架設(shè)linux郵件服務(wù)器安全策略的實(shí)現(xiàn)

1、目 錄一引言1二郵件服務(wù)器安全的簡介2（一）郵件服務(wù)器安全的原理2（二）郵件服務(wù)器安全的類型2三搭建dns服務(wù)器3（一）dns的系統(tǒng)組成3（二）實(shí)驗(yàn)環(huán)境4（三）搭建dns服務(wù)器4四搭建sendmail郵件服務(wù)器11（一）sendmail簡介11（二）sendmail郵件服務(wù)器的優(yōu)缺點(diǎn)11（三）搭建sendmail郵件服務(wù)器12（四）測試郵件的發(fā)送15五dns的負(fù)載均衡19（一）基于dns的負(fù)載均衡19（二）用客戶機(jī)測試dns服務(wù)器19（三）測試dns的負(fù)載均衡20六sendmail郵件服務(wù)器安全策略的實(shí)現(xiàn)21（一）關(guān)閉sendmail的relay功能21（二）在sendmail中實(shí)時(shí)黑名單過濾

2、22（四）設(shè)置smtp認(rèn)證23（五）使用spamassassin工具來防止垃圾郵件26（六）sendmail服務(wù)器防范dos攻擊措施28（七）為電子郵件賬戶設(shè)置別名30八結(jié)束語31參考文獻(xiàn)32致謝32 架設(shè)linux郵件服務(wù)器安全策略的實(shí)現(xiàn)（浙江商業(yè)職業(yè)技術(shù)學(xué)院信息技術(shù)學(xué)院，網(wǎng)絡(luò)013班）內(nèi)容摘要 本文基于linux操作系統(tǒng)架設(shè)sendmail郵件服務(wù)器，在sendmail服務(wù)器中實(shí)現(xiàn)黑名單過濾，設(shè)置smtp認(rèn)證，使用spamassassin工具來防止垃圾郵件，通過架設(shè)郵件服務(wù)器并配置郵件服務(wù)器的策略，實(shí)現(xiàn)用戶收發(fā)郵件和提高郵件服務(wù)器的安全和可靠性。并利用dns輪詢在兩臺郵件服務(wù)器之間實(shí)現(xiàn)負(fù)載

3、均衡。關(guān)鍵詞 黑名單過濾；smtp認(rèn)證；防垃圾郵件；dns輪詢一引言隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展，linux作為一個(gè)現(xiàn)代化的操作系統(tǒng)，正在各個(gè)方面得到廣泛的應(yīng)用。電子郵件服務(wù)是一種重要的網(wǎng)絡(luò)服務(wù)，如今已經(jīng)是現(xiàn)代通信方式中不可缺少的一種，繼而已經(jīng)成為當(dāng)今人們生活中不可或缺的重要部分。而隨著其應(yīng)用的廣泛和地位的提高，郵件服務(wù)器也備受關(guān)注。人們要求郵件服務(wù)器可用性更強(qiáng)，更加快速，更加安全和使用方便。郵件服務(wù)器提供了郵件系統(tǒng)的基本結(jié)構(gòu)，包括郵件傳輸、郵件分發(fā)、郵件存儲等功能，以確保郵件能夠發(fā)送到internet網(wǎng)絡(luò)中的任意地方。針對此情況基于郵件服務(wù)器來實(shí)現(xiàn)smtp用戶認(rèn)證、黑名單過濾、關(guān)閉relay功能

4、等垃圾郵件的防范策略，來提高郵件服務(wù)器的安全性和可靠性。還要利用dns服務(wù)器來實(shí)現(xiàn)最基本的域名解析和輪詢功能。我們通過對郵件服務(wù)器的安全策略和dns的域名解析、輪詢功能來改善linux郵件服務(wù)器安全策略問題，提高了郵件服務(wù)器的安全性和可靠性，為用戶提供更好更快的訪問速度。本文共分六個(gè)部分。第一部分：引言。簡述選題的背景與意義及研究目標(biāo)與內(nèi)容。第二部分：企業(yè)需求分析。簡述公司的背景與需求及其目標(biāo)。第三部分：郵件服務(wù)器安全的簡介。介紹了郵件服務(wù)器安全的作用和郵件服務(wù)器安全的類型。第四部分：dns服務(wù)器的搭建。介紹了負(fù)載均衡技術(shù)的實(shí)現(xiàn)及步驟，如配置nat負(fù)載均衡，敘述了nat負(fù)載均衡技術(shù)的優(yōu)缺點(diǎn)。第

