由于前面提到的歷史的原因,最初的絕大多數(shù)郵件服務(wù)器都允許OPEN RELAY的。今天,大部分郵件服務(wù)器升級(jí)版本已經(jīng)在缺省設(shè)置中關(guān)閉了OPEN RELAY, 如Sendmail 從8.9.3版本開(kāi)始,Exchange Server從5.5版本開(kāi)始關(guān)閉了open relay,。有的服務(wù)器雖然沒(méi)有相應(yīng)的升級(jí)版本,也都提供了關(guān)閉open relay 的方法,如在NOTES SERVER的配置文件notes.ini 中加入一行:SMTPMTA_REJECT_RELAYS=1。但由于很多服務(wù)器管理員的疏忽而沒(méi)能及時(shí)的修補(bǔ)這些安全漏洞,被利用來(lái)轉(zhuǎn)發(fā)垃圾郵件。
如何確認(rèn)郵件服務(wù)器是否OPEN RELAY對(duì)于UNIX操作系統(tǒng),假設(shè)要測(cè)試的郵件服務(wù)器是mail.ABC.com,則可以使用以下的命令進(jìn)行測(cè)試:telnet mail.ABC.com 25
如果在最后顯示“Relaying denied”,則表明該服務(wù)器已經(jīng)安全設(shè)置,不會(huì)再relay無(wú)關(guān)郵件了。如果在最后顯示“Message accepted for delivery”,則表明服務(wù)器可以轉(zhuǎn)發(fā)任何人的郵件。
其他系統(tǒng)可以通過(guò)觀察計(jì)費(fèi)器的動(dòng)態(tài)記錄或者郵件隊(duì)列中的信息來(lái)判斷。
除了用上面的命令行的方法測(cè)試外,還可以利用網(wǎng)上提供的一個(gè)測(cè)試工具來(lái)進(jìn)行測(cè)試。首先鏈接到http://www.abuse.net/relay.html,找到Address to test:(as host name or dotted quad)欄,在其中輸入你要測(cè)試的服務(wù)器IP地址或域名,它將會(huì)返回一些信息,根據(jù)返回的信息可以判斷測(cè)試的服務(wù)器是否已經(jīng)限制了第三方轉(zhuǎn)發(fā)。
如果在測(cè)試結(jié)果頁(yè)中出現(xiàn)如下的提示:
Relay test result
All tests performed, no relays accepted.
表明這臺(tái)服務(wù)器已經(jīng)限制了第三方轉(zhuǎn)發(fā)。
如果某臺(tái)服務(wù)器沒(méi)有限制第三方轉(zhuǎn)發(fā),則測(cè)試顯示信息如下:
Relay test result
Hmmn, at first glance, host appeared to accept a message for relay.
THIS MAY OR MAY NOT MEAN THAT IT'S AN OPEN RELAY.
通過(guò)測(cè)試,可以判斷出你的服務(wù)器是否限制了RELAY功能,從而采取相應(yīng)的措施進(jìn)行處理。
常用郵件服務(wù)器關(guān)閉RELAY的方法
一般現(xiàn)在使用得最廣的郵件服務(wù)器軟件主要有以下幾種:
Unix 操作系統(tǒng):Netscape Messaging Server 和Sendmail
Windows 操作系統(tǒng):Exchange Server 和Imail
下面分別具體說(shuō)明如何對(duì)這四種郵件服務(wù)器軟件進(jìn)行設(shè)置,以關(guān)閉RELAY功能。
Netscape Messaging Server
Netscape Messaging Server 從3.5版本開(kāi)始加入了relay的控制功能。如果使用的是3.5以前的版本,需要更新到3.5或更新的版本。當(dāng)前最新版本(2002-01)是4.15p7,可以在這里下載:http://www.iplanet.com/downloads/download/5098.html。
Netscape Messaging Server 有兩種方法可以用來(lái)控制open relay。一種是使用Anti-relay Filter,另一種是 Anti-relay Plug-In。后者的功能更強(qiáng)大些,但只支持4.x 版本;如果使用的是3.5版本,則需要使用前一種方法。
使用Anti-relay Filter:
找到filter.cfg 文件(4.0以上版本名字是UBEfilter.cfg),進(jìn)行如下編輯。如果該服務(wù)器只負(fù)責(zé)xyzcorp.com域收郵件:
Channel-To ".*@xyzcorp.com" EXIT
$ANY ".*" REJECT "We accept mail for XYZ Corporation only"
如果該服務(wù)器還負(fù)責(zé)轉(zhuǎn)發(fā)來(lái)自123.45.67.* 郵件,那末就應(yīng)該加入:
Host-From "123.45.67.*" EXIT
Channel-To ".*@xyzcorp.com" EXIT $ANY ".*" REJECT "We accept mail for XYZ Corporation only"
更詳細(xì)的資料可以參考http://www.tsc.com/~bobp/nms-no-relay.html,該文詳細(xì)講述了怎樣設(shè)置filter.cfg文件,甚至可以直接拷貝后,對(duì)其中的IP和域名稍作改動(dòng)即可。
Sendmail
Sendmail 從8.9.3版本開(kāi)始缺省設(shè)置禁止轉(zhuǎn)發(fā)垃圾郵件,在此之前的版本在這方面都存在著嚴(yán)重的安全缺陷。因此,有必要把您的Sendmail 升級(jí)到 8.9.3 以上版本。考慮到其它方面的安全漏洞,我們建議您升級(jí)到當(dāng)前最新版本,您可以在Sendmail的主頁(yè)上 http://www.sendmail.org 查到最新的版本。
新安裝的Sendmail 不會(huì)轉(zhuǎn)發(fā)任何郵件,如果你的郵件服務(wù)器需要為某些用戶(hù)提供轉(zhuǎn)發(fā)服務(wù),你需要對(duì)Sendmail的配置文件進(jìn)行設(shè)置。設(shè)置方法有多種,比較簡(jiǎn)單的方法是在 /etc/mail/下生成一個(gè)名字為relay-domains 的文件,在該文件中列出需要relay的IP或域名。
Sendmail 8.9.3安裝過(guò)程
譯時(shí)需要gcc, groff, gmake, gm4編譯、安裝sendmail服務(wù)器
1) 設(shè)置環(huán)境:(保證您所用的是 groff, gmake.假設(shè)這些您都安裝在 /usr/local/ 下) 。
|
2) 備份/usr/lib/sendmail 和 /etc/mail/sendmail.hf
|
3)安裝 sendmail
download sendmail-8.9.3.tar.Z
|
4)生成 sendmail.cf
生成自己系統(tǒng)的mc文件:
|
FEATURE(access_db, dbm -o /etc/mail/access)
生成并安裝sendmail.cf文件,在sendmain-8.9.3/cf/cf目錄下執(zhí)行: (需要 gm4)
% m4 ../m4/cf.m4 my-system.mc>sendmail.cf
將sendmail.cf拷貝到/etc下或/etc/mail 下。
5)產(chǎn)生其他配置文件和啟動(dòng):
(1)在/etc/mail下生成sendmail.cw文件記錄該服務(wù)器的所有別名;
(2)在/etc/mail下生成relay-domains文件記錄該服務(wù)器允許relay的域, 例:
ccert.edu.cn
202.116.34.1
202.112.33.
