浅析邮件服务器安全解决方案Word格式.docx
《浅析邮件服务器安全解决方案Word格式.docx》由会员分享,可在线阅读,更多相关《浅析邮件服务器安全解决方案Word格式.docx(7页珍藏版)》请在冰豆网上搜索。
【关键词】邮件服务器;
安全性;
Sendmail软件;
动态中继验证
目录
前言
(1)
摘要
(2)
一绪论(4)
二邮件服务器的性能和安全配置技巧(4)
三安全解决方案(5)
3.1、邮件服务器的原理(5)
3.2、服务器自身安全功能(5)
3.3、动态中继验证控制(6)
3.4、采用更先进的邮件服务器(7)
四邮件服务器的防护(8)
五全文总结(9)
结束语(9)
参考文献(9)
一绪论
近年来,邮件服务器的广泛应用使其迅速发展。
人们通过网络、服务器进行传输和交流信息,越来越离不开它。
通过网络来实现邮件的发送接收,互联网上的邮件服务器的交流是否安全可靠,怎样安全解决一些问题的方案。
由于邮件服务器构成了电子邮件系统的核心。
每个收信人都有一个位于某个邮件服务器上的邮箱(mailbox)。
Bob的邮箱用于管理和维护已经发送给他的邮件消息。
所以我们不得不谈邮件服务器的安全和解决方案。
Sendmail作为免费的邮件服务器软件,已被广泛应用于Internet各种操作系统的服务器中。
用其阻止邮件攻击,修改程序文件。
根据客户需求,协同工作平台的功能(企业移动办公技术、集成其他数据库、搜索引擎技术),建议配置方案,目前对于sendmail邮件服务器,阻止邮件攻击的方法有两种。
一种是升级高版本的服务器软件,利用软件自身的安全功能。
第二种就是采用第三方软件利用其诸如动态中继验证控制功能来实现。
二邮件服务器的性能和安全配置技巧
邮件服务器的主要性能参数应当包括:
SMTP发信效率、POP3收信效率、Web邮件方式下的收发邮件效率、邮件服务器消息转发效率等等,以下是影响邮件服务器整体性能的几个主要因素。
1、服务器配置水平的影响。
邮件服务器软件的配置水平是影响邮件服务器性能的主要因素之一,包括处理器性能、内存容量、SCSI或IDE的传输速率和磁盘读写速度、网络适配器最大吞吐量等等,因此需要服务器的配置处在一个较高的水平。
当然,如果采用动态负载均衡技术,那么就可以随意扩展邮件服务器的硬件配置,满足不断变化的业务需要。
2、网络带宽的影响。
网络的带宽决定了网络通信的水平。
在宽带时代到来的同时,也解决了邮件服务器的带宽问题,对于网络负载较大的用户还是需要寄希望于电信服务商的支持。
3、操作系统的影响。
目前较为流行的操作系统是UNIX、Linux和Windows系统,这些系统各有千秋,不同操作系统在处理机制上的不同往往有可能造成邮件服务器系统性能的差异。
4、邮件设计技术的影响。
是使用LDAP协议还是数据库方式进行用户登录认证和管理,以及是否采用SSL/TLS进行加密处理,是否提供防病毒模块,病毒处理机制等等,都是影响服务器系统性能的主要因素。
应该在保证产品功能、安全性、稳定性的基础上,找到邮件服务器性能的最佳点。
5、用户配置水平的影响。
由于大部分邮件服务器的各项参数是可以调整的,因此,对于用户操作人员也有较高的要求,用户配置的水平也是影响邮件服务器使用的重要因素。
邮件服务器的安全配置,技巧很重要。
有一个软件叫postfix,postfix的主要特点是快速、安全、易于管理,同时尽量保持与sendmail良好的兼容性。
postfix同样采用模块化的设计,只需要一个真实用户来运行所有的模块。
同时可以通过配置控制服务器的性能,有以下几点:
(1)限制服务器使用的进程数目
可以通过指定文件的下列参数来控制使用的并发进程总量
。
比如default_process_limit=100。
这样服务器同时允许100个并发进程(例如smtp客户端、smtp服务器端和本地分发)。
如果希望增加同时接受1000条信息,可以修改/etc/postfix/master.cf文件,使smtp服务的最大进程达到1000
(2)控制最大邮件尺寸
可以修改/etc/postfix/main.cf如下参数控制邮件尺寸:
message_size—limit=1073741824这样,服务器可以处理最大邮件尺寸是1073741824字节(10兆)。
(3)控制队列中的消息数量
要控制服务器处理的队列中消息数量,可以在/etc/postfix/main.cf使用下面参数:
qmgr_message_active_limit=100。
控制同时发送一个远程服务器的邮件数量,同时向远程服务器发送太多smtp连接是不合理的,也是危险的(可能会被认为是发送垃圾邮件)。
(4)控制整个队列状态
如果服务器处理的邮件数量太多,会使队列空间耗尽,可以在/postfix/main.cf增加下面参数:
queue_minfree=1048576
这里当队列目录(即队列目录所在的磁盘分区)的大小达到1048576字节(1兆)时,服务器会拒绝邮件服务.