5、五部分：sendmail郵件服務(wù)器的搭建。介紹了sendmail郵件服務(wù)器、優(yōu)缺點(diǎn)及實(shí)現(xiàn)步驟。第六部分：sendmail郵件服務(wù)系統(tǒng)安全策略的實(shí)現(xiàn)。第七部分：結(jié)束語。敘述了采用linux系統(tǒng)和sendmail郵件系統(tǒng)的優(yōu)缺點(diǎn)以及通過本次課題設(shè)計(jì)的一些小結(jié)。二郵件服務(wù)器安全的簡介郵件服務(wù)器構(gòu)成了電子郵件系統(tǒng)的核心。每個(gè)收信人都有一個(gè)位于某個(gè)郵件服務(wù)器上的郵箱。接收者的郵箱用于管理和維護(hù)已經(jīng)發(fā)送給他的郵件消息。一個(gè)郵件消息的典型旅程是從發(fā)信人的用戶代理開始，游經(jīng)發(fā)信人的郵件服務(wù)器，中轉(zhuǎn)到收信人的郵件服務(wù)器，然后投遞到收信人的郵箱中。當(dāng)接收者想查看自己的郵箱中的郵件消息時(shí)，存放該郵箱的郵件服務(wù)器將以

6、他提供的用戶名和口令認(rèn)證他。發(fā)送者的郵件服務(wù)器還得處理接收者的郵件服務(wù)器出故障的情況。如果發(fā)送者的郵件服務(wù)器無法把郵件消息立即遞送到接收者的郵件服務(wù)器中，發(fā)送者的服務(wù)器就把它們存放在消息隊(duì)列中，以后再嘗試遞送。這種嘗試通常每30分鐘左右執(zhí)行一次:要是過了若干天仍未嘗試成功，該服務(wù)器就把這個(gè)消息從消息隊(duì)列中去除掉，同時(shí)以另一個(gè)郵件消息通知發(fā)信人。（一）郵件服務(wù)器安全的原理郵件服務(wù)器的工作過程是靠計(jì)算機(jī)技術(shù)和通信技術(shù)來完成的。發(fā)信者注明收件人的姓名與地址（即郵件地址），發(fā)送方服務(wù)器把郵件傳到收件方服務(wù)器，收件方服務(wù)器再把郵件發(fā)到收件人的郵箱中。郵件服務(wù)器安全就是為電子郵件賬戶設(shè)置別名，使用專用工具

7、防止垃圾郵件，設(shè)置smtp認(rèn)證，實(shí)時(shí)黑名單過濾。（二）郵件服務(wù)器安全的類型1.郵件的隱私性電子郵件是通過網(wǎng)絡(luò)介質(zhì)來傳播的，當(dāng)你在internet上發(fā)送郵件的時(shí)候，它是通過明文封裝來傳輸?shù)?，很容易受到來自網(wǎng)絡(luò)上的監(jiān)聽。攻擊者只要使用簡單的監(jiān)測軟件（如超級網(wǎng)管）就能截獲網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，獲得郵件的內(nèi)容，這使我們的隱私受到了威脅。2.郵件的真實(shí)性電子郵件在發(fā)送過程中如果被人截取到了，那就意味著你的電子郵件真實(shí)性的問題，會不會是被人改了再發(fā)送過來的，而且攻擊者這樣做往往是有目的的，這樣有時(shí)候會給雙方造成很大的誤會和損失。3.郵件的認(rèn)證性既然黑客能夠截取并修改我們的電子郵件，那么，他會不會把發(fā)信人的名

8、字改成別人的名字呢，例如：a發(fā)給b一封信，c是黑客，他想讓b不知道這封信是a發(fā)的，就改了發(fā)信人的名字為d，當(dāng)b接到信的時(shí)候，往往就會認(rèn)為這封信是d發(fā)給他的。這個(gè)例子也說明了，郵件如果沒有身份認(rèn)證有可能會產(chǎn)生張冠李戴的事情，這樣有時(shí)也會造成重大損失。4.郵件的安全性所有郵件都是通過郵件服務(wù)器來轉(zhuǎn)發(fā)的，因此，郵件服務(wù)器的安全問題變得嚴(yán)峻起來，黑客的攻擊、病毒的感染、發(fā)件人的群發(fā)，亂發(fā)（垃圾郵件）等等問題都要求郵件服務(wù)器必需要有一個(gè)安全穩(wěn)定的運(yùn)行環(huán)境。隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，這些問題都上升為郵件系統(tǒng)的核心技術(shù)問題。三搭建dns服務(wù)器（一）dns的系統(tǒng)組成dns服務(wù)器在互聯(lián)網(wǎng)的作用是：把域名轉(zhuǎn)換成為網(wǎng)

9、絡(luò)可以識別的ip地址。首先，要知道互聯(lián)網(wǎng)的網(wǎng)站都是一臺一臺服務(wù)器的形式存在的，但是我們怎么去到要訪問的網(wǎng)站服務(wù)器呢？這就需要給每臺服務(wù)器分配ip地址，互聯(lián)網(wǎng)上的網(wǎng)站無窮多，我們不可能記住每個(gè)網(wǎng)站的ip地址，這就產(chǎn)生了方便記憶的域名管理系統(tǒng)dns，他可以把我們輸入的好記的域名轉(zhuǎn)換為要訪問的服務(wù)器的ip地址。簡單的說，就是為了方便我們?yōu)g覽互聯(lián)網(wǎng)上的網(wǎng)站而不用去刻意記住每個(gè)主機(jī)的ip地址，dns服務(wù)器就應(yīng)運(yùn)而生，提供將域名解析為ip的服務(wù)，從而使我們上網(wǎng)的時(shí)候能夠用簡短而好記的域名來訪問互聯(lián)網(wǎng)上的靜態(tài)ip的主機(jī)。可以將dns服務(wù)器分為3個(gè)部分：1.域名空間。這是標(biāo)識一組主機(jī)并提供他們的有關(guān)信息的樹結(jié)

