鳥哥的 Linux 與 ADSL 私房菜

---

前言：

網管人員對於郵件伺服器最厭煩的地方大概就是在管理郵件傳遞（Relay）的問題了！因為如果將郵件傳遞的範圍限制的太小，那麼只要一個不小心，使用者在能轉遞信件的 domain 之外，就無法使用郵件主機！而如果沒有設定的很好，那麼郵件主機又很容易被拿來當成廣告垃圾信件的中繼站！這裡提供一個郵件認證的機制，讓你的使用者方便而郵件主機又不會有被做為廣告中繼站的問題！

郵件主機是如何運作的呢？你可以看一下 Mail Server 這一篇文章，相信就可以約略瞭解郵件的傳送過程了！不過，這裡有個觀念要讓大家瞭解一下：就是 sendmail 在寄信與收信的通訊協定是不一樣的！你在用戶端(Client)使用的收信程式在接收信件時，是使用 pop3 的協定，至於寄信的時候就是需要 smtp 的通訊協定了。常常會發現到郵件主機掛掉的時候並不是兩者同時掛掉，有時候只掛掉 smtp 的協定，那麼此時這個郵件主機還是可以在用戶端收信的，只是就會無法寄信就是了！

• 關於 Relay 的問題：

很多的網管人員對於郵件主機最感到棘手的，應該是 Relay 的問題！在 Red Hat 6.x 以前的 Sendmail 版本中，郵件主機預設是可以讓所有的用戶端電腦傳遞信件的！此話何解？剛剛說到郵件主機有兩個通訊協定，分別是 pop3 與 smtp ，你會發現到，如果是使用 Red Hat 6.x 以前版本的主機系統時，收信是一定需要帳號與密碼的（使用 pop3 協定），但是寄信呢？寄信者只要隨便取一個帳號名稱（這個帳號不一定要在 Red Hat Linux 中存在），然後直接按下寄信之後，郵件主機不會判別 smtp 的來向，一律通通予以接受，並且予以轉寄！那你就知道了！廣告信件從此將可以直接經由你的主機來將信件送出去！這就是問題啦！

這個問題的解決方法大概就是在 /etc/mail 當中的 access 檔案中，將你所發現的亂發垃圾廣告的電腦 IP Reject 掉，不過，由於目前發廣告信件的電腦實在太多了，你根本就擋不完！那如果使用了將所有的電腦都 deny 掉之後，再開放一些可以 Relay 的電腦呢？這樣一來不就可以擋掉所有的廣告信了嗎？沒錯！但是如此一來卻也讓你的信任用戶合理的使用權也遭受到同樣被擋掉的命運！

除了這個問題之外，在目前的 Red Hat 7.x 版本的 sendmail 中，也將預設的 Relay 功能取消了，因此，你必須設定 /etc/mail/access 這個檔案的內容，才能將合法的使用者的權限開放！這樣是不是很麻煩呢？我覺得，很麻煩......

• 設定 SMTP 認證機制簡介：

為了讓使用者可以很方便的就擁有寄信的權力，也為了讓廣告信件可以有效的被擋掉，因此 sendmail 本身也提供了一個有效的管理辦法，那就是 SMTP 的身份認證機制了！這個機制的好處在於讓 SMTP 與 pop3 一樣，都需要輸入帳號與密碼之後，才可以進行寄信的動作！則如此一來，將可以讓廣告信件的發送者無法經由匿名來轉寄，而您的信任的使用者仍然可以快快樂樂的使用您的郵件主機囉！以下將介紹 Red Hat 7.x 以後版本的認證方法，在 Red Hat 6.x 以前的版本的認證機制可以參考 Yu-Lin Chang 先生的文章。

• 系統需求：

由於要使 smtp 通訊協定具有身份認證的功能，則必須要有底下的版本的套件才有支援！

1. 由 Sendmail Inc. 發行的 8.10.0 以上版本的 Sendmail 套件；
2. 由 Carnegie Mellon University 發行的 Cyrus SASL (Simple Authentication and Security Layer) 認證程式庫；
3. C 語言的編輯器。

