首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

反垃圾邮件

技术综述 | 客户端 | 服务器端 |
首页 > 反垃圾邮件 > 服务器端反垃圾邮件技术 > Qmail邮件系统下防止滥用mail relay完全解决方案 > 正文

Qmail邮件系统下防止滥用mail relay完全解决方案

出处:本站收集于网络 作者:请作者联系 时间:2004-10-26 14:01:00


摘要:本文讨论了在qmail环境下如何防止mail relay被垃圾邮件发送者滥用的解决方法。

软件环境:redhat6.2 qmail1.3

硬件环境:HP Netserver E60 128M内存 单网卡

 

一、什么是mail relay及为何要防止被滥用?

设置好一个qmail服务器以后,该服务器将具有一个或若干个域名(这些域名应该出现在local或
viritualdomains文件内),这时qmail-smtpd将监听25号端口,等待远程的发送邮件的请求。网
络上其他的mail服务器或者请求发送邮件的MUA(Mail User Agent,如outlook express、foxmail
等等)会连接qmail服务器的25号端口,请求发送邮件,SMTP会话过程一般是从远程标识自己的身
份开始,过程如下:
HELO remote.system.domainname
250 qmailserver.domain
MAIL FROM:user@somewherer.net
250 OK
RCPT TO: user1@elsewhere.net
邮件的接收者user1@elsewhere.net中的域名并不一定是本地域名,这时候本地系统可能有两种回
答,接受它:
250 OK
或者拒绝接受它:
553 sorry,.that domain is not in my domain list of allowed recphosts
第一种情况下,本地qmail服务器是允许relay的,它接收并同意传递一个目的地址不是本地的邮件;
而第二种情况则不接收非本地邮件。
qmail有一个名为rcpthosts(该文件名源于RCPT TO命令)的配置文件,其决定了是否接受一个邮件。
只有当一个RCPT TO命令中的接收者地址的域名存在于rcpthosts文件中时,才接受该邮件,否则就拒
绝该邮件。若该文件不存在,则所有的邮件将被接受。当一个邮件服务器不管邮件接收者和邮件接收
者是谁,而是对所有邮件进行转发(relay),则该邮件服务器就被称为开放转发(open relay)的。当
qmail服务器没有rcpthosts时,其是开放转发的。

如果系统管理员将自己的邮件服务器设置为open relay,将会导致一些垃圾邮件发送者将你的邮件服
务器作为转发自圾邮件的中继站,这将使垃圾邮件的接收者将矛头对准你,可能会导致报复性的邮件
炸弹;垃圾邮件还能消耗你大量的资源,占用你的带宽。更为糟糕的事情可能是你的名字可能会上了
黑名单,成为其他邮件接收者共同抵制的目标,你的邮件将被这些接收者所拒绝。

二、防止mail relay被滥用的方法一

    这种方法仅仅适用于用户IP地址固定的情况,例如某单位拥有自己的一个C类地址,并且拥有自己
    的局域网,该邮件服务器仅仅是提供给局域网用户收发电子邮件。

设置自己服务器为非open relay的最简单的办法就是将你的邮件服务器的所有域名(若DNS的MX记录指向
该机器,也应该包括该域名。例如你的机器有三个域名mail.linxuaid.com.cn、mail1.linuxaid.com.cn,
而且linuxaid.com.cn的MX指向mail.linuxaid.com.cn,则qmail的rcphosts的应该包括mail.linuxaid.com.cn、
mail1.linuxaid.com.cn和linuxaid.com.cn)。这将只允许客户连接到服务器以后才能发送电子邮件,而
不允许用户通过MUA来通过服务器转发邮件,而要支持客户使用MUA来发送邮件,必须允许客户使用服务器
转发邮件。qmail-smtpd支持一种有选择性的忽略rcpthosts文件的方法:若qmail-smtpd的环境变量RELAYCLIENT
被设置,则rcpthost文件将被忽略,relay将被允许。但是如何识别一个邮件发送者是否是自己的客户呢?
就是判断发送邮件者的源IP地址,若该IP地址属于本地网络,则认为该发送者为自己的客户。

