Qmail郵件系統下防止濫用mail relay完全解決方案

- 中國WEB開發者網絡 (http://www.webasp.net)
-- 技術教程 (http://www.webasp.net/article/)
--- Qmail郵件系統下防止濫用mail relay完全解決方案 (http://www.webasp.net/article/10/9756.htm)
-- 作者:未知
-- 發佈日期: 2004-06-09
軟件環境:redhat6.2 qmail1.3

硬件環境:HP Netserver E60 128M內存 單網卡

1.什麼是mail relay及為何要防止被濫用?

  設置好一個qmail服務器以後,該服務器將具有一個或若干個域名(這些域名應該出現在local或viritualdomains文件內),這時qmail-smtpd將監聽25號端口,等待遠程的發送郵件的請求。網絡上其他的mail服務器或者請求發送郵件的MUA(Mail User Agent,如outlook express、foxmail等等)會連接qmail服務器的25號端口,請求發送郵件,SMTP會話過程一般是從遠程標識自己的身份開始,過程如下:

HELO remote.system.domainname
250 qmailserver.domain
MAIL FROM:user@somewherer.net
250 OK
RCPT TO: user1@elsewhere.net

  郵件的接收者user1@elsewhere.net中的域名並不一定是本地域名,這時候本地系統可能有兩種回答,接受它:

250 OK

  或者拒絕接受它:

553 sorry,.that domain is not in my domain list of allowed recphosts

  第一種情況下,本地qmail服務器是允許relay的,它接收並同意傳遞一個目的地址不是本地的郵件;而第二種情況則不接收非本地郵件。

  qmail有一個名為rcpthosts(該文件名源於RCPT TO命令)的配置文件,其決定了是否接受一個郵件。只有當一個RCPT TO命令中的接收者地址的域名存在於rcpthosts文件中時,才接受該郵件,否則就拒絕該郵件。若該文件不存在,則所有的郵件將被接受。當一個郵件服務器不管郵件接收者和郵件接收者是誰,而是對所有郵件進行轉發(relay),則該郵件服務器就被稱為開放轉發(open relay)的。當qmail服務器沒有rcpthosts時,其是開放轉發的。

  如果系統管理員將自己的郵件服務器設置為open relay,將會導致一些垃圾郵件發送者將你的郵件服務器作為轉發自圾郵件的中繼站,這將使垃圾郵件的接收者將矛頭對準你,可能會導致報復性的郵件炸彈;垃圾郵件還能消耗你大量的資源,佔用你的帶寬。更為糟糕的事情可能是你的名字可能會上了黑名單,成為其他郵件接收者共同抵制的目標,你的郵件將被這些接收者所拒絕。

2.防止mail relay被濫用的方法一

  這種方法僅僅適用於用戶IP地址固定的情況,例如某單位擁有自己的一個C類地址,並且擁有自己的局域網,該郵件服務器僅僅是提供給局域網用戶收發電子郵件。

  設置自己服務器為非open relay的最簡單的辦法就是將你的郵件服務器的所有域名(若DNS的MX記錄指向該機器,也應該包括該域名。例如你的機器有三個域名mail.linxuaid.com.cn、mail1.linuxaid.com.cn,而且linuxaid.com.cn的MX指向mail.linuxaid.com.cn,則qmail的rcphosts的應該包括mail.linuxaid.com.cn、mail1.linuxaid.com.cn和linuxaid.com.cn)。這將只允許客戶連接到服務器以後才能發送電子郵件,而不允許用戶通過MUA來通過服務器轉發郵件,而要支持客戶使用MUA來發送郵件,必須允許客戶使用服務器轉發郵件。qmail-smtpd支持一種有選擇性的忽略rcpthosts文件的方法:若qmail-smtpd的環境變量RELAYCLIENT被設置,則rcpthost文件將被忽略,relay將被允許。但是如何識別一個郵件發送者是否是自己的客戶呢?就是判斷發送郵件者的源IP地址,若該IP地址屬於本地網絡,則認為該發送者為自己的客戶。

  這裡就要使用ucspi-tcp軟件包的tcpserver程序,該程序的功能類似於inetd-監聽進入的連接請求,為要啟動的服務設置各種環境變量,然後啟動指定的服務。tcpserver的配置文件是/etc/tcp.smtp,該文件定義了是否對某個網絡設置RELAYCLIENT環境變量。例如,本地網絡是地址為192.168.10.0/24的C類地址,則tcp.smtp的內容應該設置如下:

