当前位置: 王朝网络 >> other >> 如何在防火墙上设置Sendmail

如何在防火墙上设置Sendmail

王朝other·作者佚名 2008-05-19

环境：

公司注册了正式域名company.com，防火墙运行Linux且用专线接入ISP，是通往Internet的唯一通道，用来处理公司内部出去的邮件和发往公司内部用户@company.com的所有邮件。在内部局域网上（仅一个网段，没有子网）有一台供内部用户收发邮件的Linux邮件服务器，两台机器均运行Sendmail 8.9.3

Sendmail 8.9.3的新特性

Sendmail 8.9.3包含几个新的特性，如果配置不当，你的Sendmail可能不能正常工作。这些特性主要是帮助过滤掉垃圾邮件和阻止你的站点被用来作为第三方的mail relay主机（什么是third-party mail relay? 附文章），你能根据你的站点所要求的政策配置这些参数。

1．Mail relay

在Sendmail 8.9.3中Relaying默认被拒绝了，这个特性可能使得运行Sendmail的Linux邮件服务器不允许你向它发送邮件，有几种方法来解决。

a. Default

默认情况下，你能简单地创建文件/etc/mail/relay-domains，它包含你希望接受relay的系统的域名，例如company.com 。如果不能做反向DNS查找，你应该清楚指明IP范围，如要允许内部网段上所有用户向其发送邮件，设为192.168.11 ,注意：你无法设置这里为company.com而允许你公司出差在外的旅行用户（拨当地ISP）来发送邮件。因为你拨到当地ISP后得到的动态IP地址属于当地ISP，反向DNS解析后的域名为ISP的域名，甚至有的不能够做反向DNS。解决办法是设置发送邮件服务器为当地ISP的服务器优点：如果你仅仅需要relay mail from a few system,这可能是最简单的解决办法，它阻止你的服务器扮演作为relayer，但允许邮件通过。

缺点：你不能不保持文件不断更新，如果你是ISP，你必须不断保持这个文件被更新，更新后还要重新启动Sendmail （ killall -HUP sendmail ）

b. promiscuous_relay

这个特性允许你relay来自任何地方的邮件。（不被建议的）

优点：你不必担心邮件被拒绝

缺点：任何人能用你的系统作为mail relay，这个参数的使用取消了8.9.3中新增的反relay 特性。

c. relay_entire_domain

这个特性允许来自在类W中设置的所有域的邮件被允许relay.默认地，这将是*.company.com

优点：你不会担心来自你的域中的所有邮件被拒绝，你的域以外的系统不能被relay mail除非在/etc/mail/relay-domains文件中被指定或/etc/mail/access中被指定。如果你仅仅想relay你自己的域中的主机，可以用这个参数来代替/etc/mail/relay-domains. 注意：你需要设置反向DNS，当内部LAN上的主机连接到SMTP服务器上来时能被反向解析到本地域内。如192.168.11.12被解析到sh12.asiansources.com .

缺点：你可能不想允许你公司的其它组织relay mail。

d. relay_hosts_only

这允许你基于个别的主机名relay mail.不是域名。

优点：细调relay许可权限，基于全称主机名，不是全称域名。

缺点：需要你指定或者在文件/etc/mail/relay-domains或者在access 数据库中的系统主机名。如果用

/etc/mail/relay-domains，文件将是

company.com

mailgate.company.com

othername.com

mailgate.othername.com

2. Mail blocking

a. accept_unresolvable_domains

默认地，如果发送者的域名(指发送者邮件地址后面的域名)不能被DNS解析，邮件被拒绝的。

如：

MAILＦrom: wkeys@nonexistent 501 < wkeys@nonexistent…Sender domain must exist

用参数accept_unresolvable_domains 跨越这个并接受来自任何域或ＩＰ地址的邮件。

b. access_db

这个特性使得sendmail寻找数据库文件(默认是/etc/mail/access.db)，决定是否接受或拒绝mail或者你甚至能设定一个客户化的错误信息，这个特性也能用来控制relay许可。

优点：真的允许你细调将接收从谁来的邮件，如我不想接受来自不能被解析的域的邮件，但对个别域有例外。

c. accept_unqualified_senders

默认地，如果发送者的域不是全称域名，sendmail将拒绝这个连接。如mail from:553 …. Domain name required用这个特性跨越默认的情况以致连接将能被接受。

优点：我建议总是用全称域名地址，然而在内部邮件网关上，你可能不能控制其他本地系统如何发送给你邮件，这将允许你接受带非全称发送者地址的邮件。

缺点：你丢失了一些跟踪邮件来自哪里的能力，不要在防火墙上用它。

d. blacklist_recipients

这允许你阻止不想接受的邮件帐号发来的邮件。需要在/etc/mail/access中设置。

e. relay_based_on_MX

如果一台主机有ＭＸ记录指向你的站点，这个特性使得能从他们接受邮件。

优点：如果他们有ＭＸ记录指向你你就不需要加任何主机到access database.

缺点：这将允许第三方的mail relay，且不需要你的许可。

3.third-party mail relay

附另外一篇文章(文章荟萃)----sendmail 8.9.3 mail relay规则简介

公司防火墙上sendmail配置举例

divert(-1)

include(`/usr/lib/sendmail-cf/m4/cf.m4')

dnl let's define our OS type. This one is mandatory.