10、構(gòu)的詳細(xì)說明。樹上的沒一個(gè)節(jié)點(diǎn)都有其控制下的主機(jī)的有關(guān)信息的數(shù)據(jù)庫。查詢命令試圖從這個(gè)數(shù)據(jù)庫中提取適當(dāng)?shù)男畔?。這些是域名、ip地址、郵件別名等在dns系統(tǒng)中能找到的內(nèi)容。2.域名服務(wù)器。他們是保持和維護(hù)域名空間中數(shù)據(jù)的程序。由于域名服務(wù)是分布式的，每一個(gè)域名服務(wù)器含有一個(gè)域名空間自己的完整信息，并保存其他有關(guān)部分的信息。一個(gè)域名服務(wù)器擁有其控制范圍內(nèi)的完整信息。其控制范圍成為區(qū)（zone），對于本區(qū)內(nèi)的請求由負(fù)責(zé)本區(qū)的域名服務(wù)器解釋；對于不同區(qū)的請求將由本區(qū)的域名服務(wù)器與負(fù)載替他區(qū)的相應(yīng)服務(wù)器聯(lián)系。3.解析器。解析器是簡單的程序或子程序庫，它從服務(wù)器中提取信息以響應(yīng)對域名空間中主機(jī)的查詢，用于

11、dns客戶。（二）實(shí)驗(yàn)環(huán)境linux系統(tǒng)版本：redhat 9.0dnsserver ip 192.168.1.10mailserver1 ip 192.168.1.7mailserver2 ip 192.168.1.8windows xp ip 192.168.1.99dnsserver 作為域名解析服務(wù)器啟動輪詢功能為兩臺郵件服務(wù)器提供負(fù)載平衡。mailserver1與mailserver2 作為郵件服務(wù)器為用戶提供收發(fā)郵件。windows xp 作為測試工作站。（三）搭建dns服務(wù)器（1）配置靜態(tài)ip地址#vi /etc/sysconfig/network-scripts/ifcfg-e

12、th0，如圖3-1所示： /device設(shè)備名稱；/bootproto=static 靜態(tài)；/ipaddr 網(wǎng)卡的ip；/netmask 網(wǎng)卡的掩碼；/gateway 網(wǎng)關(guān)；/onboot 啟動引導(dǎo)時(shí)是否激活。 圖3-1配置靜態(tài)ip地址（2）重啟network服務(wù)#service network restart 如圖3-2所示：圖3-2重啟network（3）檢查bind域名服務(wù)器檢查系統(tǒng)中是否安裝了bind域名服務(wù)器，如圖3-3所示：圖3-3檢查bind域名服務(wù)器（4）配置正向解析，即域名轉(zhuǎn)換為ip的過程1）#vi /etc/named.conf如圖3-4所示，添加正向解析區(qū)域。 /“” 定

13、義了區(qū)域名稱。/ type類型有三種，它們分別是master,slave和hint它們的含義分別是： master:表示定義的是主域名服務(wù)器。 slave :表示定義的是輔助域名服務(wù)器。 hint:表示是互聯(lián)網(wǎng)中根域名服務(wù)器。/“.zone” 定義了實(shí)現(xiàn)正向解析的區(qū)域文件名。 圖3-4添加正向解析區(qū)域2）進(jìn)入/var/named把localhost.zone 復(fù)制到 .zone里，如圖3-5所示： /把localhost.zone這個(gè)模板復(fù)制到.zone這個(gè)區(qū)域文件中，方便下一步編輯這個(gè)區(qū)域文件。 圖3-5生成.zone區(qū)域3）編輯.zone#vi .zone 如圖3-6所示： 圖3-6編輯.

14、zone（5）配置反向解析，即ip轉(zhuǎn)換為域名的過程1）#vi /etc/named.conf添加反向解析區(qū)域，如圖3-7所示： /“” 定義了區(qū)域名稱/“master” 說明這個(gè)區(qū)為主域名服務(wù)器 /“192.168.1.zone” 定義了實(shí)現(xiàn)反向解析的區(qū)域文件名。 圖3-7添加反向解析區(qū)域2）進(jìn)入/var/named復(fù)制named.local 到 192.168.1.zone，如圖3-8所示： /把named.local這個(gè)模板復(fù)制到192.168.1.zone這個(gè)區(qū)域文件中，方便下一步編輯這個(gè)區(qū)域文件。 圖3-8生成192.168.1.zone區(qū)域3）編輯192.168.1.zone #vi

