sendmail 的设定
一. 8.8.x 版本的设法
redhat 安装完成之後, sendmail 已大致上就绪, 只要再加点修改, 便可以开始运作.
对於 mail server 而言, 最重要的工作是:
能正常送信收信.
避免当垃圾信件的中继站.
避免 root 被 mail bomb 攻击.
第 1 个目标应该没问题, 以下将针对第 2 和第 3 个目标进行说明.
◎ 防止 spam 的几个主要的设定档都在 /etc/mail 目录中.
共有几个重要的档案, 您必须以 root 身份来修改才行.
deny 记录哪些邮址将被拒绝收件, 格式如下
邮件位址 错误代码 错误讯息
mskuo@ms9.hinet.net 550 reject
修改之後, 需作成 deny.db 资料库档, 才能生效.
ip_allow 哪些 ip 位址的机器可以使用本机来 relay您可以将贵校 domain ip 放进来, 例如:
163.26.167第四位数字不加, 表示 167 这个 c class 的所有 ip 机器都可以用这部 mail server 来
relay 信件.
通常设这个档案会比较方便且安全!!!
原文: file containing ip numbers of machines which can use our relay
设了 ip, 则不管那个网域都能 relay to !!
name_allow 哪些网域名称可以使用本机来 relay?!
原文: file containing names of machines which can use our relay
若是设网址, 即 relay_allow 也要设定那些网域可以被允许送件过去!!
relay_allow 哪些机器或网域允许由本机来送达?!
原文: file containing names we relay to
◎ 修改 deny 档之後, 如何作成 deny.db 档呢? 方法如下:
makemap hash deny < /etc/mail/deny
指令 资料档型态 资料库档名 原始ascii设定档名
请 man 一下 makemap 指令, 大略看一下其说明.
◎ 上述四个档案修改之後, 必须先停止 sendmail 的运作(stop), 再重新启动 sendmail(start),
如此修改才会生效. sendmail 若只是下 kill -hup pid , 是不行的喔!
操作的方法如下:
/etc/rc.d/init.d/sendmail stop
此时, 会出现 sendmail 停止运作的讯息.
/etc/rc.d/init.d/sendmail start
此时, 会出现 sendmail 重新启动的讯息.
於是, 刚刚的修改正式生效.
您可以开始发几封 email 来测试一下, 是否能照您设限的方式运作?!
◎ 修改 /etc/aliases, 以防止 root 帐号被人用 mail bomb 攻击.
1. 增加一位仅具普通权限的 user, 如 rletter. 此 user 受 quota 的限制.
2. 在 /etc/aliases 中加入:
root: rletter
则 mail 给 root 的 email 都会转给 rletter, 因为 rletter 是普通 user, 受 quota
的限制, 所以 root 便不怕被人用巨量的 mail bomb 攻击.
修改完 /etc/aliases 之後, 记得要执行一次 newaliases.
以下是 mail 给 root 的情形, 但却是由 rletter 收的 head 表:
return-path:
received: from win95.ols3.com.tw ([203.68.102.145])
by test3.tnc.edu.tw (8.8.7/8.8.7) with smtp id vaa03296
for ; thu, 15 jul 1999 21:19:46 +0800
message-id: <002301becec5$4e97c140$0236a8c0@ols3.com.tw>
from: "webmaster"
to:
subject: test aliases
date: thu, 15 jul 1999 21:23:56 +0800
mime-version: 1.0
content-type: text/plain;
charset="big5"
content-transfer-encoding: 7bit
x-priority: 3
x-msmail-priority: normal
x-mailer: microsoft outlook express 5.00.2014.211
x-mimeole: produced by microsoft mimeole v5.00.2014.211
status:
以下是被拒绝收信的情形:
the original message was received at thu, 15 jul 1999 20:38:07 +0800
(cst)
from h150.s188.ts32.hinet.net [163.32.188.150]
----- the following addresses had permanent fatal errors -----
----- transcript of session follows -----
... while talking to test3.tnc.edu.tw.:
>>> mail from: size=158 body=8bitmime
<<< 550 ... reject (这就是您在 /etc/deny 中设定的)
^^^^^ ^^^^^^^^
554 ... service unavailable
----- original message follows -----
return-path:
received: from win95.ols3.com.tw (h150.s188.ts32.hinet.net
[163.32.188.150])
by ms9.hinet.net (8.8.8/8.8.8) with smtp id uaa13416
for ; thu, 15 jul 1999 20:38:07 +0800 (cst)
message-id: <001301becebe$21d26fe0$0236a8c0@ols3.com.tw>
from: "ols3"
to:
subject: test
date: thu, 15 jul 1999 20:32:36 +0800
mime-version: 1.0
content-type: text/plain;
charset="big5"
content-transfer-encoding: 8bit
x-priority: 3
x-msmail-priority: normal
x-mailer: microsoft outlook express 5.00.2014.211
x-mimeole: produced by microsoft mimeole v5.00.2014.211
test deny.db 的功用.
ols3
二. 8.9.1 及 8.9.2 的设定:
三. 8.9.3 版本的设定:
控制档:
8.9.3 的设定档有点不同: 主要控制档是 /etc/mail/access.
