中小企业服务器配置方案4.docx

linux中小企业服务器配置方案（4）第四章 邮件服务器第一节 Sendmail服务器& 1.1 简介邮件服务是用户所需要的最重要的网络服务。Web的通信量很大，但邮件主要用于个人之间的通信，而人人的通信是商务的基础。没有邮件服务的网络是不完整的网络。换句话说，如果不能给用户提供完整的TCP/IP下的邮件支持，这样的网络操作系统也不值得信赖。 配置sendmail是一件大而复杂的工作，但也不完全都是这样，与其他一些网络服务器系统只安装SMTP服务器软件的情况相比，Linux已经配置好了多数的设置。在多数系统下，缺省配置都能良好的运行。我将在本章中给出一些配置的建议，主要的一些配置参数建议大家不要随意更改。& 1.2 所需资源 &1.2.1 所需包 RedHat6.2 服务器安装 &1.2.2 所需配置文件 /etc/sendmail.cf 系统自带，管理员配置 /etc/sendmail.cw 系统自带，管理员配置& 1.3 配置方案 1./etc/sendmail.cf 说明：sendmail主配置文件 控制sendmail运行时的配置。完整的sendmail配置应该包括7部分：Local Info（本地信息）：这部分定义了本地主机的信息Options（选项）：用来设置定义sendmail环境的选项。Message Precedence（消息的优先级）：sendmail消息优先级Trusted Users（信任用户）：定义发送邮件时允许改变发送地址的用户Format of Headers（头格式）：定义在sendmail中插入的邮件头信息Rewriting Rules（改写规则）：这部分保存着改写邮件地址命令使用该命令可以将邮件地址从用户邮件程序的地址形式改写为邮件发送程序所需要的地址形式。Mailer Definition（邮寄者说明）：定义发送邮件的程序，改写规则是邮件者使用的规则，在本部分定义。源文件： V8/BerkeleyCwlocalhostFw /etc/sendmail.cwCP.DYCPUUCPDS CO % !C.CKmailertable hash -o /etc/mail/mailertable制作db库Kdomaintable hash -o /etc/mail/domaintableKgenerics hash -o /etc/mail/genericstableKvirtuser hash -o /etc/mail/virtusertableKaccess hash -o /etc/mail/accessKmxserved bestmx -z: -TKresolve host -a -TFR-o /etc/mail/relay-domainsDRDHKdequote dequoteCM rootDM 设置邮件服务器名称DnMAILER-DAEMONCPREDIRECTDZ8.9.3O SevenBitInput=FalseO EightBitMode=pass8O AliasWait=10O AliasFile=/etc/mail/aliases,/etc/mail/majordomoO MinFreeBlocks=100规定最小空闲块O MaxMessageSize=1000000指定用户一次最大发送的邮件大小O BlankSub=.O HoldExpensive=FalseO DeliveryMode=backgroundO AutoRebuildAliases=trueO TempFileMode=0600O HelpFile=/etc/mail/sendmail.hf O SendMimeErrors=TrueO ForwardPath=$z/.forward.$w:$z/.forwardO ConnectionCacheSize=2O ConnectionCacheTimeout=5mO UseErrorsTo=FalseO LogLevel=9记录到日志文件的事件等级O CheckAliases=FalseO OldStyleHeaders=TrueO PrivacyOptions=authwarnings,noexpn,novrfyO QueueDirectory=/var/spool/mqueueO Timeout.queuereturn=4dO Timeout.queuewarn=4hO SuperSafe=TrueO StatusFile=/var/log/sendmail.stO DefaultUser=8:12O SmtpGreetingMessage=$j Sendmail $v/$Z; $bO UnixFromLine=From $g $dO OperatorChars=.:%!/+Pfirst-class=0Pspecial-delivery=100Plist=-30Pbulk=-60Pjunk=-100Ft -o /etc/mail/sendmail.ctTrootTdaemonTuucpR$* $#error $ 5.7.1 $: 550 Relaying denied以上是Linux默认的选项，不允许客户机使用mail服务器收发邮件，如果允许客户机收发的话应将上边一句话改成R$- $ok注意：中间是两个tab键一下是邮件头信息H?P?Return-Path: HReceived: $?sfrom $s $.