在QMAIL中要闹清楚邮件转发规则,要依次明白三个方面的咚咚。
1 rcpthosts 文件 /var/qmail/control/rcpthosts
2 tcp.smtp文件/etc/tcp.smtp或者是/home/vpopmail/etc/tcp.smtp
3 smtp 认证
下面,我来一个一个地谈这三个咚咚,注意,我是说,我先要把这三个反面各自独立来谈,谈各自的功能和使用方法,后面我将把这三个方面结合起来谈,那才是在实战中要明白和要用到的最重要的东西。
1rcpthosts 文件
rcpthosts这个名字取得好,见名知意嘛。意思是这个邮件服务器可以接受转发请求的目的 主机列表(或者说目的地址列表),比如在这个文件里有sina.com,souhu.com。那么你可以
通过这个服务器转发发往sina.com,souhu.com的任何邮件,如果你想通过这个服务器给 aaa@bbb.com发信的话,就会报错:553 sorry,that domain isn't in my list of allowed rcpthosts!知道了吧,因为bbb.com确实没有在rcpthosts里面啦,于是就理所当然地被拒绝转发了。那么如果根本就没有rcpthost这个文件情况又如何呢?在这种情况下,QMAIL会理解为open relay,意味开放式转发,也就是说任何人可以通过你的这个邮件服务器向任何人发送邮件。这种情况是很危险的,因为你的服务器很容易被垃圾邮件制造者当作发送垃圾邮件的中继站,你的服务器将被反垃圾联盟列入黑名单,那么你的服务器就什么事都做不成了,除非你只是在局域网内部使用。所以,rcpthosts这个文件是很有用的。你想对哪个地址开放,就直接在rcpthosts里加入这个目的地址就OK了,就这么简单!
2tcp.smtp 文件
这个文件的位置无关紧要,一般在/etc/tcp.smtp或者/home/vpopmail/etc/tcp.smtp
如上所述,rcpthosts文件可以进行转发约束,但是用起来不是很爽,须知,你可能要给很多目的地址的朋友发信,那么你得一条一条地在rcpthosts里录入,如果你是在一个局域网内部使用你的邮件服务器,为了更方便的控制转发规则,这里有个更好的办法,这就是tcp.smtp这个文件的作用了。
这里就要使用ucspi-tcp软件包的tcpserver程序,该程序的功能类似于inetd-监听进入的连接请求,为要启动的服务设置各种环境变量,然后启动指定的服务。tcpserver的配置
文件就是tcp.smtp,该文件定义了是否对某个网络设置RELAYCLIENT环境变量。例如,本地网络是地址为192.168.*.*,则tcp.smtp的内容应该设置如下:
127.0.0.1:allow,RELAYCLIENT=""
192.168.:allow,RELAYCLIENT=""
:allow
这几个规则的含义是指若连接来自127.0.0.1和192.168.*.*则允许,并且为其设置环境变量RELAYCLIENT,否则允许其他连接,但是不设置RELAYCLIENT环境变量。这样当从其他地方到本地的25号连接将会被允许,但是由于没有被设置环境变量,所以其连接将会被qmail-smptd所拒绝。
但是tcopserver并不直接使用tcp.smtp文件,而是需要先将该文件转化为cbd文件:
进入tcp.smtp这个文件所在的目录,然后使用如下命令:
tcprules tcp.smtp.cdb tcp.smtp.temp
3smtp 认证
上面提到的tcp.smtp这个文件很有用处,可以让你一劳永逸。
对于只在局域网内部使用邮件服务器的情况下,已经够用了,但是单纯靠tcp.smtp这个控制无法适合漫游用户,因为对于一个漫游用户来说,其连接服务器时用的IP是不固定的,在这种情况下,tcp.smtp文件就没有随时满足任意一个合法漫游用户需要的灵活性。为了适应这种需要,smtp认证就应运而生了。所谓smtp认证,就象POP验证用户身份一样,只要你是合法的用户,输入用户名和密码就可以登陆服务器转发邮件了,对于漫游用户来说很方便,同时也避免了open relay的危险性。要让QMAIL具备用户验证的功能需要给QMAIL打补丁。下面具体谈谈如何实现QMAIL的SMTP认证功能。
第一步:下载程序
qmail-smtp补丁:http://members.elysium.pl/brush/qmail-smtpd-auth/
密码检验补丁:http://members.elysium.pl/brush/cmd5checkpw/
第二步:编译安装qmail-smtpd
将qmail-smtpd-auth-0.26.tar.gz解压缩:
[root@www src]# tar xvfz qmail-smtpd-auth-0.26.tar.gz
[root@www src]# cd qmail-smtpd-auth-0.26