OSTYPE(`linux')dnl

define(`confDEF_USER_ID',``8:12'')

define(`ALIAS_FILE',`/etc/mail/aliases')dnl

define(`confPRIVACY_FLAGS', `authwarnings,needmailhelo,noexpn,novrfy')dnl

define(`confTO_QUEUERETURN', `4d')dnl

define(`confTO_QUEUEWARN', `4h')dnl

define(`PROCMAIL_MAILER_PATH',`/usr/bin/procmail')dnl

undefine(`UUCP_RELAY')dnl

undefine(`BITNET_RELAY') dnl

FEATURE(`redirect')dnl

FEATURE(`always_add_domain')dnl

FEATURE(`use_cw_file')dnl

FEATURE(`local_procmail')dnl

FEATURE(`nouucp')dnl

FEATURE(`mailertable', `hash -o /etc/mail/mailertable')dnl

FEATURE(`virtusertable', `hash -o /etc/mail/virtusertable')dnl

FEATURE(`domaintable',`hash -o /etc/mail/domaintable')

FEATURE(`access_db', `hash -o /etc/mail/access')dnl

FEATURE(`blacklist_recipients')dnl

MAILER(procmail)dnl

MAILER(smtp)dnl

use_cw_file

默认为/etc/sendmail.cw文件，指明了属于本地域处理的域名，发到这个域下的邮件为本地邮件。不要在防火墙上设置company.com到sendmai.cw中，在内部网段上的邮件服务器上设置它。更新该文件不需要重启sendmail

* How do I make all my addresses appear to be from a single host?

Using the V8 configuration macros, use:

MASQUERADE_AS(my.dom.ain)

This will cause all addresses to be sent out as being from the indicated domain.

If you're using version 8.7 sendmail, and you want to hide this information in the envelope

as well as the headers, use:

FEATURE(masquerade_envelope)

If you also want to masquerade the recipients, use

FEATURE(allmasquerade)

Mailertable

用这个特性可跨越ＤＮＳ和DNS MX记录而relay mail。也可跨越Smart_host(DSxxxx)项.

如 company.com relay:[192.168.11.1]

从防火墙上接收的发往company.com的邮件relay到192.168.11.1

Include a "mailer table" which can be used to override

routing for particular domains. The argument of the

FEATURE may be the key definition. If none is specified,

the definition used is:

hash -o /etc/mailertable

Keys in this database are fully qualified domain names

or partial domains preceded by a dot -- for example,

"vangogh.CS.Berkeley.EDU" or ".CS.Berkeley.EDU".

Values must be of the form:

mailer:domain

where "mailer" is the internal mailer name, and "domain"

is where to send the message. These maps are not

reflected into the message header. As a special case,

the forms:

local:user

will forward to the indicated user using the local mailer,

local:

will forward to the original user in the e-mail address

using the local mailer, and

error:code message

will give an error message with the indicated code and

message.

Domaintable

域替换操作。

如果容易打错，发往company.com的邮件误写为compayn.com则加入一行

compayn.com company.com

Access.db

数据库记录包含两部分：the key and the action:

the key能是用户名，域名，或ＩＰ地址。

The action能是ok, relay,reject discard, or and RFC821 message

如：

cyber

点击展开全文

上一篇：ProFtpd快速指南

下一篇：Samba的图形化配置工具-SWAT

免责声明：本文为网络用户发布，其观点仅代表作者个人观点，与本站无关，本站仅提供信息存储服务。文中陈述内容未经本站证实，其真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。

没有找到您想要的？点此查看更多相关文章
相关文章▶

2023年上半年GDP全球前十五强
百态 2023-10-24

美众议院议长启动对拜登的弹劾调查
百态 2023-09-13

上海、济南、武汉等多地出现不明坠落物
探索 2023-09-06

印度或要将国名改为“巴拉特”
百态 2023-09-06

男子为女友送行，买票不登机被捕
百态 2023-08-20

手机地震预警功能怎么开？
干货 2023-08-06

女子4年卖2套房花700多万做美容：不但没变美脸，面部还出现变形
百态 2023-08-04

住户一楼被水淹还冲来8头猪
百态 2023-07-31

女子体内爬出大量瓜子状活虫
百态 2023-07-25

地球连续35年收到神秘规律性信号，网友：不要回答！
探索 2023-07-21

全球镓价格本周大涨27%
探索 2023-07-09

钱都流向了那些不缺钱的人，苦都留给了能吃苦的人
探索 2023-07-02

倩女手游刀客魅者强控制（强混乱强眩晕强睡眠）和对应控制抗性的关系
百态 2020-08-20

美国5月9日最新疫情：美国确诊人数突破131万
百态 2020-05-09

荷兰政府宣布将集体辞职
干货 2020-04-30

倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观：鹏程万里
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案神机营：射石饮羽
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山：拔刀相助
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案天工阁：鬼斧神工
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道：单枪匹马
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野：与虎谋皮
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野：李代桃僵
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野：指鹿为马
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案金陵：小鸟依人
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案金陵：千金买邻
干货 2019-11-12