郵件系統是Linux網絡應用的重要組成部分��。完整的郵件系統包括底層操作系統、郵件傳送代理MTA�����、郵件分發代理MDA和郵件用戶代理MUA。
目前來看����,Linux郵件系統面臨的主要危險是垃圾郵件��、Linux病毒和DoS攻擊。本文將重點介紹Linux郵件服務器的防垃圾郵件策略����。
垃圾郵件的防范
目前廣泛使用的防垃圾郵件技術有:
(1)SMTP用戶認證:一種常見并十分有效的方法����,在郵件傳送代理(MTA)上對來自本地網絡以外的互聯網的發信用戶進行SMTP認證,僅允許通過認證的用戶進行遠程轉發����。這樣既能夠有效避免郵件傳送代理服務器為垃圾郵件發送者所利用��,又為出差在外或在家工作的員工提供了便利。
如果不采取SMTP認證�,在不犧牲安全的前提下�,設立面向互聯網的Web郵件網關也是可行的���。此外�����,如果SMTP服務和POP3服務集成在同一服務器上,在用戶試圖發信之前對其進行POP3訪問驗證(POP before SMTP)是一種更加安全的方法�。
(2)關閉Open Relay:現在依然存在并非少數的開放Open Relay服務器���,所以�����,關閉Open Relay功能對反垃圾郵件效果顯著。
(3)實時黑名單過濾:前面介紹的防范措施對使用自身合法域名的垃圾郵件無效���,這時可以使用黑名單服務列表。針對每個進入的郵件信息��,MTA程序獲取遠程服務器的地址���,并且查詢遠程互聯網服務器對該地址進行認證��。如果該地址在垃圾郵件主機列表中�,則MTA拒絕接受這些郵件信息���。其中使用BRL認證過程如圖1所示���。
圖1(4)內容過濾:MTA�����、MUA�����、MDA過濾有自己的特點��,通常幾種方法同時使用��。
◆ MTA過濾:大部分MTA提供某種過濾,因為它們在電子郵件的前端,通常更容易控制郵件的到達。
◆ MDA過濾:大多數MTA不對郵件內容過濾���,對信件內容的過濾就由MDA來完成,許多復雜的過濾器都是使用MDA過濾器做的。
◆ MUA過濾:MDA位于郵件服務器上����,而許多用戶希望從郵件界面管理過濾規則�,因此需要MUA過濾�。主流的MUA如Windows下的Outlook、Foxmail和Linux下的Evolution都帶有過濾功能。
◆ 專用工具:如SpamAssassin����。
◆ 商業軟件:如趨勢科技IMSS 5.5(整合了垃圾郵件防治服務SPS)����。
應用實例
Sendmail是RedHat Linux以及大多數類Unix操作系統的郵件傳送代理���,因此是目前配置最廣泛的郵件服務器�����。下面以RedHat Linux 9.0使用的Sendmail為例�,介紹上面幾種技術應對垃圾郵件的危害。
(1)關閉Sendmail的Relay功能
所謂Relay���,就是指別人能用這臺SMTP郵件服務器給任何人發信,這樣別有用心的垃圾發送者就可以使用這臺郵件服務器大量發送垃圾郵件�����,而最后別人投訴的不是垃圾發送者�,而是這臺服務器����,因此必須關閉Relay。
其方法是:到Linux服務器的/etc/mail目錄編輯access文件,去掉“*relay”之類的設置,只留“localhost relay”和“127.0.0.1 relay”兩條即可���。注意,修改access文件后還要使用如下命令使修改生效:
makemap hash access.db < access |
(2)在Sendmail中添加RBL功能
RBL(Realtime Blackhole List)是實時黑名單。常用的RBL服務器地址有relays.ordb.org���、bl.spamcop.net、dun.dnsrbl.net及dnsbl.sorbs.net等。查詢和刪除RBL中的IP地址可以去http://openrbl.org和http://ordb.org。
RBL將收集到的專發垃圾郵件的IP地址加入他們的黑名單���,只要在Sendmail中加入RBL認證功能,就會使郵件服務器在每次收信時都自動到RBL服務器上去查實,如果信件來源于黑名單����,則Sendmail會拒收郵件�����,從而使單位的用戶少受垃圾郵件之苦。
在Sendmail中添加RBL認證����,需要對Sendmail.mc添加以下內容:
FEATURE(`dnsbl'�����,`relays.ordb.org',`″Email blocked using ORDB.org - see <http://ORDB.org/lookup/?host=″___FCKpd___1amp;{client_addr}″>″') |
最后執行“m4 Sendmail.mc> Sendmail.cf”和“service Sendmail restart”兩條命令,使有關Sendmail的修改生效�����。
(3)打開Sendmail的SMTP
◆ 服務器端設置
關掉了Relay功能���,用戶就不能使用客戶端軟件發信����,此時需要Sendmail配置���,開放其SMTP認證功能�����,再在客戶端如Outlook Express����、Foxmail等當中打開SMTP認證����,這樣就可以正常SMTP服務器了。在RedHat Linux 9.0中配置SMTP認證非常方便�����,首先用命令檢查有沒有安裝cyrus-sasl軟件包�。
#rpm -qa|grep saslcyrus-sasl-2.1.10-4cyrus-sasl-plain-2.1.10-4cyrus-sasl-devel-2.1.10-4cyrus-sasl-md5-2.1.10-4 |
如果沒有安裝的話,用命令“rpm -ivh cyrus-sasl*.rpm”安裝所有軟件包���,接著打開/etc/mail/Sendmail.mc文件,將如下命令:
dnl TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnldnl define(`confAUTH_MECHANISMS'�����,`DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnlDAEMON_OPTIONS(`Port=smtp�����,Addr=127.0.0.1�����,Name=MTA')dn1 |
修改為:
TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnldefine(`confAUTH_MECHANISMS',`DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnlDAEMON_OPTIONS(`Port=smtp��,Addr=192.168.1.200,Name=MTA')dn1 |
然后產生cf文件,并進行測試:
#m4 Sendmail.mc > Sendmail.cf#service Sendmail restat# Sendmail d0.1 -bv root |grep SASL |
NETUNIX NEWDB NIS PIPELINING SASL SCANF STARTTLS TCPWRAPPERS #修改成功標志
下一步測試�,以Telnet到TCP 25 端口的方式:
#telnet localhost 25ehlo localhost |
注意有沒有以下的信息出現:
250-xxxxxxxx 250-xxxxxxx 250-AUTH LOGIN CRAM-MD5 DIGEST-MD5 250-xxxxxx |
Outlook Express和Foxmail使用LOGIN認證,Netscape Mail使用PLAIN認證�����。
◆ 客戶端設置
在Outlook Express主窗口���,單擊“工具(T)”選單�,在下拉選單中選中“賬號(A)”。在“Internet賬號”窗口中�,選定某一郵件賬號����,單擊“屬性(P)”��。在彈出的賬號“屬性”窗口中��,選擇“服務器”選項卡,選中“我的服務器要求身份驗證(V)”���。單擊旁邊的“設置(E)”按鈕,在“外發郵件服務器”窗口中選擇“使用與接收郵件服務器相同的設置(U)”�。按“確定”后����,設置便完成了�����。
Linux郵件服務器