[root@www qmail-smtpd-auth-0.26]# ls
CHANGESMakefileREADMETODOinetd.confqmail-smtpd.c
qmail-smtpd.patch
将安装成功的qmail目录下的qmail-smtp.c拷贝到qmail-smtpd-auth-0.26目录下:
[root@www qmail-smtpd-auth-0.26]# cp ../qmail-1.03/qmail-smtpd.c ./
然后对该文件进行补丁处理:
[root@www qmail-smtpd-auth-0.26]# patch -p1
将qmail-smtpd.c 拷贝到qmail 的源文件目录里:
[root@www qmail-smtpd-auth-0.26]# cp qmail-smtpd.c ../qmail-1.03
最好先将原文件备份。单独编译 qmail-smtpd :
[root@aidmail qmail-smtpd]# make qmail-smtpd
./load qmail-smtpd rcpthosts.o commands.o timeoutread.o
timeoutwrite.o ip.o ipme.o ipalloc.o control.o constmap.o
received.o date822fmt.o now.o qmail.o cdb.a fd.a wait.a
datetime.a getln.a open.a sig.a case.a env.a stralloc.a
alloc.a substdio.a error.a str.a fs.a auto_qmail.o`cat socket.lib`
将新生成的qmail-smtpd 拷贝到/var/qmail/bin 目录下。在之前应该对原来的执行文件进行备份。
第三步:编译安装 kpw-0.22.tar.gz
[root@www src]# tar xvfz cmd5checkpw-0.22.tar.gz
[root@www src]# cd cmd5checkpw-0.22
[root@www cmd5checkpw-0.22]# make ;make instll
第四步:设置/home/vpopmail/bin/vchkpw 的SetUID和SetGID
这点很重要,否则认证无法通过。这是因为smtpd 的进程是由qmaild 执行的。而密码验证程序原来只使用于pop3进程,分别由root或vpopmail执行,为的是读shadow或数据库中的密码,并取出用户的邮件目录。这些操作qmaild 都没有权限去做。如果smtp进程要调用密码验证程序,则必须要使用setuid 和setgid。
chmod 6755 /home/vpopmail/bin/vchkpw
第五步:设置tcp.smtp
有了SMTP认证是不是就不需要tcp.smtp 这个文件了?其实不然,因为通过tcp.smtp这个控制文件可以方便局域网用户使用邮件服务器,对于这些用户只要tcp.smtp这个文件控制就可以了,没有必要对身份严格校验了。假若你觉得10网段的用户都不需要SMTPR认证就可以转发邮件的话,就这么干:
vi /etc/tcp.smtp 或者 vi /home/vpopmail/etc/tcp.smtp
192.168.10.:allow,RELAYCLIENT=""
127.:allow,RELAYCLIENT=""
:allow
保存,然后执行命令
tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.tmp
第六步:修改smtpd启动脚本
#!/bin/sh
QMAILDUID=`id -u qmaild`
NOFILESGID=`id -g qmaild`
exec /usr/local/bin/softlimit -m 2000000
/usr/local/bin/tcpserver -v -p -x /etc/tcp.smtp.cdb
-u $QMAILDUID -g $NOFILESGID 0 smtp /var/qmail/bin/qmail-smtpd 2>&1
改为下面的样子:
#!/bin/sh
QMAILDUID=qmaild
NOFILESGID=nofiles
exec /usr/local/bin/softlimit -m 2000000
/usr/local/bin/tcpserver -H -R -l 0 -t 1-v -p -x /etc/tcp.smtp.cdb
-u $QMAILDUID -g $NOFILESGID 0 smtp /var/qmail/bin/qmail-smtpd
/home/vpopmail/bin/vchkpw/bin/true /bin/cmd5checkpw /bin/true2>&1
可爱可恨的SMTP认证到这里就OK了!