设定方法:
这个版本预设值是不 relay 任何信件的. 因此, 您应该将自己的网址加入 /etc/mail/access 这个档案.
把允许经由你这台主机 relay 的 domain 设定进去即可.
格式如下:
domain relay
例:
jmjh.tnc.edu.tw relay
那麽 jmjh.tnc.edu.tw 这个网域主机即可使用本机来 relay 信件.
若欲明确拒绝某一个网域的信件, 可以采用以下方式:
foo.com.tw reject
或
foo.com.tw 550 we do not relay messages for you
设定完之後, 必须将 access 的设定内容转成资料库档才能使设定生效.
方法如下:
在 /etc/mail 目录中执行 make
它会将 ascii 的设定内容转成 database 格式, 控 sendmail 读取.
当你执行 make 时, 其实, 它是按 makefile 中的规则来处理的, 我们来看一下它的内容:
all: virtusertable.db access.db domaintable.db mailertable.db
%.db : %
@makemap hash $@ < $<
clean:
@rm -f *.db *~
当设定档的时间日期比资料档还要新时(表示设定档有改变了), 才会产生新的资料档.
例子:
relay test 信件内容 , 红色数字编号表示解读信件传递的过程)
return-path:
received: from hacker.ols3.com.tw (hacker.ols3.com.tw
[192.168.54.88])
(4. 由 hacker 这台主机送信过来)
by ols3-note.ols3.com.tw (8.9.3/8.9.3) with esmtp id laa00648
(5. 由 ols3-note 这台主机收取)
for ; sun, 18 jul 1999 11:52:55 +0800
(6. 由 ols3@ols3-note.ols3.com.tw 这个人收到了)
received: from win95.ols3.com.tw (win95.ols3.com.tw [192.168.54.2])
(1. 这封信是由 win95.ols3.com.tw 发出的)
by hacker.ols3.com.tw (8.9.3/8.9.3) with smtp id laa00982
(2.这封信由 hacker 这台主机收取)
for ; sun, 18 jul 1999 11:43:47 +0800
(3.这封信的收信人)
message-id: <005001bed0cf$1b97e660$0236a8c0@ols3.com.tw>
from: "ols3"
to:
subject: tst
date: sun, 18 jul 1999 11:39:05 +0800
organization:
mime-version: 1.0
content-type: text/plain;
charset="big5"
content-transfer-encoding: 7bit
x-priority: 3
x-msmail-priority: normal
x-mailer: microsoft outlook express 5.00.2014.211
x-mimeole: produced by microsoft mimeole v5.00.2014.211
status:
安全问题: 如何作匿名信件?
一位网管人员, 应该要知道最基本的搞怪技巧, 如此, 才能魔高一尺, 道高一丈.
方法如下:
1. 先 telnet 到某一台有跑 sendmail 主机, 并指定连上 port 号 25
telnet hacker.ols3.com.tw 25
该主机会回应自己的 hostname 及所使用的协定. 如下所示:
220 hacker.ols3.com.tw esmtp sendmail 8.9.3/8.9.3; sun, 18 jul 1999
15:37:13 +08 00
hacker 这台主机回应说它现在正跑 esmtp (smtp 的加强版), sendmail 的版本是 8.9.3
2. 伪造自己的 domain
helo fool.com.tw
该主机会回应欢迎的讯息, 如下所示:
250 hacker.ols3.com.tw hello [192.168.54.4], pleased to me et you
3. 伪造发信人
mail from: jack@fool.com.tw
该主机会回应以下讯息, 表示发信人的位址被接受了.
250 jack@fool.com.tw... sender ok
4. 指定收信人
rcpt to: ols3@hacker.ols3.com.tw
该主机会回应以下讯息, 表示收信人的位址被接受了.
250 ols3@hacker.ols3.com.tw... recipient ok
5. 送出信件内容
送出信件内容之前, 应先通知对方:
data
该主机回应如下, 表示你可以开始送出信件内容, 信件结束时用 . 号档结尾符号
354 enter mail, end with "." on a line by itself
hi, this is a email test ...
.
该主机回应:
250 paa01122 message accepted for delivery
表示信件件已被接收了.
6. 离线
quit
以下是这封信的表头:
return-path:
received: from fool.com.tw (ols3-note.ols3.com.tw [192.168.54.4])
^^^^^^^^^^^^^^^^^^^^^
by hacker.ols3.com.tw (8.9.3/8.9.3) with smtp id paa01122
for ols3; sun, 18 jul 1999 15:46:01 +0800
date: sun, 18 jul 1999 15:46:01 +0800
from: jack@fool.com.tw
message-id: <199907180746.paa01122@hacker.ols3.com.tw>
status:
虽然寄信人可以伪造, 但 sendmail 还是会在 header 中记录下连线当时的主机ip,因此,
通常欲寄匿名信的人, 不会真的用他登录上线的那台机器, 他会找一台中继站台来当替死鬼.
(作者:skyside)
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
