LINUX-sendmail
MAIL 邮件模型MUA (message user agent)邮件用户代理 泛指邮件客户端常见的如SENDMAIL、QMAIL、POSTFIX、EXIM等;Windows的Exchange、imail等。
--从MTA取的信,或者通过POP,IMAP把信发到MTA上
MTA (message transfer agent)邮件传输代理 就是发送服务器
--监视MUA的请求 ,找出对方的MTA,把信传到对方MTA服务器,或者把信收到邮件队列
MDA (message deliver agent)转发代理 邮件的投递员 ---把信最终投递到具体的用户MAA 接收服务器---dovecot 相关协议:smtp:简单邮件传输协议(simple mail transport protocol),发邮件用的协议,明文传输,基于tcp服务的应用层应用的端口号:TCP 25基础使用方法:telnet 127.0.0.1 25 //如果连接成功,服务器会返回一个表示通信连接成功的220应答代码,如果telnet不到,就察看25端口有没有打开。
helo 127.0.0.1 //向服务器表识发件人的身份,成功会收到250应答代码,这一步可以省略。
mail from :abc@bj.com //指定发件人,成功就会返回250应答代码.
rcpt to :yyy@bj.com //指定收件人地址,成功就会返回250应答代码.
data //发送data命令,准备开始传输邮件内容,成功会返回354应答代码,表示准备接收邮件内容,可以在下一行开始输入邮件内容。
it's test!
. 邮件内容写完后回车并输入“.”结束
quit 结束,退出。pop3和imap:收邮件用的协议 明文传输
应用的端口号pop3: TCP 110,imap:TCP 143lmtp:本地邮件传输协议
sendmail是最重要的邮件传输代理程序。理解电子邮件的工作模式是非常重要的。一般情况下,我们把电子邮件程序分解成用户代理,传输代理和投递代理。 用户代理用来接受用户的指令,将用户的信件传送至信件传输代理,如:outlook express、foxmail等。而投递代理则从信件传输代理取得信件传送至最终用户的邮箱,如:procmail。 与sendmail相关的软件包:sendmail//sendmail服务器程序的安装包,默认已安装m4//包括了配置Sendmail服务器的必要工具,默认已安装sendmail-cf //包括了重新配置Sendmail服务器的必要配置文件sendmail-docs//endmail服务器说明文档 sendmail 中几个比较重要的文件:sendmail.cf//主配置文件,但该文件配置难度很大,一般修改sendmail.mc 然后通过运行m4 sendmail.mc > sendmail.cf来重新生成local-host-names//设置sendmail服务器提供邮件服务的域名。access//设置中继的数据库配置文件/var/log/maillog//日志文件
案例不同地方使用sendmail实现mail的收发
北京mail服务器配置:安装sendmail相关软件:# chkconfig --list |grep sendmail sendmail 默认安装sendmail 0:关闭1:关闭2:启用3:启用4:启用5:启用6:关闭# service sendmail statussendmail (pid3715) 正在运行...# netstat -tupln |grep sendmailtcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 3715/sendmail: ace# rpm -qa |grep sendmailsendmail-8.13.8-2.el5 已经安装# rpm -qa |grep m4m4-1.4.5-3.el5.1 已经安装 # mount /dev/cdrom /mnt/cdrommount: block device /dev/cdrom is write-protected, mounting read-only# cd /mnt/cdrom/Server# ll sendmail*-r--r--r-- 278 root root 646627 2007-01-18 sendmail-8.13.8-2.el5.i386.rpm-r--r--r-- 278 root root 318825 2007-01-18 sendmail-cf-8.13.8-2.el5.i386.rpm-r--r--r-- 327 root root 131258 2007-01-18 sendmail-devel-8.13.8-2.el5.i386.rpm-r--r--r-- 278 root root 668921 2007-01-18 sendmail-doc-8.13.8-2.el5.i386.rpm# rpm -ivh sendmail-cf-8.13.8-2.el5.i386.rpm三个文件需要修改: # cd /etc/mail# vim sendmail.mc配置监听
--默认是本机监听25号端口,需要更改才能使非本地用户使用sendmail发送邮件--Dnl # 是注视文字--Dnl 是打开可以使用的--末尾dnl 去除空格# service sendmail restart# vim access 中继文件
-- ok 无条件接受, relay 中继, reject是拒绝
# vim local-host-names 域名比对,表示本地域名
安装DNS# rpm -ivh bind-9.3.6-4.P1.el5.i386.rpm# rpm -ivh bind-chroot-9.3.6-4.P1.el5.i386.rpm# rpm -ivh caching-nameserver-9.3.6-4.P1.el5.i386.rpm # cd /var/named/chroot/etc# cp -p named.caching-nameserver.conf named.conf 拷贝模板文件# vim named.conf
# vim named.rfc1912.zones
为了避免垃圾邮件 服务器会反复的进行正向和反向的解析,这样会造成速度很慢 所以还需要设置反向解析
