邮件服务器的安全解决方案

cwjjames

邮件服务器的安全解决方案
8、修改sendmail.cf

　　vi /etc/sendmail.cf
　　在档案最后加上以下的内容：
　　注意：复制/贴上以下内容有时会因为html tag的问题造成sendmail服务无法重新启动，此时可下载完整sendmail.cf范例文件 (右键/另存目标)至本机再复制/贴上至服务器或上传至服务器。
　　#在M
　　##### @(#)procmail.m4 8.11 (Berkeley) 5/19/1998 #####
　　Mprocmail, P=/usr/bin/procmail, F=DFMSPhnu9, S=11/31, R=21/31, T=DNS/RFC822/X-Unix,
　　A=procmail -f- -Y -m $h $f $u
　　# (空此行一定要先空tab)

　　# 在my name for error messages设定的后面加上下面两行
　　# Avoid host map lookups if address has this pseudo-domain on it CPprocmail

　　# 在Ruleset 98后面加上下面设定
　　# Filter all mail through procmail
　　#
　　# Strip the pseudo-domain and continue (already gone through the filter)
　　R$*<@$+.procmail>$* $@ $1<@$2.>$3
　　R$*<@$+.procmail.>$* $@ $1<@$2.>$3
　　#
　　# No pseudo-domain, send to filtering mailer
　　R$*<@$+.>$* $#procmail $@/etc/procmail/filter.rc $1<@$2.procmail>$3
　　R$*<@$+>$* $#procmail $@/etc/procmail/filter.rc $1<@$2.procmail>$3

　　9、建立过滤档filter.rc

　　vi /etc/procmail/filter.rc
　　范例文件内容如下：
　　LOGFILE=/var/log/procmail.log
　　NL="
　　"
　　LOGABSTRACT=no

　　POISONED_EXECUTABLES=/etc/procmail/poisoned-files
　　INCLUDERC=/etc/procmail/html-trap.procmail

　　:0 # re-send the message
　　! -oi -f "$@"



b.修改sendmail.mc文件

　　sendmail.mc是生成sendmail.cf的模板文件之一，要使sendmail具有抗邮件攻击功能还需在该文件中进行相关定义。主要包括以下几项：

　　......

　　FEATURE(relay_entire_domain)

　　FEATURE(ACCESS_DB)dn1

　　FEATURE(blacklist_recipients)

　　......

　　(2)相关文件的配置

　　正确编译好sendmail是邮件服务器安全控制的基础，而真正的安全设置主要还是利用相关文件进行的。这种包含控制语句的文件主要是access和relay-domains。

　　access是邮件安全控制的主要数据库文件，在该文件中可以按照特定的格式将需控制的域名、IP地址或目标邮件地址，以及相应的动作值写入，然后使用makmap命令生成access.db文件(#makemap hash access.db

　　spam.com REJECT

　　edu.cn OK

　　hotmail.com DISCARD

　　其中reject动作是拒绝接受从指定地址发来的邮件；ok是允许特定地址用户任意访问；relay允许通过本邮件服务器进行中转邮件；discard是将收到的邮件交给特定命令进行处理，例如：可以设定将收到的邮件丢弃，或者设定收到邮件后返回给使用者一条出错信息等等。

　　Relay-domains文件是设定哪些域是该服务器可以中继的域，其格式为每个域占一行。如：

　　......

　　CN

　　EDU

　　JP

　　......

　　在服务器开始使用时建议将所有顶级域名加入其中，以后再根据安全需要对其进行修改，否则将会使pop3用户发送邮件时出现relay reject错误，而无法向没有加入的域名目标邮件地址发送邮件。