Redhat 7.1下的Sendmail SASL認證的實現

　　Redhat 7.1下的Sendmail SASL認證的實現 Jephe Wu(吳阿亭) 一: 本文目的 利用RedHat 7.1中的默認配置方便地設置一台利用SASL庫進行用戶名和密碼認證的SMTP服務器， 以允許外面的用戶以用戶名和密碼認證來relay郵件。 二: 網絡系統 Redhat 7.1 __________ SMTP Server smtp.domain.com ________ _________ (1.2.3.4) Intranet ________ _________________Firewall_________________________ Router____Internet _______ ________ 公司域名 : domain.com 用來認證的SMTP服務器全稱域名: smtp.domain.com 三: 為什麼要這樣用? 假設上面的公司有專線接入Internet， 且在其它城市有多個分支機構， 公司有統一的域名 domain.com，所有員工的郵件地址類似如[email protected]。 但是分支機構大多數沒 有專線接入，用ISDN或者普通撥號方式入網， 並且越來越多的ISP不允許以非ISP的郵件地址 域名後綴發送郵件， 即使你是他們的撥號用戶。 還有一種情況是移動用戶，經常地，公司派遣用戶在外出差旅行期間，用戶需要發送郵件， 則也同樣需要一種認證方案去允許正確的用戶relay郵件。 現在我們考慮做公司自己內部的郵件relay系統。 就是設置一台SMTP服務器在防火牆之外，安裝Redhat 7.1，選擇‘服務器系統'方式安裝所有 需要的包，然後設置Sendmail，配置一台基於SASL的用戶名和密碼認證的郵件服務器，以relay 自己公司的員工的郵件。 四: 配置Sendmail 1. 選擇‘服務器系統'安裝Redhat 7.1 2. 進入目錄 /usr/share/sendmail-cf/cf 。 如果你沒有該目錄，說明你還沒有安裝sendmail-cf-8.11.2-14 RPM包，從你的安裝CD中安裝它。 3. 修改文件redhat.mc如下 divert(-1) dnl This is the sendmail macro config file. If you make changes to this file, dnl you need the sendmail-cf rpm installed and then have to generate a dnl new /etc/sendmail.cf by running the following command: dnl dnl m4 /etc/mail/sendmail.mc > /etc/sendmail.cf dnl include(`../m4/cf.m4') VERSIONID(`Linux setup for Red Hat Linux')dnl OSTYPE(`linux') define(`confDEF_USER_ID',``8:12'')dnl undefine(`UUCP_RELAY')dnl undefine(`B99vNET_RELAY')dnl define(`confAUTO_REBUILD')dnl define(`confTO_CONNECT', `1m')dnl define(`confTRY_NULL_MX_LIST',true)dnl define(`confDONT_PROBE_INTERFACES',true)dnl define(`PROCMAIL_MAILER_PATH',`/usr/bin/procmail')dnl define(`ALIAS_FILE', `/etc/aliases')dnl define(`STATUS_FILE', `/var/log/sendmail.st')dnl


define(`UUCP_MAILER_MAX', `2000000')dnl define(`confUSERDB_SPEC', `/etc/mail/userdb.db')dnl define(`confPRIVACY_FLAGS', `authwarnings,novrfy,noeXPn,restrictqrun')dnl define(`confAUTH_OPTIONS', `A')dnl define(QUEUE_DIR,`/var/spool/mqueue/q*') TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl define(`confAUTH_MECHANISMS', `DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl DAEMON_OPTIONS(`Port=25,Name=MTA')dnl DAEMON_OPTIONS(`Port=587,Name=MSA,M=Ea')dnl dnl define(`confTO_QUEUEWARN', `4h')dnl dnl define(`confTO_QUEUERETURN', `5d')dnl dnl define(`confQUEUE_LA', `12')dnl dnl define(`confREFUSE_LA', `18')dnl dnl FEATURE(delay_checks)dnl FEATURE(`no_default_msa',`dnl')dnl FEATURE(`smrsh',`/usr/sbin/smrsh')dnl FEATURE(`mailertable',`hash -o /etc/mail/mailertable')dnl FEATURE(`virtusertable',`hash -o /etc/mail/virtusertable')dnl FEATURE(redirect)dnl FEATURE(always_add_domain)dnl FEATURE(use_cw_file)dnl FEATURE(use_ct_file)dnl FEATURE(local_procmail)dnl FEATURE(`Access_db')dnl FEATURE(`blacklist_recipients')dnl EXPOSED_USER(`root')dnl dnl This changes sendmail to only listen on the loopback device 127.0.0.1 dnl and not on any other network devices. Comment this out if you want dnl to accept email over the network. dnl DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1, Name=MTA') dnl We strongly recommend to comment this one out if you want to protect dnl yourself from spam. However, the laptop and users on computers that do dnl not have 24x7 DNS do need this. dnl FEATURE(`accept_unresolvable_domains')dnl dnl FEATURE(`relay_based_on_MX')dnl MAILER(smtp)dnl MAILER(procmail)dnl 其中，我加了下面的行： 1. define(QUEUE_DIR,`/var/spool/mqueue/q*') 2. TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl 3. define(`confAUTH_MECHANISMS', `DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl 4. DAEMON_OPTIONS(`Port=25,Name=MTA')dnl 5. DAEMON_OPTIONS(`Port=587,Name=MSA,M=Ea')dnl 注： 第1行 我啟動了多個郵件隊列，希望得到更好的隊列處理和性能改進。 第2,3行 移走前面的注釋，打開相應的各種認證機制。 第4,5行 設置相應的MTA和MSA所在的端口號。 且注釋出了 1. dnl DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1, Name=MTA') 2. dnl FEATURE(`accept_unresolvable_domains')dnl 第1行 允許通過網絡連接Sendmail。 第2行 禁止不可解析的域名relay郵件 最後運行 #m4 /etc/mail/sendmail.mc > /etc/sendmail.cf

