Qmail服务器下防止滥用mail relay完全解决方案（2）

3.防止mail relay被滥用的方法二

方法一对于局域网应用场合来说是足够了，但是如果对于象263或163这样的电子邮件系统来说，这种解决方法就不大适合，因为这些邮件系统的用户遍布全世界各个地方，因此用户可能从任何一个IP连接过来发送信件，因此就需要寻找其他的方法来限制邮件系统的relay功能被滥用。
若在qmail系统中使用vpopmail，则可以利用vpopmail专门针对漫游用户的配置选项来实现防止邮件系统的relay功能被滥用。

若希望支持漫游用户通过邮件服务器的转发邮件(mail relay)，则需要在安装vpopmail时使用如下配置选项：

[root@aidmail vpopmail-4.9.4]# ./configure --enable-roaming-users=y

其支持漫游用户的原理是：当某个漫游用户通过pop3取信以后，则在某段时间内允许该地址通过邮件服务器的转发信件。vpopmail安装完成以后，通过cron来定时运行程序如下：

40 * * * * /home/vpopmail/bin/clearopensmtp 2>％26amp;1 > /dev/null

也就是每40分钟清除允许relay的IP地址的列表，则当某个用户首先通过pop3取信件(因为通过pop3收取信件是需要认证的，则可以保证这是合法的用户)结束以后，则用户在后来的40分钟以内可以通过该邮件系统转发邮件，之后就不允许通过该系统转发邮件。

4.防止mail relay被滥用的方法三

对于有漫游用户的邮件系统来说，防止其relay功能被滥用的另外一个方法就是在发送邮件时要求用户认证，就象用户收信是需要认证一样。这里假设系统已经安装成功qmail-1.03和vpopmail，并且原有系统运行正常。

4.1.下载程序：

qmail-smtp补丁：http://members.elysium.pl/brush/qmail-smtpd-auth/

密码检验补丁：http://members.elysium.pl/brush/cmd5checkpw/

从这两个地址下载得到qmail-smtpd-auth-0.26.tar.gz及cmd5checkpw-0.22.tar.gz。

4.2.编译安装qmail-smtpd

将qmail-smtpd-auth-0.26.tar.gz解压缩：

[root@www src]# tar xvfz qmail-smtpd-auth-0.26.tar.gz
[root@www src]# cd qmail-smtpd-auth-0.26
[root@www qmail-smtpd-auth-0.26]# ls
CHANGES Makefile README TODO inetd.conf qmail-smtpd.c
qmail-smtpd.patch

将安装成功的qmail目录下的qmail-smtp.c拷贝到qmail-smtpd-auth-0.26目录下：

[root@www qmail-smtpd-auth-0.26]# cp ../qmail-1.03/qmail-smtpd.c ./

然后对该文件进行补丁处理：

[root@www qmail-smtpd-auth-0.26]# patch -p1 < qmail-smtpd.patch

将qmail-smtpd.c 拷贝到qmail 的源文件目录里：

[root@www qmail-smtpd-auth-0.26]# cp qmail-smtpd.c ../qmail-1.03

最好先将原文件备份。单独编译 qmail-smtpd ：

[root@aidmail qmail-smtpd]# make qmail-smtpd

./load qmail-smtpd rcpthosts.o commands.o timeoutread.o
timeoutwrite.o ip.o ipme.o ipalloc.o control.o constmap.o
received.o date822fmt.o now.o qmail.o cdb.a fd.a wait.a
datetime.a getln.a open.a sig.a case.a env.a stralloc.a
alloc.a substdio.a error.a str.a fs.a auto_qmail.o `cat
socket.lib`

将新生成的qmail-smtpd 拷贝到/var/qmail/bin 目录下。在之前应该对原来的执行文件进行备份。

4.3.编译安装kpw-0.22.tar.gz

解压缩，编译安装：

[root@www src]# tar xvfz cmd5checkpw-0.22.tar.gz
[root@www src]# cd cmd5checkpw-0.22
[root@www cmd5checkpw-0.22]# make ;make instll

4.4.设置relay规则。

relay的意思是：服务器接受客户端的smtp请求，将客户端发往第三方的邮件进行转发。 qmail下控制relay很简单，只要客户端接入的smtp进程的环境变量里包含(RELAYCLIENT="")就允许relay ，否则拒收。实现方法是在/etc/tcp.smtp 里对需要relay的IP逐条设置(RELAYCLIENT="")，然后用tcprules 生成规则表。因为本文要实现SMTP认证后的relay ，不需要对任何IP进行预先设定，所以默认规则设置成"只对本服务器relay"。/etc/tcp.smtp内容应该为：

127.0.0.1:allow,RELAYCLIENT=""
:allow

重新生成新的tcp.smtp.cdb文件：

/usr/local/bin/tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.tmp < /etc/tcp.smtp

4.5.设置/home/vpopmail/bin/vchkpw 的SetUID和SetGID。

这点很重要，否则认证无法通过。这是因为smtpd 的进程是由qmaild 执行的。而密码验证程序原来只使用于pop3进程，分别由root或vpopmail执行，为的是读shadow或数据库中的密码，并取出用户的邮件目录。这些操作qmaild 都没有权限去做。如果smtp进程要调用密码验证程序，则必须要使用 setuid 和setgid 。其实这点大可放心，这两个密码验证程序都是带源代码的，本身非常安全，只需要放在安全的目录里就可以了(设置其他用户除qmaild 可执行外都没有权限执行；其实如果没有其他SHELL帐户，也就不用这么麻烦了)。

chmod 4755 /home/vpopmail/bin/vchkpw

4.6.修改smtpd启动命令行

#!/bin/sh
QMAILDUID=`id -u qmaild`
NOFILESGID=`id -g qmaild`
exec /usr/local/bin/softlimit -m 2000000
/usr/local/bin/tcpserver -v -p -x /etc/tcp.smtp.cdb
-u $QMAILDUID -g $NOFILESGID 0 smtp /var/qmail/bin/qmail-smtpd 2>％26amp;1

改为：

#!/bin/sh
QMAILDUID=qmaild
NOFILESGID=nofiles
exec /usr/local/bin/softlimit -m 2000000
/usr/local/bin/tcpserver -H -R -l 0 -t 1 -v -p -x /etc/tcp.smtp.cdb
-u $QMAILDUID -g $NOFILESGID 0 smtp /var/qmail/bin/qmail-smtpd
/home/vpopmail/bin/vchkpw /bin/true /bin/cmd5checkpw /bin/true 2>％26amp;1

4.7.其他一些设置：

设置vpopmail的用户目录直到/目录都被任何用户可以读取；

4.8.重新启动qmail

/etc/rc.d/init.d/qmailstart stop
/etc/rc.d/init.d/qmailstart start

4.9.客户端测试

在客户端上使用 OutlookExpress 和 Netscape 4.6 以上版本的邮件软件进行检验
文章来源:网站制 * 好者(www.devdao.com) 出处:http://www.devdao.com/Article/343313.htm