首页 > 网管 > 服务器 > 正文

安全技巧:设置Linux邮件服务器安全策略(一)

2019-09-11 22:22:19
字体:
来源:转载
供稿:网友

邮件系统是Linux网络应用的重要组成部分。完整的邮件系统包括底层操作系统、邮件传送代理MTA、邮件分发代理MDA和邮件用户代理MUA。

目前来看,Linux邮件系统面临的主要危险是垃圾邮件、Linux病毒和DoS攻击。本文将重点介绍Linux邮件服务器的防垃圾邮件策略。

垃圾邮件的防范

目前广泛使用的防垃圾邮件技术有:

(1)SMTP用户认证:一种常见并十分有效的方法,在邮件传送代理(MTA)上对来自本地网络以外的互联网的发信用户进行SMTP认证,仅允许通过认证的用户进行远程转发。这样既能够有效避免邮件传送代理服务器为垃圾邮件发送者所利用,又为出差在外或在家工作的员工提供了便利。

如果不采取SMTP认证,在不牺牲安全的前提下,设立面向互联网的Web邮件网关也是可行的。此外,如果SMTP服务和POP3服务集成在同一服务器上,在用户试图发信之前对其进行POP3访问验证(POP before SMTP)是一种更加安全的方法。

(2)关闭Open Relay:现在依然存在并非少数的开放Open Relay服务器,所以,关闭Open Relay功能对反垃圾邮件效果显著。

(3)实时黑名单过滤:前面介绍的防范措施对使用自身合法域名的垃圾邮件无效,这时可以使用黑名单服务列表。针对每个进入的邮件信息,MTA程序获取远程服务器的地址,并且查询远程互联网服务器对该地址进行认证。如果该地址在垃圾邮件主机列表中,则MTA拒绝接受这些邮件信息。其中使用BRL认证过程如图1所示。

图1

(4)内容过滤:MTA、MUA、MDA过滤有自己的特点,通常几种方法同时使用。

◆ MTA过滤:大部分MTA提供某种过滤,因为它们在电子邮件的前端,通常更容易控制邮件的到达。

◆ MDA过滤:大多数MTA不对邮件内容过滤,对信件内容的过滤就由MDA来完成,许多复杂的过滤器都是使用MDA过滤器做的。

◆ MUA过滤:MDA位于邮件服务器上,而许多用户希望从邮件界面管理过滤规则,因此需要MUA过滤。主流的MUA如Windows下的Outlook、Foxmail和Linux下的Evolution都带有过滤功能。

◆ 专用工具:如SpamAssassin。

◆ 商业软件:如趋势科技IMSS 5.5(整合了垃圾邮件防治服务SPS)。

应用实例

Sendmail是RedHat Linux以及大多数类Unix操作系统的邮件传送代理,因此是目前配置最广泛的邮件服务器。下面以RedHat Linux 9.0使用的Sendmail为例,介绍上面几种技术应对垃圾邮件的危害。

(1)关闭Sendmail的Relay功能

所谓Relay,就是指别人能用这台SMTP邮件服务器给任何人发信,这样别有用心的垃圾发送者就可以使用这台邮件服务器大量发送垃圾邮件,而最后别人投诉的不是垃圾发送者,而是这台服务器,因此必须关闭Relay。

其方法是:到Linux服务器的/etc/mail目录编辑access文件,去掉“*relay”之类的设置,只留“localhost relay”和“127.0.0.1 relay”两条即可。注意,修改access文件后还要使用如下命令使修改生效:

makemap hash access.db < access

(2)在Sendmail中添加RBL功能

RBL(Realtime Blackhole List)是实时黑名单。常用的RBL服务器地址有relays.ordb.org、bl.spamcop.net、dun.dnsrbl.net及dnsbl.sorbs.net等。查询和删除RBL中的IP地址可以去http://openrbl.org和http://ordb.org。

RBL将收集到的专发垃圾邮件的IP地址加入他们的黑名单,只要在Sendmail中加入RBL认证功能,就会使邮件服务器在每次收信时都自动到RBL服务器上去查实,如果信件来源于黑名单,则Sendmail会拒收邮件,从而使单位的用户少受垃圾邮件之苦。

在Sendmail中添加RBL认证,需要对Sendmail.mc添加以下内容:

FEATURE(`dnsbl',`relays.ordb.org',`″Email blocked using ORDB.org - see <http://ORDB.org/lookup/?host=″___FCKpd___1amp;{client_addr}″>″')

最后执行“m4 Sendmail.mc> Sendmail.cf”和“service Sendmail restart”两条命令,使有关Sendmail的修改生效。

(3)打开Sendmail的SMTP

◆ 服务器端设置

关掉了Relay功能,用户就不能使用客户端软件发信,此时需要Sendmail配置,开放其SMTP认证功能,再在客户端如Outlook Express、Foxmail等当中打开SMTP认证,这样就可以正常SMTP服务器了。在RedHat Linux 9.0中配置SMTP认证非常方便,首先用命令检查有没有安装cyrus-sasl软件包。

#rpm -qa|grep saslcyrus-sasl-2.1.10-4cyrus-sasl-plain-2.1.10-4cyrus-sasl-devel-2.1.10-4cyrus-sasl-md5-2.1.10-4

如果没有安装的话,用命令“rpm -ivh cyrus-sasl*.rpm”安装所有软件包,接着打开/etc/mail/Sendmail.mc文件,将如下命令:

dnl TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnldnl define(`confAUTH_MECHANISMS',`DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnlDAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1,Name=MTA')dn1

修改为:

TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnldefine(`confAUTH_MECHANISMS',`DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnlDAEMON_OPTIONS(`Port=smtp,Addr=192.168.1.200,Name=MTA')dn1

然后产生cf文件,并进行测试:

#m4 Sendmail.mc > Sendmail.cf#service Sendmail restat# Sendmail d0.1 -bv root |grep SASL

NETUNIX NEWDB NIS PIPELINING SASL SCANF STARTTLS TCPWRAPPERS #修改成功标志

下一步测试,以Telnet到TCP 25 端口的方式:

#telnet localhost 25ehlo localhost

注意有没有以下的信息出现:

250-xxxxxxxx 250-xxxxxxx 250-AUTH LOGIN CRAM-MD5 DIGEST-MD5 250-xxxxxx

Outlook Express和Foxmail使用LOGIN认证,Netscape Mail使用PLAIN认证。

◆ 客户端设置

在Outlook Express主窗口,单击“工具(T)”选单,在下拉选单中选中“账号(A)”。在“Internet账号”窗口中,选定某一邮件账号,单击“属性(P)”。在弹出的账号“属性”窗口中,选择“服务器”选项卡,选中“我的服务器要求身份验证(V)”。单击旁边的“设置(E)”按钮,在“外发邮件服务器”窗口中选择“使用与接收邮件服务器相同的设置(U)”。按“确定”后,设置便完成了。

Linux邮件服务器

发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表