Sendmail 的安全配置

Sendmail的安全配置 湖南交通职业技术学院信息管理系曾瑶辉

课程目标 训练学生的下列技能 • 配置sendmail的中继访问控制 • 提高sendmail的抗DoS攻击能力

sendmail简介 • 电子邮件传输服务器，linux或unix的标准配置 • 官方网站：http://www.sendmail.org，提供源代码 • Red Hat的FTP服务器上有rpm安装包

Sendmail的配置文件 • etc/mail/sendmail.cf 主配置文件 • etc/mail/access 中继访问控制 • etc/mail/domaintable 域名映射 • etc/mail/local-host-names 本地主机别名 • etc/mail/mailertable 邮递表 • etc/mail/virtusertable 虚拟用户表 • etc/mail/sendmail.mc 用来生成sendmail.cf的宏配置文件，要用到宏处理器m4，命令如下：＃m4 /etc/mail/sendmail.mc>/etc/mail/sendmail.cf

中继访问控制 • 涵义：是否转发邮件 • 设置方法1：在sendmail.mc中用FEATURE（）中的参数设置 • 设置方法2：在access文件中设置

sendmail.mc内容一览

在sendmail.mc中做邮件转发控制 8.9版开始默认设置不允许邮件转发，但可以用下列参数来控制： FEATURE（relay_entire_domain）允许转发本地域的 FEATURE（access_db）用哈希数据库/etc/mail/access来控制邮件转发 FEATURE（rbl）允许基于maps.vix.com的黑名单（Realtime Blackhole List）做邮件拒绝，防垃圾邮件

在access文件中做转发控制，该文件初始内容如下在access文件中做转发控制，该文件初始内容如下

在access文件中添加内容举例： edu.cn RELAY bad@bad.com REJECT gov.tw DISCARD lianzhan@gov.tw OK 172.16.80.1-172.16.81.254 550 “Stop spamming” 各行涵义：允许对edu.cn域的中继拒绝接收发信人为bad@bad.com的邮件丢弃来自gov.tw域的邮件接收来自lianzhan@gov.tw的邮件，尽管它也属于gov.tw域对所有来自172.16.80.1-172.16.81.254的邮件返回错误代码550和警告信息“Stop spamming”

把access文件导入access数据库 • 因为sendmail真正读取的是数据库access.db，所以还要把access文件导入access数据库： #makemap hash /etc/mail/access.db</etc/mail/access

提高sendmail抗DoS攻击的能力 直接编辑sendmail.cf文件中的下列参数 • MinFreeBlocks，邮件队列中自由块数目，越小越易受攻击，推荐4000以上 • MaxMessageSize，最大邮件大小，越大越易受攻击，推荐5MB • MaxRecipientsPerMessage，每封邮件的最多接收者，推荐10～100 • RefuseLA,平均负荷拒绝临界点，一旦超过此点，即拒绝所有SMTP连接，推荐8×CPU数量

知识扩展 • 有一个sendmail的替代品： Postfix 邮件处理速度是sendmail的3倍！留给你去自学

Sendmail 的安全配置