这里就要使用ucspi-tcp软件包的tcpserver程序,该程序的功能类似于inetd—监听进入的连接请求,
为要启动的服务设置各种环境变量,然后启动指定的服务。tcpserver的配置文件是/etc/tcp.smtp,该
文件定义了是否对某个网络设置RELAYCLIENT环境变量。例如,本地网络是地址为192.168.10.0/24的C类
地址,则tcp.smtp的内容应该设置如下:
127.0.0.1:allow,RELAYCLIENT=""
192.168.10.:allow,RELAYCLIENT=""
:allow
这几个规则的含义是指若连接来自127.0.0.1和192.168.10则允许,并且为其设置环境变量RELAYCLIENT,
否则允许其他连接,但是不设置RELAYCLIENT环境变量。这样当从其他地方到本地的25号连接将会被允许,
但是由于没有被设置环境变量,所以其连接将会被qmail-smptd所拒绝。
但是tcopserver并不直接使用/etc/tcp.smtp文件,而是需要先将该文件转化为cbd文件:
[ideal@aidmail /etc]$ # tcprules tcp.smtp.cdb tcp.smtp.temp < tcp.smtp
然后在/service/qmail-smtpd目录下的run文件中应该具有如下的内容:
/usr/local/bin/tcpserver -v -p -x /etc/tcp.smtp.cdb
可以看到,tcpserver利用了/etc/smtp.cbd文件。若本地有多个网络,则需要这些网络都出现在/etc/tcp.smtp
文件中。
这样就实现了允许本地客户relay邮件,而防止relay被滥用。

二、防止mail relay被滥用的方法二

方法一对于局域网应用场合来说是足够了,但是如果对于象263或163这样的电子邮件系统来说,这种解决方法
就不大适合,因为这些邮件系统的用户遍布全世界各个地方,因此用户可能从任何一个IP连接过来发送信件,
因此就需要寻找其他的方法来限制邮件系统的relay功能被滥用。

若在qmail系统中使用vpopmail,则可以利用vpopmail专门针对漫游用户的配置选项来实现防止邮件系统的relay
功能被滥用。

若希望支持漫游用户通过邮件服务器的转发邮件(mail relay),则需要在安装vpopmail时使用如下配置选项:

[root@aidmail vpopmail-4.9.4]# ./configure --enable-roaming-users=y

       其支持漫游用户的原理是:当某个漫游用户通过pop3取信以后,则在某段时间内允许该地址通过邮件服务
       器的转发信件。vpopmail安装完成以后,通过cron来定时运行程序如下: 

           40 * * * * /home/vpopmail/bin/clearopensmtp 2>&1 > /dev/null

也就是每40分钟清除允许relay的IP地址的列表,则当某个用户首先通过pop3取信件(因为通过pop3收取信件是需要
认证的,则可以保证这是合法的用户)结束以后,则用户在后来的40分钟以内可以通过该邮件系统转发邮件,之后就
不允许通过该系统转发邮件。

二、防止mail relay被滥用的方法三

       对于有漫游用户的邮件系统来说,防止其relay功能被滥用的另外一个方法就是在发送邮件时要求用户认证,
       就象用户收信是需要认证一样。这里假设系统已经安装成功qmail-1.03和vpopmail,并且原有系统运行正常。

1、 下载程序:

qmail-smtp补丁:http://members.elysium.pl/brush/qmail-smtpd-auth/

密码检验补丁:http://members.elysium.pl/brush/cmd5checkpw/

从这两个地址下载得到qmail-smtpd-auth-0.26.tar.gz及cmd5checkpw-0.22.tar.gz。

2、编译安装qmail-smtpd

将qmail-smtpd-auth-0.26.tar.gz解压缩:

[root@www src]# tar xvfz qmail-smtpd-auth-0.26.tar.gz

[root@www src]# cd qmail-smtpd-auth-0.26

[root@www qmail-smtpd-auth-0.26]# ls

CHANGES  Makefile  README  TODO  inetd.conf  qmail-smtpd.c
    qmail-smtpd.patch

  将安装成功的qmail目录下的qmail-smtp.c拷贝到qmail-smtpd-auth-0.26目录下:

   [root@www qmail-smtpd-auth-0.26]# cp ../qmail-1.03/qmail-smtpd.c ./

  然后对该文件进行补丁处理:

   [root@www qmail-smtpd-auth-0.26]# patch -p1 < qmail-smtpd.patch

将qmail-smtpd.c 拷贝到qmail 的源文件目录里:

       [root@www qmail-smtpd-auth-0.26]# cp qmail-smtpd.c ../qmail-1.03

最好先将原文件备份。单独编译 qmail-smtpd :

           [root@aidmail qmail-smtpd]# make qmail-smtpd

 

          ./load qmail-smtpd rcpthosts.o commands.o timeoutread.o \

          timeoutwrite.o ip.o ipme.o ipalloc.o control.o constmap.o \

          received.o date822fmt.o now.o qmail.o cdb.a fd.a wait.a \

          datetime.a getln.a open.a sig.a case.a env.a stralloc.a \

          alloc.a substdio.a error.a str.a fs.a auto_qmail.o  `cat \

          socket.lib`

     将新生成的qmail-smtpd 拷贝到/var/qmail/bin 目录下。在之前应该对原来的执行文件进行备份。

3、 编译安装kpw-0.22.tar.gz

解压缩,编译安装:

