本文介绍如何让qmail增加smtpd-auth功能.
软件需求
系统版本:RedHat6.2
必需软件:
1、qmail-1.03(www.qmail.org)qmail的主要程序包
2、checkpassword(cr.yp.to/checkpwd.html)让qmail使用系统用户认证的密码认证包或vpopmail(www.inter7.com/vpopmail)让qmail支持mysql和虚拟主机用户认证的密码验证包
3、qmail-smtpd.c(www.nimh.org/hacks/qmail-smtpd.c)qmail支持smtp认证的补丁或者到http://www.elysium.pl/members/brush/下载qmail-smptd.patch
原理介绍
QMail系统安装完成后,其smtp是允许任何人匿名发送邮件的。但是,这一点经常会被恶意的垃圾邮件发送者利用。因此,为了避免这种问题发生,我们为qmail安装并配置smtp发信密码认证功能。
首先我们先来认识一下什么是smtp下的relay规则。
relay规则也可以理解成转发规则。当用户使用telnet到25端口(smtp端口),或者使用类似outlook这样的MUA(用户投递代理)发送邮件时,服务器都会在后端判断是否允许转发(发送)这份邮件,判断的依据是接收方的域名是否在允许之内。
在Qmail中,有一个名为rcpthosts(该文件名源于RCPTTO命令)的配置文件,其决定了是否接受一个邮件。只有当一个RCPTTO命令中的接收者地址的域名存在于rcpthosts文件中时,才接受该邮件,否则就拒绝该邮件。若该文件不存在,则所有的邮件将被接受。当一个邮件服务器不管邮件接收者和邮件接收者是谁,而是对所有邮件进行转发(relay),则该邮件服务器就被称为开放转发(openrelay)的。当qmail服务器没有rcpthosts时,其是开放转发的。
设置自己服务器为非openrelay的最简单的办法就是将你的邮件服务器的所有域名(若DNS的MX记录指向该机器,也应该包括该域名。)但是要想实现smtp用户漫游功能,也就是任何网络的合法用户都能发信,仅使用rcphosts就很难操作了,因为不可能每一个用户连接进来就修改一次rcphosts,使之包括发信人域名和ip,再重起qmail。显然,这种方法很不现实。别担心。
qmail-smtpd支持一种有选择性的忽略rcpthosts文件的方法:若qmail-smtpd的环境变量RELAYCLIENT被设置,则rcpthost文件将被忽略,relay将被允许。但是如何识别一个邮件发送者是否是自己的客户呢?qmail并没有采用密码认证的方法,而是判断发送邮件者的源IP地址,若该IP地址属于本地网络,则认为该发送者为自己的客户。如果要实现SMTP认证后的relay,不需要对任何IP进行预先设定,所以默认规则设置成“只对本服务器relay”。
这里使用ucspi-tcp软件包。即该软件包的tcpserver程序。该程序的功能类似于inetd-监听进入的连接请求,为要启动的服务设置各种环境变量,然后启动指定的服务。
tcpserver的配置文件是/etc/tcp.smtp,该文件定义了是否对某个网络设置RELAYCLIENT环境变量。例如,本地网络是地址为192.168.10.0/24的C类地址,则tcp.smtp的内容应该设置如下:
127.0.0.1:allow,RELAYCLIENT=""
192.168.10.:allow,RELAYCLIENT=""
:allow
这几个规则的含义是指若连接来自127.0.0.1和192.168.10则允许,并且为其设置环境变量RELAYCLIENT,否则允许其他连接,但是不设置RELAYCLIENT环境变量。如果只需要对本机relay,第二行可以不要。
这样当从其他地方到本地的25号连接将会被允许,但是由于没有被设置环境变量,所以其连接将会被qmail-smptd所拒绝。但是tcopserver并不直接使用/etc/tcp.smtp文件,而是需要先将该文件转化为cbd文件:
[lix@mail/etc]$#tcprulestcp.smtp.cdbtcp.smtp.temp
然后再回头看:
在/service/qmail-smtpd目录下的run文件中有
/usr/local/bin/tcpserver-v-p-x/etc/tcp.smtp.cdb
