Qmail系统下防止滥用mail relay方案(4)
新客网 XKER.COM 2007-01-09 来源: 收藏本文
4.设置relay规则
relay的意思是:服务器接受客户端的smtp请求,将客户端发往第三方的邮件进行转发。 qmail下控制relay很简单,只要客户端接入的smtp进程的环境变量里包含(RELAYCLIENT="")就允许relay ,否则拒收。实现方法是在/etc/tcp.smtp 里对需要relay的IP逐条设置(RELAYCLIENT=""),然后用tcprules 生成规则表。因为本文要实现SMTP认证后的relay ,不需要对任何IP进行预先设定,所以默认规则设置成"只对本服务器relay"。/etc/tcp.smtp内容应该为:
127.0.0.1:allow,RELAYCLIENT=""
:allow
重新生成新的tcp.smtp.cdb文件:
/usr/local/bin/tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.tmp < /etc/tcp.smtp
5.设置/home/vpopmail/bin/vchkpw的SetUID和SetGID
这点很重要,否则认证无法通过。这是因为smtpd 的进程是由qmaild 执行的。而密码验证程序原来只使用于pop3进程,分别由root或vpopmail执行,为的是读shadow或数据库中的密码,并取出用户的邮件目录。这些操作qmaild 都没有权限去做。如果smtp进程要调用密码验证程序,则必须要使用 setuid 和setgid 。其实这点大可放心,这两个密码验证程序都是带源代码的,本身非常安全,只需要放在安全的目录里就可以了(设置其他用户除qmaild 可执行外都没有权限执行;其实如果没有其他SHELL帐户,也就不用这么麻烦了)。
chmod 4755 /home/vpopmail/bin/vchkpw
6.修改smtpd启动命令行
#!/bin/sh
QMAILDUID=`id -u qmaild`
NOFILESGID=`id -g qmaild`
exec /usr/local/bin/softlimit -m 2000000
/usr/local/bin/tcpserver -v -p -x /etc/tcp.smtp.cdb
-u $QMAILDUID -g $NOFILESGID 0 smtp /var/qmail/bin/qmail-smtpd 2>&1
改为:
#!/bin/sh
QMAILDUID=qmaild
NOFILESGID=nofiles
exec /usr/local/bin/softlimit -m 2000000
/usr/local/bin/tcpserver -H -R -l 0 -t 1 -v -p -x /etc/tcp.smtp.cdb
-u $QMAILDUID -g $NOFILESGID 0 smtp /var/qmail/bin/qmail-smtpd
/home/vpopmail/bin/vchkpw /bin/true /bin/cmd5checkpw /bin/true 2>&1
7.其他一些设置:
设置vpopmail的用户目录直到/目录都被任何用户可以读取;
8.重新启动qmail
/etc/rc.d/init.d/qmailstart stop
/etc/rc.d/init.d/qmailstart start
9.客户端测试
在客户端上使用 OutlookExpress 和 Netscape 4.6 以上版本的邮件软件进行检验。
relay的意思是:服务器接受客户端的smtp请求,将客户端发往第三方的邮件进行转发。 qmail下控制relay很简单,只要客户端接入的smtp进程的环境变量里包含(RELAYCLIENT="")就允许relay ,否则拒收。实现方法是在/etc/tcp.smtp 里对需要relay的IP逐条设置(RELAYCLIENT=""),然后用tcprules 生成规则表。因为本文要实现SMTP认证后的relay ,不需要对任何IP进行预先设定,所以默认规则设置成"只对本服务器relay"。/etc/tcp.smtp内容应该为:
127.0.0.1:allow,RELAYCLIENT=""
:allow
重新生成新的tcp.smtp.cdb文件:
/usr/local/bin/tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.tmp < /etc/tcp.smtp
5.设置/home/vpopmail/bin/vchkpw的SetUID和SetGID
这点很重要,否则认证无法通过。这是因为smtpd 的进程是由qmaild 执行的。而密码验证程序原来只使用于pop3进程,分别由root或vpopmail执行,为的是读shadow或数据库中的密码,并取出用户的邮件目录。这些操作qmaild 都没有权限去做。如果smtp进程要调用密码验证程序,则必须要使用 setuid 和setgid 。其实这点大可放心,这两个密码验证程序都是带源代码的,本身非常安全,只需要放在安全的目录里就可以了(设置其他用户除qmaild 可执行外都没有权限执行;其实如果没有其他SHELL帐户,也就不用这么麻烦了)。
chmod 4755 /home/vpopmail/bin/vchkpw
6.修改smtpd启动命令行
#!/bin/sh
QMAILDUID=`id -u qmaild`
NOFILESGID=`id -g qmaild`
exec /usr/local/bin/softlimit -m 2000000
/usr/local/bin/tcpserver -v -p -x /etc/tcp.smtp.cdb
-u $QMAILDUID -g $NOFILESGID 0 smtp /var/qmail/bin/qmail-smtpd 2>&1
改为:
#!/bin/sh
QMAILDUID=qmaild
NOFILESGID=nofiles
exec /usr/local/bin/softlimit -m 2000000
/usr/local/bin/tcpserver -H -R -l 0 -t 1 -v -p -x /etc/tcp.smtp.cdb
-u $QMAILDUID -g $NOFILESGID 0 smtp /var/qmail/bin/qmail-smtpd
/home/vpopmail/bin/vchkpw /bin/true /bin/cmd5checkpw /bin/true 2>&1
7.其他一些设置:
设置vpopmail的用户目录直到/目录都被任何用户可以读取;
8.重新启动qmail
/etc/rc.d/init.d/qmailstart stop
/etc/rc.d/init.d/qmailstart start
9.客户端测试
在客户端上使用 OutlookExpress 和 Netscape 4.6 以上版本的邮件软件进行检验。
最新相关文章- ·正确配置Postfix来阻止垃圾邮件
- ·Postfix邮件系统的安装与配置
- ·Sendmail邮件服务器升级技巧速成
- ·SENDMAIL邮件服务器的安装与设置
- ·Sendmail服务器安全配置技巧
- ·安全易用:Winmail邮件服务器
- ·为什么IIS邮件服务器能收不能发
- ·Linux系统Qmail邮件服务器安装过程解析
- ·Linux系统环境下邮件服务器软件的分析比较
- ·RHEL4系统Sendmail邮件服务器的简单架设
- ·拒绝平庸 专业电子邮局轻松架设
- ·菜鸟也能玩转WinMail邮件服务器
- ·个人SMTP服务器的配置
- ·通过E-mail 共享Java 对象
- ·Server 2003中为SNMP服务配置网络安全性
- ·你的email服务器准备好应对账号搜集攻击了吗
发表评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
阅读排行
随机推荐
实用信息推荐