[color=Red]关于邮件的转发规则,即是一个很普通的话题也是一个很重要的话题。说它是一个普通话题
是因为凡是玩邮件服务的哥们都或多或少了解这个话题,说他是一个很重要的话题,是因为我们中
间好多人都为这个玩意儿感到困惑过,可不,前几天我还在IGENUS论坛上请教过大麻兄关于邮件
的转发规则的问题呢,我也一直为这个咚咚感到很迷惑,还好,通过在大麻兄的耐心指导和自己长
期不懈的摸索测试,现在终于搞明白了。在这里我很乐意把自己的学习所获贴出来与大家分享,希
望能给初学者给点引导,让他们少走弯路,同时也希望高手们批评指点,谢谢![/color]
在QMAIL中要闹清楚邮件转发规则,要依次明白三个方面的咚咚。
[color=Red]1 rcpthosts 文件[/color] /var/qmail/control/rcpthosts
[color=Red]2 tcp.smtp 文件[/color] /etc/tcp.smtp或者是/home/vpopmail/etc/tcp.smtp
[color=Red]3 smtp 认证[/color]
下面,我来一个一个地谈这三个咚咚,注意,我是说,我先要把这三个反面各自独立来谈,
谈各自的功能和使用方法,后面我将把这三个方面结合起来谈,那才是在实战中要明白和要
用到的最重要的东西。
[color=Green]1 rcpthosts 文件[/color] rcpthosts这个名字取得好,见名知意嘛。意思是
这个邮件服务器可以接受转发请求的目的
主机列表(或者说目的地址列表),比如在这个文件里有sina.com,souhu.com。那么你可以
通过这个服务器转发发往sina.com,souhu.com的任何邮件,如果你想通过这个服务器给
[email]aaa@bbb.com[/email]发信的话,就会报错:553 sorry,that domain isn't in my list of
allowed rcpthosts!知道了吧,因为bbb.com确实没有在rcpthosts里面啦,于是就
理所当然地被拒绝转发了。那么如果根本就没有rcpthost这个文件情况又如何呢?在这种
情况下,QMAIL会理解为open relay,意味开放式转发,也就是说任何人可以通过你的这个
邮件服务器向任何人发送邮件。这种情况是很危险的,因为你的服务器很容易被垃圾邮件制造
者当作发送垃圾邮件的中继站,你的服务器将被反垃圾联盟列入黑名单,那么你的服务器就
什么事都做不成了,除非你只是在局域网内部使用。所以,rcpthosts这个文件是很有用的。
你想对哪个地址开放,就直接在rcpthosts里加入这个目的地址就OK了,就这么简单!
[color=Green]2 tcp.smtp 文件[/color]
这个文件的位置无关紧要,一般在/etc/tcp.smtp或者/home/vpopmail/etc/tcp.smtp
如上所述,rcpthosts文件可以进行转发约束,但是用起来不是很爽,须知,你可能要给很多
目的地址的朋友发信,那么你得一条一条地在rcpthosts里录入,如果你是在一个局域网内部
使用你的邮件服务器,为了更方便的控制转发规则,这里有个更好的办法,这就是tcp.smtp这
个文件的作用了。
这里就要使用ucspi-tcp软件包的tcpserver程序,该程序的功能类似于inetd-监听进
入的连接请求,为要启动的服务设置各种环境变量,然后启动指定的服务。tcpserver的配置
文件就是tcp.smtp,该文件定义了是否对某个网络设置RELAYCLIENT环境变量。例如,本
地网络是地址为192.168.*.*,则tcp.smtp的内容应该设置如下:
127.0.0.1:allow,RELAYCLIENT=""
192.168.:allow,RELAYCLIENT=""
:allow
这几个规则的含义是指若连接来自127.0.0.1和192.168.*.*则允许,并且为其设置环境变量
RELAYCLIENT,否则允许其他连接,但是不设置RELAYCLIENT环境变量。这样当从其他地方到
本地的25号连接将会被允许,但是由于没有被设置环境变量,所以其连接将会被qmail-smptd
所拒绝。
但是tcopserver并不直接使用tcp.smtp文件,而是需要先将该文件转化为cbd文件:
进入tcp.smtp这个文件所在的目录,然后使用如下命令:
tcprules tcp.smtp.cdb tcp.smtp.temp < tcp.smtp
[color=Green] 3 smtp 认证[/color] 上面提到的tcp.smtp这个文件很有用处,可以让你一劳永逸。
对于只在局域网内部使用邮件服务器
的情况下,已经够用了,但是单纯靠tcp.smtp这个控制无法适合漫游用户,因为对于一个漫游用户
来说,其连接服务器时用的IP是不固定的,在这种情况下,tcp.smtp文件就没有随时满足任意一个
合法漫游用户需要的灵活性。为了适应这种需要,smtp认证就应运而生了。所谓smtp认证,就象POP
验证用户身份一样,只要你是合法的用户,输入用户名和密码就可以登陆服务器转发邮件了,对于漫游
用户来说很方便,同时也避免了open relay的危险性。要让QMAIL具备用户验证的功能需要给QMAIL
打补丁。下面具体谈谈如何实现QMAIL的SMTP认证功能。
[color=Orange]第一步:下载程序[/color]
qmail-smtp补丁:http://members.elysium.pl/brush/qmail-smtpd-auth/
密码检验补丁:http://members.elysium.pl/brush/cmd5checkpw/