$?_($?s$|from $.$_)H?D?Resent-Date: $aH?D?Date: $aH?F?Resent-From: $?x$x $|$g$.H?F?From: $?x$x $|$g$.H?x?Full-Name: $xH?M?Resent-Message-Id: H?M?Message-Id: $t.$i$j以上是邮件头信息2管理员需要执行touch /etc/mail/aliases 和 touch /etc/mail/majordomo来创建两个文件，然后重新启动sendmail，利用sendmail.cf里生成db库的配置来生成两个库文件：aliases.db和majordomo.db；当然，管理员也可以通过执行makemap hash mailertable /var/qmail/rc chmod 755 /var/qmail/rc2.2.2 安装tcpserver等服务程序cd /usr/local/srctar xvzf ucspi-tcp-0.88.tar.gzcd ucspi-tcp-0.88makemake setup check2.2.3 安装pop3验证用户程序 cd /usr/local/src tar xvzf checkpasswd-0.90.tar.gz cd checkpasswd-0.90 make make setup checkchmod og-rx /bin/checkpassword2.2.4 安装虚拟域用户pop3支持 groupadd vchkpw useradd -g vchkpw vpopmail mkdir vpopmail/etcecho 127.0.0.:allow,RELAYCLIENT= vpopmail/etc/tcp.smtpecho 192.168.0.:allow,RELAYCLIENT= vpopmail/etc/tcp.smtp echo :allow /etc/tcp.smtp/usr/local/bin/tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.tmp &1 | /var/qmail/bin/splogger smtpd 3 & echo start pop3 service: /usr/local/bin/tcpserver -H -R 0 pop3 /var/qmail/bin/ qmail-popup $HOSTNAME /home/vpopmail/bin/vchkpw /var/qmail/bin/qmail-pop3d Maildir & ; stop) echo stop qmail: killall -9 tcpserver killall -9 qmail-lspawn ; *) exit 1 ; esac exit 0 2.2.7 安装监视工具 cd /usr/local/src tar zxvf daemontools-0.70.tar.gz cd daemontools-0.70 make make setup check #执行文件将安装于/usr/local/bin中。 #安装本工具后可以用 # mkdir /var/run/qmail # supervise /var/run/qmail /var/qmail/rc 来启动qmail，还可以用svc来关闭或重启qmail，用svstat监视 qmail运行情况2.2.8 Qmail之Web解决方案(1) 安装邮件列表管理cd /usr/local/srctar zxvf ezmlm-0.53.tar.gzmakemake manmake setup(2) 安装自动回复程序cd /usr/local/srctar zxvf daemontools-0.70.tar.gz gcc -Wall -o autorespond autorespond.ccp autorespond /usr/local/bin/autorespond(3) 安装虚拟域web方式管理cd /usr/local/srctar zxvf qmailadmin-0.42.tar.gzcd qmailadmin-0.42.tar.gz 在安装前首先要考虑满足以下几项要求： a.是否拥有一个vpopmail用户vchkpw b.cgi-bin目录的所在位置 c.ezmlm目录的所在位置 d.autorespond目录的所在位置 如果能够达到以上要求，可以继续安装 ./configure make make install-strip 检测安装是否正确：浏览器中打开路径 /cgi-bin/qmailadmin, 看根据前面设置的用户和密码是否能够成功登录进去。(4) 安装WebMail包cd /usr/local/srctar zxvf sqwebmail-1.2.4.tar.gzcd sqwebmail-1.2.4.tar.gz ./configure -without-authpam -without-authuserdb enable-webpass=no -without-authpwd -without-authshadow make configure-check make #当make时报错找不到db.h 可以 cp /usr/include/db1/db.h /usr/include/db.h make check make install-strip make install-configure 检测安装是否正确：浏览器中打开路径 /cgi-bin/sqwebmail(5) 安装vqsignup tar xvfz vqsignup-0.4.tar.gz cd vqsignup-4.0 a. 