[root@www src]# tar xvfz cmd5checkpw-0.22.tar.gz

   [root@www src]# cd cmd5checkpw-0.22

   [root@www cmd5checkpw-0.22]# make ;make instll

4、设置relay规则。

       relay的意思是:服务器接受客户端的smtp请求,将客户端发往第三方的邮件进行转发。 qmail下控制relay
很简单,只要客户端接入的smtp进程的环境变量里包含(RELAYCLIENT="")就允许relay ,否则拒收。实现方法是在
/etc/tcp.smtp 里对需要relay的IP逐条设置(RELAYCLIENT=""),然后用tcprules 生成规则表。因为本文要实现SMTP
认证后的relay ,不需要对任何IP进行预先设定,所以默认规则设置成“只对本服务器relay”。/etc/tcp.smtp内容
应该为:

127.0.0.1:allow,RELAYCLIENT=""

:allow

       重新生成新的tcp.smtp.cdb文件:

/usr/local/bin/tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.tmp < /etc/tcp.smtp

4、 设置 /bin/checkpassword 或 /home/vpopmail/bin/vchkpw 的SetUID和SetGID。

这点很重要,否则认证无法通过。这是因为smtpd 的进程是由qmaild 执行的。而密码验证程序原来只使用于pop3进程,
分别由root或vpopmail执行,为的是读shadow或数据库中的密码,并取出用户的邮件目录。这些操作qmaild 都没有权
限去做。如果smtp进程要调用密码验证程序,则必须要使用 setuid 和setgid 。其实这点大可放心,这两个密码验证
程序都是带源代码的,本身非常安全,只需要放在安全的目录里就可以了(设置其他用户除qmaild 可执行外都没有权限
执行;其实如果没有其他SHELL帐户,也就不用这么麻烦了)。

          chmod 4755 /home/vpopmail/bin/vchkpw

 5、修改smtpd启动命令行

 

#!/bin/sh

QMAILDUID=`id -u qmaild`

NOFILESGID=`id -g qmaild`

exec /usr/local/bin/softlimit -m 2000000 \

 /usr/local/bin/tcpserver -v -p -x /etc/tcp.smtp.cdb \

 -u $QMAILDUID -g $NOFILESGID 0 smtp /var/qmail/bin/qmail-smtpd 2>&1

 

改为:

#!/bin/sh

QMAILDUID=qmaild

NOFILESGID=nofiles

exec /usr/local/bin/softlimit -m 2000000 \

/usr/local/bin/tcpserver -H -R -l 0 -t 1  -v -p -x /etc/tcp.smtp.cdb \

-u $QMAILDUID -g $NOFILESGID 0 smtp /var/qmail/bin/qmail-smtpd /home/vpopmail/bin/vchkpw  /bin/true \

/bin/cmd5checkpw /bin/true  2>&1

5、 其他一些设置:

设置vpopmail的用户目录直到/目录都被任何用户可以读取;

6、 重新启动qmail

/etc/rc.d/init.d/qmailstart stop

/etc/rc.d/init.d/qmailstart start

6、在客户端上使用 OutlookExpress 和 Netscape 4.6 以上版本的邮件软件进行检验。
,
相关文章 热门文章
  • AS4上架设Qmail带身份验证*ibm服务器安装
  • 阿里巴巴招聘qmail邮件系统管理工程师
  • qmail的smtp与pop服务及相关日志完全解决方案
  • 修正Qmail auth smtp中电子邮件地址任意的patch
  • Qmail 启动设置
  • qmail 全套安装笔记
  • Freebsd环境下基于qmail系统的反病毒反垃圾邮件系统构建
  • Qmail邮件系统管理工程师--阿里巴巴(中国)网络技术有限公司
  • 虚拟环境下选择成两难 用iSCSI还是FC?
  • 实现QMail邮件账户的Web管理:使用QMailadmin
  • 什么是分布式的Qmail邮件系统(上)
  • Qmail邮件系统下防止滥用mail relay
  • Imail反垃圾邮件技术
  • Qmail反垃圾邮件技术
  • 防范垃圾邮件技术
  • 谢绝第三方邮件转发
  • Postfix反垃圾邮件技术
  • Sendmail反垃圾邮件技术
  • 追踪垃圾邮件来源
  • 邮件过滤技术
  • OPEN RELAY的解决方案
  • 美讯智SMG邮件安全网关使用FAQ
  • 三分钟打造反垃圾邮件服务器
  • 黑名单服务器
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号