分享
 
 
 

Sendmail环境下利用DRAC杜绝垃圾邮件

王朝other·作者佚名  2008-05-18
窄屏简体版  字體: |||超大  

摘要:本文讨论了如何在sendmail环境下通过DRAC技术对用户右键按转发进行控制,在为IP地址不确定的用户提供邮件服务的同时,防止邮件服务器被用作互联网垃圾邮件转发器,以增强邮件服务器的安全。本文经过严格的测试和试验。

软件环境:

DRAC ftp://ftp.cc.umanitoba.ca/src/drac.tar.Z

qpopper3.0 ftp.qualcomm.com/eudora/servers/unix/popper/old/qpopper3.0.tar.Z

patch http://mail.cc.umanitoba.ca/drac/qpop30b36.txt

sendmail http://www.sendmail.org/8.11.html

操作系统为:Rehat 6.2

硬件环境:HP E60 单网卡

什么是DRAC

互联网中最令用户讨厌的问题就是大量的垃圾电子广告邮件满天飞,而作为邮件服务器管理员的你管理的邮件服务器的可能就是转发垃圾邮件的中继器。出现这种问题的最根本的原因是标准的电子邮件传输协议(SMTP)在传输邮件时,不进行用户身份认证,邮件可以被匿名/冒名发送。而导致你的邮件服务器被用作垃圾邮件转发器则是因为服务器配置不当,使得服务器是open relay的,从而被垃圾邮件发送者利用其来发送垃圾邮件。

为了解决以上问题,对于邮件服务器只为具有固定IP地址的用户服务的情况下,比如说你管理的邮件服务器是为园区网服务的,则可以对sendmail设定只允许园区网的IP地址通过该服务器转发邮件,从而阻止垃圾发送者通过服务器转发垃圾邮件。具体参考本站的“senmail快速指南"一文的相关内容。

而对于需要提供免费邮件申请的应用环境,或是希望本单位用户在出差时可以在任何地方通过拨入当地的ISP来发送接收信件的应用环境来说,这时候用户的IP地址是不固定,是无法预料的,这样上面的方法就不适用了。有两种方法可以在保证合法用户正常使用的同时防止垃圾邮件发送者利用邮件服务器转发垃圾邮件。

第一种方法是为Sendmail加入SMTP转发认证,请参考本站的《Sendmail环境下实现SMTP认证拒绝垃圾邮件》。另外一种就是DRAC(Dynamic Relay Authorization Control)-动态邮件转发授权控制。

DRAC(Dynamic Relay Authorization Control——动态转发授权控制),其原理就是利用pop3或imap服务器固有的功能通过用户名、密码和客户机IP地址兰验证用户身份的合法性,并将这些用户IP信息及时映象到允许转发邮件的验证数据库中,供smtp服务器调用,同时在经过一段时间以后(缺省为30分种),其验证信息将自动失效,需要用户重新输入验证信息。这样不仅可以保证合法的pop3或imap用户能够正常使用邮件服务器,也可以阻止任何非注册用户(包括本地)利用邮件服务器来发送邮件。这种邮件安全控制常常被称为:“邮件服务之前的pop验证”(POP-before-SMTP)。

DRAC 实际上是一个运行在后台的守护进程,以客户/服务器模式运行。客户服务器之间通过使用RPC进行网络通讯。在这个系统中,POP或IMAP是客户程序, DRAC daemon 是服务程序可以同时为网络上的多台邮件服务器提供动态转发的功能。DRAC守护进程必须与邮件服务器(Sendmail)运行在同一台计算机上。因此,在实际应用时,Sendmail和DRAC运行在同一台机器上,而POP或IMAP可以运行在网络中的其他计算机上,本文的示例讨论所有的服务都安装在同一台服务器上的情况。