(5)控制服务器处理邮件的频率。
控制服务器处理邮件的频率,可以在/etc/postfix/main.cf使用下面参数:
queue_run_delay=600这样邮件服务器每600秒(10分钟)处理一次邮件。
(6)隐藏邮件服务器ip地址。
如果网络中有专门发送邮件的中央邮件服务器,为许多主机提供访问,那么必须隐藏邮件地址的主机名部分。
三安全解决方案
Sendmail作为免费的邮件服务器软件,广泛应用于Internet各种操作系统的服务器中。
3.1邮件服务器的原理
邮件服务器构成了电子邮件系统的核心。
一个邮件消息的典型旅程是从发信人的用户代理开始,游经发信人的邮件服务器,中转到收信人的邮件服务器,然后投递到收信人的邮箱中。
简单邮件传送协议(SMTP)是因特网电子邮件系统首要的应用层协议。
它使用由TCP提供的可靠的数据传输服务把邮件消息从发信人的邮件服务器传送到收信人的邮件服务器。
跟大多数应用层协议一样,SMTP也存在两个端:
在发信人的邮件服务器上执行的客户端和在收信人的邮件服务器上执行的服务器端。
SMlP的客户端和服务器端同时运行在每个邮件服务器上。
当一个邮件服务器在向其他邮件服务器发送邮件消息时,它是作为SMTP客户在运行。
当一个邮件服务器从其他邮件服务器接收邮件消息时,它是作为SMTP服务器在运行。
3.2服务器自身安全功能
(1)编译sendmail时的安全考虑
要利用sendmail8.9.3的阻止邮件攻击功能,就必须在系统编译时对相关参数进行设置,并借助相关的软件包。
目前主要就是利用BerkeleyDB数据库的功能,BerkeleyDB包可以从相关站点上下载,并需要预先编译好。
然后将BerkeleyDB的相关参数写进sendmail的有关文件中。
(2)相关文件的配置
正确编译好sendmail是邮件服务器安全控制的基础,而真正的安全设置主要还是利用相关文件进行的。
这种包含控制语句的文件主要是access和relay-domains。
access是邮件安全控制的主要数据库文件,在该文件中可以按照特定的格式将需控制的域名、IP地址或目标邮件地址,以及相应的动作值写入,然后使用makmap命令生成access.db文件(#makemaphashaccess.db<
access),从而使服务器允许或屏蔽邮件中继和邮件轰炸。
(3)版本号的修改
对于一台邮件服务器,可以通过远程的25端口telnet命令来获取服务器的版本信息。
如:
“telnetsendmail服务器主机25”就可以查看sendmail的当前版本。
为了防止一些恶意的查看版本信息操作,sendmail提供了可以对显示的版本进行修改的操作。
在sendmail.cf文件中有一句“SmtpGreetingMessage=$jsendmail$V/$Z;
$b”的语句,其中$V/$Z就是版本信息,正常情况下由该参数显示的版本信息为sendmail本身的版本。
如果要设定成管理员给定的版本信息,只需将该参数改掉,然后加入你所希望的信息即可。
例如:
当把这句改成“SmtpGreetingMessage=$jsendmail0.0/0.0;
$b”,重启sendmail服务,则sendmail的版本就会变成“sendmail0.0”。
从而达到隐蔽版本信息的目的。
3.3动态中继验证控制
DRAC(DynamicRelayAuthorizationControl)动态中继验证控制是专门为邮件服务器设计的一个服务器端软件(http:
//mail.cc.umanitoba.ca/drac/index.html),它可以安装在一台SMTP服务器上,并同时为多个邮件服务器提供动态中继验证服务。