# cd /var/named/chroot/var/named# cp -p localhost.zone bj.com.db 产生数据库# vim bj.com.db
# vim 192.168.101.db
# chkconfig named on 设置开机启动# service named start # vim /etc/resolv.conf 在邮件服务器上做dns指向
# hostname 查看自己的主机名server.li.com# vim /etc/sysconfig/network 修改自己的主机名,改成dns可以解析的名字
# vim /etc/hosts 修改原来hosts文件里留的信息
# init 6重启系统
安装接收服务器:# yum list all |grep dov 用yum安装,有很强的依赖性This system is not registered with RHN.RHN support will be disabled.dovecot.i386 1.0.7-7.el5 rhel-server# yum install -y dovecot.i386# chkconfig dovecot on 设置开机自动启动# service dovecot start启动 Dovecot Imap: [确定]# netstat -tupln |grep dovecottcp 0 0 :::993 :::* LISTEN 5318/dovecot tcp 0 0:::995 :::* LISTEN 5318/dovecot tcp 0 0 :::110 :::* LISTEN 5318/dovecot tcp 0 0 :::143 :::* LISTEN 5318/# grep 995 /etc/services
# grep 993 /etc/services
# vim /etc/dovecot.conf 只用明文的110和143 两个端口
上海mail服务器配置:(基本同北京,只需将北京服务器配置克隆过来,做如下修改)
# cd /etc/mail
# vim access 中继文件
# vim /var/named/chroot/etc/name.conf
# vim /var/named/chroot/etc/name.rfc.zones
# cd /var/named/chroot/var/named
# vim sh.com.db
# vim /etc/resolv.conf //dns指向
# vim /etc/sysconfig/network
# vim /etc/hosts
# init 6重启系统
测试:
本地sendmail:
异地sendmail:
sendmail安全(加密和认证)
邮件系统的安全性(SMTP使用25号端口,POP3使用110号端口,IMAP使用143号端口)基本的smtp协议没有验证用户身份的能力。虽然信封上的寄件人地址已经隐含了发信者的身份,然而,由于信封地址实在太容易假造,所以不能当成身份凭据。 为了判断客户端是否有权使用转发服务(relay),服务器端必须确认客户端(寄件人)是否当真是对方所自称的那个人。在不能以寄件人地址为身份证书的前 提下,smtp势必需要其他补充机制,才能验证客户端的身份。
smtps
1. 465端口(smtps)(使用SSL加密的邮件系统,其SMTPS使用465号端口,POP3S使用995号端口,IMAPS使用993号端口)2. smtp+ssl (starttls)实际上在25端口加密.STARTTLS是对纯文本通信协议的扩展。它将纯文本连接升级为加密连接(TLS或SSL),而不是使用一个单独的加密通信端口。
# sendmail -d0.1 -bv输出详细信息 显示版本,支持哪些加密认证 认证sasl 简单认证安全层 点到点的机制。--减少垃圾邮件的攻击,避免任何一个用户都可以向外发信应用:
搭建sendmail服务器,以及dns服务器和接收服务器:
安装sendmail相关软件:
# chkconfig --list |grep sendmail sendmail 默认安装sendmail 0:关闭1:关闭2:启用3:启用4:启用5:启用6:关闭# service sendmail statussendmail (pid3715) 正在运行...# netstat -tupln |grep sendmailtcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 3715/sendmail: ace# rpm -qa |grep sendmailsendmail-8.13.8-2.el5 已经安装# rpm -qa |grep m4m4-1.4.5-3.el5.1 已经安装 # mount /dev/cdrom /mnt/cdrommount: block device /dev/cdrom is write-protected, mounting read-only# cd /mnt/cdrom/Server# ll sendmail*-r--r--r-- 278 root root 646627 2007-01-18 sendmail-8.13.8-2.el5.i386.rpm-r--r--r-- 278 root root 318825 2007-01-18 sendmail-cf-8.13.8-2.el5.i386.rpm-r--r--r-- 327 root root 131258 2007-01-18 sendmail-devel-8.13.8-2.el5.i386.rpm-r--r--r-- 278 root root 668921 2007-01-18 sendmail-doc-8.13.8-2.el5.i386.rpm# rpm -ivh sendmail-cf-8.13.8-2.el5.i386.rpm 三个文件需要修改: # cd /etc/mail# vim sendmail.mc配置监听
# service sendmail restart# vim access 中继文件
# vim local-host-names 域名比对,表示本地域名
安装DNS# rpm -ivh bind-9.3.6-4.P1.el5.i386.rpm# rpm -ivh bind-chroot-9.3.6-4.P1.el5.i386.rpm# rpm -ivh caching-nameserver-9.3.6-4.P1.el5.i386.rpm # cd /var/named/chroot/etc# cp -p named.caching-nameserver.conf named.conf 拷贝模板文件# vim named.conf
# vim named.rfc1912.zones
# cd /var/named/chroot/var/named# cp -p localhost.zone bj.com.db 产生数据库# vim bj.com.db
# vim 192.168.101.db
# chkconfig named on 设置开机启动# service named start # vim /etc/resolv.conf 在邮件服务器上做dns指向
# vim /etc/sysconfig/network 修改自己的主机名,改成dns可以解析的名字
# vim /etc/hosts 修改原来hosts文件里留的信息
# init 6重启系统
安装接收服务器:# yum list all |grep dov 用yum安装,有很强的依赖性This system is not registered with RHN.RHN support will be disabled.dovecot.i386 1.0.7-7.el5 rhel-server# yum install -y dovecot.i386# chkconfig dovecot on 设置开机自动启动# service dovecot start STARTTLS 步骤: 建立CA# cd /etc/pki# vim tls/openssl.cnf