4三个方面的关系
如文章最开头所述,三个方面的关系对于你究竟如何使你的邮件服务器具有安全性很重要,关于这一点对于初学者来说不是那么容易把握准确。这三个咚咚并不是缺一不可,可以只有一部分存在,也可以都存在,那么在这诸多可能的情况下,整个邮件服务器对于转发规则又是如何控制的呢?
下面我分几种情况来说:
第一种情况:没有SMTP认证,没有tcp.smtp文件,也没有rcpthosts这个文件
这种情况就是“标准”的open relay,也就是完全开放转发,这种情况可能存在,但不应该存在!
第二种情况:仅有rcpthosts这个文件,没有tcp.smtp也没有SMTP认证
这种情况下,就只有rcpthosts这个文件担当转发规则约束的重任了,QMAIL仅仅根据这个文件的目的地址列表来确定是否转发用户的邮件
第三种情况:有tcp.smtp,rcpthosts两个东西存在
首先QMAIL从tcp.smtp.cdb文件确认用户是否可以转发邮件,是根据请求者的IP来定夺的。如果用户IP 是在容许的IP范围之内,那么就容许转发,否则再看看目的地址是否在rcpthosts这个文件的容许范围之内,如果是,就可以转发,如果也不是,那么就被彻底拒绝转发了。也就是说,在这种情况下,这两个文件共同承担着转发规则约束的重任。
第四种情况:三个都存在
QMAIL在接受到请求的时候,首先检查tcp.smtp这个文件,如果是容许的IP,就同意转发,否则再看看转发目的地址是否在rcpthosts文件所容许的地址,如果是就转发,否则就启用SMPT认证来验证用户,验证通过就同意转发,否则就彻底拒绝。
本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u/9861/showart_239991.html
分享到:
相关推荐
Qmail电子邮件服务器简单架设 Qmail电子邮件服务器简单架设
qmail邮件系统邮件群发系统搭建笔记.pdf
Qmail实现邮件系统服务.pdf
qmail linux 邮件服务器 安装报告.docx
Qmail是全球安装使用量仅次于Linux/Unix上缺省安装的的Sendmail的邮件服务器软件,到目前为止Qmail的MTA依然是世界上转发速度最快的邮件传输代理[1],Qmail几乎兼容所有的Linux/Unix类操作系统。由于在Linux/Unix...
在CentOS5中安裝Qmail商业邮件系統
Qmail邮件即时通知系统设计与实现 Qmail邮件即时通知系统设计与实现
qmail文档一(qmail+vpopmail+igenus安装)
基于Linux和Qmail的电子邮件系统 基于Linux和Qmail的电子邮件系统
qmail配置 qmail配置qmail配置 邮件系统
基于Linux系统配置高效的Qmail邮件服务器
复制代码 代码如下:/* 使用qmail发送邮件函数 */ function send_check_mail($email, $subject,$uid,$buffer) { $command = “/var/qmail/bin/qmail-inject “.$email; //qmail程式地址,$email是要发送的地址 $...
3. 在qmail 系统过滤中文垃圾邮件..................................................................................10 3.1 框架...............................................................................
Qmail 安装。里面含有所有的配置文件信息,不包括安装配置指导。
基于Linux系统配置高效的Qmail邮件服务器毕业论文.doc
基于Linux系统配置高效的Qmail邮件服务器毕业设计论文.doc
CentOS+Qmail安装笔记 我以前安装过很多遍QMAIL了,现在都有点麻木,但是还是有很多关于邮件服务器的东西不懂,这个是也是我去年为公司安装的邮件服务器. 那我们开始吧~~~~~~~