鸟哥的 Linux 私房菜 -- 邮件认证系统

鸟哥的 Linux 与 ADSL 私房菜

邮件主机在寄信时的 SMTP 认证问题

最近更新日期：2001/12/13

Red Hat 7.1 的方法：
其它 Red Hat (以 Red Hat 6.1 为例) 的方法：

Red Hat 7.1 的方法：

前言

：

网管人员对于邮件服务器最厌烦的地方大概就是在管理邮件传递（Relay）的问题了！因为如果将邮件传递的范围限制的太小，那么只要一个不小心，使用者在能转递信件的 domain 之外，就无法使用邮件主机！而如果没有设定的很好，那么邮件主机又很容易被拿来当成广告垃圾信件的中继站！这里提供一个邮件认证的机制，让你的使用者方便而邮件主机又不会有被做为广告中继站的问题！

邮件主机是如何运作的呢？你可以看一下 Mail Server 这一篇文章，相信就可以约略了解邮件的传送过程了！不过，这里有个观念要让大家了解一下：就是

sendmail 在寄信与收信的通讯协议是不一样的

！你在客户端(Client)使用的收信程序在接收信件时，是使用 pop3 的协议，至于寄信的时候就是需要 smtp 的通讯协议了。常常会发现到邮件主机挂掉的时候并不是两者同时挂掉，有时候只挂掉 smtp 的协议，那么此时这个邮件主机还是可以在客户端收信的，只是就会无法寄信就是了！

关于 Relay 的问题：

很多的网管人员对于邮件主机最感到棘手的，应该是 Relay 的问题！在 Red Hat 6.x 以前的 Sendmail 版本中，邮件主机预设是可以让所有的客户端计算机传递信件的！此话何解？刚刚说到邮件主机有两个通讯协议，分别是 pop3 与 smtp ，你会发现到，如果是使用 Red Hat 6.x 以前版本的主机系统时，收信是一定需要账号与密码的（使用 pop3 协议），但是寄信呢？寄信者只要随便取一个账号名称（这个账号不一定要在 Red Hat Linux 中存在），然后直接按下寄信之后，邮件主机不会判别 smtp 的来向，一律通通予以接受，并且予以转寄！那你就知道了！广告信件从此将可以直接经由你的主机来将信件送出去！这就是问题啦！

这个问题的解决方法大概就是在 /etc/mail 当中的 access 档案中，将你所发现的乱发垃圾广告的计算机 IP Reject 掉，不过，由于目前发广告信件的计算机实在太多了，你根本就挡不完！那如果使用了将所有的计算机都 deny 掉之后，再开放一些可以 Relay 的计算机呢？这样一来不就可以挡掉所有的广告信了吗？没错！但是如此一来却也让你的信任用户合理的使用权也遭受到同样被挡掉的命运！

除了这个问题之外，在目前的 Red Hat 7.x 版本的 sendmail 中，也将预设的 Relay 功能取消了，因此，你必须设定 /etc/mail/access 这个档案的内容，才能将合法的使用者的权限开放！这样是不是很麻烦呢？我觉得，很麻烦......

设定 SMTP 认证机制简介：

为了让使用者可以很方便的就拥有寄信的权力，也为了让广告信件可以有效的被挡掉，因此 sendmail 本身也提供了一个有效的管理办法，那就是 SMTP 的身份认证机制了！这个机制的好处在于让 SMTP 与 pop3 一样，都需要输入账号与密码之后，才可以进行寄信的动作！则如此一来，将可以让广告信件的发送者无法经由匿名来转寄，而您的信任的使用者仍然可以快快乐乐的使用您的邮件主机啰！以下将介绍 Red Hat 7.x 以后版本的认证方法，在 Red Hat 6.x 以前的版本的认证机制可以参考 Yu-Lin Chang 先生的文章。

