在 Sendmail 中实现用户认证

Sendmail 本身提供了很强大的邮件服务功能，但是美中不足，它在为用户发送邮件时，并不进行用户身份认证。所以，如果参数设置不当，它很容易为无关的邮件用户无偿转发大量的垃圾邮件，这样既浪费了系统的资源，增加了安全隐患，还会给人留下散发垃圾邮件的不良印象，损坏邮件服务器的形象。

　　Sendmail本身提供了一定的限制邮件转发的功能，但它只能根据静态的IP地址或域名来进行限制，使得合法用户只能在固定的IP地址使用发送邮件，否则将被拒绝。这样做虽然能解决邮件无偿转发的问题，但却给用户带来了使用上的不便。为了解决这一矛盾，本文提供了一个折衷的办法，称为“POP-BEFORE-SMTP”方法，基本思路如下：

　　·利用POP3的服务进程在日志里记录下邮件用户取信时的IP地址；

　　·在邮件服务器上启动一个侦听(daemon)进程，它实时地读取POP3的日志文件，获取该用户的IP地址，同时再赋给该IP一个固定的时间片，然后把它们一同放进一个供Sendmail读取的特定的文件中；

　　·Sendmail在为用户发信的时候，根据该特定文件的内容，核实用户的IP是否合法，若合法，则发送，否则拒发；

　　·在该特定文件中的IP，当其时间片用完的时候将被自动删除。

　　美中不足，这种方法要求用户在发信之前必须先取一次信，以便Sendmail能动态地得到其IP地址。但这并不违反用户的使用习惯，因此并无大碍。本文以Sendmail-8.9.3和qpopper-3.0.2为例，对这一方法进行介绍。
一、环境要求

　　·Redhat 5.1 以上；

　　·Perl 5；

　　·Qpopper-3.0.2；

　　·Sendmail 8.9.3以上。

　　二、详细步骤

　　1．编译安装qpopper

　　(1)下载

　　可到“中国自由软件库”(http://freesoft.cei.gov.cn)中下载qpopper-3.0.2.tar.gz软件包。

　　(2)编译

　　假设软件包已下载到当前目录
$tar -zxvf ./qpopper-3.0.2.tar.gz

　　$cd qpopper-3.0.2

　　$configure --enable-specialauth --enable-log-login --with-log-facility=LOG_LOCAL1

　　--enable-servermode

　　$make

　　(3)安装

　　因本文以qpopper为例，故需用qpopper替换原有的ipop3d：

　　$su

　　#cp ./popper/popper /usr/local/bin/

　　#vi /etc/inetd.conf #修改inetd.conf文件如下

　　#pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d

　　pop-3 stream tcp nowait root /usr/local/bin/popper popper -t /var/log/popper.log

　　#/etc/rc.d/init.d/inet restart

　　2．启动poprelayd进程

　　说明：poprelayd 是一个用perl 编写的命令，它负责实时地读取popper的日志文件，记录下用户的IP地址，并赋给它一个时间片，然后把它们放进 /etc/mail/popip.db 中，供Sendmail 读取；同时它还负责删除时间片用完的IP地址。

　　(有关poprelayd程序内容，请访问http://www.swm.com.cn/swm/200102/在Sendmail中实现用户认证的方法之一.html)

　　3．重新配置 Sendmail.cf 文件

　　Sendmail-8.9.3.tar.gz软件包可到“中国自由软件库”(http://freesoft.cei.gov.cn)中下载。本文假定软件包已在/home/Sendmail-8.9.3目录下展开：

　　#cd /home/Sendmail-8.9.3/cf/domain

　　#vi linux.m4
添加一行:

　　FEATURE(`access_db’,`hash -o /etc/mail/access’)dnl

　　#cd /home/Sendmail-8.9.3cf/cf

　　#vi linux.mc

　　OSTYPE(linux)dnl

　　DOMAIN(linux)dnl

　　MAILER(local)dnl

　　MAILER(smtp)dnl

　　#m4 ../m4/cf.m4 ./linux.mc 〉 ./Sendmail.cf

　　#cp ./Sendmail.cf /etc/Sendmail.cf

　　#vi /etc/Sendmail.cf

　　在“local info”部分添加

　　#List of IP addresses we allow relaying from.

　　Klocalip hash -a /etc/mail/localip

　　Kpopip hash -a /etc/mail/popip

　　在SLocal_check_rcpt后添加:

　　#Put the address into cannonical form (even if it doesn’t resolve to an MX).

　　R$* $: $〉Parse0 $〉3 $1

　　R$* 〈 $* 〉 $* $: $1 〈 $2 . 〉 $3 Pretend it’s canonical.

　　R$* 〈 $* . . 〉 $* $1 〈 $2 . 〉 $3 Remove extra dots.

　　#Allow relaying if the connected host is a local IP address.

　　R$* $: 〈 $&{client_addr} 〉 Get client IP address.

R〈〉 $#OK Local is ok.

　　R〈 $* . $- 〉 $* $(localip $1.$2 $: 〈 $1 〉 . $2 $) Check last three octets.

　　R$* 〈 MATCH 〉 $#OK

　　R〈 $- 〉 $* $: $(localip $1 $: 〈 〉 $1 $2 $) Check first octet.

　　R$* 〈 MATCH 〉 $#OK

　　#Allow relaying if the connected host has recently POP3 authenticated.

　　R$* $: 〈 $&{client_addr} 〉 Get client IP address.

　　R〈 $* 〉 $(popip $1 $) Check full address.

　　R$* 〈 MATCH 〉 $#OK

　　#IP address didn’t match.

　　注意:各大列之间用制表符分隔。

　　4．生成localip.db、popip.db

　　说明:localip.db中包含合法的静态IP；popip.db则包含动态的合法IP，其内容由poprelayd侦听进程维护。

　　#cd /etc/mail

　　将无合法的静态IP先保存到一个文本文件中，然后再生成localip.db文件，如:

　　#vi localip

　　192.168.20 OK

　　192.168.21 OK

　　....

　　#makemap hash localip 〈 ./localip

　　#makemap hash popip 〈 /dev/null

　　5．重新启动 Sendmail

#/etc/rc.d/init/Sendmail restart

　　6．启动poprelayd

　　#/etc/mail/poprelayd -d
[文章来源：“十万个为什么”电脑学习网]
[网址：http://why100000.com]
[特别声明：除本站部分特别声明禁止转载的专稿外,其他的文章可以自由转载，但请务必注明出处和原始作者。本站文章版权归文章原作者所有。如果本站转载的文章有版权问题请联系我们，我们会尽快予以更正。]