在Sendmail中实现用户认证

Sendmail本身提供了很强大的邮件服务功能，但是美中不足，它在为用户发送邮件时，并不进行用户身份认证。所以，如果参数设置不当，它很容易为无关的邮件用户无偿转发大量的垃圾邮件，这样既浪费了系统的资源，增加了安全隐患，还会给人留下散发垃圾邮件的不良印象，损坏邮件服务器的形象。 Sendmail本身提供了一定的限制邮件转发的功能，但它只能根据静态的IP地址或域名来进行限制，使得合法用户只能在固定的IP地址使用发送邮件，否则将被拒绝。这样做虽然能解决邮件无偿转发的问题，但却给用户带来了使用上的不便。为了解决这一矛盾，本文提供了一个折衷的办法，称为“POP-BEFORE-SMTP”方法，基本思路如下： ·利用POP3的服务进程在日志里记录下邮件用户取信时的IP地址； ·在邮件服务器上启动一个侦听(daemon)进程，它实时地读取POP3的日志文件，获取该用户的IP地址，同时再赋给该IP一个固定的时间片，然后把它们一同放进一个供Sendmail读取的特定的文件中； ·Sendmail在为用户发信的时候，根据该特定文件的内容，核实用户的IP是否合法，若合法，则发送，否则拒发； ·在该特定文件中的IP，当其时间片用完的时候将被自动删除。 美中不足，这种方法要求用户在发信之前必须先取一次信，以便Sendmail能动态地得到其IP地址。但这并不违反用户的使用习惯，因此并无大碍。本文以Sendmail-8.9.3和qpopper-3.0.2为例，对这一方法进行介绍。 一、环境要求 ·Redhat 5.1 以上； ·Perl 5； ·Qpopper-3.0.2； ·Sendmail 8.9.3以上。 二、详细步骤 1．编译安装qpopper (1)下载 可到“中国自由软件库”(http://freesoft.cei.gov.cn)中下载qpopper-3.0.2.tar.gz软件包。 (2)编译 假设软件包已下载到当前目录 $tar -zxvf ./qpopper-3.0.2.tar.gz $cd qpopper-3.0.2 $configure --enable-specialauth --enable-log-login --with-log-facility=LOG_LOCAL1 --enable-servermode $make (3)安装 因本文以qpopper为例，故需用qpopper替换原有的ipop3d： $su #cp ./popper/popper /usr/local/bin/ #vi /etc/inetd.conf #修改inetd.conf文件如下 #pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d pop-3 stream tcp nowait root /usr/local/bin/popper popper -t /var/log/popper.log #/etc/rc.d/init.d/inet restart 2．启动poprelayd进程 说明：poprelayd 是一个用perl 编写的命令，它负责实时地读取popper的日志文件，记录下用户的IP地址，并赋给它一个时间片，然后把它们放进 /etc/mail/popip.db 中，供Sendmail 读取；同时它还负责删除时间片用完的IP地址。 (有关poprelayd程序内容，请访问http://www.swm.com.cn/swm/200102/在Sendmail中实现用户认证的方法之一.html) 3．重新配置 Sendmail.cf 文件 Sendmail-8.9.3.tar.gz软件包可到“中国自由软件库”(http://freesoft.cei.gov.cn)中下载。本文假定软件包已在/home/Sendmail-8.9.3目录下展开： #cd /home/Sendmail-8.9.3/cf/domain #vi linux.m4 添加一行: FEATURE(`access_db',`hash -o /etc/mail/access')dnl #cd /home/Sendmail-8.9.3cf/cf #vi linux.mc OSTYPE(linux)dnl DOMAIN(linux)dnl MAILER(local)dnl MAILER(smtp)dnl #m4 ../m4/cf.m4 ./linux.mc ./Sendmail.cf #cp ./Sendmail.cf /etc/Sendmail.cf #vi /etc/Sendmail.cf 在“local info”部分添加 #List of IP addresses we allow relaying from. Klocalip hash -a /etc/mail/localip Kpopip hash -a /etc/mail/popip 在SLocal_check_rcpt后添加: #Put the address into cannonical form (even if it doesn't resolve to an MX). R$* $: $Parse0 $3 $1 R$* $* $: $1 $3 Pretend it's canonical. R$* $* $1 $3 Remove extra dots. #Allow relaying if the connected host is a local IP address. R$* $: Get client IP address. R $#OK Local is ok. R $* $(localip $1.$2 $: . $2 $) Check last three octets. R$* $#OK R $* $: $(localip $1 $: $1 $2 $) Check first octet. R$* $#OK #Allow relaying if the connected host has recently POP3 authenticated. R$* $: Get client IP address. R $(popip $1 $) Check full address. R$* $#OK #IP address didn't match. 注意:各大列之间用制表符分隔。 4．生成localip.db、popip.db 说明:localip.db中包含合法的静态IP；popip.db则包含动态的合法IP，其内容由poprelayd侦听进程维护。 #cd /etc/mail 将无合法的静态IP先保存到一个文本文件中，然后再生成localip.db文件，如: #vi localip 192.168.20 OK 192.168.21 OK .... #makemap hash localip #makemap hash popip 5．重新启动 Sendmail #/etc/rc.d/init/Sendmail restart 6．启动poprelayd #/etc/mail/poprelayd -d

• ·防止垃圾邮件骚扰的八大招
• ·LINUX中的邮件安全问题
• ·我的E-Mail服务器为什么变慢了
• ·sendmail中限定用户邮箱大小的实用法
• ·RedHat完整邮件系统架设
• ·Linux域名和邮件服务器版FAQ
• ·IMail的入门篇－第一节 DNS设置
• ·IMail的入门篇－－第三节 建立可用的电子邮
• ·IMail的入门篇－－第二节 安装IMail
• ·IMail的入门篇－－第四节 用POP3方式收