15、 192.168.1.zone 如圖3-9所示： /ns：表示是這個(gè)主機(jī)是一個(gè)域名服務(wù)器， /ptr：表示反向記錄。 圖3-9編輯192.168.1.zone區(qū)域（6）配置當(dāng)前主機(jī)dns服務(wù)器#vi /etc/resolv.conf 如圖3-10所示： /nameserver表明dns服務(wù)器的ip地址?？梢杂泻芏嘈械膎ameserver，每一個(gè)帶一個(gè)ip地址。在查詢時(shí)就按nameserver在本文件中的順序進(jìn)行，且只有當(dāng)?shù)谝粋€(gè)nameserver沒有反應(yīng)時(shí)才查詢下面的nameserver。/domain聲明主機(jī)的域名。很多程序用到它，如郵件系統(tǒng)；當(dāng)為沒有域名的主機(jī)進(jìn)行dns查詢時(shí)，也要用到。如

16、果沒有域名，主機(jī)名將被使用，刪除所有在第一個(gè)點(diǎn)( .)前面的內(nèi)容。 圖3-10配置dns服務(wù)器（7）啟動named服務(wù)#service named start /啟動 named 服務(wù)，如圖3-11所示： /如果看到如圖信息,那么就成功了,要是無法開啟,那么查看/var/log/message文件,并作相應(yīng)的修改。/注意：這里你可能第一次沒啟動起來，修改文件之后想重新啟動#service named restart，有時(shí)會發(fā)現(xiàn)啟動不了named服務(wù)，這時(shí)就要先殺了named進(jìn)程，#ps aux|grep named 顯示named進(jìn)程#kill -9 進(jìn)程號，殺了named進(jìn)程后在重啟name

17、d服務(wù)就可以了。 圖3-11啟動named服務(wù)（8）查看正向解析 用host命令來查看，輸入# host ，# host ，# host ，出現(xiàn)如圖3-12所示的畫面，說明正向解析成功。 圖3-12查看正向解析（9）查看反向解析用nslookup命令來查看：輸入ip地址192.168.1.10出現(xiàn)name=輸入ip地址192.168.1.7出現(xiàn)name=輸入ip地址192.168.1.8出現(xiàn)name=如圖3-13所示說明反向解析成功。 圖3-13查看反向解析（10）在客戶端配置網(wǎng)卡 如圖3-14所示的畫面圖3-14查看反向解析（11）在客戶端配置網(wǎng)卡 如圖3-15所示的畫面圖3-15查看反向解

18、析（12）在客戶端配置測試 如圖3-16所示的畫面圖3-16查看反向解析四搭建sendmail郵件服務(wù)器（一）sendmail簡介sendmail是最重要的郵件傳輸代理程序。理解電子郵件的工作模式是非常重要的。一般情況下，我們把電子郵件程序分解成用戶代理，傳輸代理和投遞代理。用戶代理用來接受用戶的指令，將用戶的信件傳送至信件傳輸代理，如：outlook express、foxmail等。而投遞代理則從信件傳輸代理取得信件傳送至最終用戶的郵箱，如：procmail。當(dāng)用戶試圖發(fā)送一封電子郵件的時(shí)候，他并不能直接將信件發(fā)送到對方的機(jī)器上，用戶代理必須試圖去尋找一個(gè)信件傳輸代理，把郵件提交給它。信件

19、傳輸代理得到了郵件后，首先將它保存在自身的緩沖隊(duì)列中，然后，根據(jù)郵件的目標(biāo)地址，信件傳輸代理程序?qū)⒄业綉?yīng)該對這個(gè)目標(biāo)地址負(fù)責(zé)的郵件傳輸代理服務(wù)器， 并且通過網(wǎng)絡(luò)將郵件傳送給它。對方的服務(wù)器接收到郵件之后，將其緩沖存儲在本地，直到電子郵件的接收者察看自己的電子信箱。顯然，郵件傳輸是從服務(wù)器到服務(wù)器的，而且每個(gè)用戶必須擁有服務(wù)器上存儲信息的空間（稱為信箱）才能接受郵件（發(fā)送郵件不受這個(gè)限制）?？梢钥吹剑粋€(gè)郵件傳輸代理的主要工作是監(jiān)視用戶代理的請求，根據(jù)電子郵件的目標(biāo)地址找出對應(yīng)的郵件服務(wù)器，將信件在服務(wù)器之間傳輸并且將接收到的郵件緩沖或者 提交給最終投遞程序。有許多的程序可以作為信件傳輸代理，但