很幸運的， Red Hat 7.x 以後的版本中，以上的套件都已經含有了！所以我們並不需要重新安裝上面的套件喔！不過，如果您是使用 Red Hat 6.x 以前版本的 Linux 系統，那麼您只好更新您的 Sendmail 及 Cyrus SASL 套件囉！

• 設定方法：

在 Red Hat 7.x 版本中的設定真的是很簡單！你只要依序做底下的動作就可以了！

• 修改 /usr/share/sendmail-cf/cf 底下的 redhat.mc 檔案：

 

[root@tsai /root]# cd /usr/share/sendmail-cf/cf [root@tsai cf]# vi redhat.mc .......... dnl TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl dnl define(`confAUTH_MECHANISMS', `DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl .......... DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1, Name=MTA') ..........

將上面的三行改成中，前兩行 dnl 去掉，第三行則將 127.0.0.1 改成 0.0.0.0 如下所示：
 

.......... TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl define(`confAUTH_MECHANISMS', `DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl .......... DAEMON_OPTIONS(`Port=smtp,Addr=0.0.0.0, Name=MTA') ..........

• 製作 sendmail 參數檔與重新啟動 sendmail：

修改完成之後，再來則是製作 sendmail 的參數檔 sendmail.cf 了，指令下達：
 

[root@tsai /root]# cd /usr/share/sendmail-cf/cf [root@tsai cf]# sh Build redhat.cf [root@tsai cf]# mv /etc/sendmail.cf /etc/sendmail.cf.old  <==備份舊的檔案 [root@tsai cf]# cp redhat.cf /etc/sendmail.cf          <==加入新的參數檔 [root@tsai cf]# /etc/rc.d/init.d/sendmail restart      <==重新啟動 sendmail

相信嗎？這樣的步驟一完成，你的郵件主機就具有 smtp 身份認證的功能囉！

• 用戶端的設定方法：

主機設定完成之後，再來則是用戶端電腦的設定囉，設定的方法也是簡單的很，只要多出一個勾勾，就可以完成設定了：

1. 開啟 OutLook

開啟 Out Look 之後，點選『工具』內的『帳號』，如下圖所示：




2. 點選主機的郵件帳號：

接著下來點選『郵件』，並選擇你的設定檔，如下圖所示：




3. 在上圖中再點選內容後，會出現如下畫面：

在下圖的畫面中，只要點選『伺服器』的內容，然後將你的帳號與密碼均設定完全，並將『我的伺服器需要查驗身份』那一項，也就是下圖中箭頭指的那個地方，將他打勾，然後再按下『確定』後離開，如此一來便完成設定了！那往後在收發信件的時候就可以有保護囉！而且也不怕郵件主機會被誤用！

既然 Red Hat 7.1 可以具有身份認證的功能，那麼其他版本的 Red Hat 是否可以呢？當然可以了！只是動作會變的比較麻煩就是了！因為 Cyrus-sasl 這個套件所支援的 Sendmail 版本需要大於 8.10.0 以上，而且 Red Hat 6.X 版並無預設的 Cyrus-sasl 套件，所以你必須要捉下這兩個套件來安裝才行！

• 下載所需套件：

sendmail：sendmail 可以到 sendmail 的網站上下載最新的套件，或者由『這裡』下載；
cyrus-sasl：這個認證函式庫可以到 Carnegie Mellon University 網站上看看，或者由『這裡』下載；

• 移除與備份之前版本的 sendmail 設定：

為了讓你未來還可以使用舊的 sendmail 來安裝你的原先的設定，所以請備份以下的檔案吧（使用 tar 是一個不錯的主意！）：
• /etc/sendmail.cf (或 /etc/mail/sendmail.cf)
• /etc/mail/*
• /usr/sbin/sendmail
再來則是移除一些舊的套件：
• rpm -e mutt
• rpm -e fetchmail
• rpm -e fetchmailconf
• rpm -e --nodeps sendmail