127.0.0.1:allow,RELAYCLIENT=""
192.168.10.:allow,RELAYCLIENT=""
:allow

  這幾個規則的含義是指若連接來自127.0.0.1和192.168.10則允許,並且為其設置環境變量RELAYCLIENT,否則允許其他連接,但是不設置RELAYCLIENT環境變量。這樣當從其他地方到本地的25號連接將會被允許,但是由於沒有被設置環境變量,所以其連接將會被qmail-smptd所拒絕。

  但是tcopserver並不直接使用/etc/tcp.smtp文件,而是需要先將該文件轉化為cbd文件:

[ideal@aidmail /etc]$ # tcprules tcp.smtp.cdb tcp.smtp.temp < tcp.smtp

  然後在/service/qmail-smtpd目錄下的run文件中應該具有如下的內容:

/usr/local/bin/tcpserver -v -p -x /etc/tcp.smtp.cdb

  可以看到,tcpserver利用了/etc/smtp.cbd文件。若本地有多個網絡,則需要這些網絡都出現在/etc/tcp.smtp文件中。

  這樣就實現了允許本地客戶relay郵件,而防止relay被濫用。

3.防止mail relay被濫用的方法二

  方法一對於局域網應用場合來說是足夠了,但是如果對於象263或163這樣的電子郵件系統來說,這種解決方法就不大適合,因為這些郵件系統的用戶遍佈全世界各個地方,因此用戶可能從任何一個IP連接過來發送信件,因此就需要尋找其他的方法來限制郵件系統的relay功能被濫用。
若在qmail系統中使用vpopmail,則可以利用vpopmail專門針對漫遊用戶的配置選項來實現防止郵件系統的relay功能被濫用。

  若希望支持漫遊用戶通過郵件服務器的轉發郵件(mail relay),則需要在安裝vpopmail時使用如下配置選項:

[root@aidmail vpopmail-4.9.4]# ./configure --enable-roaming-users=y

  其支持漫遊用戶的原理是:當某個漫遊用戶通過pop3取信以後,則在某段時間內允許該地址通過郵件服務器的轉發信件。vpopmail安裝完成以後,通過cron來定時運行程序如下:

40 * * * * /home/vpopmail/bin/clearopensmtp 2>&1 > /dev/null

  也就是每40分鐘清除允許relay的IP地址的列表,則當某個用戶首先通過pop3取信件(因為通過pop3收取信件是需要認證的,則可以保證這是合法的用戶)結束以後,則用戶在後來的40分鐘以內可以通過該郵件系統轉發郵件,之後就不允許通過該系統轉發郵件。

4.防止mail relay被濫用的方法三

  對於有漫遊用戶的郵件系統來說,防止其relay功能被濫用的另外一個方法就是在發送郵件時要求用戶認證,就像用戶收信是需要認證一樣。這裡假設系統已經安裝成功qmail-1.03和vpopmail,並且原有系統運行正常。

4.1.下載程序:

  qmail-smtp補丁:http://members.elysium.pl/brush/qmail-smtpd-auth/

  密碼檢驗補丁:http://members.elysium.pl/brush/cmd5checkpw/

  從這兩個地址下載得到qmail-smtpd-auth-0.26.tar.gz及cmd5checkpw-0.22.tar.gz。

4.2.編譯安裝qmail-smtpd

  將qmail-smtpd-auth-0.26.tar.gz解壓縮:

[root@www src]# tar xvfz qmail-smtpd-auth-0.26.tar.gz
[root@www src]# cd qmail-smtpd-auth-0.26
[root@www qmail-smtpd-auth-0.26]# ls
CHANGES Makefile README TODO inetd.conf qmail-smtpd.c
qmail-smtpd.patch

  將安裝成功的qmail目錄下的qmail-smtp.c拷貝到qmail-smtpd-auth-0.26目錄下:

[root@www qmail-smtpd-auth-0.26]# cp ../qmail-1.03/qmail-smtpd.c ./

  然後對該文件進行補丁處理:

[root@www qmail-smtpd-auth-0.26]# patch -p1 < qmail-smtpd.patch

  將qmail-smtpd.c 拷貝到qmail 的源文件目錄裡:

[root@www qmail-smtpd-auth-0.26]# cp qmail-smtpd.c ../qmail-1.03

  最好先將原文件備份。單獨編譯 qmail-smtpd :

[root@aidmail qmail-smtpd]# make qmail-smtpd

./load qmail-smtpd rcpthosts.o commands.o timeoutread.o
timeoutwrite.o ip.o ipme.o ipalloc.o control.o constmap.o
received.o date822fmt.o now.o qmail.o cdb.a fd.a wait.a
datetime.a getln.a open.a sig.a case.a env.a stralloc.a
alloc.a substdio.a error.a str.a fs.a auto_qmail.o `cat
socket.lib`

  將新生成的qmail-smtpd 拷貝到/var/qmail/bin 目錄下。在之前應該對原來的執行文件進行備份。

4.3.編譯安裝kpw-0.22.tar.gz

  解壓縮,編譯安裝:

[root@www src]# tar xvfz cmd5checkpw-0.22.tar.gz
[root@www src]# cd cmd5checkpw-0.22
[root@www cmd5checkpw-0.22]# make ;make instll

4.4.設置relay規則。

  relay的意思是:服務器接受客戶端的smtp請求,將客戶端發往第三方的郵件進行轉發。 qmail下控制relay很簡單,只要客戶端接入的smtp進程的環境變量裡包含(RELAYCLIENT="")就允許relay ,否則拒收。實現方法是在/etc/tcp.smtp 裡對需要relay的IP逐條設置(RELAYCLIENT=""),然後用tcprules 生成規則表。因為本文要實現SMTP認證後的relay ,不需要對任何IP進行預先設定,所以默認規則設置成"只對本服務器relay"。/etc/tcp.smtp內容應該為:

127.0.0.1:allow,RELAYCLIENT=""
:allow

  重新生成新的tcp.smtp.cdb文件:

/usr/local/bin/tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.tmp < /etc/tcp.smtp

4.5.設置/home/vpopmail/bin/vchkpw 的SetUID和SetGID。

  這點很重要,否則認證無法通過。這是因為smtpd 的進程是由qmaild 執行的。而密碼驗證程序原來只使用於pop3進程,分別由root或vpopmail執行,為的是讀shadow或數據庫中的密碼,並取出用戶的郵件目錄。這些操作qmaild 都沒有權限去做。如果smtp進程要調用密碼驗證程序,則必須要使用 setuid 和setgid 。其實這點大可放心,這兩個密碼驗證程序都是帶源代碼的,本身非常安全,只需要放在安全的目錄裡就可以了(設置其他用戶除qmaild 可執行外都沒有權限執行;其實如果沒有其他SHELL帳戶,也就不用這麼麻煩了)。

chmod 4755 /home/vpopmail/bin/vchkpw

4.6.修改smtpd啟動命令行

#!/bin/sh
QMAILDUID=`id -u qmaild`
NOFILESGID=`id -g qmaild`
exec /usr/local/bin/softlimit -m 2000000
/usr/local/bin/tcpserver -v -p -x /etc/tcp.smtp.cdb
-u $QMAILDUID -g $NOFILESGID 0 smtp /var/qmail/bin/qmail-smtpd 2>&1

  改為:

#!/bin/sh
QMAILDUID=qmaild
NOFILESGID=nofiles
exec /usr/local/bin/softlimit -m 2000000
/usr/local/bin/tcpserver -H -R -l 0 -t 1 -v -p -x /etc/tcp.smtp.cdb
-u $QMAILDUID -g $NOFILESGID 0 smtp /var/qmail/bin/qmail-smtpd
/home/vpopmail/bin/vchkpw /bin/true /bin/cmd5checkpw /bin/true 2>&1

4.7.其他一些設置:

  設置vpopmail的用戶目錄直到/目錄都被任何用戶可以讀取;


4.8.重新啟動qmail

/etc/rc.d/init.d/qmailstart stop
/etc/rc.d/init.d/qmailstart start

4.9.客戶端測試

  在客戶端上使用 OutlookExpress 和 Netscape 4.6 以上版本的郵件軟件進行檢驗

webasp.net