20、是sendmail是其中最重要的一個(gè)，事實(shí)證明它可以支持?jǐn)?shù)千甚至更多的用戶，而且占用的系統(tǒng)資源相當(dāng)少。不過，sendmail的配置十分復(fù)雜，因此,也有人使用另外的一些工具，如qmail、postfix等等。sendmail的功能：1. 接受smtp郵件；2. 為郵件選擇路由；3. 傳輸smtp郵件；4. 使用郵件別名，從而允許使用郵件列表；5. 錯(cuò)誤檢測以及速度和代價(jià)優(yōu)化。（二）sendmail郵件服務(wù)器的優(yōu)缺點(diǎn)優(yōu)點(diǎn): sendmail是互聯(lián)網(wǎng)上應(yīng)用最廣泛的郵件服務(wù)器；豐富的技術(shù)支持；免費(fèi)版的開發(fā)進(jìn)程非常積極而且功能強(qiáng)大和可設(shè)置性極佳；商業(yè)版提供了技術(shù)支持以及管理和設(shè)置工具。在穩(wěn)定性、可移植性

21、、及確保沒有bug方面具有一定特色，且可以在網(wǎng)絡(luò)中搜索到大量的使用資料，因此linux下一般都選用此系統(tǒng)搭建，如果用戶系統(tǒng)的帶寬資源有限，并且要發(fā)送很多郵件列表信息，則sendmail效率更高一些。缺點(diǎn): sendmail在大多數(shù)系統(tǒng)上只能以根用戶身份運(yùn)行，這就意味著任何漏洞都可能導(dǎo)致非常嚴(yán)重的后果，除了這些問題之外，在高負(fù)載的情況sendmail運(yùn)行情況不是很好。當(dāng)然，sendmail具有一些缺點(diǎn)，其特色功能過多而導(dǎo)致配置文件的復(fù)雜性。當(dāng)然，通過使用m4宏使配置文件的生成變的容易很多。但是，要掌握所有的配置選項(xiàng)是一個(gè)很不容易的事情。sendmail在過去的版本中出現(xiàn)過很多安全漏洞，所以使管理

22、員不得不趕快升級版本。而且sendmail的流行性也使其成為攻擊的目標(biāo)，這有好處也有壞處:這意味著安全漏洞可以很快地被發(fā)現(xiàn)，但是同樣使sendmail更加穩(wěn)定和安全。另外一個(gè)問題是sendmail一般缺省配置都是具有最小的安全特性，從而使sendmail往往容易被攻擊。（三）搭建sendmail郵件服務(wù)器（1）配置mailserver1郵件服務(wù)器的ip地址#vi /etc/sysconfig/network-scripts/ifcfg-eth0，如圖4-1所示：/device設(shè)備名稱；/bootproto=static 靜態(tài)；/ipaddr 網(wǎng)卡的ip；/netmask 網(wǎng)卡的掩碼；/onbo

23、ot 啟動引導(dǎo)時(shí)是否激活。 圖4-1配置ip地址（2）檢查sendmail是否安裝 #rpm -q sendmail 如圖4-2所示: 圖4-2檢查sendmail是否安裝（3）進(jìn)入/etc/mail用# vi sendmail.cf命令配置sendmail.cf文件,將addr=127.0.0.1 修改為 addr=192.168.1.10，如圖4-3所示:圖4-3配置sendmail.cf文件（4）啟動sendmail服務(wù)器 # pstree |grep sendmail命令確認(rèn)sendmail是否已經(jīng)啟動.如圖4-4所示: 圖4-4啟動sendmail服務(wù)器（5）檢查是否安裝imap #

24、rpm -q imap 如圖4-5所示: 圖4-5檢查是否安裝imap（6）修該imap和pop3的配置1) #vi /etc/xinetd.d/ipop3 將其中disable =yes 改為disable = no，如圖4-6所示: 圖4-6修改pop3的配置2) #vi /etc/xinetd.d/imap 將其中的disable =yes 改為disable = no，如圖4-7所示: 圖4-7修改imap的配置（7）配置sendmail允許接收的域名 #vi /etc/mail/local-host-names 如圖4-8所示:圖4-8配置sendmail的域名（8）顯示更改后w類的

25、配置 #senmail bt 如圖4-9所示: 圖4-9顯示w類的配置（9）啟動xinetd服務(wù) #service xinetd restart 如圖4-10所示:圖4-10啟動xinetd服務(wù)（10）按照以上方法配置mailserver2服務(wù)器 步驟一樣只是地址改為192.168.1.8。（四）測試郵件的發(fā)送（1）檢查服務(wù)器是否啟動#netstat -au，如圖4-11所示:/192.168.1.7:25表示sendmail服務(wù)已經(jīng)在監(jiān)聽本機(jī)的25(smtp)端口。 圖4-11檢查服務(wù)器是否啟動（2）創(chuàng)建賬戶#useradd 如圖4-12所示:/添加用戶xxx和yjf圖4-12創(chuàng)建賬戶mjj

26、和wj（3）創(chuàng)建賬戶密碼#passwd 如圖4-13所示:/要在這里設(shè)的用戶密碼與用戶名相同.圖4-13創(chuàng)建賬戶密碼（4）在客戶端創(chuàng)建郵件賬戶添加xxx，如圖4-14 4-15所示:圖4-14添加郵件賬戶xxx圖4-15添加郵件地址（5）配置郵件smtp與pop3服務(wù)器，如圖4-16 4-17所示:圖4-16配置smtp和pop3服務(wù)器圖4-17設(shè)置密碼（6）按照以上方法配置mjj mjj（7）創(chuàng)建郵件，如圖4-18所示:圖4-18創(chuàng)建郵件（8）接收郵件，如圖4-19所示: 圖4-19接受郵件五dns的負(fù)載均衡（一）基于dns的負(fù)載均衡通過dns服務(wù)中的隨機(jī)名字解析來實(shí)現(xiàn)負(fù)載均衡，在dns服務(wù)

