摘要:本文讨论了如何利用sendmail 邮件服务器软件,配合 cyrus sasl 身分认证程序库,建立对sendmail的SMTP认证功能以防止服务器被垃圾邮件发送者滥用。
前言
传统的邮件传送协定 (SMTP)不具备对使用者身份进行认证的功能,此相当容易被恶意用户滥用,而导致自己的邮件服务器成为广告邮件或垃圾邮件的转送点,这是历史原因造成的。而没有身分认证功能的邮件传送机制,也造成系统管理或是网路管理人员,处理问题邮件追踪时的困难。
因此大多数的邮件系统都拒绝为内部可信赖的园区网以外的使用者转发邮件(mail relay),但这种限制也造成了合法使用者使用上的不方便。例如出差或是下班回家之后,无法继续使用公司的邮件服务器发信。学生放假离开学校之后也不能使用学校的邮件主机发出信件,如果设定邮件服务器为open relay模式的,则可能会造成服务器转发功能被滥用。对于那些免费邮件服务提供商来说也存在着这样的问题。
以往要解决这个问题,必须购买一些昂贵的商业邮件服务器,以便在使用者发出信件前先进行身份的认证。但是现在使用新版本的sendmail 邮件服务软件,搭配 cyrus sasl身分认证程序库,即可达成往日商业软件才有的身分认证功能。
请在阅读本文之前先阅读本站的“sendmail快速指南一文”。
软件环境
cyrus-sasl-1.5.24 ftp://ftp.andrew.cmu.edu/pub/cyrus-mail/ 本地下载
sendmail.8.11.4 http://www.sendmail.org/8.11.html 本地下载
操作系统为:Redhat 6.2
硬件环境:HP E60 单网卡
安装认证库
如果先前已经安装有旧版本的 Cyrus SASL 请先将其移除,方法是手工删除/usr/lib/sasl或/usr/local/lib/sasl目录。
安装过程如下:
[root@mail src]# cd /usr/src/
[root@mail src]# tar xvfz cyrus-sasl-1.5.24.tar.gz
[root@mail src]# cd cyrus-sasl-1.5.24
[root@mail cyrus]# ./configure -prefix=/usr --enable-login --with-pwcheck --with-digest
[root@mail cyrus]# make
[root@mail cyrus]# make install
安装完成后,建立一个/var/pwcheck目录,pwcheck程序要用此目录。
接下来必须设置 sendmail 的使用者身分查验方式,这里使用系统帐号与密来进行验证:
[root@mail cyrus-sasl-1.5.24]# cd /usr/lib/sasl/
[root@mail sasl]# cat > Sendmail.conf
pwcheck_method: shadow
^D
请特别留意Sendmail.conf开头的S字母必须为大写。
关于 Cyrus SASL 认证程序库更详细的说明,请参阅 Cyrus SASL for System Administrators。 <http://www.sendmail.org/%7Eca/email/cyrus/sysadmin.html>
编译及配置Sendmail
如果系统中正在执行旧版的sendmail请先将其停止,停止 sendmail 的方法是 killall sendmail 或是先找出 sendmail 的 pid 然后 kill pid 将其停止。
解压软件包:
[root@email src]# tar xvfz sendmail.8.11.4.tar.gz
[root@email src]# cd sendmail-8.11.4
在子目录devtools/Site/下创建site.config.mc文件,内容如下
PREPENDDEF(`confMAPDEF',`-DMAP_REGEX')
PREPENDDEF(`confOPTIMIZE',`-O6')
PREPENDDEF(`confOPTIMIZE',`-O6')
APPENDDEF(`confENVDEF',`-DSASL')
APPENDDEF(`conf_sendmail_LIBS',`-lsasl')
APPENDDEF(`confLIBDIRS',`-L/usr/local/lib -L/usr/local/lib/sasl')
APPENDDEF(`confINCDIRS',`-I/usr/local/include -I/usr/local/include/sasl')
编译sendmail:
[root@mail sendmail-8.11.4]# /usr/src/sendmail-8.11.4/sendmail
[root@mail sendmail]# sh Build -c -f ../devtools/Site/site.config.mc
安装:
[root@mail sendmail]# sh Build install
生成配置文件:
[root@mail sendmail-8.11.4]# cd cf/cf/
创建文件sendmail.mc文件,内容如下:
divert(-1)
dnl This is the macro config file used to generate the /etc/sendmail.cf
dnl file. If you modify thei file you will have to regenerate the
dnl /etc/sendmail.cf by running this macro config through the m4
dnl preprocessor:
dnl m4 /etc/sendmail.mc > /etc/sendmail.cf
dnl You will need to have the Sendmail-cf package installed for this to work.
include(`/usr/src/sendmail-8.11.4/cf')
define(`confDEF_USER_ID',`8:12')
OSTYPE(`linux')
undefine(`UUCP_RELAY')
undefine(`BITNET_RELAY')
define(`confAUTO_REBUILD')
define(`confTO_CONNECT', `1m')
define(`confTRY_NULL_MX_LIST',true)
define(`confDONT_PROBE_INTERFACES',true)
define(`PROCMAIL_MAILER_PATH',`/usr/bin/procmail')
FEATURE(`smrsh',`/usr/sbin/smrsh')
FEATURE(`mailertable',`hash -o /etc/mail/mailertable')
FEATURE(`virtusertable',`hash -o /etc/mail/virtusertable')
FEATURE(redirect)
FEATURE(always_add_domain)
FEATURE(use_cw_file)
FEATURE(local_procmail)
MAILER(smtp)
MAILER(procmail)
FEATURE(`access_db')
FEATURE(`blacklist_recipients')
dnl We strongly recommend to comment this one out if you want to protect
dnl yourself from spam. However, the laptop and users on computers that do
dnl not hav 24x7 DNS do need this.
FEATURE(`accept_unresolvable_domains')
dnl FEATURE(`relay_based_on_MX')
TRUST_AUTH_MECH(`LOGIN PLAIN ')dnl
define(`confAUTH_MECHANISMS', `LOGIN PLAIN')dnl
FEATURE(`no_default_msa')dnl turn off default entry for MSA
DAEMON_OPTIONS(`Port=25, Name=MSA, M=E')dnl
然后运行:
[root@email cf]# sh Build sendmail.cf
再对原有的配置文件备份以后,将新生成的sendmail.cf拷贝到目录/etc/mail中。
最后启动sendmail:
[root@email mail]# /usr/sbin/sendmail -bd -q20m
测试
检查SASL是否已经生效。过程如下:
[root@mail cf]# sendmail -d0.1 -bv root | grep SASL
NETINET NETUNIX NEWDB QUEUE SASL SCANF SMTP USERDB XDEBUG
其中有SASL,表示Sendmail确实支持SASL了。