修改Makefile文件: FLAGS=-I/home/vpopmail/include修改-I/home/vpopmail/include指到真实的vpopmail/include目录修改下面的这行$(CC) $(FLAGS) -o $(BIN) $(OBJS) -L/home/vpopmail/lib -lvpopmail -lcrypt修改 -L/home/vpopmail/lib 为真的vpopmail lib的目录 b. 编译 make c. 安装 拷贝signup.cgi和signup.conf文件到cgi-bin目录下 切换目录到cgi-bin目录下 chown vpopmail signup.cgi chgrp vchkpw signup.cgi chmod ug+s signup.cgi chmod ugo+r signup.conf 拷贝vqsignup_html目录到cgi-bin目录下，确信对所有 用户可读 拷贝vqsignup.html文件到DocumentRoot目录下，确信 能够被访问。编辑cgi-bin目录下的vqsignup.conf文件 修改add_domain的所有行，加上你的真实的域，把其他 的行删除掉.更改vqsignup_text/*.html文件，使包含result_*的行的路径指到正确的全路经。 修改vqsignup_text目录下所有的文件，使它们只包含你 想支持的域，你也可以定制这些页面，使它们更加好看些。 修改DocumentRoot目录下vqsignup.html文件，使它只 包含你想支持的域，你也可以定制这个页面，使它更加好 看些。 d. 测试 用你的浏览器访问http:/your web server/your sub dir/vqsignup.htm, 试着注册新用户，如果成功的话，那么就恭喜你了。如果有错误，请返回安装步骤仔细查看文件的权限和vqsignup.html里的值是否正确。& 2.4 其他参考资料 Adam McKenna所编写qmail-HOWTO /qmail/qmail-howto.htmlqmail FQA (內含于qmail 1.03 Source Code)/ /solution/上有几篇比较好的安装文档/cgi-bin/perl/wwwthreads.pl上的qmail讨论也不错& 2.5小结Qmail配置工作虽然较Sendmail来说已经大大简化，但要想真正建立一个功能强大、运行稳定的邮件服务器，掌握其灵活的配置，认真阅读其How-to和FAQ还是极有必要的。关于Dot-forward、邮件列表等其他非常有用的方法和使用技巧，限于篇幅就不再介绍了，建议大家参考软件包中的有关文档。第三节 三个重要的邮件系统相关协议& 3.1 SMTP协议：1.SMTP是工作在两种情况下：一是电子邮件从客户机传输到服务器；二是从某一个服务器传输到另一个服务器2.SMTP是个请求/响应协议，命令和响应都是基于ASCII文本，并以CR和LF符结束。响应包括一个表示返回状态的三位数字代码3.SMTP在TCP协议25号端口监听连接请求4.连接和发送过程：a.建立TCP连接b.客户端发送HELO命令以标识发件人自己的身份，然后客户端发送MAIL命令服务器端正希望以OK作为响应，表明准备接收c.客户端发送RCPT命令，以标识该电子邮件的计划接收人，可以有多个RCPT行服务器端则表示是否愿意为收件人接受邮件d.协商结束，发送邮件，用命令DATA发送e. 以.表示结束输入内容一起发送出去f. 结束此次发送，用QUIT命令退出。5.另外两个命令：VRFY-用于验证给定的用户邮箱是否存在，以及接收关于该用户的详细信息。EXPN-用于扩充邮件列表。6.邮件路由过程： SMTP服务器基于域名服务DNS中计划收件人的域名来路由电子邮件。SMTP服务器基于DNS中的MX记录来路由电子邮件，MX记录注册了域名和相关的SMTP中继主机，属于该域的电子邮件都应向该主机发送。若SMTP服务器收到一封信要发到:a.Sendmail请求DNS给出主机的CNAME记录，如有，假若CNAME到，则再次请求的CNAME记录，直到没有为止。b.假定被CNAME到,然后sendmail请求域的DNS给出的MX记录， shmail MX 5 10 c. Sendmail最后请求DNS给出的A记录，即IP地址，若返回值为d. Sendmail与连接，传送这封给的信到这台服务器的SMTP后台程序7.SMTP基本命令集：命令 描述HELO 向服务器标识用户身份 发送者能欺骗，说谎，但一般情况下服务器都能检测到。MAIL 初始化邮件传输 mail from:RCPT 标识单个的邮件接收人；常在MAIL命令后面 可有多个rcpt to:DATA 在单个或多个RCPT命令后，表示所有的邮件接收人已标识，并初始化数据传输，以.结束。