系统需求：

由于要使 smtp 通讯协议具有身份认证的功能，则必须要有底下的版本的套件才有支持！

由 Sendmail Inc. 发行的 8.10.0 以上版本的 Sendmail 套件；
由 Carnegie Mellon University 发行的 Cyrus SASL (Simple Authentication and Security Layer) 认证链接库；
C 语言的编辑器。

很幸运的， Red Hat 7.x 以后的版本中，以上的套件都已经含有了！所以我们并不需要重新安装上面的套件喔！不过，如果您是使用 Red Hat 6.x 以前版本的 Linux 系统，那么您只好更新您的 Sendmail 及 Cyrus SASL 套件啰！

设定方法：

在 Red Hat 7.x 版本中的设定真的是很简单！你只要依序做底下的动作就可以了！

修改 /usr/share/sendmail-cf/cf 底下的 redhat.mc 档案：

[root@tsai /root]# cd /usr/share/sendmail-cf/cf
[root@tsai cf]# vi redhat.mc
..........
dnl TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
dnl define(`confAUTH_MECHANISMS', `DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
..........
DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1, Name=MTA')
..........

将上面的三行改成中，前两行 dnl 去掉，第三行则将 127.0.0.1 改成 0.0.0.0 如下所示：

..........
TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
define(`confAUTH_MECHANISMS', `DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
..........
DAEMON_OPTIONS(`Port=smtp,Addr=0.0.0.0, Name=MTA')
..........

制作 sendmail 参数档与重新启动 sendmail：

修改完成之后，再来则是制作 sendmail 的参数档 sendmail.cf 了，指令下达：

[root@tsai /root]# cd /usr/share/sendmail-cf/cf
[root@tsai cf]# sh Build redhat.cf
[root@tsai cf]# mv /etc/sendmail.cf /etc/sendmail.cf.old <==备份旧的档案
[root@tsai cf]# cp redhat.cf /etc/sendmail.cf <==加入新的参数档
[root@tsai cf]# /etc/rc.d/init.d/sendmail restart <==重新启动 sendmail

相信吗？这样的步骤一完成，你的邮件主机就具有 smtp 身份认证的功能啰！

客户端的设定方法：

主机设定完成之后，再来则是客户端计算机的设定啰，设定的方法也是简单的很，只要多出一个勾勾，就可以完成设定了：

开启 OutLook

开启 Out Look 之后，点选『

工具

』内的『

账号

』，如下图所示：

点选主机的邮件账号：

接着下来点选『

邮件

』，并选择你的设定档，如下图所示：

在上图中再点选内容后，会出现如下画面：

在下图的画面中，只要点选『

服务器

』的内容，然后将你的账号与密码均设定完全，并将『

我的服务器需要查验身份

』那一项，也就是下图中箭头指的那个地方，将他打勾，然后再按下『

确定

』后离开，如此一来便完成设定了！那往后在收发信件的时候就可以有保护啰！而且也不怕邮件主机会被误用！

其它 Red Hat (以 Red Hat 6.1 为例) 的方法：

既然 Red Hat 7.1 可以具有身份认证的功能，那么其它版本的 Red Hat 是否可以呢？当然可以了！只是动作会变的比较麻烦就是了！因为 Cyrus-sasl 这个套件所支持的 Sendmail 版本需要大于 8.10.0 以上，而且 Red Hat 6.X 版并无预设的 Cyrus-sasl 套件，所以你必须要捉下这两个套件来安装才行！

下载所需套件：

sendmail：sendmail 可以到 sendmail 的网站上下载最新的套件，或者由『这里』下载；
cyrus-sasl：这个认证函式库可以到 Carnegie Mellon University 网站上看看，或者由『这里』下载；

移除与备份之前版本的 sendmail 设定：

为了让你未来还可以使用旧的 sendmail 来安装你的原先的设定，所以请备份以下的档案吧（使用 tar 是一个不错的主意！）：

/etc/sendmail.cf (或 /etc/mail/sendmail.cf)

