EXWOLF討論區 » Mail伺服器 » 郵件服務器的安全解決方案

wolf 發表於 2008-1-6 17:37

郵件服務器的安全解決方案

Sendmail作為免費的郵件服務器軟件，已被廣泛應用於Internet各種操作係統的服務器中。如：Solaris，HPUX，AIX， IRIX，Linux等等。隨著互連網的普及，郵件服務器受攻擊的機會也大大增加。目前互連網上的郵件服務器所受攻擊有兩類：一類就是中繼利用 (Relay)，即遠程機器通過你的服務器來發信，這樣任何人都可以利用你的服務器向任何地址發郵件，久而久之，你的機器不僅成為發送垃圾郵件的幫兇，也會使你的網絡國際流量激增，同時將可能被網上的很多郵件服務器所拒絕。另一類攻擊稱為垃圾郵件(Spam)，即人們常說的郵件炸彈，是指在很短時間內服務器可能接收大量無用的郵件，從而使郵件服務器不堪負載而出現癱瘓。這兩種攻擊都可能使郵件服務器無法正常工作。因此作為一個校園網郵件服務器防止郵件攻擊將不可缺少。 _K#N ~'I-`

*|G9ZI]&Te 目前對於sendmail郵件服務器，阻止郵件攻擊的方法有兩種。一種是升級高版本的服務器軟件，利用軟件自身的安全功能。第二種就是採用第三方軟件利用其諸如動態中繼驗證控制功能來實現。下面就以sendmailV8.9.3為例，介紹這些方法。 中國 @o]*y-_} K U
1、服務器自身安全功能
6~](M3CuP5^
yy F;{#l7\ (1)編譯sendmail時的安全考慮 [color=#f5fafe][/color]
n7rl*g9zJ2}/QF*_ 要利用sendmail8.9.3的阻止郵件攻擊功能，就必須在係統編譯時對相關參數進行設置，並借助相關的軟件包。目前主要就是利用 BerkeleyDB數據庫的功能，BerkeleyDB包可以從相關站點上下載，並需要預先編譯好。然後將BerkeleyDB的相關參數寫進 sendmail的有關文件中。 中國
C4\ ?1J Z.oj a、修改site.config.m4文件  ;[`Qz2l]J
將編譯好的BerkeleyDB有關庫文件路徑加入到site.config.m4文件中，使sendmail編譯後能夠使用BerkeleyDB數據庫。例如： [color=#f5fafe][/color] msA\blz:l
["pxU'\ R
[table=95%][tr][td][color=#ff0000]以下為引用的內容：[/color]~$MgOh%a5]T*Za
　　#cd$/sendmail-8.9.3/BuidTools/Site
0l V(MVS7e F8^)Y 　　修改site.config.m4文件
I!E8L9r3Kj8I r&C 　　define(confINCDIRS,-I/usr/local/BerkeleyDB/include)v-uo0oj5T k-L
B?
　　define(confLIBDIRS,L/usr/local/BerkeleyDB/lib)[/td][/tr][/table]Www. b、修改sendmail.mc文件 [color=#f5fafe][/color]
S%Yz:v1riU9m|1}u%O sendmail.mc是生成sendmail.cf的模板文件之一，要使sendmail具有抗郵件攻擊功能還需在該文件中進行相關定義。主要包括以下幾項： mHT4`lA!f
'm meEJjEZ-qJ!Y
%L]'he+z
z6Z
[table=95%][tr][td][color=#ff0000]以下為引用的內容：[/color]DN&p.P;m^].W
　　......
!{'u,p5Ek 　　FEATURE(relay_entire_domain)
PT'n,V{s:E
　　FEATURE(ACCESS_DB)dn1 F+w`)QZq,M,]
　　FEATURE(blacklist_recipients)
,U^#G
g/D,y)z/X'}$J} 　　......[/td][/tr][/table]
7?kYUY!s8f (2)相關文件的配置  
@2w4[ s/a 正確編譯好sendmail是郵件服務器安全控制的基礎，而真正的安全設置主要還是利用相關文件進行的。這種包含控制語句的文件主要是access和relay-domains。
9?"Gc v2sd ;rj+Tek4^d#l
access是郵件安全控制的主要數據庫文件，在該文件中可以按照特定的格式將需控制的域名、IP地址或目標郵件地址，以及相應的動作值寫入，然後使用makmap命令生成access.db文件(#makemaphashaccess.db l K3A8bh\yV/l7j
3P0YOk4SD'P
^8m(HB
Z2Bwy
[table=95%][tr][td][color=#ff0000]以下為引用的內容：[/color] DC pQ},XPr
　　spam.comREJECT ^tm J3~^o5|Ydrh r
　　edu.cnOKkmQYo7i'FoRO
　　hotmail.comDISCARD[/td][/tr][/table][color=#f5fafe][/color] 其中reject動作是拒絕接受從指定地址發來的郵件；ok是允許特定地址用戶任意訪問；relay允許通過本郵件服務器進行中轉郵件； discard是將收到的郵件交給特定命令進行處理，例如：可以設定將收到的郵件丟棄，或者設定收到郵件後返回給使用者一條出錯信息等等。
$v3Kh:K*R k Sj
4{'|4^BSt3EA e Relay-domains文件是設定哪些域是該服務器可以中繼的域，其格式為每個域佔一行。如：
R-]e+nh\1y {BF )G2Pi:WI0r;N(P
B-\.q-_^[7^@
[table=95%][tr][td][color=#ff0000]以下為引用的內容：[/color]
+Sv2J4qN%O3o 　　......[#xi FH
　　CN
0?H5x gP9t4iQ~[ 　　EDU7wd(iS)]
　　JP
x\!yE g8Q6[J%y?(YN
　　......[/td][/tr][/table]
4H_N
b,TL 在服務器開始使用時建議將所有頂級域名加入其中，以後再根據安全需要對其進行修改，否則將會使pop3用戶發送郵件時出現relayreject錯誤，而無法向沒有加入的域名目標郵件地址發送郵件。

查看完整版本: 郵件服務器的安全解決方案