[color=Orange] 第二步:编译安装qmail-smtpd[/color]
将qmail-smtpd-auth-0.26.tar.gz解压缩:
[root@www src]# tar xvfz qmail-smtpd-auth-0.26.tar.gz
[root@www src]# cd qmail-smtpd-auth-0.26
[root@www qmail-smtpd-auth-0.26]# ls
CHANGES Makefile README TODO inetd.conf qmail-smtpd.c
qmail-smtpd.patch
将安装成功的qmail目录下的qmail-smtp.c拷贝到qmail-smtpd-auth-0.26目录下:
[root@www qmail-smtpd-auth-0.26]# cp ../qmail-1.03/qmail-smtpd.c ./
然后对该文件进行补丁处理:
[root@www qmail-smtpd-auth-0.26]# patch -p1 < qmail-smtpd.patch
将qmail-smtpd.c 拷贝到qmail 的源文件目录里:
[root@www qmail-smtpd-auth-0.26]# cp qmail-smtpd.c ../qmail-1.03
最好先将原文件备份。单独编译 qmail-smtpd :
[root@aidmail qmail-smtpd]# make qmail-smtpd
./load qmail-smtpd rcpthosts.o commands.o timeoutread.o
timeoutwrite.o ip.o ipme.o ipalloc.o control.o constmap.o
received.o date822fmt.o now.o qmail.o cdb.a fd.a wait.a
datetime.a getln.a open.a sig.a case.a env.a stralloc.a
alloc.a substdio.a error.a str.a fs.a auto_qmail.o `cat socket.lib`
将新生成的qmail-smtpd 拷贝到/var/qmail/bin 目录下。在之前应该对原来的执行文件进行备份。
[color=Orange] 第三步:编译安装 kpw-0.22.tar.gz[/color] [root@www src]# tar xvfz cmd5checkpw-0.22.tar.gz
[root@www src]# cd cmd5checkpw-0.22
[root@www cmd5checkpw-0.22]# make ;make instll
[color=Orange]第四步:设置/home/vpopmail/bin/vchkpw 的SetUID和SetGID[/color]
这点很重要,否则认证无法通过。这是因为smtpd 的进程是由qmaild 执行的。而密码验证程序原来
只使用于pop3进程,分别由root或vpopmail执行,为的是读shadow或数据库中的密码,并取出用户
的邮件目录。这些操作qmaild 都没有权限去做。如果smtp进程要调用密码验证程序,则必须要使用
setuid 和setgid。
chmod 6755 /home/vpopmail/bin/vchkpw
[color=Orange] 第五步:设置tcp.smtp[/color] 有了SMTP认证是不是就不需要tcp.smtp
这个文件了?其实不然,因为通过tcp.smtp这个控制文件可以
方便局域网用户使用邮件服务器,对于这些用户只要tcp.smtp这个文件控制就可以了,没有必要对身份
严格校验了。假若你觉得10网段的用户都不需要SMTPR认证就可以转发邮件的话,就这么干:
vi /etc/tcp.smtp 或者 vi /home/vpopmail/etc/tcp.smtp
192.168.10.:allow,RELAYCLIENT=""
127.:allow,RELAYCLIENT=""
:allow
保存,然后执行命令
tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.tmp < /etc/tcp.smtp
[color=Orange]第六步:修改smtpd启动脚本[/color]
#!/bin/sh
QMAILDUID=`id -u qmaild`
NOFILESGID=`id -g qmaild`
exec /usr/local/bin/softlimit -m 2000000
/usr/local/bin/tcpserver -v -p -x /etc/tcp.smtp.cdb
-u $QMAILDUID -g $NOFILESGID 0 smtp /var/qmail/bin/qmail-smtpd 2>&1
改为下面的样子:
#!/bin/sh
QMAILDUID=qmaild
NOFILESGID=nofiles
exec /usr/local/bin/softlimit -m 2000000
/usr/local/bin/tcpserver -H -R -l 0 -t 1 -v -p -x /etc/tcp.smtp.cdb
-u $QMAILDUID -g $NOFILESGID 0 smtp /var/qmail/bin/qmail-smtpd
[color=Red] /home/vpopmail/bin/vchkpw /bin/true /bin/cmd5checkpw /bin/true [/color]2>&1
可爱可恨的SMTP认证到这里就OK了!