(3)%chmod go-w / /etc /etc/mail /usr /var /var/spool /var/spool/mqueque
(4)%chown root / /etc /etc/mail /usr /var /var/spool /var/spool/mqueue
(5)初始化別名數(shù)據(jù)庫(kù)%sendmail -v -bi.
如果沒(méi)有Error,則啟動(dòng)sendmail進(jìn)程:
|
注意:
如果升級(jí)后Sendmail仍然使用舊的配置文件,可能會(huì)繼續(xù)relay任何人的郵件,此時(shí)需要摒棄舊的配置文件,根據(jù)需要重新進(jìn)行配置。配置文件修改后,必須重新啟動(dòng)Sendmail 后才能生效。
Exchange Server
exchange 5.5在SP2補(bǔ)丁以前的版本是不具備關(guān)閉open relay功能的。要關(guān)閉,則要先打SP2以上的補(bǔ)丁。
下面具體介紹使用方法:
(1)安裝補(bǔ)丁SP3補(bǔ)丁
雙擊光盤(pán)目錄中的EXCHSRVR55_SP3
EngServerSetupI386 Update.exe,安裝補(bǔ)丁。
(2)啟動(dòng)Microsoft Exchange Administrator,查看Configuration下的Connections下是否有Internet Mail Service項(xiàng)(以下簡(jiǎn)稱(chēng)IMS),如果沒(méi)有,可以通過(guò)選擇File-New Other-IMS進(jìn)行安裝;
(3)雙擊Connections下的IMS,彈出IMS Properties對(duì)話框,點(diǎn)Routing選項(xiàng)卡,此頁(yè)中使用缺省值即可(其中Sent to: 下為自己的域名,Route to:下為
4)關(guān)閉IMS,再啟動(dòng)IMS,所做的修改即會(huì)產(chǎn)生作用。(雙擊控制面板中的服務(wù),選擇Microsoft Exchange IMS,點(diǎn)停止,即可關(guān)閉它,再點(diǎn)開(kāi)始,又可以啟動(dòng)它。)
Imail
(1)下載
IMail可運(yùn)行于NT/2K環(huán)境下,為共享軟件。最新的Imail程序可以從以下地址:ftp://ftp7.ipswitch.com/ipswitch/product_downloads/ imtm_x86.exe(8.2M)下載。
(2)關(guān)閉OPEN Reply的設(shè)置
點(diǎn)開(kāi)始-程序-IMail-Imail Administrator-localhost,選擇SMTP Security中左側(cè)的最后一項(xiàng):Relay for local users only。
有關(guān)垃圾郵件處理的更詳細(xì)的情況,請(qǐng)查閱中國(guó)教育和科研網(wǎng)垃圾郵件處理小組網(wǎng)頁(yè):http://www.ccert.edu.cn/spam/spam_home.htm。
郵件客戶(hù)端設(shè)置
這樣設(shè)置了以后,可能你的局域網(wǎng)的用戶(hù)就只能收郵件,不能發(fā)送郵件了。發(fā)送郵件時(shí)提示如下信息:The server say: 550 Relaying is prohibited. 郵件發(fā)送不出去。這時(shí)候就要在郵件客戶(hù)端設(shè)置SMTP身份驗(yàn)證,具體方法如下:
(1)對(duì)于使用outlook express的用戶(hù)
啟動(dòng)outlook express,點(diǎn)“工具”-“帳號(hào)”,點(diǎn)“郵件”選項(xiàng)卡,選擇某個(gè)郵件帳號(hào),點(diǎn)“屬性”,點(diǎn)“服務(wù)器”選項(xiàng)卡,選中 “我的服務(wù)器要求身份驗(yàn)證”,點(diǎn)“確定”,點(diǎn)“關(guān)閉”。
(2)對(duì)于使用foxmail3.11的用戶(hù)
啟動(dòng)foxmail,選擇某個(gè)帳戶(hù),點(diǎn)“帳戶(hù)”-“屬性”,點(diǎn)“郵件服務(wù)器”,選擇“SMTP服務(wù)器需要身份驗(yàn)證”,點(diǎn)設(shè)置,選擇“使用與POP3服務(wù)器相同的信息”,點(diǎn)“確定”。