/etc/mail/*

/usr/sbin/sendmail

再来则是移除一些旧的套件：

rpm -e mutt

rpm -e fetchmail

rpm -e fetchmailconf

rpm -e --nodeps sendmail

安装 Cyrus-sasl 函式库：

假设你的 cyrus-sasl-1.5.27.tar.gz 放置在 root 底下，我预设的解压缩目录是在 /usr/local/src 底下，那我的步骤就是：

[root@tsai /root]# cd /usr/local/src
[root@tsai src]# tar -zxvf /root/cyrus-sasl-1.5.27.tar.gz
..........（略）
[root@tsai src]# cd cyrus-sasl-1.5.27
[root@tsai cyrus-sasl-1.5.27]# ./configure --prefix=/usr/local \
> --enable-plain --enable-login --enable-pwcheck
上面这一行，在于使你的 cyrus-sasl 安装在 /usr/local 目录中；
并且已经启动了 password_check 的模式。
..........（略）
[root@tsai cyrus-sasl-1.5.27]# make clean; make ; make install
..........（略）
[root@tsai cyrus-sasl-1.5.27]# cd /usr/lib
[root@tsai lib]# ln -s /usr/local/lib/sasl .
[root@tsai lib]# ln -s /usr/local/lib/libsasl* .
上面这几行在将你的数据 Link 到 Red Hat 的预设路径中。
[root@tsai sbin]# cd /usr/lib/sasl
[root@tsai sasl]# echo 'pwcheck_method: shadow' > Sendmail.conf
这个目的在于产生一个 Red Hat 的密码认证数据库。

