摘要:分析当前企业电子邮件系统运作中面临的(2)
2013-08-16 01:03
导读:1)关键因素分析这是一个典型的安全电子邮件系统配置案例。拟解决的关键问题有:多域间的邮件传送、主机过滤、垃圾邮件过滤等。由于处理垃圾邮件会
1)关键因素分析这是一个典型的安全电子邮件系统配置案例。拟解决的关键问题有:多域间的邮件传送、主机过滤、垃圾邮件过滤等。由于处理垃圾邮件会增加服务器负荷,占用其硬件资源,造成正常响应的延迟,并且会导致严重的安全隐患,因此,从安全和效率两方面考虑,都必须使用access数据库限制转发来拒绝垃圾邮件。另外,由于员工办公地点不固定,并且邮件需要在内外网之间转发,因此还需要结合邮件的认证机制,通过验证邮件用户的账户和密码,就能有效拒绝非法用户使用邮件服务器的中继功。
2)解决方案
(1)搭建虚拟网络环境,在一台多宿主的Linux主机上开启内核的路由功能:# echo“l”~/proc/sys/net/ipv4/ip—forward
(2)在BIND服务器上注册邮件服务有关的域名。在DNS主配置文件“/etc/named.conf”中至少定义的两个正向解析区域,为规范化配置,建议再添加相应的两个反向解析区域,如图3所示。每个区域对应一个解析文件。图4列出了区域keyan1.stiei.edu.CD的正向解析文件内容,区域keyan2.stiei.edu.cn的正向文件类似。
在所有要使用邮件服务的主机上指定提供域名解析的DNS服务器的IP地址,并设置默认的域名后缀。此外,还需要在“/etc/mail/local—hostnames”中添加所支持的域名及主机名。
(3)配置具有认证功能的SMTP服务器。
在Sendmail的脚本Sendmail.mc中修改SMTP侦听范围为公司内部网段或者0.0.0.0,使邮件能正常发送到其它主机。此外还需要设置本地邮箱的域名,将如下一行括号内的内容修改成自己的域:I AL— DOMAIN (‘keyan1.stiei.edu.cn,key—an2.stiei.edu.cn’)dnl而最为关键的是要设置SMTP用户安全认证功能。首先确保sasl库(软件包cyrus—sas1)已经安装,然后编辑sendmail.mc文件,取消如下三行的注释;dnl TRUSTl-AUTH—MECH(、EXTERNAL DI—GES MD5 CRAM —MD5 LOGIN PLAIN)dnl//TRUST—AUTH—MECH 的作用是使sendmail不管access文件中如何设置都能RE—LAY那些通过LOGIN、PLAIN或DIGEST—MD5方式验证的邮件。
dnl define(‘confAUTH —MECHANISMS’,‘EXTERNAL GSSAPI DIGEST—MD5 CRAM —MD5 L0GIN PLAIN’)dnl// ‘confAUTH—MECHANISMS’的作用是确定系统的认证方式。
dnl DAEMON— OPTIONS(‘Port— submis—sion,Name=MSA,M—Ea’)dnl//‘Port— submission,Name= MSA,M —Ea’的作用是开启认证,并以子进程运行MSA实现邮件的账户和密码的验证。
最后利用m4工具生成主配置文件Sendmail.cf。分别启动Sendmail服务和Saslauthd服务,然后执行命令“Sendmail-dO.1一by root l grep SASL”
测试sasl。确认以下结果中包含SASL:
NETUNIX NEWDB NIS PIPELININGSASLv2 SCANF S0CKETM AP STARTTLS也可以使用ehlo命令验证Sendmail的SMTP认证功能,如所示:
(4)设置访问控制和转发限制根据案例对限制SMTP中继的要求,在文件“/etc/mail/aceess”末尾添加如下三行内容:
192.168.11 RELAY192.168.12 RELAYConnect:
192.168.12.100 REJECT
3)应用测试
(1)首先测试同一网段192.168.12.0/24(域keyan2.stiei.edu.cn)内的用户相互收发邮件的情况。图6是foxmail中usera向userb发送邮件时给出的拒绝访问的错误提示,其原因在于我们在SMTP的转发数据库中设置了禁止主机192.168.12.100使用Sendmail服务器,从而导致邮件发送失败。若取消主机过滤或改变该主机的地址,则能投递成功,如所示:
(2)接下来测试跨域且群发邮件的情况。以域keyanl内用户user1向域keyan2内群组team2发件为例。team2中的薪有用户usera、userb、userc将同时收到该邮件。