拨号上网的用户IP是一个不定值。只有把他的IP加入到access.db中,用户才能使用邮件服务器发邮件。如果采用动态控制,在用户收取邮件时,进行身份验证,对于验证通过的用户,后台监控程序会实时地将用户当前的IP记录到数据库中。具体实现过程是:先“收”后“发”, 收件时要经用户身份认证,认证后将用户的IP加入数据库,IP地址在SMTP Server的数据库中保存30分钟。每收取一次邮件,计时重新开始。30分钟内如果用户不使用邮件服务收发,则DRAC将用户的IP从数据库中删除。这种做法保证了拨号用户可以收发自己的邮件。唯一不方便的是:用户第一次发邮件时,需要先收一次邮件。感觉上,这好像很麻烦,不过,如果大家都习惯了先收后发,那么就一点儿也不会有别扭的感觉了。

软件安装

软件安装需要三个步骤:第一步首先安装DRAC,然后安装POP/IMAP服务器,最后配置Sendmail服务器。

1、DRAC的安装

首先在/usr/src目录下创建子目录drac:

[root@mail drac]# mkdir drac

[root@mail drac]# cd drac/

解开软件包:

[root@mail drac]# cp /root/drac.tar.Z ./drac/

[root@mail drac]# tar xvfz drac.tar.Z

编辑Makefile,修改其中如下内容:

INSTALL = install

EBIN = /usr/local/sbin

MAN = /usr/local/man/man

DEFS = -DSOCK_RPC -DFCNTL_LOCK -DGETHOST -DDASH_C

CC = gcc

RANLIB = :

CFLAGS =  $(DEFS) -g

LDLIBS = -ldb

TSTLIBS = -L. -ldrac

RPCGENFLAGS = -C -I

MANLIB = 3

MANADM = 8

编译安装DRAC:

[root@mail drac]# make

[root@mail drac]# make install

[root@mail drac]# make install-man

编辑/etc/mail/dracd.allow文件,确保内容如下:

# dracd.allow: clients trusted by rpc.dracd

#

# The format of this file is one of more lines of

#

# netmask netaddr

# Both netmask and netaddr must be dotted quads.

#

255.255.255.255 127.0.0.1

####

启动DRAC,在启动以前先要启动portmap服务,首先确定系统安装有portmap软件包:

[root@mail drac]# rpm -qa|grep portmap

portmap-4.0-19

然后启动portmap服务:

[root@mail drac]# /etc/rc.d/init.d/portmap start

启动DRAC服务器:

[root@mail drac]# /usr/local/sbin/rpc.dracd

安装drac库:

[root@mail drac]# mkdir /usr/lib/drac

[root@mail drac]# cp libdrac.a /usr/lib/drac/

2、安装Qpopper

Qpopper本来没有自动向DRAC发信息功能,需要对Qpopper进行补丁处理才能实现POP Server与DRAC进行通讯。本文以Qpopper 3.0为例。

[root@mail src]# tar xvfz qpopper3.0.tar.Z

[root@mail src]# cd qpopper3.0

[root@mail qpopper3.0]# cp /root/patch

[root@mail qpopper3.0]# patch -p0 < patch

[root@mail qpopper3.0]# ./configure --enable-specialauth --enable-dracauth

[root@mail qpopper3.0]# make

[root@mail qpopper3.0]# cp popper/popper /usr/local/sbin/

确保/etc/inetd.conf中包含下内容(将原有的pop一行前添加#,以将其注释掉):

pop-3 stream tcp nowait root /usr/local/sbin/popper qpopper -s

并将原来含POP3的一行屏蔽掉。重启inet:

[root@mail mail]# ps ax|grep inetd

336 ? S 0:00 inetd

3925 pts/0 S 0:00 grep inetd

[root@mail mail]# kill -HUP 336

这时候新的POP server就具有与DRAC通信的功能了。

3、sendmail的配置

sendmail的安装可以参考"sendmail快速指南"一文,这里只需要在其基础上修改sendmail.cf文件即可。

编辑/etc/sendmail.cf:

在"local info"部分的最后添加入下内容:

# dynamic relay authorization control map

Kdrac btree /etc/mail/dracd

紧接着"SLocal_check_rcpt"一行下面添加如下内容:

# allow recent POP/IMAP mail clients to relay

R $*  $:  $&{client_addr}

R $+  $:  $(drac  $1  $: ?  $)

R?  $@ ?