基本上大概这样就安装完成 cyrus-sasl 这个套件了！

安装 sendmail 最新版（到 2001/12 为止）：

假设我们的 sendmail.8.12.1.tar.gz 同样是放置在 /root 底下，而解压缩档案要放在 /usr/local/src 底下：

[root@tsai /root]# cd /usr/local/src
[root@tsai src]# tar -zxvf /root/sendmail.8.12.1.tar.gz
.........(略)
[root@tsai src]# cd sendmail-8.12.1
[root@tsai sendmail-8.12.1]# cd /usr/local/src/sendmail-8.12.1/devtools/Site
[root@tsai Site]# vi site.config.m4 <==这个档案内容如下：
PREPENDDEF(`confMAPDEF', `-DMAP_REGEX')
PREPENDDEF(`confOPTIMIZE', `-O2')
APPENDDEF(`confENVDEF', `-DTCPWRAPPERS -DSASL')
APPENDDEF(`conf_sendmail_LIBS', `-lwrap -lsasl')
APPENDDEF(`confLIBDIRS', `-L/usr/local/lib')
APPENDDEF(`confINCDIRS', `-I/usr/local/include')
[root@tsai bin]# cd /usr/local/src/sendmail-8.12.1/sendmail
[root@tsai sendmail]# sh Build -c -f /usr/local/src/sendamil-8.12.1/devtools/Site/site.config.m4
.........(开始编译，略)
底下为 sendmail 8.12 的新功能，需要增加一个 smmsp 及 smmsp
使用者，这样才可以确保安全性！
[root@tsai sendmail]# groupadd -g 25 smmsp
[root@tsai sendmail]# useradd -g smmsp -u 25 -d /var/spool/clientmqueue -s /dev/null smmsp
[root@tsai mail]# chown -R smmsp:smmsp /var/spool/clientmqueue
[root@tsai mail]# chmod -R 770 /var/spool/clientmqueue
新增一个使用者，他无法登入，ID 是 25 号！
这个使用者的家目录是 /var/spool/clientmqueue
主要仅用于邮件的收受与传递！增加这个使用者是
sendmail 8.12 板后新增的功能！主要的目的在于
提供更安全的 sendmail 使用环境！
[root@tsai sendmail]# cd /usr/local/src/sendmail-8.12.1/cf/cf
[root@tsai cf]# cp generic-linux.mc sendmail.mc
[root@tsai cf]# cat ../feature/access_db.m4 >> sendmail.mc
[root@tsai cf]# cat ../feature/delay_checks.m4 >> sendmail.mc
[root@tsai cf]# cat ../feature/virtusertable.m4 >> sendmail.mc
[root@tsai cf]# vi sendmail.mc <==在最后面加上两行
TRUST_AUTH_MECH(`LOGIN PLAIN')dnl
define(`confAUTH_MECHANISMS', `LOGIN PLAIN')dnl
[root@tsai cf]# sh Build sendmail.cf
[root@tsai cf]# sh Build install-cf
[root@tsai cf]# cd /usr/local/src/sendmail-8.12.1/sendmail
[root@tsai sendmail]# sh Build install
[root@tsai sendmail]# cd ../makemap
[root@tsai makemap]# sh Build install
[root@tsai makemap]# cd ../mailstats
[root@tsai mailstats]# sh Build install
[root@tsai mailstats]# cd /usr/local/src/sendmail-8.12.1
[root@tsai sendmail-8.12.1]# sh Build install
[root@tsai mail]# vi access <==这个档案内容如下：
# makemap hash /etc/mail/access_db < /etc/mail/access
localhost.localdomain           RELAY
localhost                       RELAY
127.0.0.1                       RELAY
[root@tsai mail]# vi local-host-names
tsai.adsldns.org
[root@tsai mail]# vi aliases <==aliases的内容！
mailer-daemon: postmaster
postmaster:     root
bin:            root
daemon:         root
adm:            root
lp:             root
sync:           root
shutdown:       root
halt:           root
news:           root
uucp:           root
news:           root
uucp:           root
operator:       root
games:          root
gopher:         root
ftp:            root
nobody:         root
apache:         root
named:          root
xfs:            root
gdm:            root
mailnull:       root
postgres:       root
squid:          root
rpcuser:        root
rpc:            root
ingres:         root
system:         root
toor:           root
manager:        root
dumper:         root
abuse:          root
newsadm:        news
newsadmin:      news
usenet:         news
ftpadm:         ftp
ftpadmin:       ftp
ftp-adm:        ftp
ftp-admin:      ftp
decode:         root
root:           vbird
上面的设定是随系统而变的喔！
不过，最后一行是将 root 的信都寄一份给 vbird 的意思！
[root@tsai mail]# touch virtusertable
[root@tsai mail]# makemap hash access.db < access
[root@tsai mail]# makemap hash virtusertable.db < virtusertable
[root@tsai mail]# newaliases
[root@tsai mail]# /usr/sbin/sendmail -bd -q30m
启动 sendmail 啰！
开始进行测试一下！
[root@tsai mail]# telnet 127.0.0.1 25
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
220 tsai.adsldns.org ESMTP Sendmail 8.12.1/8.12.1; Thu, 13 Dec 2001 14:02:30 +0800
ehlo localhost        <==这里输入测试点！
250-tsai.adsldns.org Hello localhost [127.0.0.1] (may be forged), pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-EXPN
250-VERB
250-8BITMIME
250-SIZE
250-DSN
250-ETRN
250-AUTH LOGIN PLAIN   <==有这一行就是成功啦！
250-DELIVERBY
250 HELP

基本上这样就设定完成了！不过要注意的是，还需要做一下测试！因为在我的系统中，虽然可以具有身份认证的功能，但是一开始却是捉不到 /etc/sasldb 这个档案！真是很奇怪！后来，我在 /usr/local/sbin 底下，执行了 ./saslpasswd 及 ./sasldblistusers 这样就可以了！或者是我的系统太旧了吧！

设定开机时加载：

剩下一个重要的步骤了！就是在开机的时候载入 Sendmail 啦！直接修改 /etc/rc.d/rc.local 在最后一行加入：
/usr/sbin/sendmail -bd -q30m
就可以啦！OK！

设定客户端：

就跟上面的设定相同，去试试看吧：

2002/ 01/01以来统计人数