摘要：分析当前企业电子邮件系统运作中面临的

　　摘要：分析当前企业电子邮件系统运作中面临的垃圾邮件、开放性中继和流动办公带来的非法使用等安全隐患。有针对性地介绍若干关键技术—— 限制转发、主机过滤和SMTP身份认证。最终在Linux平台下制定一套支持多重安全机制的跨域邮件系统的解决方案。
　　关键词：垃圾邮件；开放性中继；限制转发；主机过滤；身份认证
　　
　　1 电子邮件系统存在的安全隐患
　　
　　由于早期技术水平落后，主机之间很少直接对话。SMTP就规定了当邮件在不同网络间传送时，必须借助毫不相干的第三方服务器。我们把一个MTA将邮件传递到下一个MTA的行为称为邮件转发(RELAY)。如图1所示。
　　如果出现网络上所有的用户都可以借助这台RELAY SMTP服务器转发邮件的情况，则称之为Open RELAY(开放性中继)或Third Party RE—LAY(第三方中继)。由于Internet上使用端口扫描工具的人很多，导致RELAY SMTP服务器必定会在短时间内被察觉，并且被利用来发送一些不法广告、垃圾邮件等，继而导致的主要问题有：
　　* 由于网络带宽被垃圾邮件占用，因此该邮件服务器所在网络的连接速度减慢；*大量发送邮件可能耗尽该邮件服务器资源，容易产生不明原因的关机之类的问题；* 该邮件服务器将会被Internet定义为黑名单，从此无法收发正常的邮件；*该邮件服务器所在的IP．将会被上层ISP封锁，直到解决Open RELAY的问题为止；*如果该邮件服务器被用来发送黑客邮件，则将会被追踪为最终站。
　　此外，作为一个网络服务器，电子邮件系统存在着配置和误操作上的安全威胁和隐患，如没有合理配置服务器的相关配置文件中的重要选项等，极有可能造成潜在的安全隐患。另外，邮件系统版本的及时更新与否也影响到其安全。 （科教作文网http://zw.nseAc.com）
　　
　　2 多重机制应对邮件系统安全问题
　　
　　1)限制转发和主机过滤垃圾邮件问题是当今最让网络用户头疼的顽疾之一。许多不请自来的垃圾邮件不但占据网络带宽，也极大地消耗了邮件服务器的存储资源，给用户带来极大的不便。Open RELAY接引起邮件系统的滥用，甚至成为垃圾邮件的温床，它是邮件系统中的“定时炸弹’。目前多数Linux发行版都将SMTP服务器的Open RELAY功能关闭，默认启动为仅监听lo口，极大地减少了本地服务器转递垃圾邮件的可能性。Linux中通过访问数据库／etc／mail／access．db来设置RELAY。数据库中不但定义了可以访问本地邮件服务器的主机或者网络，也定义了其访问类型(可能的选项包括OK、REJECT、RELAY或者通过Sendmail的出错处理程序检测出的、一个给定的简单邮件错误信息)。如果希望某些合法主机或网络能利用此SMTP服务器的RELAY功能来帮忙转发邮件，则必须修改服务器上的访问数据库。
　　
　　2)配置SMTP用户认证由于(尤其是同一网段内的)用户不断增多，如果仅依靠规模不断增大的Access数据库，则很难有效管理SMTP服务器的使用，甚至出错。这样既不能保障合法用户正常地使用邮件服务器的Open RELAY一些不法的用户提供了可乘之机。
　　所以有必要配合Sendmail服务器一起使对SMTP用户用身份认证程序库。RHEL 5使用CyrusSASL(Cyrus Simple Authentication and SecurityLayer)身份认证程序库对用户进行身份认证[2]。
　　
　　3 一个支持多域的安全电子邮件系统案例
　　
　　某公司网采用两个网段(对应两个域：keyan1．stiei．edu．en和keyan2．stiei．edu．cn)来管理内部员工，其络拓扑如图2所示。已知公司拟使用一台IP地址为192．168．11．1的Linux主机实现邮件服务，为简化实验拓扑，该主机同时提供域名解析服务和路由服务，其FQDN 拟定为mail．keyan1．stiei．edu．cn和mail．keyan2．stiei．edu．CD。 （科教范文网http://fw.nseac.com）
　　公司员工数量多，其业务特点决定了流动办公的经常性。公司希望设计一个安全的电子邮件系统，具体能做到：①员工可以自由收发内部邮件，并且可以通过邮件服务器往外网发信；② 禁止接待室的主机192．168．12．i00使用Sendmail服务器；③有效拒绝垃圾邮件。