专栏首页工作专用1部署自己的邮件安全系统
原创

部署自己的邮件安全系统

电子邮件是整个互联网业务重要的组成部分。据相关报道统计,四分之三以上的用户上网的主要目的是收发邮件,每天有十数亿封电子邮件在全球传递,其应用频率已经超过了WWW服务,因此,电子邮件已成为网络用户不可或缺的需要。 然而,由于电子邮件的免费特性以及一些电子邮件服务器的开放性,使得电子邮件服务面临着垃圾邮件、病毒感染以及服务器滥用等严重的安全问题。基于这个背景,本专题对Linux系统中的著名邮件服务器(包括qmail邮件服务器、Postfix邮件服务器)的安全配置和使用作详细介绍。

1、电子邮件系统面临的安全威胁

一般说来,电子邮件系统面临如下两种安全威胁: (1)电子邮件系统自身的安全问题:电子邮件系统自身作为一个网络服务器,存在着配置和误操作上的安全威胁和隐患,如没有合理配置服务器的相关配置文件中的重要选项等,极有可能造成潜在的安全隐患。另外,电子邮件系统版本的及时更新与否也影响到其安全; (2)垃圾邮件问题:垃圾邮件问题是当今最让网络用户头疼的顽疾之一。许多不请自来的垃圾邮件不但占据网络带宽,也极大地消耗了邮件服务器的存储资源,给用户带来非常大的不便。如何应对该问题,是电子邮件系统面临的最大的挑战; (3)开放性中继的安全问题:这就是大家经常所谈到的open relay的原理,如果设置不合理,将直接引起电子邮件系统的滥用,甚至会成为垃圾邮件的温床,它可以说是电子邮件系统中的“×××”。

2、安全使用Qmail邮件服务器

Qmail 的配置文件是由多个文件组成的,不是集中在一个文件中。每个文件控制相应部分的功能和属性,一个可执行程序可能有多个配置文件控制,所有的配置文件共同决定了 qmail 运行的实现和模式。这些配置文件都在qmail的control目录中,即位于 /var/qmail/control 目录中。合理设定如下选项,可以有效地增强Qmail服务器的安全性能。

(1)badmailfrom 这个配置文件是控制邮件系统拒绝接收的邮件地址和邮件域,主要是为了防止垃圾邮件。如果一个邮件地址或者邮件域被列入到这个文件中,系统就会拒绝接收这个邮件地址发来的邮件,或者拒绝邮件域下所有邮件地址发来的邮件。不过这个配置文件只是一般的垃圾邮件防范手段,对于比较全面的垃圾邮件过滤技术还要靠第三方软件来实现。该文件的格式如下: example@deny.com //拒绝这个地址发来的邮件 @deny.com //拒绝这个邮件域下的所有帐号发来的邮件

(2)concurrencylocal 这个文件定义了 qmail 可以同时投递的本地邮件的个数。这个参数的缺省值是 10,也就是说系统允许同时有 10 个邮件在本地投递。 concurrencylocal 这个参数的最大值是由编译时的conf-spawn参数来决定的,缺省值是120,最大值是255。该值应该设置恰当,设得过大或者过小会浪费或者损失Qmail服务器的性能。 (3)concurrencyremote 这个参数定义了 qmail 可以同时投递的远端邮件的个数,这个参数的缺省值是 20。这个参数的最大值也是由 conf-spawn 来决定的。设置的重要性如同选项(2)所示。

(4)databyes 它定义了 qmail-smtpd 所允许接收的邮件的最大字节数。 这个参数的缺省值为 0,表示对接收邮件的字节数没有限制。如果要限制最大的接收为 10M,操作如下: echo 10485760 > /var/qmail/control/databytes 这是任何大于 10M 的邮件都会被拒绝。这个参数最好合理设置,以避免恶意的对你服务器发送大量的超大邮件,产生邮件服务器负荷过大,甚至系统崩溃的险。

(5)me 这个配置文件是 qmail 系统十分重要的一个文件,如果这个文件不存在,qmail 系统将无法运行。 me 是用来定义本地邮件服务器的主机名的。有多个配置文件是和 me 有关联的。如果那些配置文件不存在,系统默认会从 me 中读取参数值的。me 这个配置文件一般都是在 qmail 系统安装时使用 configure-fast 来创建的。

