ORF反垃圾邮件系统

邮件服务器-邮件系统-邮件技术论坛(BBS)

 找回密码
 会员注册
查看: 21621|回复: 12
打印 上一主题 下一主题

[原创] kingda安装WINWEBMAIL的艰难经历(权限的设置经验,适合虚拟主机)07年 10月17日更新

[复制链接]
跳转到指定楼层
顶楼
发表于 2007-9-30 17:18:54 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
前2天发的帖子是关于如何从低版本的标准版升级到高版本的企业版,看了RAYER的回复,因为服务器还没更换,所以只好先在新服务器上安装 3 7 3 1,按照网上的通例教程设置了一下,因为服务器上装的环境很多,所以权限控制的比较严,搞得装WINWEBMAIL异常艰难,估计所有人遇到的问题都被我碰遍了真够衰的,哈哈,不过总算搞定。


1 500错误
开始装的时候,没怎么设置权限,直接装了WINWEBMAIL,服务器所有的硬盘权限按照设置好后,突然发现ASP不能用,出现500错误,后来把IE浏览器里面的“显示友好的HTTP错误信息”关掉,并且把IIS的调试信息打开,发现是“请求的资源在使用中”,然后在网上查了资料,使用
regsvr32 jscript.dll (命令功能:修复Java动态链接库)
regsvr32 vbscript.dll (命令功能:修复VB动态链接库)
解决了问题。


2 Server.CreateObject 失败

服务器上的硬盘权限是 所有的硬盘只能 ADMIN完全控制。 IUSR的用户独立建立一个IUSR组。IUSR_WEBEMAIL的则是IUSR组里的一个, 然后通过IIS设置好后,指向安装好的WEBEASY MAIL的WEB目录,结果就出现了问题,WEB方式访问出现 “Server.CreateObject 失败 ”,后来又参考资料,发现是WEBEMAIL里面的SYSYTEM32目录里EASYMAIL.DLL不能够被IUSR_webmail读取到,因为SYSYTEM32已经禁止IUSR用户读取了。后来只好把IIS服务停止,WEBMAIL服务停止,把那个EASYMAIL.DLL 复制到WEBEASYMAIL安装目录下,重新注册了一下,regsvr32 D:\WinWebMail\easymail.dll 。

3 WEB无法登录
然后重新启动就正常了。接着可以看到默认的WEB登录界面了,结果无法登录,晕倒。然后按照网上的标准教程设置了硬盘权限,

D:\ 根目录 Users 读取及运行
D:\WinWebMail (及其所有子目录) Users 完全控制

果然OK,WEB可以登录了。


4 硬盘权限安全设置
可惜,如果按照这种配置设置的话,对于所有的IUSR用户来说,整个D盘是暴露在网站所有的IUSR用户下的,用ASP 探针是可以看到D盘可读写的。最后,还是自己摸索试了一下,比较好的方法,希望可以和大家一起讨论.
D 盘如果装的是 \WINWBMAIL   ,我服务器配置如下,我将WEB页面脱离了WINWEBMAIL安装目录,目的是为了 可以设置多个WEB界面,中文和英文独立出来.  

D:\     权限: ADMIN完全控制 /   IUSR_WEBMAIL  仅 读取
D:\WINWEBMAIL  安装目录   权限: IUSER_WEBMAIL  "修改" 打勾  /  USER组为读取和运行.
D:\WEBMAIL    WEB目录  权限: IUSR_WEBMAIL 读取及运行


通过这样设置后,其它ASP网站通过ASP 探针是不可对D盘进行读写操作的,除非有人破解了 IUSER_WEBMAIL的登陆密码或者是WINWEBMAIL的网站,那么他就可以对D盘进行小范围的操作,所以建议建议装WEBMAIL最好是独立的硬盘分区


5 超时,请重试的问题
在安装的过程中,出现过几回这样的问题,不过基本上都解决了,前面没有提这个问题,是因为看看系统是不是正常,现在10天下来,机器一直很稳定,所以再补充一下。其实,主要是安装的一些心得。
一共出现过3回,2回是安装的时候出现的,MS SQL的问题和独立建立回收池设立好了基本上就排除了。
解决参看:http://www.winwebmail.com/faq.html#timeout