DRAC主要通过自动获取和动态更新中继验证数据库中的信息来允许合法pop3或IMAP用户使用邮件服务器,从而有效地控制邮件炸弹和非法的邮件中继。
DRAC的原理就是利用pop3或imap服务器固有的功能来获取用户名、密码和客户机IP地址等信息,并将这些信息及时映象到验证数据库中,供smtp服务器调用,同时在经过一段时间以后(缺省为30分种),其验证信息将自动失效,需要用户重新输入验证信息。
这样不仅可以保证合法的pop3或imap用户能够正常使用邮件服务器,也可以阻止任何非注册用户(包括本地)利用邮件服务器来发送邮件。
这种邮件安全控制常常被称为:
“邮件服务之前的pop验证”(POP-before-SMTP)。
(1)DRAC的编译
在编译DRAC之前,系统的sendmail服务器应该已经正确编译安装了。
重新生成sendmail.cf文件后,再重启sendmail进程。
(3)POP3(IMAPD)的有关设置
由于DRAC数据库中的用户信息是通过POP3验证来获取的,因此要使DRAC发挥动态验证作用,还必须使其POP3支持DRAC。
目前mail.cc.umanitoba.ca/drac/pop.html站上存放了一些POP3和IMAPD的有关补丁,用户在编译自己的POP3或IMAPD时,下载并安装相应的补丁,重新正确编译后,其POP3和IMAPD就具备了向DRAC传送用户信息的功能。
(4)DRAC的启动和使用
在Solaris2.x中DRAC自带有专门的启动文件dracd-setup,只需执行该文件即可启动DRAC进程。
另外也可以将其链接成/etc/rc2.d/S78dracd文件,使其在开机时自动启动。
3.4采用更先进的邮件服务器
sendmail作为免费邮件系统,目前仍是互连网中用户量最大的邮件。
虽然版本不断在升级,但安全问题还是常常出现,同时由于sendmail配置复杂,又常常令网络管理者伤透脑筋。
因此,采用更先进安全控制技术的邮件系统越来越受到人们的青睐。
其中postfix、qmail等就是sendmail最好的替代品。
这不仅因为这些系统与sendmail一样可以免费获取,还因为它们都可以平稳地接替原有sendmail进行工作,原有邮件用户也无需作任何改动,并且在安全性和效率等方面都大大超过sendmail。
在postfix和qmail中,postfix虽然发展没有qmail那样成熟,但由于其优良的性能和与sendmail的兼容性,当前很多管理员都倾向使用postfix来替代sendmail。
Postfix是一个由IBM资助下由WietseVenema负责开发的自由软件工程的一个产物,其目的是为用户提供除sendmail之外的邮件服务器选择。
Postfix力图做到快速、易于管理、提供尽可能的安全性,同时尽量做到和sendmail邮件服务器保持兼容性以满足用户的使用习惯。
与sendmail相比Postfix主要具有以下特点:
(1)性能好、效率高
Postfix要比同类的服务器产品速度快三倍以上,一个安装Postfix的台式机一天可以收发百万封信件。
Postfix设计中采用了web服务器的的设计技巧以减少进程创建开销,并且采用了其他的一些文件访问优化技术以提高效率,但同时保证了软件的可靠性。
(2)兼容性好
Postfix设计时考虑了保持Sendmail的兼容性问题,以使移植变得更加容易。
Postfix支持/var[/spool]/mail,/etc/aliases,NIS,及~/.forward等文件。
然而Postfix为保证管理的简单性,所以没有支持配置文件sendmail.cf。
(3)可靠和健壮
Postfix设计上实现了程序在过量负载情况下仍然保证程序的可靠性。
当出现本地文件系统没有可用空间或没有可用内存的情况时,Postfix就会自动放弃,而不是重试使情况变得更糟。
