日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

SMTP安全( 二 )

云知道


HELOremote.system.domainname
250qmailserver.domain
MAILFROM:user@somewherer.net
250OK
RCPTTO:user1@elsewhere.net
郵件的接收者user1@elsewhere.net中的域名并不一定是郵件接受服務(wù)器的所具有的本地域名,也就是說(shuō)郵件目的可能不是上面協(xié)議交互中的接收方,而是郵件發(fā)送者希望接收郵件服務(wù)器幫助其轉(zhuǎn)發(fā)郵件 。這時(shí)候本地系統(tǒng)可能有兩種回答,接受它:
250OK
或者拒絕接受它:
553sorry,.thatdomainisnotinmydomainlistofallowedrecphosts
第一種情況下,本地郵件服務(wù)器是答應(yīng)relay的,它接收并同意傳遞一個(gè)目的地址不是本地的郵件;而第二種情況則不接收非本地郵件 。
為什么不能配置郵件服務(wù)器為openrelay?
假如系統(tǒng)治理員將自己的郵件服務(wù)器設(shè)置為openrelay,將會(huì)導(dǎo)致一些垃圾郵件發(fā)送者將你的郵件服務(wù)器作為轉(zhuǎn)發(fā)自圾郵件的中繼站,這將使垃圾郵件的接收者將矛頭對(duì)準(zhǔn)你,可能會(huì)導(dǎo)致報(bào)復(fù)性的郵件炸彈;垃圾郵件還能消耗你大量的資源,占用你的帶寬 。更為糟糕的事情可能是你的名字可能會(huì)上了黑名單,成為其他郵件接收者共同抵制的目標(biāo),你的郵件將被這些接收者所拒絕 。
因此,系統(tǒng)治理員應(yīng)當(dāng)注重不要使自己的郵件服務(wù)器是openrelay的 。
二、Sendmail服務(wù)器安全
sendmail是在Unix環(huán)境下使用最廣泛的實(shí)現(xiàn)郵件發(fā)送/接受的郵件傳輸代理程序 。由于Sendmail郵件服務(wù)器的特點(diǎn)是功能強(qiáng)大而復(fù)雜,因此為保證Sendmail的安全性,需要作以下一些工作 。
1、設(shè)置Sendmail使用"smrsh"
smrsh程序的目的是作為在mailer中為sendmail定義的"/bin/sh"的替代shell 。smrsh是一種受限shell工具,它通過(guò)"/etc/smrsh"目錄來(lái)明確指定可執(zhí)行文件的列表 。簡(jiǎn)而言之smrsh限制了攻擊者可以執(zhí)行的程序集 。當(dāng)它與sendmail程序一起使用的時(shí)候,smrsh有效的將sendmail可以執(zhí)行的程序的范圍限制在smrsh目錄之下 。
第一步:
決定smrsh可以答應(yīng)sendmail運(yùn)行的命令列表 。缺省情況下應(yīng)當(dāng)包含以下命令,但不局限于這些命令:
"/bin/mail"(假如在你的系統(tǒng)中安裝了的話)
"/usr/bin/procmail"(假如在你的系統(tǒng)中安裝了的話)
注重:不可在命令列表里包括命令解釋程序,例如sh(1),csh(1),perl(1),uudecode(1)及流編輯器sed(1) 。
第二步:
在"/etc/smrsh"目錄中創(chuàng)建答應(yīng)sendmail運(yùn)行的程序的符號(hào)連接 。
使用以下命令答應(yīng)mail程序"/bin/mail"運(yùn)行:
[root@deep]#cd/etc/smrsh
[root@deep]#ln-s/bin/mailmail
用以下命令答應(yīng)procmail程序"/usr/bin/procmail"運(yùn)行:
[root@deep]#cd/etc/smrsh
[root@deep]#ln-s/usr/bin/procmailprocmail
這將答應(yīng)位于".forward"和"aliases"中的用戶采用"program"語(yǔ)法來(lái)運(yùn)行mail及procmail程序 。
第三步
配置sendmail使之使用受限shell 。mailer程序在sendmail的配置文件"/etc/sendmail.cf"中僅有一行 。必須修改"sendmail.cf"文件中"Mprog"定義的那一行 。將"/bin/sh"替換為"/usr/sbin/smrsh" 。
編輯"sendmail.cf"文件(vi/etc/sendmail.cf)并改動(dòng)下面這一行:
例如:
Mprog,P=/bin/sh,F=lsDFMoqeu9,S=10/30,R=20/40,D=$z:/,T=X-Unix,A=sh-c$u
應(yīng)該被改為:
Mprog,P=/usr/sbin/smrsh,F=lsDFMoqeu9,S=10/30,R=20/40,D=$z:/,T=X-Unix,A=sh-c$u
現(xiàn)在用以下命令手工重起sendmail進(jìn)程:
[root@deep]#/etc/rc.d/init.d/sendmailrestart
2、"/etc/aliases"文件
假如沒(méi)有加以正確和嚴(yán)格的治理的話,別名文件被用來(lái)獲取特權(quán) 。例如,很多發(fā)行版本在別名文件中帶有"decode"別名 。現(xiàn)在這種情況越來(lái)越少了 。
這樣做的目的是為用戶提供一個(gè)通過(guò)mail傳輸二進(jìn)制文件的方便的方式 。在郵件的發(fā)送地,用戶把二進(jìn)制文件用"uuencode"轉(zhuǎn)換成ASCII格式,并把結(jié)果郵遞給接收地"decode"別名 。那個(gè)別名通過(guò)管道把郵件消息發(fā)送到"/usr/bin/uuencode"程序,由這個(gè)程序來(lái)完成從ASCII轉(zhuǎn)回到原始的二進(jìn)制文件的工作 。

推薦閱讀