【正文】 ail服務(wù)器防范 DoS 攻擊措施 .................................................................................................................. 28 （七）為電子郵件賬戶設(shè)置別名 .................................................................................................................................... 30 八．結(jié)束語(yǔ) .............................................................................................................................................................................. 31 參考文獻(xiàn) .................................................................................................................................................................................. 32 致謝 .......................................................................................................................................................................................... 32 第 1 頁(yè) 共 30 頁(yè) 架設(shè) linux 郵件服務(wù)器安全策略的實(shí)現(xiàn) 莫佳佳 王杰 （浙江商業(yè)職業(yè)技術(shù)學(xué)院信息技術(shù) 學(xué)院 ，網(wǎng)絡(luò) 013 班） [內(nèi)容摘要 ] 本文基于 Linux操作系統(tǒng)架設(shè) Sendmail 郵件服務(wù)器，在 Sendmail 服務(wù)器 中實(shí)現(xiàn)黑名單過(guò)濾，設(shè)置 SMTP 認(rèn)證，使用 SpamAssassin工具來(lái)防 止 垃圾郵件，通過(guò)架設(shè)郵件服務(wù)器并配置郵件服務(wù)器的策略，實(shí)現(xiàn)用戶收發(fā)郵件和提高郵件服務(wù)器的安全 和可靠性 。并利用 DNS 輪詢 在 兩臺(tái)郵件服務(wù)器 之間 實(shí)現(xiàn)負(fù)載均衡。人們要求郵件服務(wù)器可用性更強(qiáng)，更加快速，更加安全和使用方便。 我們通過(guò)對(duì)郵件服務(wù)器的安全策略和 DNS 的域名解析、輪詢功能來(lái)改善 Linux 郵件服務(wù)器安全策略問(wèn)題，提高了郵件服務(wù)器的安全性和可靠性，為用戶提 供 更好更快的訪問(wèn)速度。 第二部分：企業(yè)需求分析。 第四部分： DNS 服務(wù)器的搭建。 第六部分： Sendmail 郵件服務(wù)系統(tǒng)安全策略的實(shí)現(xiàn)。每個(gè)收信人都有一個(gè)位于某個(gè)郵件服務(wù)器上的郵箱。發(fā)送者的郵件服務(wù)器還得處理接收者的郵件服務(wù)器出故障的情況。發(fā)信者注明收件人的姓名與地址（即郵件地址），發(fā)送方服務(wù)器把郵件傳到收件方服務(wù)器，收件方服務(wù)器再把郵件發(fā)到收件人的郵箱中。 電子郵件在發(fā)送過(guò)程中如果被人截取到了，那就意味著你的電子郵件真實(shí)性的問(wèn)題，會(huì)不會(huì)是被人改了再發(fā)送過(guò)來(lái)的，而且攻擊者這樣做往往是有目的的，這樣有時(shí)候會(huì)給雙方造成很大的誤會(huì)和損失。隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，這些問(wèn)題都上升為郵件系統(tǒng)的核心技術(shù)問(wèn)題。 可以將 DNS 服務(wù)器分為 3個(gè)部分： 。這些是域名、 IP地址、郵件別名等在 DNS 系統(tǒng)中能找到的內(nèi)容。一個(gè)域名服務(wù)器擁有其控制范圍內(nèi)的完整信息。 第 4 頁(yè) 共 30 頁(yè) （二）實(shí)驗(yàn)環(huán)境 LINUX 系統(tǒng)版本： RedHat DNSserver IP Mailserver1 IP Mailserver2 IP Windows Xp IP DNSserver 作為域名解析服 務(wù)器啟動(dòng)輪詢功能為兩臺(tái)郵件服務(wù)器提供負(fù)載平衡。 圖 31 配置靜態(tài) IP 地址 （ 2）重啟 work 服務(wù) service work restart 如 圖 32所示： 第 5 頁(yè) 共 30 頁(yè) 圖 32 重啟 work （ 3） 檢查 BIND 域名服務(wù)器 檢查系統(tǒng)中是否安裝了 BIND 域名服務(wù)器，如圖 33 所示： 圖 33 檢查 BIND 域名服務(wù)器 （ 4）配置正向解析，即域名轉(zhuǎn)換為 IP 的過(guò)程 1） vi /etc/ 如圖 34 所示，添加正向解析區(qū)域。 