加密工具：四步搞定邮件服务器.doc

加密工具：四步搞定邮件服务器 2010-04-23 14:33 佚名 IT168 我要评论(1) 摘要：Stunnel是一款可以加密网络数据的TCP连接工具，采用Client/Server模式，将CIient端的网络数据采用SSL加密，安全传输到指定的Server端再进行解密还原，然后发送到访问的服务器。 标签：邮件服务器加密Oracle帮您准确洞察各个物流环节SSL (Secu rity Socket Layer)协议由Netscape公司设计开发，主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变(即数据的完整性)，现已成为该领域中全球化的标准。Stunnel是一款可以加密网络数据的TCP连接工具，可工作在Unix、Linux和Windows平台上，采用Client/Server模式，将CIient端的网络数据采用SSL加密，安全传输到指定的Server端再进行解密还原，然后发送到访问的服务器。StunneI很好地解决了SSL不能对现有旧的应用程序传输数据加密的问题。在Stunnel出现之前，要实现安全的数据传输，只能依靠在应用程序之中添加SSL代码的方式来提高安全性。Stunnel基于OPenSSL， 所以要求安装OpenSSL，并进行正确的配置。Stunnel可以向不启用SSL的服务器端软件提供保护却不需对守护进程的编码做任何修改，Stunnel的工作原理如图所示。例如，可以使用Stunnel保护POP3、SMTP和IMAP服务器。StunneI最新版本为stunel-4.33.tar.gz，其官网为。1.安装编译StunnelStunneI安装非常简单，笔者在此就不在累赘， 使用下面的命令完成对StunneI的安装：#wget /download/stunnel/src/stunnel-4.33.tar.gz#tar zxvf stunel-4.33.tar.gz#./configure;make;make install图Stunnel工作原理下面使用Stunnel封装一些流行的邮件服务器。2.保障IMAP安全IMAP(Internet MessageAccess Protocol)是用户从不同的计算机访问邮件的一种方式。其工作方式为在一台中央计算机上存储信息，并且允许用户访问信息的一个拷贝。用户可以让本地工作站和服务器同步， 此外也可以为邮件创建一个文件夹， 并且具有完全的访问权限。通过Stunnel封装IMAP有两种方法。1).通过stunnel直接运行IMAP服务如果有使用SSL协议连接的IMAP客户端，则推荐使用这种方法。首先关闭imapd守护进程，然后使用重启脚本(/etc/rc.d/rc.1ocal)中的命令行代替imapd，使用如下命令：/usr/sbin/stunel -p /usr/local/ssl/certs/stunel.pem -d 993 -r localhost:143这个命令使用IMAPS端口(993)上指定的文件运行Stunnel，imapd端口监听程序的代理，在143端口上运行。如果允许非SSL IMAP客户端连接到标准的IMAP端口(143)，可以配置SSL IMAP客户端连接到端口I MAPS(993)代替：/usr/sbin/stunel -p /usr/local/ssl/certs/stunel.pem -d 993 -l /usr/sbin/imapd2).使用xinetd运行安全的IMAP从守护进程的概念可以看出，对于系统所要通过的每一种服务，都必须运行监听某个端口连接所发生的守护进程，这通常意味着资源浪费。为了解决这个问题，Linux引入了网络守护进程服务程序 的概念。xinetd能够同时监听多个指定的端口，在接受用户请求时，能够根据用户请求的端口不同，启动不同的网络服务进程处理这些用户请求。可以把xinetd看做一个管理启动服务的管理服务器，把一个客户请求交给程序处理，然后启动相应的守护进程。如果使用xinetd运行IMAP服务，修改配置文件(/etc/xinetd.d/imapd)如下：service imapdisable=nosocket_type=streamwait=nouser=rootport=143server=/usr/sbin/stunelserver_args=stunel imapd -l /usr/sbin/imapd -imapdlog_on_succes+=USERIDlog_on_failure+=USERID#env=VIRTDOMAIN=virtual.hostname然后向超级服务程序传递SIGHUP信号，重新载人xinetd配置：killall -USR1 xinetd3.保障POP3安全为了使用SSL连接POP3邮件服务，要重新配置文件脚本如下：service pop3sdisable=nosocket_type=streamwait=nouser=rootserver=/usr/sbin/stunelserver_args=stunel pop3s -l /usr/sbin/ipop3d -ipop3dlog_on_success+=USERIDlog_on_failure+=USERID如果客户端软件不能使用基于SSL的POP3邮件用户代理MUA，则可以使用POP3重新定向的方法。4.保障sMTP安全如果一个正在运行的SMTP服务器需要允许出差在外的员工向内部网络发送多个邮件，则可以进行如下设定：/usr/local/sbin/stunel -d 25 -p /var/lib/ssl/certs/server.pem -r localhost:smtp这样就只能保障终端用户和邮件服务器之间的安全SMTP传输。邮件发送到域之外的邮件服务器将不在安全范围之内。Stunnel安全工具可以为两个网络或多个网络的邮件服务器提供安全保障。即使用户是一个系统管理员，而不是开发者，Stunnel也是一个强大的工具，因为可以向不启用SSL的服务器端软件添加SSL。例如， 以上提到的