(4)灵活
Postfix结构上由十多个小的子模块组成,每个子模块完成特定的任务,如通过SMTP协议接收一个消息,发送一个消息,本地传递一个消息,重写一个地址等等。
当出现特定的需求时,可以用新版本的模块来替代老的模块,而不需要更新整个程序。
而且它也很容易实现关闭某个功能。
(5)安全
Postfix使用多层防护措施防范攻击者来保护本地系统,几乎每一个Postfix守护进程都能运行在固定低权限的chroot之下,在网络和安全敏感的本地投递程序之间没有直接的路径—一个攻击者必须首先突破若干个其他的程序,才有可能访问本地系统。
Postfix甚至不绝对信任自己的队列文件或IPC消息中的内容以防止被欺骗。
Postfix在输出发送者提供的消息之前会首先过滤消息。
而且Postfix程序没有set-uid。
同时支持外部程序过滤和扫描,可以开发针对邮件内容的邮件过滤器。
(6)支持数据库
目前postfix已经支持mysql等UNIX中的数据库产品,可以建立虚拟用户,方便用户管理和统一用户验证信息。
四邮件服务器的防护
现在的邮件服务器在安全防护技术上有了较大的提高,包括数据身份认证、传输加密、垃圾邮件过滤、邮件病毒过滤、安全审计等的多项安全技术在邮件服务器中都得到了很好的应用。
身份认证主要指SMTP发信认证,此项功能对于邮件服务器是一个可选功能,主要目的是防止黑客利用自己的服务器攻击其他邮件服务器。
完善SMTP身份认证不仅可以制止黑客的恶劣行为,同时可以保证自己的邮件服务器的各种资源可以充分地应用到日常的邮件处理过程中,不会造成服务器的系统崩溃和资源浪费。
无论是POP3协议还是SMTP协议,由于其在设计之初的缺陷,全部使用明码进行消息的传递,因此很容易造成信息的泄漏。
我们可以通过两种方式提高系统的安全性:
链路加密和端对端加密。
链路加密是使用加密工具(软硬件工具)对传输的线路进行数据加密,需要网络设施的支持。
端对端加密是邮件客户端到邮件客户端的加密,是邮件服务器应当提供的功能,目前较为流行的方式是使用SSL/TLS进行传输加密。
五全文总结
纵观全文,通过Sendmail邮件服务器软件应用于Internet各种操作系统的服务器中。
根据客户需求,协同工作平台的功能(企业移动办公技术、集成其他数据库、搜索引擎技术),建议配置方案,根据它的性能进行提高安全配置技巧。
Sendmail编译时的安全考虑、文件配置、版本号的修改。
因此邮件服务器的安全解决还是比较开放的话题。
还可以在安全技术防护有新的更大突破,这样邮件服务器的实现必将更加的快捷和安全。
结束语
通过应用于Internet各种操作系统的服务器中的Sendmail邮件服务器软件。
来浅谈邮件服务器的安全解决方案,同时了解其性能和一些配置安全技巧。
编译好sendmail是邮件服务器安全控制的基础,利用其诸如动态中继验证控制功能来实现。
这是一种比较流行的广泛的应用于邮件服务器,涉及到安全配置和安全技术防护(包括数据身份认证、传输加密、垃圾邮件过滤、邮件病毒过滤、安全审计等的多项安全技术在邮件服务器中都得到了很好的应用。
)随着网络技术的提高和安全的不确定性,邮件服务器的安全问题会上升一个层次,从而会诞生更好的安全解决方案,这样来实现邮件服务器的操作和运行。
最终邮件服务器在安全解决中不断的升级和提高。
参考文献
(1)查贵庭著《邮件服务器的安全解决方案》.网站博客,2007.2
(2)网络论坛:
《邮件服务器安全防护技术指导手册》.2008.9
(3)芮廷先等著.《电子邮件安全与社会环境》〔M〕,上海财经经大学出版社,2000,8
(4)曹江华著.《Linux服务器安全策略详解(第二版)》.电子工业出版社,2009.6
升级会员 