首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件服务器

技术前沿 | Qmail | IMail | MDaemon | Exchange | Domino | 其它 | Foxmail | James | Kerio | JavaMail | WinMail | Sendmail | Postfix | Winwebmail | Merak | CMailServer | 邮件与开发 | 金笛 |
首页 > 邮件服务器 > Sendmail > Sendmail 8.9.3中的Mail Relay规则简介 > 正文

Sendmail 8.9.3中的Mail Relay规则简介

出处:it168 作者:it168 时间:2006-2-23 23:25:00
一.什么是第三方的Mail Relay? 

当一台邮件服务器处理一封邮件时,该封邮件的发送者(the sender)和接收者(the recipient)都不是本地用户(local user),即发送者和接收者都处于本地域之外,该邮件服务器对于这封邮件的传送完全属于不相关的第三方,因此Mail Relay被sedmail默认禁止了。这阻止了Spammer利用你的服务器发送垃圾邮件。 

二.为什么你要停止第三方的Mail Relay? 

如果你的邮件服务器不能有效地控制第三方的mail relay,你应该立刻着手解决这个问题,不要等待spammer 来攻击你的邮件主机,主要是因为: 

a.大量的垃圾邮件(junk email)可能会使你的邮件系统崩溃。它们占用你的磁盘空间,CPU资源,还可能引发Dos类型攻击(denial of  service attack). 

b.你的组织可能被列入黑名单(backlist)。由于大量垃圾邮件从你的主机发出,其它一些组织或公司可能会不做任何更深的调查就更改设置阻止了从你的主机来的任何邮件,这也将同时阻止从你的站点发到它们的所有正常的商业性邮件,损失不可估量. 

c.意识到这种攻击将会发生在你身上。不要因为它没有发生就意味着你是安全的。他们每天正用一些自动扫描的工具去扫描网络而寻找那些对他们打开relay功能的邮件主机。他们可能自己写了某个程序正每刻地进行扫描,如果你的邮件主机是易受攻击的,那么扫描到你就是迟早的事情。 

    三. Sendmail(8.9.3)如何relay你的邮件?  

      如果发送者和接收者都不属于本地域,sendmail将默认禁止mail relay. 要想使得sendmail relay 

你的邮件,可以有下面两种途径,你必须确保发送者或者接收者其中至少有一个属于本地域. 

a. 本地发送者到外部接收者(local sender to external recipient) 

b. 外部发送者到本地接收者(external sender to local recipient) 

========== 

c. 何为本地发送者(local sender)? 

当邮件服务器接收到一封从其它机器(如windows pc)发来的邮件时,它首先检查连接进来的主机的域名和 IP地址,注意: 

决不是检查这封邮件的信封里的发送者地址(not based on the envelope MAIL FROM address!) 

(要了解一封邮件的全部信封头信息,参考(http://www.stopspam.org/email/headers/headers.html)) 

如果你是拨号用户,IP地址当然是你拨到ISP所得到的动态IP地址,然后你的主机名/域名是由你的ISP对你的IP 

地址作反向DNS解析出来的主机名/域名, 

不过大多数ISP不作这个,因此,sendmail将仅仅记录你连接进来的IP地址,由此判断是否这个地址被允许relay mail.对sendmail 

8.9.3来说,最通常的用来检查是否relay邮件的配置文件是/etc/mail/relay-domains,它能对IP地址或域名进行判断是否允许relay. 

如果这一步不允许,再检查/etc/mail/access(它能被通过加FEATURE(access_db)到.mc文件再用m4生成/etc/sendmail.cf所激活 

附:本文讨论的所有设置都是基于M4宏命令生成的/etc/sendmail.cf) 

d. 何为本地接收者(local recipient )? 

