在 Sendmail 中实现用户认证
2007-01-12 10:33
302 查看
Sendmail 本身提供了很强大的邮件服务功能,但是美中不足,它在为用户发送邮件时,并不进行用户身份认证。所以,如果参数设置不当,它很容易为无关的邮件用户无偿转发大量的垃圾邮件,这样既浪费了系统的资源,增加了安全隐患,还会给人留下散发垃圾邮件的不良印象,损坏邮件服务器的形象。
Sendmail本身提供了一定的限制邮件转发的功能,但它只能根据静态的IP地址或域名来进行限制,使得合法用户只能在固定的IP地址使用发送邮件,否则将被拒绝。这样做虽然能解决邮件无偿转发的问题,但却给用户带来了使用上的不便。为了解决这一矛盾,本文提供了一个折衷的办法,称为“POP-BEFORE-SMTP”方法,基本思路如下:
·利用POP3的服务进程在日志里记录下邮件用户取信时的IP地址;
·在邮件服务器上启动一个侦听(daemon)进程,它实时地读取POP3的日志文件,获取该用户的IP地址,同时再赋给该IP一个固定的时间片,然后把它们一同放进一个供Sendmail读取的特定的文件中;
·Sendmail在为用户发信的时候,根据该特定文件的内容,核实用户的IP是否合法,若合法,则发送,否则拒发;
·在该特定文件中的IP,当其时间片用完的时候将被自动删除。
美中不足,这种方法要求用户在发信之前必须先取一次信,以便Sendmail能动态地得到其IP地址。但这并不违反用户的使用习惯,因此并无大碍。本文以Sendmail-8.9.3和qpopper-3.0.2为例,对这一方法进行介绍。
一、环境要求
·Redhat 5.1 以上;
·Perl 5;
·Qpopper-3.0.2;
·Sendmail 8.9.3以上。
二、详细步骤
1.编译安装qpopper
(1)下载
可到“中国自由软件库”(http://freesoft.cei.gov.cn)中下载qpopper-3.0.2.tar.gz软件包。
(2)编译
假设软件包已下载到当前目录
$tar -zxvf ./qpopper-3.0.2.tar.gz
$cd qpopper-3.0.2
$configure --enable-specialauth --enable-log-login --with-log-facility=LOG_LOCAL1
--enable-servermode
$make
(3)安装
因本文以qpopper为例,故需用qpopper替换原有的ipop3d:
$su
#cp ./popper/popper /usr/local/bin/
#vi /etc/inetd.conf #修改inetd.conf文件如下
#pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d
pop-3 stream tcp nowait root /usr/local/bin/popper popper -t /var/log/popper.log
#/etc/rc.d/init.d/inet restart
2.启动poprelayd进程
说明:poprelayd 是一个用perl 编写的命令,它负责实时地读取popper的日志文件,记录下用户的IP地址,并赋给它一个时间片,然后把它们放进 /etc/mail/popip.db 中,供Sendmail 读取;同时它还负责删除时间片用完的IP地址。
(有关poprelayd程序内容,请访问http://www.swm.com.cn/swm/200102/在Sendmail中实现用户认证的方法之一.html)
3.重新配置 Sendmail.cf 文件
Sendmail-8.9.3.tar.gz软件包可到“中国自由软件库”(http://freesoft.cei.gov.cn)中下载。本文假定软件包已在/home/Sendmail-8.9.3目录下展开:
#cd /home/Sendmail-8.9.3/cf/domain
#vi linux.m4
添加一行:
FEATURE(`access_db’,`hash -o /etc/mail/access’)dnl
#cd /home/Sendmail-8.9.3cf/cf
#vi linux.mc
OSTYPE(linux)dnl
DOMAIN(linux)dnl
MAILER(local)dnl
MAILER(smtp)dnl
#m4 ../m4/cf.m4 ./linux.mc 〉 ./Sendmail.cf
#cp ./Sendmail.cf /etc/Sendmail.cf
#vi /etc/Sendmail.cf
在“local info”部分添加
#List of IP addresses we allow relaying from.
Klocalip hash -a /etc/mail/localip
Kpopip hash -a /etc/mail/popip
在SLocal_check_rcpt后添加:
#Put the address into cannonical form (even if it doesn’t resolve to an MX).
R$* $: $〉Parse0 $〉3 $1
R$* 〈 $* 〉 $* $: $1 〈 $2 . 〉 $3 Pretend it’s canonical.