R $+  $@  $#OK

注:这里上面添加内容中第一个字段和第二个字段之间是"tab"键隔开,而第二个字段和第三个字段之间是由一个空格隔开(例如:R $*  $:之间的为tab键隔开,而 $:  $&{client_addr}之间由空格隔开。下面的内容类似)。如果不按照这样的格式设置sendmail启动时可能会出现错误,或不能实现drac。

重新启动sendmail服务器:

[root@mail mail]# ps ax|grep sendmail

3909 ? S 0:00 sendmail: accepting connections

3934 pts/0 S 0:00 grep sendmail

[root@mail mail]# kill 3909

[root@mail mail]# /usr/sbin/sendmail -bd -q20m

测试

启动dracd服务器以后,就会在/etc/mail/目录下存在文件dracd.db,首先查看当前dracd.db库中的内容:

[root@mail mail]# db_dump -p /etc/mail/dracd.db(显示存放在一个dracd.db文件的记录)

format=print

type=btree

bt_minkey=2

db_pagesize=512

HEADER=END

可以看到当前不允许任何IP通过本机转发。这时候如果试图转发邮件就会出现以下的内容:

[root@iServer_120 /root]# telnet 200.100.100.100 25

Trying 200.100.100.100...

Connected to 200.100.100.100.

Escape character is ^].

220 www.test.com ESMTP Sendmail 8.11.4/8.11.4; Mon, 9 Jul 2001 18:33:20 +0800

helo www.linuxaid.com.cn

250 www.test.com Hello [202.99.11.120], pleased to meet you

mail from: ideal@linuxaid.com.cn

250 2.1.0 ideal@linuxaid.com.cn... Sender ok

rcpt to: ideal@btamail.net.cn

550 5.7.1 ideal@btamail.net.cn... Relaying denied. IP name lookup failed [202.99.11.120]

quit

221 2.0.0 www.test.com closing connection

Connection closed by foreign host.

可以看到邮件转发被拒绝,现在通过pop认证自己:

[root@iServer_120 /root]# telnet 200.100.100.100 110

Trying 200.100.100.100...

Connected to 200.100.100.100.

Escape character is ^].

+OK QPOP (version 3.0) at www.test.com starting.

user ideal

+OK Password required for ideal.

pass mypassword

+OK ideal has 0 visible messages (0 hidden) in 0 octets.

quit

+OK Pop server at www.test.com signing off.

Connection closed by foreign host.

现在再查看dracd.db内容:

[root@mail mail]# db_dump -p /etc/mail/ dracd.db

format=print

type=btree

bt_minkey=2

db_pagesize=512

HEADER=END

202.99.11.120

994678915

可以看到现在已经将202.99.11.120,也就是www.linuxaid.com.cn的地址加入了允许relay的列表中。现在我们再测试邮件转发:

[root@iServer_120 /root]# telnet 200.100.100.100 25

Trying 200.100.100.100...

Connected to 200.100.100.100.

Escape character is ^].

220 www.test.com ESMTP Sendmail 8.11.4/8.11.4; Mon, 9 Jul 2001 18:41:08 +0800

helo www.linuxaid.com.cn

250 www.test.com Hello [202.99.11.120], pleased to meet you

mail from: ideal@linuxaid.com.cn

250 2.1.0 ideal@linuxaid.com.cn... Sender ok

rcpt to: ideal@btamail.net.cn

250 2.1.5 ideal@btamail.net.cn... Recipient ok

quit

221 2.0.0 www.test.com closing connection

Connection closed by foreign host.

来源:LinuxAid

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有