# cd CA/# mkdir crl certs newcerts创建相关的目录# touch index.txt serial# echo "01" >serial设置一个序列号# openssl genrsa 1024 >private/cakey.pem 创建钥匙# chmod 600 private/* 设置权限 只要管理员可以访问# openssl req -new -key private/cakey.pem -x509 -out cacert.pem -days 3650产生证书-----Country Name (2 letter code) :CNState or Province Name (full name) :BEIJINGLocality Name (eg, city) :BEIJINGOrganization Name (eg, company) :SECCENTEROrganizational Unit Name (eg, section) []:TECCommon Name (eg, your name or your server's hostname) []:rootca.net.net
发送的加密:为sendmail颁发证书# cd /etc/mail# mkdir certs创建一个目录# cd certs# openssl genrsa 1024 >sendmail.key 产生钥匙# openssl req -new -key sendmail.key -out sendmail.csr 请求文件-----Country Name (2 letter code) :CNState or Province Name (full name) :HENANLocality Name (eg, city) :ZHENGZHOUOrganization Name (eg, company) :ZZDXOrganizational Unit Name (eg, section) []:TECCommon Name (eg, your name or your server's hostname) []:mail.bj.comEmail Address []: # openssl ca -in sendmail.csr -out sendmail.cert 颁发证书# cp /etc/pki/CA/cacert.pem ./ 把机构的证书和服务器的证书放在一起# chmod 600 *# cd /etc/mail# vim sendmail.mc
134行打开
# telnet 127.0.0.1 25 通过telnet查看 STARTTLS已经启动
接收的加密:为接收服务器创建证书# mkdir -pv /etc/dovecot/certs创建多级子目录# cd /etc/dovecot/certs# openssl genrsa 1024 >dovecot.key# openssl req -new -key dovecot.key -out dovecot.csr-----Country Name (2 letter code) :CNState or Province Name (full name) :HENANLocality Name (eg, city) :ZHENGZHOUOrganization Name (eg, company) :ZZDXOrganizational Unit Name (eg, section) []:TECCommon Name (eg, your name or your server's hostname) []:pop3.bj.comEmail Address []: # openssl ca -in dovecot.csr -out dovecot.cert# chmod 600 *# vim /etc/dovecot.conf
# service dovecot restart# netstat -tupln |grep dovecottcp 0 0 :::993 :::* LISTEN 6438/dovecot tcp 0 0 :::110 :::* LISTEN 6438/dovecot tcp 0 0 :::143 :::* LISTEN 6438/dovecot 测试: 发送加密:# tail -f /var/log/maillog
接收加密:(需要安装抓包工具)# yum list all |grep wirThis system is not registered with RHN.RHN support will be disabled.wireless-tools.i386 1:28-2.el5 installed wireless-tools-devel.i386 1:28-2.el5 rhel-serverwireshark.i386 1.0.8-1.el5_3.1 rhel-serverwireshark-gnome.i386 1.0.8-1.el5_3.1 rhel-server# yum install wireshark.i386
认证步骤:服务名称saslauthd,默认是没有启用的要测试是否启用了认证
# cd /mnt/cdrom/Server# rpm -qa |grep saslcyrus-sasl-lib-2.1.22-5.el5cyrus-sasl-2.1.22-5.el5 主包cyrus-sasl-devel-2.1.22-5.el5cyrus-sasl-plain-2.1.22-5.el5 包含验证方法 # chkconfig --list |grep saslsaslauthd 0:关闭1:关闭2:关闭3:关闭4:关闭5:关闭6:关闭验证的服务器程序 # service saslauthd start启动 saslauthd: [确定]# chkconfig saslauthd on # vim /usr/lib/sasl2/Sendmail.conf在里面可以写出检测的方法比如添加mech_list:LOGIN PLAIN不写也行,系统默认值 # vim /etc/mail/sendmail.mc
# service sendmail restart 测试: 编码账号:# echo -n "user1" |openssl base64dXNlcjE=# echo -n "123" |openssl base64MTIz # telnet 127.0.0.1 25
转自
http://lulu1101.blog.iyunv.com/4455468/814303
页:
[1]