我说另一回是因为防火墙安全设置问题造成的,即阻挡了本地UDP通讯造成的超时。

服务器环境是 WIN2003 II6,MSSQL,MYSQL,JSP,PHP,ASP, .NET

防火墙用的系统自带防火墙,如果你的服务器没有虚拟主机或者程序没有漏统,一般用这个就非常好了,因为资源占用比较小。
当然微软自带防火墙是只是隔离了第一层的防护,即外部IP对服务器的连接

(参看附件1)。
我服务器上应用比较多,有的端口是给某些应用用的,一般普通用户只需要开放 110,25,80就可以了
(参看附件2)。


第二层的防护是,如果你的服务器是虚拟主机或者是程序有漏洞的情况下,有人可以借助网站的漏洞上传木马,探测你其它的服务和应用,即通过 127.0.0.1链接各个数据库或者应用。
这点微软自带则防止不了。当然,你可以通过第三方的防火墙或者规则策略来防止端口连接问题,但是对于非专业的人来说定义策略比较麻烦,用第三方防火墙资源不说,还要去掌握。

为此,我服务器上装的是MCAFEE virus scan 的 8.0I 企业版,不是做广告,对网页木马,病毒判断相对还是非常出色的。
(参看附件3)
资源占用比较小,我喜欢用它的原因是,它其实是一个非常不错的可定义防火墙。即使你是个菜鸟,也只要几步就搞定,虽然我用MCAFEE不怎么会用。原来网上写的如何防范135端口连接,去GOOGLE一查,铺天盖地的只有2个方法,一是定义规则策略,二是改注册表。摸索了半天才学会,但是我这个人比较懒,服务器装多了,觉得写策略也繁琐,虽然可以导入导出,话题扯远了。。。

除了自己定义的一些数据库连接端口外,WEB,110,25,FTP端口外,基本上都选择了阻止

(参看附件4)

因为不了解哪些端口是WINWEBMAIL的随机通讯端口,所以只是一个一个排除,我尝试了很多回,并且也将WINWEBMAIL的4个需要通讯的程序写在排除里了 ,意思就是说关闭所有3307到5607的TCP和UDP通讯,排除这些程序在这个规则内。

后来就这样一段一段的排除,添加,后面确定了不可以阻挡端口5677到8008的通讯

网站才正常了,并不是说一定要开放这段端口,而是因为自己觉得太累了,不想再排除了,所以就没进一步去探索了。。。懒呀 下次装服务器如果有耐心,还是可以再继续的。。。哈哈


前面排版,不太会,不知道怎么插图,后面才会了,不好意思。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?会员注册

x

评分

参与人数 1技术积分 +2 收起 理由
rayer + 2 技术不错

查看全部评分

沙发
发表于 2007-10-5 15:17:53 | 只看该作者
顶!支持经验贴!
藤椅
发表于 2007-10-6 09:40:16 | 只看该作者
不错~不错~!对新手来说,少走了很多弯路
很有用.
板凳
发表于 2007-10-6 11:16:43 | 只看该作者
支持一下!
报纸
发表于 2007-10-9 09:12:56 | 只看该作者
很好,谢谢分享~!
地板
发表于 2007-10-16 14:09:07 | 只看该作者
谢谢楼主的分享,收藏
7
发表于 2007-10-18 12:21:42 | 只看该作者
定一下!!
8
发表于 2007-10-27 10:17:48 | 只看该作者
不错,学习学习。谢谢楼主!
9
发表于 2007-11-13 08:57:09 | 只看该作者
谢谢
10
发表于 2007-11-13 12:41:18 | 只看该作者
好帖哦,强烈支持!楼主解决了我很多问题哦,非常感谢~~~
您需要登录后才可以回帖 登录 | 会员注册

本版积分规则

小黑屋|手机版|Archiver|邮件技术资讯网

GMT+8, 2024-12-22 20:41

Powered by Discuz! X3.2

© 2001-2016 Comsenz Inc.

本论坛为非盈利中立机构,所有言论属发表者个人意见,不代表本论坛立场。内容所涉及版权和法律相关事宜请参考各自所有者的条款。
如认定侵犯了您权利,请联系我们。本论坛原创内容请联系后再行转载并务必保留我站信息。此声明修改不另行通知,保留最终解释权。
*本论坛会员专属QQ群:邮件技术资讯网会员QQ群
*本论坛会员备用QQ群:邮件技术资讯网备用群

快速回复 返回顶部 返回列表