VRFY 用于验证指定的用户/邮箱是否存在；由于安全方面的原因，服务器常禁止此命令EXPN 验证给定的邮箱列表是否存在，扩充邮箱列表，也常被禁用HELP 查询服务器支持什么命令NOOP 无操作，服务器应响应OKQUIT 结束会话RSET 重置会话，当前传输被取消8. MAIL FROM命令中指定的地址是称作 envelope from地址，不需要和发送者自己的地址是一致的。 RCPT TO 与之等同，指明的接收者地址称为envelope to地址，而与实际的to：行是什么无关。9.为什么没有RCPT CC和RCPT BCC:? 所有的接收者协商都通过RCPT TO命令来实现，如果是BCC，则协商发送后在对方接收时被删掉信封接收者10.邮件被分为信封部分，信头部分和信体部分 envelope from, envelope to 与message from:, message to:完全不相干。 evnelope是由服务器主机间SMTP后台提供的，而message from/to是由用户提供的。有无冒号也是区别。11. 怎样由信封部分检查是否一封信是否是伪造的？ a. received行的关联性。 现在的SMTP邮件传输系统，在信封部分除了两端的内部主机处理的之外，考虑两个公司防火墙之间的部分，若两台防火墙机器分别为和，但接收者检查信封received：行时发现经过了C.则是伪造的。b. received：行中的主机和IP地址对是否对应如： Receibed: from ( 15 by mail ..c. 被人手动添加在最后面的received行： Received: from (15) by mail . (8.8.5) Received: from by (8.7.3)Received: from by (8.6.4)& 3.2 POP3协议规范1. 简介 对于在网络上的比较小的结点，支持消息传输系统（mts）是不实际的。例如，一台工作站可能不具有充足的资源允许smtp服务器和相当的本地邮件传送系统保持序驻留，并持续运行。同样的，将一台个人计算机长时间连接在ip类型网络上的费用也是可观的（结点缺少的资源被称为“联络性”）。 虽然如此，在这样的小结点上允许管理邮件是十分有用的，并且这些结点经常支持一个用户代理来管理邮件。为解决这一问题，能够支持mts的结点就为这些不能支持的结点提供了邮件存储功能。邮局协议-版本3就是使这样的工作站可以用一种比较实用的方法来访问存储于服务器上的储存邮件。通常，这意味着工作站可以从服务器上取得邮件，而服务器为它暂时保存邮件。在下文中，客户主机指的是利用pop3服务的主机，而服务器主机指的是提供pop3服务的主机。2. 简单说明 在此文档中不指明客户主机如何将邮件送入到传送系统中去。但这里有一个说明：当用户代理需要将信息送到传送系统时，它在接力主机上建立smtp连接（这些接力主机可以是pop3主机，也可以不是）。 3. 基本操作 初始时，服务器通过侦听tcp端口110开始pop3服务。当客户主机需要使用服务时，它将与服务器主机建立tcp连接。当连接建立后，pop3发送确认消息。客户和pop3服务器相互（分别）交换命令和响应，这一过程一直要持续到连接终止。 pop3命令由一个命令和一些参数组成。所有命令以一个crlf对结束。命令和参数由可打印的ascii字符组成，它们之间由空格间隔。命令一般是三到四个字母，每个参数却可达40个字符长。 pop3响应由一个状态码和一个可能跟有附加信息的命令组成。所有响应也是由crlf对结束。现在有两种状态码，“确定” (+ok)和“失败” (-err)。 对于特定命令的响应是由许多字符组成的。在这些情况中，下面一一表述：在发送第一行响应和一个crlf之后，任何的附加信息行发送，他们也由crlf对结束。当所有信息发送结束时，发送最后一行，包括一个结束字符（十进制码46，也就是“.”）和一个crlf对。如果信息中的任何一行以结束字符开始，此行就是通过在那一行预先装入结束而进行字符填充的。因此，多行响应由五个crlf.crlf 结束。当检测多行响应时，客户检测以确认此行是否以结束字符开始。如果是的，而且其后的字符不是crlf，此行的第一个字符（结束字符）将被抛弃；如果其后紧跟crlf，从pop服务器来的响应终止，包括.crlf 的行也不被认为是多行响应的一部分了。 在生命周期中，pop3会话有几个不同的状态。一旦tcp连接被打开，而且pop3服务器发送了确认信息，此过程就进入了“确认”状态。在此状态中，客户必须向pop3服务器确认自己是其的客户。一旦确认成功，服务器就获取与客户邮件相关的资源，此时这一过程进入了“操作”状态。在此状态中，客户提出服务，当客户发出quit命令时，此过程进入了“更新”状态。在此状态中，pop3服务器释放在“操作”状态中取得的资源，并发送消息，终止连接。 pop3服务器可以拥有一个自动退出登录的记时器。此记时器必须至少可以记录10分钟。这样从客户发送的消息才可能刷新此记时器。当记时器失效时，pop3会话并不进入“更新”状态，而是关闭tcp连接，而且不删除任何消息，不向客户发送任何响应。 4. “确认”状态 一时tcp连接由pop3客户打开，pop3服务器发送一个单行的确认。这个消息可以是由crlf结束的任何字符。例如，它可以是： s: +ok pop3 server ready 注意：这个消息是一个pop3应答。