27、器中，可以為多個(gè)不同的地址配置同一個(gè)名字，而最終查詢這個(gè)名字的客戶機(jī)將在解析這個(gè)名字時(shí)得到其中一個(gè)地址。因此，對于同一個(gè)名字，不同的客戶機(jī)會得到不同的地址，他們也就訪問不同地址上的web服務(wù)器，從而達(dá)到負(fù)載均衡的目的。 （二）用客戶機(jī)測試dns服務(wù)器（1）配置客戶機(jī)的ip，如圖5-1所示: 圖5-1配置客戶機(jī)的ip（2）測試解析功能用nslookup命令來查看，如圖5-2所示: 圖5-2用nslookup命令查看（三）測試dns的負(fù)載均衡（1）利用dns輪詢可以實(shí)現(xiàn)簡單的負(fù)載均衡。這是通過對單個(gè)fqdn設(shè)置多個(gè)ip地址實(shí)現(xiàn)的。為了能夠使兩臺郵件服務(wù)器實(shí)現(xiàn)負(fù)載均衡，我們對配置了2個(gè)ip地址如圖5

28、-3所示: 圖5-3添加兩個(gè)ip地址給mail（2）測試負(fù)載均衡 用host 命令進(jìn)行測試，如圖5-4所示: 圖5-4用host命令測試我們可以看到每次訪問時(shí)，返回兩臺郵件服務(wù)器的ip，通過dns的輪詢功能，我們就可以實(shí)現(xiàn)兩臺郵件服務(wù)器的更替工作，實(shí)現(xiàn)負(fù)載均衡。六sendmail郵件服務(wù)器安全策略的實(shí)現(xiàn)（一）關(guān)閉sendmail的relay功能所謂relay功能就是指別人能用這臺smtp郵件服務(wù)器給任何人發(fā)信，這樣別有用心的垃圾發(fā)送者就可以使用這臺郵件服務(wù)器大量發(fā)送垃圾郵件，而最后別人投訴的不是垃圾發(fā)送者，而是這臺服務(wù)器，因此必須關(guān)閉relay?，F(xiàn)在依然存在并非少數(shù)的開放open relay服

29、務(wù)器，所以，關(guān)閉open relay功能對反垃圾郵件效果顯著。 關(guān)閉open relay具體實(shí)現(xiàn)過程：（1）到/etc/mail目錄編輯access文件，去掉“*relay”之類的設(shè)置，如圖6-1所示: 圖6-1編輯access文件（二）在sendmail中實(shí)時(shí)黑名單過濾黑名單服務(wù)是基于用戶投訴和采樣積累而建立的、由域名或ip組成的數(shù)據(jù)庫，最著名的是rbl、dcc和razor等。這些數(shù)據(jù)庫保存了頻繁發(fā)送垃圾郵件的主機(jī)名字或ip地址，供mta進(jìn)行實(shí)時(shí)查詢以決定是否拒收相應(yīng)的郵件。簡單地說，即數(shù)據(jù)庫中保存的ip地址或域名都應(yīng)該是非法的，都應(yīng)該被阻斷。不過，目前各種黑名單數(shù)據(jù)庫難以確保其正確性和及時(shí)

30、性，一般該名單的形成需要一段時(shí)間的積累。例如，原來一段時(shí)期，北美的rbl和dcc包含了我國大量的主機(jī)名字和ip地址，其中有些是早期的open relay造成的，有些則是由于誤報(bào)造成的。但這些遲遲得不到糾正，在一定程度上阻礙了我國和北美地區(qū)的郵件聯(lián)系，也妨礙了我國的用戶使用這些黑名單服務(wù)。 針對每個(gè)進(jìn)入的郵件信息，mta程序獲取遠(yuǎn)程服務(wù)器的地址，并且查詢遠(yuǎn)程互聯(lián)網(wǎng)服務(wù)器對該地址進(jìn)行認(rèn)證。如果該地址在垃圾郵件主 機(jī)列表中，則mta拒絕接受這些郵件信息。只要在sendmail中加入rbl認(rèn)證功能，就會使郵件服務(wù)器在每次收信時(shí)都自動到rbl服務(wù)器上去查實(shí)，如果信件來源于黑名單，則sendmail會拒收