决定接收者邮件地址是否为本地的不是件轻松的事情,sendmail认为类w中的所有主机/域为本地接收者,也就是/etc/mail/sendmail.cw文件或者/etc/sendmail.cf中的Cw类定义后面列出的所有主机或域名。为了激活对/etc/mail/sendmail.cw的检查,使用特性Feature(use_cw_file)。但是这还不够,因为这个能被愚弄的,如.
因此sendmail用规则集(ruleset)先移走这个地址的本地部分( 

@local.site)后,如果仍有一些域,则考虑是否能通过relay检查,另外,sendmail也还检查/etc/mail/access 

决定是否有项目匹配接收者地址所在的域,根据相应标记确定是否被允许接收。 

四. Sendmail 8.9.3: anti-relaying(拒绝传递)怎么工作?

a. 如果Mail From:行有下面的参数,sendmail拒绝mail relay:

1.发送者的域名不能被解析。这个能用FEATURE(accept_unresolvable_domains)被禁止。 

2.非全称的域名。能被用FEATURE(accept_unresolvable_domains)禁止。 

3.与access map( /etc/mail/access)中的一项匹配。

域名:如spammer.domain  reject

全称email地址:如spammer@domain reject

邮件地址的用户名部分:如spammer@  reject

或者不用'reject'用'error code error text'

spammer.domain "501 No e-mail from this domain."

spammer@domain "501 No e-mail from your address."

spammer@ "501 Get a real address."

甚至用DISCARD (接收并安静地删除掉,让发送者感觉象被接收)

b.检查接收者。

用FEATURE(blacklist_recipients)允许指定access map中不应该接收email的用户。

如:

badlocaluser 550 Mailbox disabled for this username

host.mydomain 550 That host does not accept mail

user@otherhost.mydomain 550 Mailbox disabled for this recipient

这将禁止发到你本地域中的用户邮件地址badlocaluse@mydomain和在主机

host.mydomain中的任何用户和单个地址 user@otherhost.mydomain. 

注:关于access map的说明:

它的默认位置是/etc/mail/access. 每次更新后你必须运行

makemap hash /etc/mail/access.db < /etc/mail/access ,不需要重启用Sendmail.

它可以有以下入口:

1.域名

2.email地址

3.本地用户名部分

4.IP地址(完整的或者子网)

和以下操作标记:

1.OK 

接收email,即使被其它规则拒绝了

2.RELAY 

允许通过该邮件主机relay的域。relay意味着OK

3.REJECT 

拒绝email并显示内部通用的错误提示

4.DISCARD 

安静地接收随后取消掉这封邮件

5.XYZ some other text

XYZ是 RFC 821兼容的错误代码后面跟上一段自定义的错误信息

五.常见的两种检查规则



1. check_relay 规则(发送者检查):

检查主机名和IP地址,当无论什么时候,一台客户通过(E)SMTP连到邮件服务器时该规则被调用。  

2. check_rcpt 规则(接收者检查):

用于RCPT命令(用来禁止未被授权的relay).该规则禁止了所有的已知的relay诡计。

你能#tail -f /var/log/maillog检查是否某个邮件被运用了上述规则。

六. Why "550 Relaying Denied"? 



如果你从你自己的邮件服务器得到了一个错误说"550 Relaying Denied",你需要弄清楚为什么,甚至可能你认为这决不应该发生,但是你可能忽略了某些细节,看上去是应该被Relay,但实际上不。看下面的几个例子:

1.正确的DNS数据 

QAA02454: ... we do not relay

QAA02454: ruleset=check_rcpt, arg1=,

relay=170-51-209.ipt.aol.com [152.170.51.209], reject=550

... we do not relay

QAA02454: from=, size=0, class=0, pri=0, nrcpts=0,
proto=SMTP, relay=170-51-209.ipt.aol.com [152.170.51.209]

这里,主机名为170-51-209.ipt.aol.com的机器IP地址为152.170.51.209 试着交付一封邮件给,然而,这个被拒绝了,因为接收者不是本地接收者并且发送者的机器170-51-209.ipt.aol.com(152.170.51.209)也不是本地发送者。

2.错误的DNS数据 

QAA02454: ... Relaying denied

QAA02454: ruleset=check_rcpt, arg1=, relay=[134.245.85.93],

reject=550 ... Relaying denied

QAA02454: from=, size=0, class=0, pri=0, nrcpts=0,

proto=SMTP, relay=[134.245.85.93]

