|
发信人: zenz.hu(真) 整理人: zhcharles(2001-06-17 19:55:53), 站内信件 |
| faucet2001兄请看,不知道是不是你想要的。
对于有漫游用户的邮件系统来说,防止其relay功能被滥用的另外一个方法就是在发送邮件时要求用户认证,就象用户收信是需要认证一样。这里假设系统已经安装成功qmail-1.03和vpopmail,并且原有系统运行正常。 1、 下载程序: qmail-smtp补丁:http://members.elysium.pl/brush/qmail-smtpd-auth/ 密码检验补丁:http://members.elysium.pl/brush/cmd5checkpw/ 从这两个地址下载得到qmail-smtpd-auth-0.26.tar.gz及cmd5checkpw-0.22.tar.gz。 2、编译安装qmail-smtpd 将qmail-smtpd-auth-0.26.tar.gz解压缩: [root@www src]# tar xvfz qmail-smtpd-auth-0.26.tar.gz [root@www src]# cd qmail-smtpd-auth-0.26 [root@www qmail-smtpd-auth-0.26]# ls CHANGES Makefile README TODO inetd.conf qmail-smtpd.c qmail-smtpd.patch 将安装成功的qmail目录下的qmail-smtp.c拷贝到qmail-smtpd-auth-0.26目录下: [root@www qmail-smtpd-auth-0.26]# cp ../qmail-1.03/qmail-smtpd.c ./ 然后对该文件进行补丁处理: [root@www qmail-smtpd-auth-0.26]# patch -p1 < qmail-smtpd.patch 将qmail-smtpd.c 拷贝到qmail 的源文件目录里: [root@www qmail-smtpd-auth-0.26]# cp qmail-smtpd.c ../qmail-1.03 最好先将原文件备份。单独编译 qmail-smtpd : [root@aidmail qmail-smtpd]# make qmail-smtpd ./load qmail-smtpd rcpthosts.o commands.o timeoutread.o \ timeoutwrite.o ip.o ipme.o ipalloc.o control.o constmap.o \ received.o date822fmt.o now.o qmail.o cdb.a fd.a wait.a \ datetime.a getln.a open.a sig.a case.a env.a stralloc.a \ alloc.a substdio.a error.a str.a fs.a auto_qmail.o `cat \ socket.lib` 将新生成的qmail-smtpd 拷贝到/var/qmail/bin 目录下。在之前应该对原来的执行文件进行备份。 3、 编译安装kpw-0.22.tar.gz 解压缩,编译安装: [root@www src]# tar xvfz cmd5checkpw-0.22.tar.gz [root@www src]# cd cmd5checkpw-0.22 [root@www cmd5checkpw-0.22]# make ;make instll 4、设置relay规则。 relay的意思是:服务器接受客户端的smtp请求,将客户端发往第三方的邮件进行转发。 qmail下控制relay很简单,只要客户端接入的smtp进程的环境变量里包含(RELAYCLIENT="")就允许relay ,否则拒收。实现方法是在/etc/tcp.smtp 里对需要relay的IP逐条设置(RELAYCLIENT=""),然后用tcprules 生成规则表。因为本文要实现SMTP认证后的relay ,不需要对任何IP进行预先设定,所以默认规则设置成“只对本服务器relay”。/etc/tcp.smtp内容应该为: 127.0.0.1:allow,RELAYCLIENT="" :allow 重新生成新的tcp.smtp.cdb文件: /usr/local/bin/tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.tmp < /etc/tcp.smtp 4、 设置 /bin/checkpassword 或 /home/vpopmail/bin/vchkpw 的SetUID和SetGID。 这点很重要,否则认证无法通过。这是因为smtpd 的进程是由qmaild 执行的。而密码验证程序原来只使用于pop3进程,分别由root或vpopmail执行,为的是读shadow或数据库中的密码,并取出用户的邮件目录。这些操作qmaild 都没有权限去做。如果smtp进程要调用密码验证程序,则必须要使用 setuid 和setgid 。其实这点大可放心,这两个密码验证程序都是带源代码的,本身非常安全,只需要放在安全的目录里就可以了(设置其他用户除qmaild 可执行外都没有权限执行;其实如果没有其他SHELL帐户,也就不用这么麻烦了)。 chmod 4755 /home/vpopmail/bin/vchkpw 5、修改smtpd启动命令行 #!/bin/sh QMAILDUID=`id -u qmaild` NOFILESGID=`id -g qmaild` exec /usr/local/bin/softlimit -m 2000000 \ /usr/local/bin/tcpserver -v -p -x /etc/tcp.smtp.cdb \ -u $QMAILDUID -g $NOFILESGID 0 smtp /var/qmail/bin/qmail-smtpd 2>&1 改为: #!/bin/sh QMAILDUID=qmaild NOFILESGID=nofiles exec /usr/local/bin/softlimit -m 2000000 \ /usr/local/bin/tcpserver -H -R -l 0 -t 1 -v -p -x /etc/tcp.smtp.cdb \ -u $QMAILDUID -g $NOFILESGID 0 smtp /var/qmail/bin/qmail-smtpd /home/vpopmail/bin/vchkpw /bin/true \ /bin/cmd5checkpw /bin/true 2>&1 5、 其他一些设置: 设置vpopmail的用户目录直到/目录都被任何用户可以读取; 6、 重新启动qmail /etc/rc.d/init.d/qmailstart stop /etc/rc.d/init.d/qmailstart start 6、在客户端上使用 OutlookExpress 和 Netscape 4.6 以上版本的邮件软件进行检验。 ----  |
|
[关闭][返回] |