• 安裝 Cyrus-sasl 函式庫：

假設你的 cyrus-sasl-1.5.27.tar.gz 放置在 root 底下，我預設的解壓縮目錄是在 /usr/local/src 底下，那我的步驟就是：
 

[root@tsai /root]# cd /usr/local/src [root@tsai src]# tar -zxvf /root/cyrus-sasl-1.5.27.tar.gz ..........（略） [root@tsai src]# cd cyrus-sasl-1.5.27 [root@tsai cyrus-sasl-1.5.27]# ./configure --prefix=/usr/local \ > --enable-plain --enable-login --enable-pwcheck 上面這一行，在於使你的 cyrus-sasl 安裝在 /usr/local 目錄中； 並且已經啟動了 password_check 的模式。 ..........（略） [root@tsai cyrus-sasl-1.5.27]# make clean; make ; make install ..........（略） [root@tsai cyrus-sasl-1.5.27]# cd /usr/lib [root@tsai lib]# ln -s /usr/local/lib/sasl . [root@tsai lib]# ln -s /usr/local/lib/libsasl* . 上面這幾行在將你的資料 Link 到 Red Hat 的預設路徑中。 [root@tsai sbin]# cd /usr/lib/sasl [root@tsai sasl]# echo 'pwcheck_method: shadow' > Sendmail.conf 這個目的在於產生一個 Red Hat 的密碼認證資料庫。