pop3服务器应该给出一个“确定”响应作为确认。 此时pop3会话就进入了“确认”状态。此时，客户必须向服务器证明它的身份。在文档中介绍两种可能的处理机制，一种是user和pass命令，另一种是在后面要介绍的apop命令。 用user和pass命令进行确认过程，客户必须首先发送user命令，如果pop3服务器以“确认”状态码响应，客户就可以发送pass命令以完成确认，或者发送quit命令终止pop3会话。如果pop3服务器返回“失败”状态码，客户可以再发送确认命令，或者发送quit命令。 当客户发送了pass命令后，服务器根据user和pass命令的附加信息决定是否允许访问相应的存储邮件。 一旦服务器通过这些数据决定允许客户访问储存邮件，服务器会在邮件上加上排它锁，以防止在进入“更新”状态前对邮件的改变。如果成功获得了排它锁，服务器返回一个“确认”状态码。会话进入“操作状态”，同时没有任何邮件被标记为删除。如果邮件因为某种原因不能打开（例如，排它锁不能获得，客户不能访问相应的邮件或者邮件不能进行语法分析），服务器将返回“失败”状态码。在返回“失败”状态码后，服务器会关闭连接。如果服务器没有关闭连接，客户可以重新发送确认命令，重新开始，或者发送quit命令。 在服务器打开邮件后，它为每个消息指定一个消息号，并以八进制表示每个消息的长度。第一个消息被指定为1，第二个消息被指定为2，以此类推，第n个消息被指定为n。在pop3命令和响应中，所以的消息号和长度以十进制表示。 下面是对上述三条命令的总结： 命令格式参数限制响应user name指定邮箱的字符串，这对服务器至关重要仅在user和pass命令失败后或在“确认”状态中使用+ok：有效邮箱； -err：无效邮箱c: user mrose s: +ok mrose is a real hoopy frood . c: user frated s: -err sorry, no mailbox for frated here pass string口令仅在“确认”状态中user命令成功后使用（因为此命令只有一个参数，因此空格不再作为分隔符，而作为口令的一部分）+ok：邮件锁住并已经准备好； -err无效口令或无法锁住邮件c: user mrose s: +ok mrose is a real hoopy frood c: pass secret s: +ok mroses maildrop has 2 messages (320 octets) . c: user mrose s: +ok mrose is a real hoopy frood c: pass secret s: -err maildrop already locked quit（无）（无）+okc: quit s: +ok dewey pop3 server signing off 5. “操作”状态 一旦客户向服务器成功地确认了自己的身份，服务器将锁住并打开相应的邮件，这时pop3会话进入“操作”状态。现在客户可以重复下面的pop3命令，对于每个命令服务器都会返回应答。最后，客户发送quit命令，会话进入“更新”状态。 下面是在“操作”状态中可用的命令： 命令参数限制说明响应stat（无）仅在“操作”状态下可用。服务器以包括邮件信息的响应做为“确认”。为简化语法分析，所有的服务器要求使用邮件列表的特定格式。“确认”响应由一个空格，以八进制表示的邮件数目，一个空格和邮件大小。这是最小实现，高级的实现还需要别的信息。 注意：被标记为删除的信件不在此列。+ok： nn mmc: stat s: +ok 2 320 list msg信件数目（可选），如果出现，不包括标记为删除的信件。仅在“操作”状态下可用。如果给出了参数，且pop3服务器返回包括上述信息的“确认”，此行称为信息的“扫描表”。 如果没有参数，服务器返回“确认”响应，此响应便以多行给出。在初的+ok后，对于每个信件，服务器均给出相应的响应。 为简化语法分析，所有服务器要求使用扫描表的特定格式。它包括空格，每个邮件的确切大小。这是最小实现，高级的实现还需要别的信息。 注意：被标记为删除的信件不在此列。+ok：其后跟扫描表； -err：无扫描。c: list s: +ok 2 messages (320 octets) s: 1 120 s: 2 200 s: . . c: list 2 s: +ok 2 200 . c: list 3 s: -err no such message, only 2 messages in maildrop retr msg不包括标记为删除的信件数目。仅在“操作”状态下可用。如果服务器返回“确认”，给出的响应是多行的。在初始的+ok后，服务器发送与给定信息号对应的信息，对于多行响应，注意字节填充终止符。+ok：消息在其后； -err：其后无消息。c: retr 1 s: +ok 120 octets s: the pop3 server sends the entire message here s:dele msg不包括标记为删除的信件数目。仅在“操作”状态下可用。服务器将此信件标记为删除，以后任何关于此信件的操作就会产生错误。服务器在会话进入“更新”状态前不会真正删除此信件。+ok：信件被删除； -err：无此信件。c: dele 1 s: +o