建立具身分认证功能之防毒型电子邮件伺服系统

1、建立具身分認證功能之防毒型電子郵件伺服系統-在Solaris系統上以sandwich架構架設具Cyrus SASL身分認證之sendmail及Interscan VirusWall陳婉佳國立彰化師範大學電子計算機中心彰化市進德路一號（04-7232105-1533）.tw因電子郵件病毒的猖獗，使各校紛紛於電子郵件伺服器上加裝防毒軟體，在考量效率、價格、方便性及穩定性等因素，使得趨勢公司的Interscan VirusWall獲得許多單位的電子郵件伺服器所採用，但對於以unix系統為作業系統並在同一台主機上架設Interscan VirusWall防毒系統的電子郵件伺

2、服器，此方式是以Interscan所提供的程式來作為等待使用者寄信需求的daemon 程式，如此一來使得原具有身分認證模組的sendmail程式無法發揮其功能，因此對於此種架構之電子郵件系統均停止運作寄件者身分認證的功能；但寄件者身分認證功能對很多單位而言是非常重要的功能，它除了可以達到將實際的寄件者資料記錄在信件的標頭上的功能外，還可以提供給使用者在單位以外的外部網路，使用單位內部的電子郵件主機轉寄信件，例如出差或是下班回家之後，可以繼續使用公司的郵件伺服器發信；學生放假離開學校之後也可使用學校的郵件主機發出信件。本文將介紹另一種方法，稱之為sandwich架構，在一台unix主機上以多層次

3、的架構來架設sendmail及防毒系統Interscan VirusWall，使用此架構將可完成兼具防毒及身分認證功能的電子郵件系統，此架構已經吾人過實際運用且效能優良，本文將詳述如何架構此一系統，另外本文中亦將吾人在實作過程中所遭遇的問題與解決方法提供給所有管理者參考。壹、一般架構圖一為於同一主機上之防毒系統與電子郵件系統之一般架構，以daemon方式啟動/etc/iscan/sendmail，使用port 25來接受使用者的寄信或其他MTA（Mail Transfer Agent）轉信的需求，信件接收進來後會接受掃毒，再以執行命令/usr/lib/sendmail bs的方式呼叫sendm

4、ail來遞送信件，/usr/lib/sendmail是以backgroud processes方式啟動而非daemon方式，在此架構下Interscan viruswall擋在sendmail之前，故sendmail許多功能被Interscan viruswall取代，例如允許哪些client端利用電子郵件主機當作relay server寄信，已不再由sendmail 的/etc/mail/access資料庫控制，而是由/etc/iscan/localdomain.txt取代；另外若sendmail 郵件伺服軟體，搭配 cyrus sasl 身分認證程式庫，原本可達成的身分認證功能也失效。In

5、terscan viruswallPort : 25callSendmail -bsUser send mail with local MUARemote MTA電子郵件主機ASendmail q1h圖一 一般架構：於同一主機上之防毒系統與電子郵件系統貳、sandwish架構First SendmailPort : 25User send mail with local MUARemote MTA電子郵件主機AInterscan viruswallPort : 18000Second SendmailPort : 19000圖二 sandwich架構：於同一主機上之防毒系統與電子郵件系統三層式

6、架構在圖二的sandwich防毒架構中，防毒系統與電子郵件系統形成三層式架構，第一個sendmail以daemon方式啟動，使用port 25來接受使用者的寄信或其他MTA（Mail Transfer Agent）轉信的需求，信件接收進來後會交由使用port 18000 的Interscan viruswall來掃毒，掃毒完畢再交由第二個也是以daemon方式啟動並使用port 19000的sendmail來真正遞送信件，與一般架構作比較，在此架構下Interscan viruswall位於第一個sendmail之後，故sendmail許多功能沒被Interscan viruswall取代，例

7、如允許哪些client端利用電子郵件主機當作relay server寄信，還是由sendmail 的/etc/mail/access資料庫控制；另外sendmail 郵件伺服軟體搭配 cyrus sasl 身分認證程式庫，即可達成的身分認證功能，使供內部可信賴區域以外的本機使用者轉送郵件 (mail relay)。參、具Cyrus SASL身分認證功能之sandwich架構系統實作以下詳述整個建立具身分認證功能之防毒型電子郵件伺服系統之過程及需特別注意的事項：一、安裝相關軟體先分別安裝interscan viruswall、cyrus-sasl、sendmail等軟體，sendmail在安裝時

8、記得加入以下內容至mc檔再build cf檔，以使sendmail啟動認證功能。#echo dnl The following lines are used to enable CYRUS-SASL function MYFC.mc#echo TRUST_AUTH_MECH(LOGIN PLAIN)dnl MYCF.mc#echo define(confAUTH_MECHANISMS, LOGIN PLAIN)dnl MYCF.mc二、架構First Sendmail1.先將sendmail.cf複製至另一檔sendmail.cf.delivery2.在sendmail.cf檔中，指定send

9、mail的smtp遞送程式為 IPC port 18000，即Interscan Viruswall：更改前：Msmtp,P=IPC, F=mDFMuX, S=11/31, R=21, E=rn, L=990,T=DNS/RFC822/SMTP,A=IPC $h更改後:Msmtp,P=IPC, F=kmDFMuX, S=11/31, R=21, E=rn, L=990,T=DNS/RFC822/SMTP,A=IPC localhost 18000若有Msmtp, Mesmtp, Msmtp8, Mdsmtp, Mrelay等項目也一併更改為以上之設定，注意在F選項需加入旗標k。M=開頭定義一個