[color=Green]4 三个方面的关系[/color]
如文章最开头所述,三个方面的关系对于你究竟如何使你的邮件服务器具有安全性很重要,关于这一点
对于初学者来说不是那么容易把握准确。这三个咚咚并不是缺一不可,可以只有一部分存在,也可以都
存在,那么在这诸多可能的情况下,整个邮件服务器对于转发规则又是如何控制的呢?
下面我分几种情况来说:
第一种情况:没有SMTP认证,没有tcp.smtp文件,也没有rcpthosts这个文件
这种情况就是“标准”的open relay,也就是完全开放转发,这种情况可能存在,但不应该存在!
第二种情况:仅有rcpthosts这个文件,没有tcp.smtp也没有SMTP认证
这种情况下,就只有rcpthosts这个文件担当转发规则约束的重任了,QMAIL仅仅根据这个文件的目的
地址列表来确定是否转发用户的邮件
第三种情况:有tcp.smtp,rcpthosts两个东西存在
首先QMAIL从tcp.smtp.cdb文件确认用户是否可以转发邮件,是根据请求者的IP来定夺的。如果用户IP
是在容许的IP范围之内,那么就容许转发,否则再看看目的地址是否在rcpthosts这个文件的容许范围
之内,如果是,就可以转发,如果也不是,那么就被彻底拒绝转发了。也就是说,在这种情况下,这两个
文件共同承担着转发规则约束的重任。
第四种情况:三个咚咚都存在
QMAIL在接受到请求的时候,首先检查tcp.smtp这个文件,如果是容许的IP,就同意转发,否则再看看
转发目的地址是否在rcpthosts文件所容许的地址,如果是就转发,否则就启用SMPT认证来验证用户,
验证通过就同意转发,否则就彻底拒绝。
好了,罗嗦了半天了,希望对初学者有帮助,如果有不准确的地方,希望高手批评指正,谢谢!
[ 本帖最后由 xxjoyjn 于 2006-4-28 17:14 编辑 ]
大麻 回复于:2006-04-29 09:00:46
不错,有长进,这是自己学习经验的积累,值得大家借鉴。
xxjoyjn 回复于:2006-04-29 09:02:14
:D:D:D
谢谢大麻兄一直以来对我的帮助和鼓励!!!!!!
[ 本帖最后由 xxjoyjn 于 2006-4-29 09:06 编辑 ]
xiao6 回复于:2006-04-29 13:00:55
总结的不错,俺又受教了。
createdream 回复于:2006-04-29 13:33:07
明白了一些东西~
zhanghj_ok 回复于:2006-05-05 10:02:22
[root@localhost ~]# cat /var/qmail/control/rcpthosts
mail.domain.com
mydomain.com
man.mydomain.com
[root@localhost ~]# cat /home/vpopmail/etc/tcp.smtp
127.0.0.1:allow,RELAYCLIENT=""
192.:allow,RELAYCLIENT=""
[root@localhost ~]#
在tcp.smtp中加入:192.:allow...是xxjoyjn 教我的,现在我在外网现在能自由的通过服务器收发邮件啊,我的服务器地址填的是IP地址,端口用的是26与此111,我的服务器在这方面还有SMTP认证的隐患吗?