R$* 〈 $* . . 〉 $* $1 〈 $2 . 〉 $3 Remove extra dots.
#Allow relaying if the connected host is a local IP address.
R$* $: 〈 $&{client_addr} 〉 Get client IP address.
R〈〉 $#OK Local is ok.
R〈 $* . $- 〉 $* $(localip $1.$2 $: 〈 $1 〉 . $2 $) Check last three octets.
R$* 〈 MATCH 〉 $#OK
R〈 $- 〉 $* $: $(localip $1 $: 〈 〉 $1 $2 $) Check first octet.
R$* 〈 MATCH 〉 $#OK
#Allow relaying if the connected host has recently POP3 authenticated.
R$* $: 〈 $&{client_addr} 〉 Get client IP address.
R〈 $* 〉 $(popip $1 $) Check full address.
R$* 〈 MATCH 〉 $#OK
#IP address didn’t match.
注意:各大列之间用制表符分隔。
4.生成localip.db、popip.db
说明:localip.db中包含合法的静态IP;popip.db则包含动态的合法IP,其内容由poprelayd侦听进程维护。
#cd /etc/mail
将无合法的静态IP先保存到一个文本文件中,然后再生成localip.db文件,如:
#vi localip
192.168.20 OK
192.168.21 OK
....
#makemap hash localip 〈 ./localip
#makemap hash popip 〈 /dev/null
5.重新启动 Sendmail
#/etc/rc.d/init/Sendmail restart
6.启动poprelayd
#/etc/mail/poprelayd -d
[文章来源:“十万个为什么”电脑学习网]
[网址:http://why100000.com]
[特别声明:除本站部分特别声明禁止转载的专稿外,其他的文章可以自由转载,但请务必注明出处和原始作者。本站文章版权归文章原作者所有。如果本站转载的文章有版权问题请联系我们,我们会尽快予以更正。]
Sendmail本身提供了一定的限制邮件转发的功能,但它只能根据静态的IP地址或域名来进行限制,使得合法用户只能在固定的IP地址使用发送邮件,否则将被拒绝。这样做虽然能解决邮件无偿转发的问题,但却给用户带来了使用上的不便。为了解决这一矛盾,本文提供了一个折衷的办法,称为“POP-BEFORE-SMTP”方法,基本思路如下:
·利用POP3的服务进程在日志里记录下邮件用户取信时的IP地址;
·在邮件服务器上启动一个侦听(daemon)进程,它实时地读取POP3的日志文件,获取该用户的IP地址,同时再赋给该IP一个固定的时间片,然后把它们一同放进一个供Sendmail读取的特定的文件中;
·Sendmail在为用户发信的时候,根据该特定文件的内容,核实用户的IP是否合法,若合法,则发送,否则拒发;
·在该特定文件中的IP,当其时间片用完的时候将被自动删除。
美中不足,这种方法要求用户在发信之前必须先取一次信,以便Sendmail能动态地得到其IP地址。但这并不违反用户的使用习惯,因此并无大碍。本文以Sendmail-8.9.3和qpopper-3.0.2为例,对这一方法进行介绍。
一、环境要求
·Redhat 5.1 以上;
·Perl 5;
·Qpopper-3.0.2;
·Sendmail 8.9.3以上。
二、详细步骤
1.编译安装qpopper
(1)下载
可到“中国自由软件库”(http://freesoft.cei.gov.cn)中下载qpopper-3.0.2.tar.gz软件包。
(2)编译
假设软件包已下载到当前目录
$tar -zxvf ./qpopper-3.0.2.tar.gz
$cd qpopper-3.0.2
$configure --enable-specialauth --enable-log-login --with-log-facility=LOG_LOCAL1
--enable-servermode
$make
(3)安装
因本文以qpopper为例,故需用qpopper替换原有的ipop3d:
$su
#cp ./popper/popper /usr/local/bin/
#vi /etc/inetd.conf #修改inetd.conf文件如下
#pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d
pop-3 stream tcp nowait root /usr/local/bin/popper popper -t /var/log/popper.log
#/etc/rc.d/init.d/inet restart
2.启动poprelayd进程
说明:poprelayd 是一个用perl 编写的命令,它负责实时地读取popper的日志文件,记录下用户的IP地址,并赋给它一个时间片,然后把它们放进 /etc/mail/popip.db 中,供Sendmail 读取;同时它还负责删除时间片用完的IP地址。
(有关poprelayd程序内容,请访问http://www.swm.com.cn/swm/200102/在Sendmail中实现用户认证的方法之一.html)
3.重新配置 Sendmail.cf 文件
Sendmail-8.9.3.tar.gz软件包可到“中国自由软件库”(http://freesoft.cei.gov.cn)中下载。本文假定软件包已在/home/Sendmail-8.9.3目录下展开:
#cd /home/Sendmail-8.9.3/cf/domain
#vi linux.m4
添加一行:
FEATURE(`access_db’,`hash -o /etc/mail/access’)dnl
#cd /home/Sendmail-8.9.3cf/cf
#vi linux.mc
OSTYPE(linux)dnl
DOMAIN(linux)dnl
MAILER(local)dnl
MAILER(smtp)dnl
#m4 ../m4/cf.m4 ./linux.mc 〉 ./Sendmail.cf
#cp ./Sendmail.cf /etc/Sendmail.cf
#vi /etc/Sendmail.cf
在“local info”部分添加
#List of IP addresses we allow relaying from.
