linux sendmail 安全

linux下的郵件伺服器軟體有 sendmail  qmail  postfix

MUA （mail user agent   郵件使用者代理），用于使用者端發送郵件或者閱讀郵件  

       linux有mutt  , thunderbird , evolution 

       windows有outlook express,  foxmail

MTA (mail tranfer agent 郵件傳輸代理 ），相當于一個郵局，server端的軟體，主要的功能有，接收MUA發來的郵件和把郵件發送給下一個MTA，可以說是一個郵件路由（mail router)，server端的軟體就屬于MTA，現在開源的有sendmail,postfix,qmail等

windows有   exchange server  （大型）   mdaemon (小型)

MDA (mail devilery agent 郵件投遞代理），主要是将MTA所接受的郵件，依照郵件的目的地将此郵件放到本機賬号下或者是給下一個MTA，一般就是指mail這樣的指令

  有 procmail   maildrop

MAA   郵件通路代理    （接收伺服器） dovecot

安全

    1 垃圾郵件

          a  安裝反垃圾郵件軟體

                apache  spamAssassin       ---www.apache.org

          b   認證  （位址   賬号）

              正向解析  反向解析

     2  病毒

          clamav   (隻查毒  不殺毒)

              到internet更新病毒庫

      3   sendmail     mailscanner   郵件呼叫器

sendmail的原理

發信： SMTP （simple mail tranfer protocol 簡單郵件傳輸協定）   端口号 TCP的25端口，在發信時，MUA會主動連接配接MTA的port 25，然後經由SMTP協定發送出去，SMTP分為接受SMTP和發送SMTP，它不管兩端主機的配置或者系統等，隻要兩邊SMTP協定OK就可以發送郵 件

收信： POP   （post office protocol    郵局協定），來連接配接到MTA，以讀取或者下載下傳郵件，現在常用的版本是POP3，端口為110

IMAP   （internet message access protocol 網絡封包件協定），能在下載下傳郵件前先下載下傳郵件頭資訊，以可以讓使用者選擇性下載下傳 端口 143

軟體包

sendmail.i386     --郵件伺服器端     MTA                      

sendmail-cf.i386        --配置檔案包                   

sendmail-devel.i386      --開發包             

sendmail-doc.i386    --文檔包

dovecot.i386   ---   pop郵件服務端    MDA

m4.i386 --處理配置檔案的包

sendmail安全處理

1 對sendmail  加密認證

  smtps 是 明文傳輸  不安全 故需加密處理

   sendmail

   sendmail-cf

   m4

    dovecot

cd  /etc/mail

vim sendmail.mc

           把127.0.0.1改為0.0.0.0

vim local-host-names

    bj.com

vim access

     connect:192.168.2          RELAY

     sh.com                           RELAY

     bj.com                            ok

配置DNS

   安裝 bind-9.3.6…

           bind-chroot

           bind-caching-nameserver

cd /var/named/chroot/etc

cp –p caching-nameserver…   named.conf

vim named.conf

vim named.rfc1912.zones

cd ../var/named

cp –p localhost.zone  bj.com.db

vim bj.com.db

chkconfig  named on

service  named start

vim /etc/resolv.conf

     name.server    192.168.2.100

vim /etc/sysconfig/network

vim /etc/hosts

       mail.bj.com

init 6

clone 

修改必要參數

cd /etc/pki

vim  /tls/openssl.cnf

43行 

              dir    …   =/etc/pki/CA

88-90    match->optional

cd CA

mkdir  crl  certs  newcerts

touch  serial   index.txt

vim  serial

      01   --------序列号

openssl  genrsa   1024 >private/cakey.pem

chmod  600  private/*

openssl  req  -new  -x509  -key  private/cakey.pem  -out  cacert.pem  -days  3650

mkdir  /etc/mail/certs

cd  /etc/mail/certs

openssl  genrsa  1024 >sendmail.key

openssl  req –new –key sendmail.key  -out  sendmail.csr

openssl ca  -in  sendmail.csr –out  sendmail.cert

cp  /etc/pki/CA/cacert.pem  .

cd  ..

vim  sendmail.mc -------------證書鍊

60-63   去掉 dnl    /etc/mail/certs

                          /etc/mail/certs/cacert.pem

                          /etc/mail/certs/sendmail.cert

                          /etc/mail/certs/sendmail.key

134行    去dnl

service  sendmail  restart

tail –f /var/log/maillog

cd  certs

chmod 600  *

service   sendmail  restart

tail –f  /var/log/maillog

telnet   127.0.0.1  25

EHLO    127.0.0.1  

             STARTTLS

接收伺服器

mkdir   -pv   /etc/dovecot/certs

cd  /etc/dovecot/certs

openssl  genrsa   1024  >dovecot.key

openssl  req  -new –key  dovecot.key  -out  dovecot.csr

openssl  ca  -in  dovecot.csr   -out  dovecot.cert

vim  /etc/dovecot.conf

  92-93打開     /etc/dovecot/certs/dovecot.cert

                     /etc/dovecot/certs/dovecot.key

openssl   ca  -in  dovecot.csr  -out  dovecot.cert