邮件服务器的安全解决方案

 

    1.服务器自身安全功能

 

    (1)编译sendmail时的安全考虑

 

    要利用sendmail 8.9.3的阻止邮件攻击功能，就必须在系统编译时对相关参数进行设置，并借助相关的软件包。目前主要就是利用Berkeley DB数据库的功能，Berkeley DB包可以从相关站点上下载，并需要预先编译好。然后将Berkeley DB的相关参数写进sendmail的有关文件中。

 

    a.修改site.config.m4文件

 

    将编译好的Berkeley DB有关库文件路径加入到site.config.m4文件中，使sendmail编译后能够使用Berkeley DB数据库。例如：

 

    #cd $/sendmail-8.9.3/BuidTools/Site

 

    修改site.config.m4文件

 

    define (confINCDIRS, -I/usr/local/BerkeleyDB/include)

 

    define (confLIBDIRS, L/usr/local/BerkeleyDB/lib)
　　
    b.修改sendmail.mc文件

 

    sendmail.mc是生成sendmail.cf的模板文件之一，要使sendmail具有抗邮件攻击功能还需在该文件中进行相关定义。主要包括以下几项：

    ......

    FEATURE(relay_entire_domain)

 

    FEATURE(ACCESS_DB)dn1

 

    FEATURE(blacklist_recipients)

    ......

 

    (2)相关文件的配置

 

    正确编译好sendmail是邮件服务器安全控制的基础，而真正的安全设置主要还是利用相关文件进行的。这种包含控制语句的文件主要是access和relay-domains。

 

    access是邮件安全控制的主要数据库文件，在该文件中可以按照特定的格式将需控制的域名、IP地址或目标邮件地址，以及相应的动作值写入，然后使用makmap命令生成access.db文件(#makemap hash access.db

 

    spam.com REJECT

 

    edu.cn OK

 

    hotmail.com DISCARD

 

    其中reject动作是拒绝接受从指定地址发来的邮件；ok是允许特定地址用户任意访问；relay允许通过本邮件服务器进行中转邮件；discard是将收到的邮件交给特定命令进行处理，例如：可以设定将收到的邮件丢弃，或者设定收到邮件后返回给使用者一条出错信息等等。

 

    Relay-domains文件是设定哪些域是该服务器可以中继的域，其格式为每个域占一行。如：

 

    ......

 

    CN

 

    EDU

 

    JP

    ......
 
    在服务器开始使用时建议将所有顶级域名加入其中，以后再根据安全需要对其进行修改，否则将会使pop3用户发送邮件时出现relay reject错误，而无法向没有加入的域名目标邮件地址发送邮件。
提供最全面的IDC资讯：
提供服务器托管租用方案；
业务代表：亿恩柯南
QQ：965171276
电话：18537124151

文章摘自：IDC评述。