zhanghj_ok 回复于:2006-05-05 10:08:13
qmail-smtp补丁:http://members.elysium.pl/brush/qmail-smtpd-auth/
密码检验补丁:http://members.elysium.pl/brush/cmd5checkpw/
。。。下载不了。。。
zhanghj_ok 回复于:2006-05-05 15:49:07
我在外网能收发邮件是不是因为我发邮件的机器在另一个局域网内的IP也是:
192.allow
我的是192.168.1.2
如果是这样那可真是要做SMTP认证了,我要把机器挂到外网没一下
xxjoyjn 回复于:2006-05-06 11:39:52
引用:原帖由 zhanghj_ok 于 2006-5-5 10:02 发表
[root@localhost ~]# cat /var/qmail/control/rcpthosts
mail.domain.com
mydomain.com
man.mydomain.com
[root@localhost ~]# cat /home/vpopmail/etc/tcp.smtp
127.0.0.1:allow,RELAYCLIENT=""
...
如果你在外网是给在RCPTHOSTS文件里容许的目的地址发邮件,当然是自由的啦,
[ 本帖最后由 xxjoyjn 于 2006-5-6 13:02 编辑 ]
zhanghj_ok 回复于:2006-05-06 18:37:39
是不是加装一个SMTP认证不会影响到现有功能?
如果可以请楼主给个有效的链接吧,在此谢过!
我在外网测试了一下,如下:
用户A发给163.com
用户B发给163.com
用户C发给163.com
有一封被打回,其他都顺利到达,
邮件被打回后再发也就成功了,不解???
打回内容如下:
xxx.com为我的QMAIL域名
219.134.249.40为我发邮件时的外网IP
——————————————————————————————————————————
Hi. This is the qmail-send program at mtcera.com.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.
<[email]zhanghj_ok@163.com[/email]>:
220.181.12.51 failed after I sent the message.
Remote host said: 550 Requested action not taken: mail wKjAM04AmxsHeFxEW6VeGw==.57962S2 is rejected,mx1
--- Below this line is a copy of the message.
Return-Path: <[email]zhang_huajun@xxx.com[/email]>
Received: (qmail 4570 invoked by uid 89); 6 May 2006 10:11:30 -0000
Received: from unknown (HELO MICROSOFD3A03E) (zhang?huajun@219.134.249.40)
by 0 with SMTP; 6 May 2006 10:11:30 -0000
Message-ID: <003d01c670f6$73335ed0$0132a8c0@MICROSOFD3A03E>
From: "zhang_huajun" <[email]zhang_huajun@xxx.com[/email]>
To: <[email]zhanghj_ok@163.com[/email]>
——————————————————————————————————————————
另外一个问题,我的QMAIL发给新浪的信总是被退回:
<[email]zhanghj_ok2524@sina.com[/email]>:
202.108.3.186 does not like recipient.
Remote host said: 504 5.5.2 <202.10.109.10>: Helo command rejected: need fully-qualified hostname
Giving up on 202.108.3.186.
我的helohost已经写入了我的服务器IP:202.10.109.10
[root@localhost control]# pwd
/var/qmail/control
[root@localhost control]# cat helohost
202.10.109.10
重要:我用的是26端口来对外发信(测试需要),是不是这个有问题呢?
是不是加装一个SMTP认证不会影响到现有功能?
如果可以请楼主给个有效的链接吧,在此谢过!
zhanghj_ok 回复于:2006-05-07 01:33:23
关于上面的两个问题:
第一个问题依旧,在改换IP地址的第一封邮件被服务器拒绝发送的可能性较大,但不是一定的
第二个问题是因为我的helohost文件里面应该写域名,而不是写IP!!!修改后故障马上排除!
继续关注。。。
yilanbin 回复于:2006-05-17 13:59:14
请问怎么判断qmail是否带有smtp认证,用下面的方法行吗?具体怎么看啊?谢谢!
[root@mail etc]# telnet mail.etrunk.cn 25
Trying 211.156.177.115...
Connected to mail.etrunk.cn.
Escape character is '^]'.
220 etrunk.cn ESMTP
ehlo
250-etrunk.cn
250-AUTH LOGIN CRAM-MD5 PLAIN
250-AUTH=LOGIN CRAM-MD5 PLAIN
250-PIPELINING
250 8BITMIME
思一克 回复于:2006-05-17 14:07:32
不行。
进去后给[email]user@afksdaklsf.com[/email]发个信,如果SERVER接受了,就是没有SMTP认证。
busyant 回复于:2006-05-24 16:37:17
楼主的列出的最后一种情况,让我受益匪浅,谢谢!
|