基本上大概這樣就安裝完成 cyrus-sasl 這個套件了！

• 安裝 sendmail 最新版（到 2001/12 為止）：

假設我們的 sendmail.8.12.1.tar.gz 同樣是放置在 /root 底下，而解壓縮檔案要放在 /usr/local/src 底下：
 

[root@tsai /root]# cd /usr/local/src [root@tsai src]# tar -zxvf /root/sendmail.8.12.1.tar.gz .........(略) [root@tsai src]# cd sendmail-8.12.1 [root@tsai sendmail-8.12.1]# cd /usr/local/src/sendmail-8.12.1/devtools/Site [root@tsai Site]# vi site.config.m4  <==這個檔案內容如下： PREPENDDEF(`confMAPDEF', `-DMAP_REGEX') PREPENDDEF(`confOPTIMIZE', `-O2') APPENDDEF(`confENVDEF', `-DTCPWRAPPERS -DSASL') APPENDDEF(`conf_sendmail_LIBS', `-lwrap -lsasl') APPENDDEF(`confLIBDIRS', `-L/usr/local/lib') APPENDDEF(`confINCDIRS', `-I/usr/local/include') [root@tsai bin]# cd /usr/local/src/sendmail-8.12.1/sendmail [root@tsai sendmail]# sh Build -c -f /usr/local/src/sendamil-8.12.1/devtools/Site/site.config.m4 .........(開始編譯，略) 底下為 sendmail 8.12 的新功能，需要增加一個 smmsp 及 smmsp 使用者，這樣才可以確保安全性！ [root@tsai sendmail]# groupadd -g 25 smmsp [root@tsai sendmail]# useradd -g smmsp -u 25 -d /var/spool/clientmqueue -s /dev/null smmsp [root@tsai mail]# chown -R smmsp:smmsp /var/spool/clientmqueue [root@tsai mail]# chmod -R 770 /var/spool/clientmqueue 新增一個使用者，他無法登入，ID 是 25 號！ 這個使用者的家目錄是 /var/spool/clientmqueue 主要僅用於郵件的收受與傳遞！增加這個使用者是 sendmail 8.12 板後新增的功能！主要的目的在於 提供更安全的 sendmail 使用環境！ [root@tsai sendmail]# cd /usr/local/src/sendmail-8.12.1/cf/cf [root@tsai cf]# cp generic-linux.mc sendmail.mc [root@tsai cf]# cat ../feature/access_db.m4 >> sendmail.mc [root@tsai cf]# cat ../feature/delay_checks.m4 >> sendmail.mc [root@tsai cf]# cat ../feature/virtusertable.m4 >> sendmail.mc [root@tsai cf]# vi sendmail.mc <==在最後面加上兩行 TRUST_AUTH_MECH(`LOGIN PLAIN')dnl define(`confAUTH_MECHANISMS', `LOGIN PLAIN')dnl [root@tsai cf]# sh Build sendmail.cf [root@tsai cf]# sh Build install-cf [root@tsai cf]# cd /usr/local/src/sendmail-8.12.1/sendmail [root@tsai sendmail]# sh Build install [root@tsai sendmail]# cd ../makemap [root@tsai makemap]# sh Build install [root@tsai makemap]# cd ../mailstats [root@tsai mailstats]# sh Build install [root@tsai mailstats]# cd /usr/local/src/sendmail-8.12.1 [root@tsai sendmail-8.12.1]# sh Build install [root@tsai mail]# vi access <==這個檔案內容如下： # makemap hash /etc/mail/access_db < /etc/mail/access localhost.localdomain           RELAY localhost                       RELAY 127.0.0.1                       RELAY [root@tsai mail]# vi local-host-names tsai.adsldns.org [root@tsai mail]# vi aliases  <==aliases的內容！ mailer-daemon:  postmaster postmaster:     root bin:            root daemon:         root adm:            root lp:             root sync:           root shutdown:       root halt:           root news:           root uucp:           root news:           root uucp:           root operator:       root games:          root gopher:         root ftp:            root nobody:         root apache:         root named:          root xfs:            root gdm:            root mailnull:       root postgres:       root squid:          root rpcuser:        root rpc:            root ingres:         root system:         root toor:           root manager:        root dumper:         root abuse:          root newsadm:        news newsadmin:      news usenet:         news ftpadm:         ftp ftpadmin:       ftp ftp-adm:        ftp ftp-admin:      ftp decode:         root root:           vbird 上面的設定是隨系統而變的喔！ 不過，最後一行是將 root 的信都寄一份給 vbird 的意思！ [root@tsai mail]# touch virtusertable [root@tsai mail]# makemap hash access.db < access [root@tsai mail]# makemap hash virtusertable.db < virtusertable [root@tsai mail]# newaliases [root@tsai mail]# /usr/sbin/sendmail -bd -q30m 啟動 sendmail 囉！ 開始進行測試一下！ [root@tsai mail]# telnet 127.0.0.1 25 Trying 127.0.0.1... Connected to 127.0.0.1. Escape character is '^]'. 220 tsai.adsldns.org ESMTP Sendmail 8.12.1/8.12.1; Thu, 13 Dec 2001 14:02:30 +0800 ehlo localhost        <==這裡輸入測試點！ 250-tsai.adsldns.org Hello localhost [127.0.0.1] (may be forged), pleased to meet you 250-ENHANCEDSTATUSCODES 250-PIPELINING 250-EXPN 250-VERB 250-8BITMIME 250-SIZE 250-DSN 250-ETRN 250-AUTH LOGIN PLAIN   <==有這一行就是成功啦！ 250-DELIVERBY 250 HELP

基本上這樣就設定完成了！不過要注意的是，還需要做一下測試！因為在我的系統中，雖然可以具有身份認證的功能，但是一開始卻是捉不到 /etc/sasldb 這個檔案！真是很奇怪！後來，我在 /usr/local/sbin 底下，執行了 ./saslpasswd 及 ./sasldblistusers 這樣就可以了！或者是我的系統太舊了吧！

• 設定開機時載入：

剩下一個重要的步驟了！就是在開機的時候載入 Sendmail 啦！直接修改 /etc/rc.d/rc.local 在最後一行加入：
/usr/sbin/sendmail -bd -q30m
就可以啦！OK！

• 設定用戶端：

就跟上面的設定相同，去試試看吧：

Designed by VBird during 2001-2004.  Aerosol Lab.