Sendmail的安全解決方案

Sendmail作為免費的郵件服務器軟件，已被廣泛應用于Internet各種操作系統的服務器中。 如：Solaris，HPUX，AIX，IRIX，Linux等等。隨著互連網的普及，郵件服務器受攻擊的機會也大大增加。目前互連網上的郵件服務器所受攻擊有兩類：一類就是中繼利用(Relay)，即遠程機器通過你的服務器來發信，這樣任何人都可以利用你的服務器向任何地址發郵件，久而久之，你的機器不僅成為發送垃圾郵件的幫兇，也會使你的網絡國際流量激增，同時將可能被網上的很多郵件服務器所拒絕。另一類攻擊稱為垃圾郵件(Spam)，即人們常說的郵件炸彈，是指在很短時間內服務器可能接收大量無用的郵件，從而使郵件服務器不堪負載而出現癱瘓。這兩種攻擊都可能使郵件服務器無法正常工作。因此作為一個校園網郵件服務器防止郵件攻擊將不可缺少。

　　目前對于sendmail郵件服務器，阻止郵件攻擊的方法有兩種。一種是升級高版本的服務器軟件，利用軟件自身的安全功能。第二種就是采用第三方軟件利用其諸如動態中繼驗證控制功能來實現。下面就以sendmail V8.9.3為例，介紹這些方法。

　　1.服務器自身安全功能
　　(1)編譯sendmail時的安全考慮
　　要利用sendmail 8.9.3的阻止郵件攻擊功能，就必須在系統編譯時對相關參數進行設置，并借助相關的軟件包。目前主要就是利用Berkeley DB數據庫的功能，Berkeley DB包可以從相關站點上下載，并需要預先編譯好。然后將Berkeley DB的相關參數寫進sendmail的有關文件中。

　　a.修改site.config.m4文件
　　將編譯好的Berkeley DB有關庫文件路徑加入到site.config.m4文件中，使sendmail編譯后能夠使用Berkeley DB數據庫。例如：
　　#cd $/sendmail-8.9.3/BuidTools/Site

　　修改site.config.m4文件
　　define (confINCDIRS, -I/usr/local/BerkeleyDB/include)
　　define (confLIBDIRS, L/usr/local/BerkeleyDB/lib)
　　
b.修改sendmail.mc文件
　　sendmail.mc是生成sendmail.cf的模板文件之一，要使sendmail具有抗郵件攻擊功能還需在該文件中進行相關定義。主要包括以下幾項：
　　......
　　FEATURE(relay_entire_domain)
　　FEATURE(ACCESS_DB)dn1
　　FEATURE(blacklist_recipients)
　　......

　　(2)相關文件的配置

　　正確編譯好sendmail是郵件服務器安全控制的基礎，而真正的安全設置主要還是利用相關文件進行的。這種包含控制語句的文件主要是aclearcase/" target="_blank" >ccess和relay-domains。

　　access是郵件安全控制的主要數據庫文件，在該文件中可以按照特定的格式將需控制的域名、IP地址或目標郵件地址，以及相應的動作值寫入，然后使用makmap命令生成access.db文件(#makemap hash access.db
　　spam.com REJECT
　　edu.cn OK
　　hotmail.com DISCARD
　　其中reject動作是拒絕接受從指定地址發來的郵件；ok是允許特定地址用戶任意訪問；relay允許通過本郵件服務器進行中轉郵件；discard是將收到的郵件交給特定命令進行處理，例如：可以設定將收到的郵件丟棄，或者設定收到郵件后返回給使用者一條出錯信息等等。

　　Relay-domains文件是設定哪些域是該服務器可以中繼的域，其格式為每個域占一行。如：
　　......
　　CN
　　EDU
　　JP
　　......

　　在服務器開始使用時建議將所有頂級域名加入其中，以后再根據安全需要對其進行修改，否則將會使pop3用戶發送郵件時出現relay reject錯誤，而無法向沒有加入的域名目標郵件地址發送郵件。

原文轉自：http://www.kjueaiud.com