可以看到,tcpserver利用了/etc/smtp.cbd文件。若本地有多个网络,则需要这些网络都出现在/etc/tcp.smtp文件中。这样就实现了允许本地客户relay邮件,而防止relay被滥用。
软件安装
1.安装好qmail以及vpopmail或者checkpassword软件包
2.在/usr/ports/mail/qmail目录下面,运行命令
patch
重新编译qmail,并拷贝qmail-smtpd到/var/qmail/bin下面
./compileqmail-smtpd.c
./loadqmail-smtpdrcpthosts.ocommands.otimeoutread.o
timeoutwrite.oip.oipme.oipalloc.ocontrol.oconstmap.o
received.odate822fmt.onow.oqmail.ocdb.afd.await.a
datetime.agetln.aopen.asig.acase.aenv.astralloc.a
alloc.asubstdio.aerror.astr.afs.aauto_qmail.o`cat
socket.lib
3.在/usr/ports/mail/vpopmail/下面增加files目录,并建立下面两个patch文件
文件patch-aa,内容如下:
+++vmysql.h
27c27
---
#defineMYSQL_PASSWD"mypassword"
文件patch-bb,内容如下:
+++vchkpw.c
310a311
311a313
313a316,317
#ifdefAUTH_VCHKPW
359a364,365
#endif
然后make-DWITHOUT_ROAMING-DWITH_MYSQLDEFAULT_DOMAIN=sczg.net,重新编译拷贝新的vchkpw到qmail的bin目录。
4.设置/bin/checkpassword或/home/vpopmail/bin/vchkpw可以SetUID和SetGID。这点很重要,否则认证无法通过。这是因为smtpd的进程是由qmaild执行的。而密码验证程序原来只使用于pop3进程,分别由root或vpopmail执行,为的是读shadow或数据库中的密码,并取出用户的邮件目录。这些操作qmaild都没有权限去做。如果smtp进程要调用密码验证程序,则必须要使用setuid和setgid。其实这点大可放心,这两个密码验证程序都是带源代码的,本身非常安全,只需要放在安全的目录里就可以了(设置其他用户除qmaild可执行外都没有权限执行;其实如果没有其他SHELL帐户,也就不用这么麻烦了)。
chmod4755/bin/checkpassword或
chmod4755/home/vpopmail/bin/vchkpw使用vpopmail。
5.测试.如果使用的是vpopmail,要把下面的/bin/checkpassword换成/home/vpopmail/bin/vchkpw。
#su-qmaild-c"/var/qmail/bin/qmail-popuplocalhost/bin/checkpasswordpwd"〈回车
+OK,〈18789.978689240@localhost
userrealuser〈回车
+OK
passpassword〈回车
如果结果显示的是用户目录,说明成功了;如果显示"-ERRauthorizationfailed",除检查密码外,还要检查用户上级的各个目录是否可读,还有密码验证程序的权限是否设置正确。
6.把smtp的tcpserver命名改为:
/usr/local/bin/tcpserver-H-R-l0-t1-c100-x/etc/tcp.smtp.cdb-u604-g601
0smtp/var/qmail/bin/qmail-smtpd/bin/checkpassword/bin/true2%26amp;1
|/var/qmail/bin/sploggersmtpd3%26amp;
或者是
/usr/local/bin/tcpserver-H-R-l0-t1-c100-x/etc/tcp.smtp.cdb-u604-g601
0smtp/var/qmail/bin/qmail-smtpd/usr/local/vpopmail/bin/vchkpw
2%26amp;1|/var/qmail/bin/sploggersmtpd3%26amp;
注:“/usr/local/vpopmail/bin/vchkpw”是重新编译的。以上的全在一行。重新启动所有的qmail进程。, ,