31、郵件，從而使單位的用戶少受垃圾郵件之苦。實(shí)時(shí)黑名單過濾具體實(shí)現(xiàn)過程：（1）用# cd /etc/mail 命令進(jìn)入mail 文件,再編輯sendmail.mc，如圖6-2所示: 圖6-2用vi編輯sendmail.mc文件（2）在sendmail中添加rbl認(rèn)證，需要對sendmail.mc進(jìn)行配置，如圖6-3所示:圖6-3添加rbl認(rèn)證（3）執(zhí)行“m4 sendmail.mc sendmail.cf”和“service sendmail restart”兩條命令，使有關(guān)sendmail的修改生效，如圖6-4所示: 圖6-4使sendmail修改生效（四）設(shè)置smtp認(rèn)證smtp用戶認(rèn)證：一種

32、常見并十分有效的方法，在郵件傳送代理(mta)上對來自本地網(wǎng)絡(luò)以外的互聯(lián)網(wǎng)的發(fā)信用戶進(jìn)行smtp認(rèn)證，僅允許通過認(rèn)證的用戶進(jìn)行遠(yuǎn)程轉(zhuǎn)發(fā)。這樣既能夠有效避免郵件傳送代理服務(wù)器為垃圾郵件發(fā)送者所利 用，又為出差在外或在家工作的員工提供了便利。如果不采取smtp認(rèn)證，在不犧牲安全的前提下，設(shè)立面向互聯(lián)網(wǎng)的web郵件網(wǎng)關(guān)也是可行的。此外，如果smtp服務(wù)和pop3服務(wù)集成在同一服務(wù)器上，在用戶試圖發(fā)信之前對其進(jìn)行pop3訪問驗(yàn)證(pop before smtp)是一種更加安全的方法。雖然可以在sendmail中使用上述的access數(shù)據(jù)庫來管理用戶，使其合法地使用smtp服務(wù)器進(jìn)行郵件的傳遞。但是，由

33、于用戶的不斷增多，以及很多用戶都是在一個(gè)網(wǎng)段里面，如果單單依靠上述的access數(shù)據(jù)庫很難有效地管理smtp服務(wù)器的使用，那樣會使得access數(shù)據(jù)庫規(guī)模增大，管理混亂， 從而造成效率降低，甚至出錯(cuò)。所以，非常有必要使用red hat linux下自帶的身份認(rèn)證程序庫，配合sendmail服務(wù)器一起使用，對使用smtp服務(wù)的用戶進(jìn)行身份認(rèn)證，從而保證該服務(wù)的合法使用。下面是配置smtp用戶認(rèn)證的具體實(shí)現(xiàn)過程：（1）檢查系統(tǒng)是否已經(jīng)安裝了sasl相關(guān)的rpm包#rpm -qa|grep sasl 如圖6-8所示: 圖6-8檢查是否安裝sasl（2）查看sendmail與認(rèn)證相關(guān)的配置#cat /

34、usr/lib/sasl/sendmail.conf，如圖6-9所示: 圖6-9查看sendmail相關(guān)的配置（3）進(jìn)入sendmail cd /etc/mail編輯sendmail.mc修改和認(rèn)證相關(guān)的配置內(nèi)容，#vi sendmail.mc，如圖6-10所示:圖6-10修改sendmail.mc（4）修改本地mta的ip地址，如圖6-11所示:#vi sendmail.mc 圖6-11修改本地mta的ip（5）使用m4命令生成cf文件#m4 sendmail.mc sendmail.cf 如圖6-12所示: 圖6-12生成sendmail.cf文件（6）重新啟動sendmail服務(wù)器#se

35、rvice sendmail restart 如圖6-13所示: 圖6-13重啟sendmail服務(wù)器（7）測試，如圖6-14所示:圖6-14測試配置好了帶smtp認(rèn)證的sendmail服務(wù)器后，可以只使用smtp認(rèn)證的限制，即可以將access文件清空并重新生成access.db。在outlook中進(jìn)行測試，有關(guān)smtp認(rèn)證的配置界面，如圖6-15所示: 圖6-15配置smtp認(rèn)證（五）使用spamassassin工具來防止垃圾郵件spamassassin利用perl語言來對郵件內(nèi)容進(jìn)行規(guī)則匹配,從而達(dá)到判斷過濾垃圾郵件的目的。它的判斷方式是基于評分的方式，也就是說如果這封郵件符合某條規(guī)則，

36、則給與一定分值；當(dāng)累計(jì)的分值超過了一定限度時(shí)，則判定該郵件為垃圾郵件。對sendmail、postfix和exim等各種郵件平臺都適用。當(dāng)它被最終用戶或系統(tǒng)管理員調(diào)用時(shí)，它可以方便地與大多數(shù)流行的郵件處理系統(tǒng)進(jìn)行接口互連。spamassassin在對一封信件應(yīng)用了各項(xiàng)規(guī)則之后，生成一個(gè)分值來表示其為垃圾郵件的可能性。它可以設(shè)置上百條規(guī)則，包括對郵件頭的處理、對郵件內(nèi)容的處理及對郵件結(jié)構(gòu)的處理等。每條規(guī)則都對應(yīng)一個(gè)分值(可正、可負(fù))，每封信件的分值就是所匹配規(guī)則的分值之和。如果分值為負(fù)，表示這封信件是正常的；相反，如果分值為正，則表示信件有問題。如果超過了某個(gè)默認(rèn)的分值，過濾器就會標(biāo)識其可能為垃

