收。实现方法是在/etc/tcp.smtp 里对需要relay的IP逐条设置(RELAYCLIENT=""),然后用tcprules 生成规则表。因为本文要实现SMTP认证后的relay ,不需要对任何IP进行预先设定,所以默认规则设置成"只对本服务器relay"。/etc/tcp.smtp内容应该为:
127.0.0.1:allow,RELAYCLIENT=""
:allow
重新生成新的tcp.smtp.cdb文件:
/usr/local/bin/tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.tmp < /etc/tcp.smtp
4.5.设置/home/vpopmail/bin/vchkpw 的SetUID和SetGID。
这点很重要,否则认证无法通过。这是因为smtpd 的进程是由qmaild 执行的。而密码验证程序原来只使用于pop3进程,分别由root或vpopmail执行,为的是读shadow或数据库中的密码,并取出用户的邮件目录。这些操作qmaild 都没有权限去做。如果smtp进程要调用密码验证程序,则必须要使用 setuid 和setgid 。其实这点大可放心,这两个密码验证程序都是带源代码的,本身非常安全,只需要放在安全的目录里就可以了(设置其他用户除qmaild 可执行外都没有权限执行;其实如果没有其他SHELL帐户,也就不用这么麻烦了)。
chmod 4755 /home/vpopmail/bin/vchkpw
4.6.修改smtpd启动命令行
#!/bin/sh
QMAILDUID=`id -u qmaild`
NOFILESGID=`id -g qmaild`
exec /usr/local/bin/softlimit -m 2000000
/usr/local/bin/tcpserver -v -p -x /etc/tcp.smtp.cdb
-u $QMAILDUID -g $NOFILESGID 0 smtp /var/qmail/bin/qmail-smtpd 2>%26amp;1
改为:
#!/bin/sh
QMAILDUID=qmaild
NOFILESGID=nofiles
exec /usr/local/bin/softlimit -m 2000000
/usr/local/bin/tcpserver -H -R -l 0 -t 1 -v -p -x /etc/tcp.smtp.cdb
-u $QMAILDUID -g $NOFILESGID 0 smtp /var/qmail/bin/qmail-smtpd
/home/vpopmail/bin/vchkpw /bin/true /bin/cmd5checkpw /bin/true 2>%26amp;1
4.7.其他一些设置:
设置vpopmail的用户目录直到/目录都被任何用户可以读取;
4.8.重新启动qmail
/etc/rc.d/init.d/qmailstart stop
/etc/rc.d/init.d/qmailstart start
4.9.客户端测试
在客户端上使用 OutlookExpress 和 Netscape 4.6 以上版本的邮件软件进行检验
文章来源:网站制 * 好者(www.devdao.com) 出处:http://www.devdao.com/Article/343313.htm
猜你喜欢
- 前面装过一次PHP5.2,但PHP5.3与PHP5.2相比,变化很多。由于PHP5.3的全新特效及改进,原有的isapi方式解析PHP脚本已
- 如果你是一个拥有服务器的站长,如果你是在公司负责服务器维护的技术人员,如果你对服务器的安全很有兴趣,您可以看看作者总结的一些windows
- 在网络越来越普及、网民的力量越来越强大的今天,信息页面已经进入亿万级的级别,在这样的情况下,网民便更为迫切地希望能以一种更为便捷的方式来获取
- google adsense的搜索广告,有二种形式,一是传统的搜索框,二是不久前推出的“搜索联盟”。这二种有何区别呢?下面做一下介绍。一、搜
- 11月2日是站长第一次利用西联取款的好日子,但是,还是有部份Google adsense用户在农行取款时,发生姓名出错的问题,如:没有名,只
- 继续关于Godaddy主机问题系列,嘿嘿,今天要介绍的是如何使用CoffeeCup® HTML Editor 2007上传网
- 06下半年以来,对中国广大的站长来说,是具有特别意义的一年。中国的网络社区突然进入产业的冷静期,但是在这个艰苦阶段中,很多留下来的站长仍然坚
- 应部分GoDaddy用户要求,整理了解决GoDaddyLinux空间Java和Jsp常见的一些问题及解答,希望可以给GoDaddy用户带来更
- 核心提示:网站的存在就已经不是一个个人行为了,因为你面向的是一个广泛的群体,而非只是针对性的自己一个人,因此,网站的运营过程中,就必经有人加
- 本人是一个菜鸟级的算站长吧,本来做网站是要学习编程技术的,但是后来觉得没有实际运用有点不好玩,加上同事业余的时候也做了一个很好的网站,天天在
- 最近找了个工作,给公司做网站优化,所以第一次接触企业网站,谈谈对企业网站的理解。这个公司主要是做4008号码销售的。公司要优化的目标就是:客
- 前段时间,看麦田博客有一篇文章在探讨mayi首页的功能问题,大意为:假设首页为一扇门,这扇门是敞开的好还是半掩着的好,敞开的门能让人一眼的看
- 内容优是是任何一项SEO活动的关键所在。毕竟,你会不断地增加并升级网站内容和博客,因此,也就是有新的机会调整内容,并改善搜索引擎的整体可视性
- IXWebHosting怎么样?自从IXWebHosting中文网站上线以后就有人不断的发邮件问我这个问题,但是要简单的回复这个问题却不容易
- 好久没有兴奋过了,今天有着说不出的高兴!做站已经两年有余了,有菜鸟慢慢的长大,虽然现在不算什么老鸟但也混出了点经验。现在给大家分享一点我自己
- 10月20日消息,在今日举行的“2009中国数码产品网上零售峰会”上,支付宝总裁邵晓锋透露,日前支付宝已经拿到国家外汇管理局的批文,中国境内
- 落叶这里提到的URL规则指的是网站上每一个页面的网址格式,URL规则实际是PHPCMS中的概念,但实际每款CMS都会有意无意的提供了自定义U
- Christmas,是对耶稣基督诞辰的祝福和庆祝。耶稣,又称为基督,是"基督教"的创始人和中心人物。每年12月25日的圣
- 谷歌声称其 AdWords的实时定位和详细报告为客户抵御经济衰退找到了一个有效的方式。 该公司提供了六个详细战术使您的AdWords投资最大
- 在传统的金秋10月,也都是各大厂商推陈出新的时刻,作为民族软件旗帜的金山软件,旗下应用软件及游戏业务都将有诸多产品问世,其中《飞天风云》、《