10、郵件遞送代理程式P=表示處理遞送代理程式的完整路徑，IPC是sendmail內部使用的一個特殊名稱，用以表示sendmail在TCP/IP網路通訊上的內在能力，它是interprocessor communication的縮寫。A=用於指定程式執行時所需要的指令列引數。$h是含有收件人主機名稱的巨集。F=指定某些旗標，告訴sendmial關於遞送代理程式更多的訊息。M，同一時間遞送給多位使用者；D，將Date：包含在標頭中：F，將From：包含在標頭中；M，將Msseage-ID：包含在標頭中；u，保留收件人姓名中的大小寫形式；X，將一行中單一的句點重複再行傳送；a，執行擴充的SMTP協定；S

11、=指示使用哪一個規則集改寫寄件人地址senderR=指示使用哪一個規則集改寫收件人地址recipientT=列出三欄與遞送代理程式有關的資訊，T=DNS/RFC822/SMTP，第一欄是使用的MTA類型，sendmail使用DNS查詢地址；第二欄是所用的地址類型；第三欄是所用的錯誤訊息的格式。3.在sendmail.cf檔中，指定sendmail的local mailer遞送程式為 IPC port 18000，即Interscan Viruswall：更改前：Mlocal,P=/usr/lib/mail.local, F=lsDFMAw5:/|qfSmn9, S=10/30, R=20/40

12、,T=DNS/RFC822/X-Unix,A=mail.local -d $u更改後:Mlocal,P=IPC, F=klsDFMAw5:/|qSmn9, S=10/30, R=20/40,T=DNS/RFC822/X-Unix,A=IPC localhost 18000注意在F選項需加入旗標k，但不能包含f旗標。三、架構Second Sendmail1.在Second Sendmail的組態檔sendmail.cf.delivery，指定Second sendmail使用port 19000成為一daemon程式來接受要求，有別於First sendmial 使用port 25。更改前：#O

13、 DaemonPortOptions=Port=esmtp或O DaemonPortOptions=Name=MTAO DaemonPortOptions=Port=587, Name=MSA, M=E更改後:#O DaemonPortOptions=Port=esmtp或 #O DaemonPortOptions=Name=MTAO DaemonPortOptions=Port=19000 #O DaemonPortOptions=Port=587, Name=MSA, M=EO DaemonPortOptions=Port=190002.在Second Sendmail的組態檔sendma

14、il.cf.delivery，更改Second Sendmail的mail queue位置。更改前：O QueueDirectory=/var/spool/mqueue更改後：O QueueDirectory=/var/spool/mqueue1O指令用來設定sendmail的選項，選項可以指定重要檔案的位置、設定逾時的時間，並定義sendmial如何運作，以及遇到錯誤時如何處理。例如O QueueDirectory =/var/spool/mqueue指定佇列目錄。3.在Second Sendmail的組態檔sendmail.cf.delivery，將定義郵件遞送代理程式Mlocal, Ms

15、mtp, Mesmtp, Msmtp8, Mdsmtp, Mrelay的F選項需加上旗標k。4.產生目錄/var/spool/mqueue1，並確定其權限與/var/spool/mqueue相同。四、架構Interscan viruswall將InterScan SMTP service port設定為18000，並指定original SMTP server location to為“localhost 19000”，修改intscan.ini檔，如下：更改前：svcport=25original=/usr/lib/sendmail -bs更改後:svcport=18000original=

16、localhost 19000記得在Interscan viruswall的web 功能介面也要一併更改設定，Configuration - E-Mail Scan - Original SMTP Server Location選擇Local Server - Command Mode設定localhost 19000。五、修改Interscan viruswall及sendmail的啟動檔S88sendmail rc：更改前：/etc/iscan/sendmail/usr/lib/sendmail q1h更改後:/etc/iscan/sendmail/usr/lib/sendmail -L

17、first-smtp-daemon -bd -q4h/usr/lib/sendmail -L second-smtp-daemon -bd -q4h -C/etc/mail/sendmail.cf.delivery使主機開機後自動啟動First sendmail、interscan viruswall及second sendmail三個daemon程式。當設定sandwich架構啟動郵件系統後，兩個Sendmail daemons使用同一個紀錄檔: /var/log/syslog 應如何辨認哪一筆是紀錄哪一個daemon的資料？利用啟動sendmail daemon指令的參數，-L 參數是指定

18、用於syslog messages的identifier .在上例，第一個daemon會在紀錄上有個標籤: first-smtp-daemon ，第二個daemon會在紀錄上有個標籤: second-smtp-daemon 。六、最後啟動sendmail及interscan viruswall：1. /etc/rc2.d/S88sendmail stop2. /etc/rc2.d/S88sendmail start肆、進階問題及解決方法系統架設完畢正常運作後，一般狀況第一層sendmail的信件佇列中只會有極少數暫時存在的信件佇列在其中，若發生部分信件會佇列在mail queue中，且出現的問題描述是I/O error，但對方電子郵件伺服主機又沒問題時，可以調整第一層sendmail設定檔中郵件遞送代理程式F參數的旗標，更改前：Mlocal,P=/usr/lib/mail.local, F=lsDFMAw5:/|qfSmn9, S=10/30, R=20/40, T=DNS/RFC822/X-Unix, A=mail.local -d $u更改後:Mlocal,P=IPC, F=klsDFMAw5:/|qSmn9X, S=10/30, R=20/40, T=DNS/RFC822/X-Unix, A=IPC localhost 18000增加F參數的旗標