hint:表示是互聯(lián)網(wǎng)中根域名服務(wù)器。 圖 37 添加反向解析區(qū)域 2）進(jìn)入 /var/named 復(fù)制 到 ，如 圖 38所示： //把 這個(gè)模板復(fù)制到 這個(gè)區(qū)域文件中，方便下一步編輯這個(gè)區(qū)域文件。在查詢時(shí)就按 nameserver 在本文件中的順序進(jìn)行，且只有當(dāng)?shù)谝粋€(gè) nameserver沒有反應(yīng)時(shí)才查詢下面的 nameserver。 圖 310 配置 DNS 服務(wù)器 （ 7） 啟動(dòng) named 服務(wù) 第 8 頁(yè) 共 30 頁(yè) service named start //啟動(dòng) named 服務(wù)，如 圖 311 所示 ： //如果看到如圖信息 ,那么就成功了 ,要是無(wú)法開啟 ,那么查看 /var/log/message 文件 ,并作相應(yīng)的修改。 第 9 頁(yè) 共 30 頁(yè) 圖 313 查看反向解析 （ 10）在客戶端配置網(wǎng)卡 如圖 314 所示的畫面 圖 314 查看反向解析 （ 11）在客戶端 配置網(wǎng)卡 如圖 315所示的畫面 第 10 頁(yè) 共 30 頁(yè) 圖 315 查看反向解析 （ 12）在客戶端配置測(cè)試 如圖 316所示的畫面 圖 316 查看反向解析 第 11 頁(yè) 共 30 頁(yè) 四 ．搭建 Sendmail郵件服務(wù)器 （一） Sendmail 簡(jiǎn)介 Sendmail 是最重要的郵件傳輸代理程序。而投遞代理則從信件傳輸代理取得信件傳送至最終用戶的郵箱，如： procmail。 顯然，郵件傳輸是從服務(wù)器到服務(wù)器的，而且每個(gè)用戶必須擁有服務(wù)器上存儲(chǔ)信息的空間（稱為信箱）才能接受郵件（發(fā)送郵件不受這個(gè)限制）。 Sendmail 的功能： 1. 接受 SMTP 郵件； 2. 為郵件選擇路由； 3. 傳輸 SMTP 郵件； 4. 使用郵件別名，從而允許使用郵件列表； 5. 錯(cuò)誤檢測(cè)以及速度 和代價(jià)優(yōu)化。當(dāng)然，Sendmail 具有一些缺點(diǎn)，其特色功能過(guò)多而導(dǎo)致配置文件的復(fù)雜性。而且Sendmail 的流行性也使其成為攻擊的目標(biāo)，這有好處也有壞處 :這意味著安全漏洞可以很快地被發(fā)現(xiàn)，但是同樣使 Sendmail 更加穩(wěn)定和安全。 （四）測(cè)試郵件的發(fā)送 （ 1）檢查服務(wù)器是否啟動(dòng) stat au，如 圖 411所示 : //:25 表示 SendMail 服務(wù)已經(jīng)在監(jiān)聽本機(jī)的 25(SMTP)端口。這是通過(guò)對(duì)單個(gè) FQDN 設(shè)置多個(gè) IP 地址實(shí) 第 21 頁(yè) 共 30 頁(yè) 現(xiàn)的。 關(guān)閉 Open Relay 具體實(shí)現(xiàn)過(guò)程： （ 1）到 /etc/mail 目錄編輯 access 文件，去掉“ *relay” 之類的設(shè)置，如 圖 61所示 : 第 22 頁(yè) 共 30 頁(yè) 圖 61 編輯 access 文件 （二）在 Sendmail 中實(shí)時(shí)黑名單過(guò)濾 黑名單服務(wù)是基于用戶投訴和采樣積累而建立的、由域名或 IP組成的數(shù)據(jù)庫(kù)，最著名的是 RBL、 DCC 和 Razor 等。例如，原來(lái)一段時(shí)期，北美的 RBL 和 DCC 包含了我國(guó)大量的主機(jī)名字和 IP 地址，其中有些是早期的 Open Relay 造成的，有些則是由于誤報(bào)造成的。只要在 Sendmail 中加入 RBL 認(rèn)證功能，就會(huì)使郵件服務(wù)器在每次收信時(shí)都自動(dòng)到 RBL 服務(wù)器上去查實(shí)，如果信件來(lái)源于黑名單，則 Sendmail 會(huì)拒收郵件，從而使單位的用戶少受垃圾郵件之苦。此外，如果 SMTP 服務(wù)和 POP3 服務(wù)集成在 同一服務(wù)器上，在用戶試圖發(fā)信之前對(duì)其進(jìn)行 POP3 訪問(wèn)驗(yàn)證 (POP before SMTP)是一種更加安全的方法。 下面是配置 SMTP 用戶認(rèn)證的具體實(shí)現(xiàn)過(guò)程： （ 1）檢查系統(tǒng)是否已經(jīng)安裝了 sasl 相關(guān)的 RPM 包 rpm qa|grep sasl 如 圖 68所示 : 第 24 頁(yè) 共 30 頁(yè) 圖 68 檢查是否安裝 sasl （ 2）查看 sendmail 與認(rèn)證相關(guān)的配置 cat /usr/lib/sasl/，如 圖 69所示 : 圖 69 查看 sendmail 相關(guān)的配置 （ 3）進(jìn)入 sendmail cd /etc/mail 編 輯 修改和認(rèn)證相關(guān)的配置內(nèi)容， vi ，如 圖 610 所示 : 圖 610 修改 （ 4）修改本地 MTA 的 IP 地址，如 圖 611 所示 : vi 圖 611 修改本地 MTA 的 IP （ 5）使用 m4