这个其实与上面的情况相同,对于IP地址134.245.85.93没有PTR记录被找到,关于这一点有个问题就是:万一你的邮件主机的relay功能仅仅是基于主机/域名进行检查是否为本地发送者,(e.g., FEATURE(relay_entire_domain),那样的话,如果该IP地址是属于你的本地域之内,仍将被你拒绝relay.解决办法是为这个IP地址加PTR记录,也就是反向DNS解析,或者添加到/etc/hosts文件中,再或者添加该IP地址到access map 中去(/etc/mail/access)。

3.不一致的DNS数据

QAA02454: ... Relaying denied

QAA02454: ruleset=check_rcpt, arg1=,

relay=some.domain [10.0.0.1] (may be forged),

reject=550 ... Relaying denied

QAA02454: from=, size=0, class=0, pri=0, nrcpts=0,

proto=SMTP, relay=some.domain [10.0.0.1] (may be forged)

这儿,(may be forged)是个很重要的部分:它说明对于该主机的DNS数据是不一致的,并且主机名不被用来检查是否被允许relay,而仅仅检查IP地址,因此这和第二种情况相同。

七. 动态Relay授权控制简介:(DRAC)



DRAC是一个后台程序,它动态地为Sendmail更新access map文件,它提供一种方法,就是允许合法的用户通过你的SMTP邮件主机relay mail,同时仍然阻止其它人用它作为Spam Relay.当用户被POP/IMAP服务器认证后其IP地址被立即加入/etc/mail/access允许mail relay.默认地,该IP地址在access map的入口在30分钟后被终止了。

这种功能特别是对那些公司有用,它们在各个地方有办事处,外地办事处或出差在外的笔记本用户通过拨入当地ISP,且设置了发送邮件服务器为本公司的SMTP邮件主机时。

一般地,Sendmail所能看见的唯一可靠的信息是客户机的主机/域名或IP地址,并且当一个用户是通过拨本地ISP连接到其本公司总部的SMTP邮件服务器时,Sendmail不能分辩你的用户是spammer还是本公司合法员工,如果拨号用户有固定的IP地址/域名,你可以配置sendmail允许他们relay mail.但是大多数情况,特别在中国,拨号用户每次得到的是不同的变化多端的IP地址,因此你不得不告诉用户通过他们本地ISP提供的邮件主机发送邮件.

DRAC所用的方法是叫做POP-before-SMTP, 既然POP服务器知道每一个接收邮件的客户机的IP地址,这些IP地址能被收集起来动态构建access map,你可能需要写一个程序来收集这些地址,象上面说的一样,默认保留30分钟然后取消这些IP地址的mail relay. 一般地定期运行makemap程序更新access map.

这有两种情况:

1. 拨到ISP后先收后发.

2. 在发件信(outbox)中有信,拨号后先发后收.

第一种情况没有问题,对于第二种情况,需要在连到POP3信箱收信之后邮件才能被发送,

第一次发送将被拒绝.

第二种情况在被POP3取得认证后,随即access map被更新允许SMTP Mail Relay.

相关文章 热门文章
  • sendmail中.forward文件的注意事项
  • Linux启动 Sendmail速度慢的解决办法
  • RHEL5.2 sendmail和openwebmail 、dpvecpt 配置总结
  • PEAR Mail软件包Sendmail Mail::Send()方式参数注入漏洞
  • Linux启动sendmail速度慢的解决办法
  • 为Sendmail添加邮件认证功能
  • FYI:商用Sendmail的安全和隔离要点
  • 在Perl和Sendmail的附件做过滤系统
  • sendmail做smtp SERVER
  • Sendmail Analyzer 5.3 发布
  • 如何限制Sendmail下邮件的大小
  • Fedora架设Sendmail邮件服务器
  • Sendmail8.12.9+RedHat 8.0建构邮件服务器
  • sendmail大全
  • Sendmail邮件服务器快速指南
  • SendMail上手指南
  • 用Sendmail配置你的第一台e-mail服务器
  • RedHatLinux AS3中SendMail的配置
  • 企业Sendmail邮件服务器的创建
  • Sendmail环境下对抗垃圾邮件的处理方法
  • Sendmail的邮件用户与系统用户分离
  • 我的qmail安装历程
  • 带SMTP认证功能的sendmail配置
  • Sendmail的relay用法汇总
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号