当前位置:Linux教程 - RedHat - email - Redhat6.2+qmail+smtpd认证防止垃圾邮件发送者滥用你的服务器

email - Redhat6.2+qmail+smtpd认证防止垃圾邮件发送者滥用你的服务器

Redhat6.2+qmail+smtpd认证防止垃圾邮件发送者滥用你的服务器
2004-04-23 15:18 pm
来自:Linux文档
现载:Www.8s8s.coM
地址:无名

软件环境:
redhat6.2 qmail1.3
邮件服务器服务于内部和外部,利用ADSL上网,域名解析利用dns2go.com的服务。单网卡,路由器为Linksys.

背景:
我已经利用一般的方法安装了qmail服务器,工作稳定,DNS也进行了设置,不设置DNS会出现下列情况:在外网断了的情况下,内网的邮件服务器不能登陆收取邮件。另外,我的服务器最近被利用发送大量的垃圾邮件(我也不知道我的服务器地址怎么被人家发现的),因此现在想在原有的基础上给smtpd加验证功能。

我使用的是ideal撰写文章(http://www.ccidnet.com/tech/network/2001/04/04/58_1931.html )中的第三种方法,(推荐使用此种方法)

防止mail relay被滥用的方法三
  对于有漫游用户的邮件系统来说,防止其relay功能被滥用的另外一个方法就是在发送邮件时要求用户认证,就象用户收信是需要认证一样。这里假设系统已经安装成功qmail-1.03和vpopmail,并且原有系统运行正常。

1、下载程序:

qmail-smtp补丁:http://members.elysium.pl/brush/qmail-smtpd-auth/

密码检验补丁:http://members.elysium.pl/brush/cmd5checkpw/

从这两个地址下载得到qmail-smtpd-auth-0.31.tar.gz(最新版本)及cmd5checkpw-0.22.tar.gz。

2、编译安装qmail-smtpd

将qmail-smtpd-auth-0.31.tar.gz解压缩:

[root@www src]# tar xvfz qmail-smtpd-auth-0.31.tar.gz

[root@www src]# cd qmail-smtpd-auth-0.31

[root@www qmail-smtpd-auth-0.31]# ls

CHANGES README.auth auth.patch base64.c base64.h

[root@www qmail-smtpd-auth-0.31]# cp README.auth base64.c base64.h ../qmail-1.03/

[root@www qmail-smtpd-auth-0.31]# patch –d ../qmail-1.03
最好先将原文件备份。单独编译 qmail-smtpd :

[root@www qmail-smtpd-auth-0.31]#cd /var/qmail/bin

[root@www bin]#cp qmail-smtpd qmail-smtpd.old

[root@www bin]#cd /usr/src/qmail-1.03

[[email protected]]# make qmail-smtpd

  ./load qmail-smtpd rcpthosts.o commands.o timeoutread.o

  timeoutwrite.o ip.o ipme.o ipalloc.o control.o constmap.o

  received.o date822fmt.o now.o qmail.o cdb.a fd.a wait.a

  datetime.a getln.a open.a sig.a case.a env.a stralloc.a

  alloc.a substdio.a error.a str.a fs.a auto_qmail.o `cat

  socket.lib`

  将新生成的qmail-smtpd 拷贝到/var/qmail/bin 目录下

  3、编译安装cmd5checkpw-0.22.tar.gz

  解压缩,编译安装:

  [root@www src]# tar xvfz cmd5checkpw-0.22.tar.gz

  [root@www src]# cd cmd5checkpw-0.22

  [root@www cmd5checkpw-0.22]# make ;make install

  4、设置relay规则。

  relay的意思是:服务器接受客户端的smtp请求,将客户端发往第三方的邮件进行转发。 qmail下控制relay很简单,只要客户端接入的smtp进程的环境变量里包含(RELAYCLIENT="")就允许relay ,否则拒收。实现方法是在/etc/tcp.smtp 里对需要relay的IP逐条设置(RELAYCLIENT=""),然后用tcprules 生成规则表。因为本文要实现SMTP认证后的relay ,不需要对任何IP进行预先设定,所以默认规则设置成"只对本服务器relay"。/etc/tcp.smtp内容应该为:

  127.0.0.1:allow,RELAYCLIENT=""

  :allow

  重新生成新的tcp.smtp.cdb文件:

  /usr/local/bin/tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.tmp < /etc/tcp.smtp

  4、设置/home/vpopmail/bin/vchkpw 的SetUID和SetGID。

  这点很重要,否则认证无法通过。这是因为smtpd 的进程是由qmaild 执行的。而密码验证程序原来只使用于pop3进程,分别由root或vpopmail执行,为的是读shadow或数据库中的密码,并取出用户的邮件目录。这些操作qmaild 都没有权限去做。如果smtp进程要调用密码验证程序,则必须要使用 setuid 和setgid 。其实这点大可放心,这两个密码验证程序都是带源代码的,本身非常安全,只需要放在安全的目录里就可以了(设置其他用户除qmaild 可执行外都没有权限执行;其实如果没有其他SHELL帐户,也就不用这么麻烦了)。

  chmod u+s /home/vpopmail/bin/vchkpw

  chmod g+s /home/vpopmail/bin/vchkpw

  5、修改smtpd启动命令行
我的qmail是放在/etc/rc.d/init.d下自动启动执行的,所以修改这个文件,将qmail-smtpd部分改成下面的参数形式:

/usr/local/bin/tcpserver -H -R -l 0 -t 1 -v -p -x /etc/tcp.smtp.cdb -u qmaild -g nofiles 0 smtp /var/qmail/bin/qmail-smtpd /home/vpopmail/bin/vchkpw /bin/true /bin/cmd5checkpw /bin/true 2>&1 /var/qmal/bin/splogger smtpd 3 &

  6、其他一些设置:

  设置vpopmail的用户目录直到/目录都被任何用户可以读取;

  7、重新启动qmail

  /etc/rc.d/init.d/qmail stop

  /etc/rc.d/init.d/qmail start

  8、客户端测试

  在客户端上使用 OutlookExpress 和 foxmail等邮件软件进行检验。