Sendmail本身提供了很强大的邮件服务功能,但是美中不足,它在为用户发送邮件时,并不进行用户身份认证。所以,如果参数设置不当,它很容易为无关的邮件用户无偿转发大量的垃圾邮件,这样既浪费了系统的资源,增加了安全隐患,还会给人留下散发垃圾邮件的不良印象,损坏邮件服务器的形象。 Sendmail本身提供了一定的限制邮件转发的功能,但它只能根据静态的IP地址或域名来进行限制,使得合法用户只能在固定的IP地址使用发送邮件,否则将被拒绝。这样做虽然能解决邮件无偿转发的问题,但却给用户带来了使用上的不便。为了解决这一矛盾,本文提供了一个折衷的办法,称为“POP-BEFORE-SMTP”方法,基本思路如下:
·利用POP3的服务进程在日志里记录下邮件用户取信时的IP地址;
·在邮件服务器上启动一个侦听(daemon)进程,它实时地读取POP3的日志文件,获取该用户的IP地址,同时再赋给该IP一个固定的时间片,然后把它们一同放进一个供Sendmail读取的特定的文件中;
·Sendmail在为用户发信的时候,根据该特定文件的内容,核实用户的IP是否合法,若合法,则发送,否则拒发;
·在该特定文件中的IP,当其时间片用完的时候将被自动删除。
美中不足,这种方法要求用户在发信之前必须先取一次信,以便Sendmail能动态地得到其IP地址。但这并不违反用户的使用习惯,因此并无大碍。本文以Sendmail-8.9.3和qpopper-3.0.2为例,对这一方法进行介绍。
一、环境要求
·Redhat 5.1 以上;
·Perl 5;
·Qpopper-3.0.2;
·Sendmail 8.9.3以上。
二、详细步骤
1.编译安装qpopper
(1)下载
可到“中国自由软件库”(http://freesoft.cei.gov.cn)中下载qpopper-3.0.2.tar.gz软件包。
(2)编译
假设软件包已下载到当前目录
$tar -zxvf ./qpopper-3.0.2.tar.gz
$cd qpopper-3.0.2
$configure --enable-specialauth --enable-log-login --with-log-facility=LOG_LOCAL1
--enable-servermode
$make
(3)安装
因本文以qpopper为例,故需用qpopper替换原有的ipop3d:
$su
#cp ./popper/popper /usr/local/bin/
#vi /etc/inetd.conf #修改inetd.conf文件如下
#pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d
pop-3 stream tcp nowait root /usr/local/bin/popper popper -t /var/log/popper.log
#/etc/rc.d/init.d/inet restart
2.启动poprelayd进程
说明:poprelayd 是一个用perl 编写的命令,它负责实时地读取popper的日志文件,记录下用户的IP地址,并赋给它一个时间片,然后把它们放进 /etc/mail/popip.db 中,供Sendmail 读取;同时它还负责删除时间片用完的IP地址。
(有关poprelayd程序内容,请访问http://www.swm.com.cn/swm/200102/在Sendmail中实现用户认证的方法之一.html)
3.重新配置 Sendmail.cf 文件
Sendmail-8.9.3.tar.gz软件包可到“中国自由软件库”(http://freesoft.cei.gov.cn)中下载。本文假定软件包已在/home/Sendmail-8.9.3目录下展开:
#cd /home/Sendmail-8.9.3/cf/domain
#vi linux.m4
添加一行:
FEATURE(`access_db',`hash -o /etc/mail/access')dnl
#cd /home/Sendmail-8.9.3cf/cf
#vi linux.mc
OSTYPE(linux)dnl
DOMAIN(linux)dnl
MAILER(local)dnl
MAILER(smtp)dnl
#m4 ../m4/cf.m4 ./linux.mc > ./Sendmail.cf
#cp ./Sendmail.cf /etc/Sendmail.cf
#vi /etc/Sendmail.cf
在“local info”部分添加
#List of IP addresses we allow relaying from.
Klocalip hash -a /etc/mail/localip Kpopip hash -a /etc/mail/popip 在SLocal_check_rcpt后添加:
#Put the address into cannonical form (even if it doesn't resolve to an MX).
R$* $: $>Parse0 $>3 $1
R$* < $* > $* $: $1 < $2 . > $3 Pretend it's canonical.
R$* < $* . . > $* $1 < $2 . > $3 Remove extra dots.
#Allow relaying if the connected host is a local IP address.
R$* $: < $%26amp;{client_addr} > Get client IP address.
R<> $#OK Local is ok.
R< $* . $- > $* $(localip $1.$2 $: < $1 > . $2 $) Check last three octets.
R$* < MATCH > $#OK
R< $- > $* $: $(localip $1 $: < > $1 $2 $) Check first octet.
R$* < MATCH > $#OK
#Allow relaying if the connected host has recently POP3 authenticated.
R$* $: < $%26amp;{client_addr} > Get client IP address.
R< $* > $(popip $1 $) Check full address.
R$* < MATCH > $#OK
#IP address didn't match.
注意:各大列之间用制表符分隔。
4.生成localip.db、popip.db
说明:localip.db中包含合法的静态IP;popip.db则包含动态的合法IP,其内容由poprelayd侦听进程维护。
#cd /etc/mail
将无合法的静态IP先保存到一个文本文件中,然后再生成localip.db文件,如:
#vi localip
192.168.20 OK
192.168.21 OK
....
#makemap hash localip < ./localip
#makemap hash popip < /dev/null
5.重新启动 Sendmail
#/etc/rc.d/init/Sendmail restart
6.启动poprelayd
#/etc/mail/poprelayd -d