寫到/etc/sendmail.cf文件中 既然我們打開了多個隊列，現在我們在/var/spool/mqueue/下創建任意多個隊列目錄如 #cd /var/spool/mqueue #mkdir q1 q2 q3 q4 q5 q6 這樣Sendmail將會使用這六個目錄做為隊列目錄，增加了性能。 五: 設置SASL認證方案 1. 運行下面的命令，確保SASL被編譯進Sendmail. #/usr/sbin/sendmail -d0.1 -bv root grep SASL 輸出應該類似如下面: NETUNIX NEWDB QUEUE SASL SCANF SMTP USERDB XDEBUG 確保你能看見上面的文本中的 SASL 2. 測試端口25，確保輸出AUTH提示行。 #telnet localhost 25 Trying 127.0.0.1... Connected to smtp.domain.com. Escape character is '^]'. 220 smtp.domain.com ESMTP Sendmail 8.11.2/8.11.2; Sun, 1 July 2001 17:56:54 -0800 EHLO localhost 250-smtp.domain.com Hello IDENT:[email protected] [127.0.0.1], pleased to meet you 250-ENHANCEDSTATUSCODES 250-EXPN 250-VERB 250-8B99vMIME 250-SIZE 250-DSN 250-ONEX 250-ETRN 250-XUSR 250-AUTH LOGIN PLAIN DIGEST-MD5 CRAM-MD5 250 HELP quit 221 2.0.0 smtp.domain.com closing connection Connection closed by foreign host. 你需要至少看見AUTH行中有LOGIN PLAIN在那裡，否則不能relay mail。 3. 增加SASL用戶且更改密碼 #/usr/sbin/saslpasswd jephe PassWord: ******* Again (for verification): ******* #/usr/sbin/sasldblistusers user: jephe realm: smtp.domain.com mech: DIGEST-MD5 user: jephe realm: smtp.domain.com mech: PLAIN user: jephe realm: smtp.domain.com mech: CRAM-MD5 用戶的密碼DB文件在/etc/sasldb,用下面的命令確保正確的許可權設置。 特別注意: 在下面的windows的Outlook Express中設置用戶名和密碼時 並不是簡單地使用用戶名jephe，而是用象“user@realm”的用戶名， 在這裡是 [email protected]作為用戶名。 #chmod 400 /etc/sasldb 可以用/usr/sbin/saslpasswd加更多的用戶，用/usr/sbin/sasldblistusers檢查用戶已經加入。 4. 更改默認的Redhat 7.1密碼認證方法 默認地，Redhat 7.1中的Sendmail用PAM方法檢查密碼，這意味著用戶必須是系統用戶，為了 增強安全性，我們改用/etc/sasldb中的用戶，改下面的文件中的pam為sasldb。 #vi /usr

#/usr/sbin/sasldblistusers user: jephe realm: smtp.domain.com mech: DIGEST-MD5 user: jephe realm: smtp.domain.com mech: PLAIN user: jephe realm: smtp.domain.com mech: CRAM-MD5 用戶的密碼DB文件在/etc/sasldb,用下面的命令確保正確的許可權設置。 特別注意: 在下面的windows的Outlook Express中設置用戶名和密碼時 並不是簡單地使用用戶名jephe，而是用象“user@realm”的用戶名， 在這裡是 [email protected]作為用戶名。 #chmod 400 /etc/sasldb 可以用/usr/sbin/saslpasswd加更多的用戶，用/usr/sbin/sasldblistusers檢查用戶已經加入。 4. 更改默認的Redhat 7.1密碼認證方法 默認地，Redhat 7.1中的Sendmail用PAM方法檢查密碼，這意味著用戶必須是系統用戶，為了 增強安全性，我們改用/etc/sasldb中的用戶，改下面的文件中的pam為sasldb。 #vi /usr

在這裡是 [email protected]作為用戶名。 #chmod 400 /etc/sasldb 可以用/usr/sbin/saslpasswd加更多的用戶，用/usr/sbin/sasldblistusers檢查用戶已經加入。 4. 更改默認的Redhat 7.1密碼認證方法 默認地，Redhat 7.1中的Sendmail用PAM方法檢查密碼，這意味著用戶必須是系統用戶，為了 增強安全性，我們改用/etc/sasldb中的用戶，改下面的文件中的pam為sasldb。 #vi /usr