Klocalip hash -a /etc/mail/localip
Kpopip hash -a /etc/mail/popip
在SLocal_check_rcpt后添加:
#Put the address into cannonical form (even if it doesn’t resolve to an MX).
R$* $: $〉Parse0 $〉3 $1
R$* 〈 $* 〉 $* $: $1 〈 $2 . 〉 $3 Pretend it’s canonical.
R$* 〈 $* . . 〉 $* $1 〈 $2 . 〉 $3 Remove extra dots.
#Allow relaying if the connected host is a local IP address.
R$* $: 〈 $&{client_addr} 〉 Get client IP address.
R〈〉 $#OK Local is ok.
R〈 $* . $- 〉 $* $(localip $1.$2 $: 〈 $1 〉 . $2 $) Check last three octets.
R$* 〈 MATCH 〉 $#OK
R〈 $- 〉 $* $: $(localip $1 $: 〈 〉 $1 $2 $) Check first octet.
R$* 〈 MATCH 〉 $#OK
#Allow relaying if the connected host has recently POP3 authenticated.
R$* $: 〈 $&{client_addr} 〉 Get client IP address.
R〈 $* 〉 $(popip $1 $) Check full address.
R$* 〈 MATCH 〉 $#OK
#IP address didn’t match.
注意:各大列之间用制表符分隔。
4.生成localip.db、popip.db
说明:localip.db中包含合法的静态IP;popip.db则包含动态的合法IP,其内容由poprelayd侦听进程维护。
#cd /etc/mail
将无合法的静态IP先保存到一个文本文件中,然后再生成localip.db文件,如:
#vi localip
192.168.20 OK
192.168.21 OK
....
#makemap hash localip 〈 ./localip
#makemap hash popip 〈 /dev/null
5.重新启动 Sendmail
#/etc/rc.d/init/Sendmail restart
6.启动poprelayd
#/etc/mail/poprelayd -d
[文章来源:“十万个为什么”电脑学习网]
[网址:http://why100000.com]
[特别声明:除本站部分特别声明禁止转载的专稿外,其他的文章可以自由转载,但请务必注明出处和原始作者。本站文章版权归文章原作者所有。如果本站转载的文章有版权问题请联系我们,我们会尽快予以更正。]
相关文章推荐
- Linux FTP服务器的搭建与配置+基于关系型数据库实现用户认证
- 基于windows集成身份认证的“注销”和”切换用户“是这么实现的!
- Linux+Apache用 mod_auth_mysql实现用户身份认证
- VsFTP+本地文件认证+SSl实现虚拟用户配置
- 在Apache Web Server上实现用户认证
- WebAPI 用户认证防篡改实现HMAC(二)签名验证 AbsBaseAuthenticationAttribute--转
- PHP实现用户认证及管理完全源码
- Spring Shiro配置实现用户认证和授权
- Python 操作LDAP实现用户统一认证密码修改功能
- 使用Spring3 实现用户登录以及权限认证
- PHP中对用户身份认证实现两种方法
- Lumen实现用户注册登录认证
- 使用 LDAP + Kerberos 实现集中用户认证及授权系统
- 用户权限设计 ASP.NET系统用户权限设计与实现、用户认证管理设计方案、通用数据权限管理系统设计
- LINUX用户建立秘钥认证实现SHELL脚本管理,分发,部署
- Php中用户身份认证实现二法
- ldap实现用户认证
- 基于Laravel Auth自定义接口API用户认证的实现方法
- python实现简单用户认证和角色制授权