37、圾郵件，然后交由用戶做出最終抉擇。使用spamassassin工具來防止垃圾郵件具體實(shí)現(xiàn)過程：（1）查看是否安裝spamassassin，如圖6-16所示: 圖6-16查看是否安裝spamassassin（2）查看spamassassin的預(yù)設(shè)默認(rèn)規(guī)則，如圖6-17所示:#cd/usr/share/spamassassin 圖6-17查看默認(rèn)規(guī)則（3）實(shí)現(xiàn)添加白名單可以配置通過/etc/mail/spamassassin/local.cf文件實(shí)現(xiàn)添加白名單(即可以確信不會發(fā)送垃圾郵件的發(fā)件人列表)。將test和域添加到白名單，如圖6-18所示: 圖6-18添加白名單（4）下面還要把spamas

38、sassin與sendmail整合在一起。最簡單的方法是使用procmail來調(diào)用spamassassin過濾器。procmail來調(diào)用spamassassin的過程。如圖6-19所示: 圖6-19調(diào)用過程（5）添加以下內(nèi)容到/etc/procmailrc文件，如圖6-20所示: 圖6-20添加內(nèi)容到procmailrc文件（6）如果想要spamassassin不檢查大郵件，可以對其做出限制，添加一行，如圖6-21所示:/這段代碼表示把郵件檢查的大小限制在1000k字節(jié)以內(nèi)。 圖6-21添加限制（六）sendmail服務(wù)器防范dos攻擊措施通過設(shè)置/etc/mail/sendmail.mc的一

39、些目錄限度，dos攻擊的有效性就會大受限制。另外可以考慮使用非root權(quán)限運(yùn)行sendmail服務(wù)，使用基于xinetd的smtp服務(wù)即可。缺省情況下sendmail的守護(hù)進(jìn)程作為setuid用戶進(jìn)程來運(yùn)行。如果 sendmail的守護(hù)進(jìn)程被緩沖區(qū)溢出攻擊的話，可能危及root賬號的安全，而root用戶的權(quán)限最高，攻擊者可以摧毀整個(gè)服務(wù)器。因此需要降低 sendmail運(yùn)行權(quán)限為普通用戶。（1）建立mail用戶名稱，如圖6-22所示: 圖6-22建立mail用戶（2）修改sendmail使用的文件和目錄的權(quán)限，如圖6-23所示:圖6-23修改sendmail文件（3）為sendmail創(chuàng)建一個(gè)

40、超級訪問程序/etc/xine.d/sendmail，如圖6-24所示: 圖6-24創(chuàng)建超級訪問程序（4）修改/etc/crontab，如圖6-25所示: /10分鐘運(yùn)行一次郵件服務(wù)器。圖6-25修改crontab文件（5）修改配置文件site.config.m4，如圖6-26所示: #vi site.confif.m4 圖6-26修改site.confif.m4文件（6）使用“killall -usr1 xinetd”重新啟動xinetd超級服務(wù)器，如圖6-27所示: 圖6-27重啟xinetd（7）連接sendmail，如圖6-28所示: 圖6-28連接sendmail（8）查看sendm

41、ail運(yùn)行情況，如圖6-29所示: #ps aux | grep sendmail 圖6-29查看sendmail運(yùn)行情況（9）上面顯示sendmail作為mail用戶在運(yùn)行。然后使用quit命令推出即可。（七）為電子郵件賬戶設(shè)置別名利用郵件用戶別名來限制某些用戶拒絕接受郵件。root用戶是linux操作系統(tǒng)中的特權(quán)用戶，其具有很高的權(quán)限。如通常情況下，其沒有硬盤空間的限制。如果有攻擊者給這個(gè)root用戶發(fā)垃圾郵件的話，那么其會一直接收下去，直到占滿全部硬盤空間位置。從而會給其他用戶接收郵件或者郵箱服務(wù)器的正常運(yùn)行造成障礙。所以在部署linux服務(wù)器的時(shí)候，往往需要對這個(gè)特權(quán)用戶給與特殊的照顧，如拒絕其接收任何郵件等等。那么如果把root帳戶的別名定義為/dev/null會有什么效果呢?此時(shí)，發(fā)送給root用戶的任何郵件都會被郵件服務(wù)器所忽視掉。也就是說，root帳戶將不能夠接收任何郵件。把一些linux操作系統(tǒng)中的特殊帳號，如root帳戶，設(shè)置為其不能夠接收任何郵件，這對于保護(hù)郵箱服務(wù)器的安全是非常有幫助的。其可以防止一些特權(quán)用戶因?yàn)闆]有硬盤容量限制，而導(dǎo)致垃圾郵件占用了大量的硬盤空間，從而給其他用戶造成使用上的故障。別名是sendmail最重要的功能之一，它的功能非常強(qiáng)大。由于在默認(rèn)的mc配置文件中