(6)queuelifetime 这个配置文件是定义一个邮件在邮件队列中存活的时间。 缺省值为 7 天(604800s),这个期限掉了以后 qmail-send 将会进行最后一次的投递尝试,如果投递失败,该邮件将会从邮件队列中删除。

(7)rcphosts 这个配置文件也是 qmail 一个十分重要的文件,这个文件是定义系统允许转发邮件的邮件域。 如果这个文件不存在或者为空,你的系统将会接收 Internet 上所有的域的邮件转发,即你的系统是 Open relay(存在被恶意用户作为垃圾邮件发送服务器的危险!!!)。配置文件 rcpthosts 最多可以支持 50 个主机名和域名。如果超个这个数字,就需要保存到他的扩充配置文件 morercphosts 中,然后使用 qmail 的命令程序 qmail-newmrh (该文件一般在 /var/qmail/bin 目录下)来生成二进制的 morercpthosts.cdb 文件,这样 qmail-smtpd 才可以从这个二进制文件中读取信息。

(8)virtualdomains 这也是 qmail 的一个非常重要的配置文件,它定义了 qmail 的虚拟邮件域,qmail 结合 vpopmail 的虚拟域管理功能可以定义多个虚拟邮件域。

在邮件安全领域,防范策略已经不能满足人们对邮件安全的需求,邮件内容安全已经慢慢被人们所重视,这样一来,即使用户的邮件或者账号信息被窃取,还能让用户的邮件信息不泄露。要想实现这些首先就是邮件内容加密技术,另外需要附加一些二次认证手段。单纯的加密技术现在也是有的,比如PGP在邮件中的使用,不过这些基本都是点对点的使用,而且需要自己管理密钥,而且很难成规模使用,除此之外就是一些付费的服务或者购买整套的服务设备,对个人用户和企业来说都需要不小的费用和成本,不过随着邮件内容加密的发展,现在已经有一些免费的公开平台了,比如说隐密邮,用户不用自己管理密钥,安全性也高,是以邮件加密网关的形式存在的,使用的是基于身份标识的加密方法,企业级用户也可以使用,并且不用改造现有的邮件架构,我相信慢慢的会有更多的免费开源系统雨后春笋般的出现。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Office 2007 实用技巧集锦

    本文是我平时工作中收集的技巧点滴,已经整理好发布到 [url]http://www.microsoft.com/china/office/ready[/url]...

    迅达集团
  • Office 2007 实用技巧集锦

    Word中选择文本的时候可以通过快捷键组合实现不同的选择模式: 按住【Ctrl】键可以在一篇Word文档中选择不连续的选区; 按住【Shift】键可以从光标闪动...

    迅达集团
  • 反思一次Exchange服务器运维故障

    公司Exchange邮件系统邮件流故障的故障发现、故障处理和故障修复的过程记录和总结反思。帮助自己总结经验和吸取教训,同时也作为一次反面教材让其他运维或管理员吸...

    迅达集团
  • Linux下netstat命令常用方法推介

    netstat是一款命令行工具,可用于列出系统上所有的网络套接字连接情况,包括 tcp, udp 以及 unix 套接字,另外它还能列出处于监听状态(即等待接入...

    后场技术
  • PCF8591 AD/DA模块使用详解

      PCF8591是一个8位的CMOS数据采集器件,具有4个模拟输入(其中一个为电压模拟输入),一个输出和一个串行I2C总线接口。3个地址引脚A0、A1和A2用...

    墨文
  • 教程 | 如何利用散点图矩阵进行数据可视化

    机器之心
  • 邮箱安全第10期 | DMARC-识别并拦截钓鱼邮件

    DMARC全称是Domain-based Message Authentication, Reporting and Conformance,他基于现有的DKI...

    安恒信息
  • 大数据看两会

    大数据文摘
  • 摩拜物联网架构演进之路|数据与架构齐驱,看摩拜创造奇迹

    编辑手记 最近召开的首席技术官领袖峰会上,互联网不同行业顶尖技术领导者齐聚一堂,充分交流与碰撞最前沿的技术思想和实践,探讨技术创造商业价值的途径,推动商业变革与...

    数据和云
  • 程序猿们,如果你不想跑偏,就千万别读这4本书!

    导读:有一个词叫“主流”,意思大家都懂。貌似跟着主流走,就是安全的,而如果与主流不能保持一致,呃……那就是非主流咯?

    华章科技

扫码关注云+社区

领取腾讯云代金券