【正文】 謝謝你們！ 。 正是由于他們，我們才能在各方面取得顯著的進步，在此向他們表示 由衷的謝意。 從最初的定題，到資料收集，到最后定稿各個環(huán)節(jié)給予細心指引與教導 ， 使我們得以最終完成畢業(yè)設(shè)計。雖然中間有著不完美，但卻是我們自己不斷地查閱資料、思考和動手的結(jié)果。 參考文獻 曾小波 王淵 編著 《 Linux 服務(wù)器配置與管理》電子工業(yè)出版社 編著 《 Linux 服務(wù)器配置與管理》清華大學出版社 編著 《 Red Hat Linux 9 系統(tǒng)管理》清華大學出版社 萬輝 張鑫金 編著 《 Reb Hat Enterprise Linux 架站實務(wù)》清華大學出版社 編著 《 Linux 服務(wù)器安全策略詳解》電 子工業(yè)出版社 叢日權(quán)等 編著 《 Red Hat Linux 9 網(wǎng)絡(luò)服務(wù)》機械工業(yè)出版社 致謝 畢業(yè)設(shè)計是一次系統(tǒng)性學習的過程，畢業(yè)論文的完成，同樣也意味著新的學習生活的開始。它遵循 SMTP 協(xié)議，提供了很強大的郵件服務(wù)功能，可以承載高達數(shù)萬個用戶的電子郵件通信服務(wù)。 第 32 頁 共 30 頁 在此畢業(yè)設(shè)計，在 系統(tǒng)的環(huán)境下實現(xiàn) Linux 郵件服務(wù)器安全策略。它是一次再系統(tǒng)學習的過程，也是來驗收我們?nèi)晁鶎W知識。 圖 632 實現(xiàn)郵件列表 （ 3）給 groupmail 發(fā)送郵件，如 圖 633 所示 : 圖 633 接受郵件 八．結(jié)束語 經(jīng)過將近一個月的學習和實踐 ， 本次畢業(yè)設(shè)計已經(jīng)接近尾聲。如 圖 632所示 : 第 31 頁 共 30 頁 //把 xxx,yjf 添加到 groupmail 這個別名中，當向 發(fā)送郵件候，就可以向該組的 xxx， yjf 發(fā)送郵件。 別名最重要的功能就是實現(xiàn)郵件列表。由于在默認的 mc 配置文件中有默認的如 圖 630 所示設(shè)置： //sendmail 的別名被定義在 /etc/aliases 文件中 圖 630 查看 aliases 文 件 定義別名有如下作用： （ 1）為用戶指定別名，如 圖 631 所示 : //利用別名來保護登陸賬戶，可以將 xxxmail 的登陸帳號設(shè)置為 xxx。其可以防止一些特權(quán)用戶因為沒有硬盤容量限制，而導致垃圾郵件占用了大量的硬盤空間，從而給其他用戶造成使用上的故障。也就是說， root 帳戶將不能夠接收任何郵件。所以在部署 Linux 服務(wù)器的時候，往往需要對這個特權(quán)用戶給與特殊的照顧，如拒絕其接收任何郵件等等。如果有攻擊者給這個 root用戶發(fā)垃圾郵件的話，那么其會一直接收下去，直到占滿全部硬盤空間位置。 root 用戶是 Linux 操作系統(tǒng)中的特權(quán)用戶，其具有很高的權(quán)限。然后使用 quit 命令推出即可。 （ 1）建立 mail 用戶名稱，如 圖 622 所示 : 圖 622 建立 mail 用戶 （ 2）修改 Sendmail 使用的文件和目錄的權(quán)限，如 圖 623所示 : 圖 623 修改 sendmail 文件 （ 3）為 Sendmail 創(chuàng)建一個超級訪問程序 /etc/，如 圖 624所示 : 第 29 頁 共 30 頁 圖 624 創(chuàng)建超級訪問程序 （ 4）修改 /etc/crontab，如 圖 625 所示 : //10 分鐘運行一次郵件服務(wù)器。如果 Sendmail 的守護進程被緩沖區(qū)溢出攻擊的話，可能危及 root 賬號的安全，而 root 用戶的權(quán)限最高，攻擊者可以摧毀整個服務(wù)器。另外可以考慮使用非 root 權(quán)限運行 Sendmail 服務(wù)，使用基于 xid 的 SMTP 服務(wù)即可。如 圖 619所示 : 圖 619 調(diào)用過程 （ 5） 添加以下內(nèi)容到 /etc/procmailrc 文件，如 圖 620 所示 : 圖 620 添加內(nèi)容到 procmailrc 文件 （ 6）如果想要 SpamAssassin 不檢查大郵件，可以對其做出限制，添加一行，如 圖 621 第 28 頁 共 30 頁 所示 : //這段代碼表示把郵件檢查的大小限制在 1000K 字節(jié)以內(nèi)。最簡單的方法是使用 procmail來調(diào)用 SpamAssassin 過濾器。 使用 SpamAssassin 工具來防止垃圾郵件具體實現(xiàn)過程： （ 1）查看是否安裝 SpamAssassin，如 圖 616 所示 : 圖 616 查看是否安裝 spamassassin （ 2）查看 SpamAssassin 的預設(shè)默認規(guī)則，如 圖 617所示 : 第 27 頁 共 30 頁 cd/usr/share/spamassassin 圖 617 查看默認規(guī)則 （ 3）實現(xiàn)添加白名單 可以配置通過 /etc/mail/spamassassin/ 文件實現(xiàn)添加白名單 (即可以確信 不會發(fā)送垃圾郵件的發(fā)件人列表 )。