LINUX下利用SMTP安全手册—Qmail安全[菜鸟入门]

Qmail有一个名为rcpthosts(该文件名源于RCPT TO号令)的配置文件,其决意了能否承受一个邮件.只有当一个RCPT TO号令中的接纳者地址的域名存在于rcpthosts文件中时,才承受该邮件,不然就回绝该邮件.若该文件不存在,则全部的邮件将被承受.当一个邮件服务器不管邮件接纳者和邮件接纳者是谁,而是对全部邮件举行转发(relay),则该邮件服务器就被称为开放转发(open relay)的.当qmail服务器没有rcpthosts时,其是开放转发的. 
设置自己服务器为非open relay的最简单的办法就是将你的邮件服务器的全部域名(若DNS的MX记录指向该机械,也应当包含该域名.比方你的机械有三个域名mail.linxuaid.com.cn、mail1.linuxaid.com.cn,并且linuxaid.com.cn的MX指向mail.linuxaid.com.cn,则qmail的rcphosts的应当包含mail.linuxaid.com.cn、mail1.linuxaid.com.cn和linuxaid.com.cn).
但是这将招致你的本地客户也被回绝利用你的服务器转发邮件,而要支持客户利用MUA来发送邮件,必须答应客户利用服务器转发邮件.qmail-smtpd支持一种有挑选性的忽视rcpthosts文件的办法:若qmail-smtpd的环境变量RELAYCLIENT被设置,则rcpthost文件将被忽视,relay将被答应.但是若何辨认一个邮件发送者能否是自己的客户呢?qmail并没有采取密码认证的办法,而是判断发送邮件者的源IP地址,若该IP地址属于本地网络,则认为该发送者为自己的客户. 
这里就要利用ucspi-tcp软件包.在这里我们要利用该软件包的tcpserver程序.该程序的功效近似于inetd-监听进入的衔接恳求,为要启动的服务设置各种环境变量,然后启动指定的服务. 
tcpserver的配置文件是/etc/tcp.smtp,该文件定义了能否对某个网络设置RELAYCLIENT环境变量.比方,本地网络是地址为192.168.10.0/24的C类地址,则tcp.smtp的内容应当设置以下: 127.0.0.1:allow,RELAYCLIENT=""  192.168.10.:allow,RELAYCLIENT=""  :allow
这几个法则的含义是指若衔接来自127.0.0.1和192.168.10则答应,并且为其设置环境变量RELAYCLIENT,不然答应其他衔接,但是不设置RELAYCLIENT环境变量.这样当从其他地方到本地的25号衔接将会被答应,但是由于没有被设置环境变量,所以其衔接将会被qmail-smptd所回绝. 
但是tcopserver并不直接利用/etc/tcp.smtp文件,而是需求先将该文件转化为cbd文件: 
[lix@mail /etc]___FCKpd___1nbsp;# tcprules tcp.smtp.cdb tcp.smtp.temp
然后再回头看在/service/qmail-smtpd目录下的run文件中有 
/usr/local/bin/tcpserver -v -p -x /etc/tcp.smtp.cdb 
可以看到,tcpserver操纵了/etc/smtp.cbd文件.若本地有多个网络,则需求这些网络都呈目前/etc/tcp.smtp文件中. 
这样就实现了答应本地客户relay邮件,而避免relay被滥用.