linux sendmail 安全

linux下的邮件服务器软件有 sendmail  qmail  postfix

MUA （mail user agent   邮件用户代理），用于用户端发送邮件或者阅读邮件  

       linux有mutt  , thunderbird , evolution 

       windows有outlook express,  foxmail

MTA (mail tranfer agent 邮件传输代理 ），相当于一个邮局，server端的软件，主要的功能有，接收MUA发来的邮件和把邮件发送给下一个MTA，可以说是一个邮件路由（mail router)，server端的软件就属于MTA，现在开源的有sendmail,postfix,qmail等

windows有   exchange server  （大型）   mdaemon (小型)

MDA (mail devilery agent 邮件投递代理），主要是将MTA所接受的邮件，依照邮件的目的地将此邮件放到本机账号下或者是给下一个MTA，一般就是指mail这样的命令

  有 procmail   maildrop

MAA   邮件访问代理    （接收服务器） dovecot

安全

    1 垃圾邮件

          a  安装反垃圾邮件软件

                apache  spamAssassin       ---www.apache.org

          b   认证  （地址   账号）

              正向解析  反向解析

     2  病毒

          clamav   (只查毒  不杀毒)

              到internet更新病毒库

      3   sendmail     mailscanner   邮件呼叫器

sendmail的原理

发信： SMTP （simple mail tranfer protocol 简单邮件传输协议）   端口号 TCP的25端口，在发信时，MUA会主动连接MTA的port 25，然后经由SMTP协议发送出去，SMTP分为接受SMTP和发送SMTP，它不管两端主机的配置或者系统等，只要两边SMTP协议OK就可以发送邮 件

收信： POP   （post office protocol    邮局协议），来连接到MTA，以读取或者下载邮件，现在常用的版本是POP3，端口为110
IMAP   （internet message access protocol 网络报文件协议），能在下载邮件前先下载邮件头信息，以可以让用户选择性下载 端口 143

软件包

sendmail.i386     --邮件服务器端     MTA                      
sendmail-cf.i386        --配置文件包                   
sendmail-devel.i386      --开发包             
sendmail-doc.i386    --文档包
dovecot.i386   ---   pop邮件服务端    MDA
m4.i386 --处理配置文件的包

sendmail安全处理

1 对sendmail  加密认证

  smtps 是 明文传输  不安全 故需加密处理

 

软件包

   sendmail

   sendmail-cf

   m4

    dovecot

cd  /etc/mail

vim sendmail.mc

           把127.0.0.1改为0.0.0.0

vim local-host-names

    bj.com

vim access

     connect:192.168.2          RELAY

     sh.com                           RELAY

     bj.com                            ok

配置DNS

   安装 bind-9.3.6…

           bind-chroot

           bind-caching-nameserver

cd /var/named/chroot/etc

cp �Cp caching-nameserver…   named.conf

vim named.conf

vim named.rfc1912.zones

cd ../var/named

cp �Cp localhost.zone  bj.com.db

vim bj.com.db

chkconfig  named on

service  named start

vim /etc/resolv.conf

     name.server    192.168.2.100

vim /etc/sysconfig/network

vim /etc/hosts

       mail.bj.com

init 6

clone 

修改必要参数

cd /etc/pki

vim  /tls/openssl.cnf

43行 

              dir    …   =/etc/pki/CA

88-90    match->optional

cd CA

mkdir  crl  certs  newcerts

touch  serial   index.txt

vim  serial

      01   --------序列号

openssl  genrsa   1024 >private/cakey.pem

 

chmod  600  private/*

openssl  req  -new  -x509  -key  private/cakey.pem  -out  cacert.pem  -days  3650

 

mkdir  /etc/mail/certs

cd  /etc/mail/certs

openssl  genrsa  1024 >sendmail.key

openssl  req �Cnew �Ckey sendmail.key  -out  sendmail.csr

 

openssl ca  -in  sendmail.csr �Cout  sendmail.cert

cp  /etc/pki/CA/cacert.pem  .

cd  ..

vim  sendmail.mc -------------证书链

60-63   去掉 dnl    /etc/mail/certs

                          /etc/mail/certs/cacert.pem

                          /etc/mail/certs/sendmail.cert

                          /etc/mail/certs/sendmail.key

134行    去dnl

service  sendmail  restart

 

tail �Cf /var/log/maillog

 

cd  certs

chmod 600  *

service   sendmail  restart

 

tail �Cf  /var/log/maillog

 

telnet   127.0.0.1  25

EHLO    127.0.0.1  

             STARTTLS

 

接收服务器

mkdir   -pv   /etc/dovecot/certs

cd  /etc/dovecot/certs

 

openssl  genrsa   1024  >dovecot.key

openssl  req  -new �Ckey  dovecot.key  -out  dovecot.csr

 

openssl  ca  -in  dovecot.csr   -out  dovecot.cert

 

vim  /etc/dovecot.conf

  92-93打开     /etc/dovecot/certs/dovecot.cert

                     /etc/dovecot/certs/dovecot.key

openssl   ca  -in  dovecot.csr  -out  dovecot.cert

 

vim  /etc/dovecot.conf

21行   imaps     ---------  开启协议

service  dovecot  restart

netstat   -tupln   |grep  dovecot