如果分值為負，表示這封信件是正常的 ； 相反，如果分值為正，則表示信件有問題。它可以設(shè)置上百條規(guī)則，包括對郵件頭的處理、對郵件內(nèi)容的處理及對郵件結(jié)構(gòu)的處理等。當它被最終用戶或系統(tǒng)管理員調(diào)用時，它可以方便地與大多數(shù)流行的郵件處理系統(tǒng)進行接口互連。它的判斷方式是基于評分的方式，也就是說如果這封郵件符合某條規(guī)則，則給與一定分值 ； 當累計的分值超過了一定限度時，則判定該郵件為垃圾郵件。 下面是配置 SMTP 用戶認證的具體實現(xiàn)過程： （ 1）檢查系統(tǒng)是否已經(jīng)安裝了 sasl 相關(guān)的 RPM 包 rpm qa|grep sasl 如 圖 68所示 : 第 24 頁 共 30 頁 圖 68 檢查是否安裝 sasl （ 2）查看 sendmail 與認證相關(guān)的配置 cat /usr/lib/sasl/，如 圖 69所示 : 圖 69 查看 sendmail 相關(guān)的配置 （ 3）進入 sendmail cd /etc/mail 編 輯 修改和認證相關(guān)的配置內(nèi)容， vi ，如 圖 610 所示 : 圖 610 修改 （ 4）修改本地 MTA 的 IP 地址，如 圖 611 所示 : vi 圖 611 修改本地 MTA 的 IP （ 5）使用 m4 命令生成 cf文件 m4 如 圖 612 所示 : 圖 612 生成 文件 （ 6）重新啟動 sendmail 服務(wù)器 service sendmail restart 如 圖 613 所示 : 第 25 頁 共 30 頁 圖 613 重啟 sendmail 服務(wù)器 （ 7）測試，如 圖 614 所示 : 圖 614 測試 配置好了帶 SMTP 認證的 Sendmail 服務(wù)器后，可以只使用 SMTP 認證的限制，即可以將access 文件清空并重新生成 。但是，由于用戶的不斷增多，以及很多用戶都是在一個網(wǎng)段里面，如果單單依靠上述的 access 數(shù)據(jù)庫很難有效地管理 SMTP 服務(wù)器的使用， 那樣會使得 access 數(shù)據(jù)庫規(guī)模增大， 管理混亂 ， 從而造成效率降低，甚至出錯。此外，如果 SMTP 服務(wù)和 POP3 服務(wù)集成在 同一服務(wù)器上，在用戶試圖發(fā)信之前對其進行 POP3 訪問驗證 (POP before SMTP)是一種更加安全的方法。這樣既能夠有效避免郵件傳送代理服務(wù)器為垃圾郵件發(fā)送者所利 用，又為出差在外或在家工作的員工提供了便利。只要在 Sendmail 中加入 RBL 認證功能，就會使郵件服務(wù)器在每次收信時都自動到 RBL 服務(wù)器上去查實，如果信件來源于黑名單，則 Sendmail 會拒收郵件，從而使單位的用戶少受垃圾郵件之苦。 針對每個進入的郵件信息， MTA 程序獲取遠程服務(wù)器的地址，并且查詢遠程互聯(lián)網(wǎng)服務(wù)器對該地址進行認證。例如，原來一段時期，北美的 RBL 和 DCC 包含了我國大量的主機名字和 IP 地址，其中有些是早期的 Open Relay 造成的，有些則是由于誤報造成的。簡單地說，即數(shù)據(jù)庫中保存的 IP地址或域名都應該是非法的，都應該被阻斷。 關(guān)閉 Open Relay 具體實現(xiàn)過程： （ 1）到 /etc/mail 目錄編輯 access 文件，去掉“ *relay” 之類的設(shè)置，如 圖 61所示 : 第 22 頁 共 30 頁 圖 61 編輯 access 文件 （二）在 Sendmail 中實時黑名單過濾 黑名單服務(wù)是基于用戶投訴和采樣積累而建立的、由域名或 IP組成的數(shù)據(jù)庫，最著名的是 RBL、 DCC 和 Razor 等。 六 ． Sendmail 郵件服務(wù)器安全策略的實現(xiàn) （一）關(guān)閉 Sendmail 的 Relay 功能 所謂 Relay 功能就是指別人能用這臺 SMTP 郵件服務(wù)器給任何人發(fā)信，這樣別有用心的垃圾發(fā)送者就可以使用這臺郵件服務(wù)器大量發(fā)送垃圾郵件，而最后別人投訴的不是垃圾發(fā)送者，而是這臺服務(wù)器，因此必須關(guān)閉 Relay。這是通過對單個 FQDN 設(shè)置多個 IP 地址實 第 21 頁 共 30 頁 現(xiàn)的。因此，對于同一個名字，不同的客戶機會得到不同的地址，他們也就訪問不同地址上的 Web服務(wù)器，從而達到負載均衡的目的。 （四）測試郵件的發(fā)送 （ 1）檢查服務(wù)器是否啟動 stat