架设Linux邮件服务器安全策略的实现.doc

架设Linux邮件服务器安全策略的实现.doc

《架设Linux邮件服务器安全策略的实现.doc》由会员分享，可在线阅读，更多相关《架设Linux邮件服务器安全策略的实现.doc（33页珍藏版）》请在冰豆网上搜索。

目录

一．引言 1

三．邮件服务器安全的简介 2

（一）邮件服务器安全的原理 2

（二）邮件服务器安全的类型 2

三．搭建DNS服务器 3

（一）DNS的系统组成 3

（二）实验环境 4

（三）搭建DNS服务器 4

四．搭建Sendmail邮件服务器 11

（一）Sendmail简介 11

（二）Sendmail邮件服务器的优缺点 11

（三）搭建Sendmail邮件服务器 12

（四）测试邮件的发送 15

六．DNS的负载均衡 19

（一）基于DNS的负载均衡 19

（二）用客户机测试DNS服务器 19

（三）测试DNS的负载均衡 21

七．Sendmail邮件服务器安全策略的实现 21

（一）关闭Sendmail的Relay功能 21

（二）在Sendmail中实时黑名单过滤 22

（三）配置Access文件 23

（四）设置SMTP认证 23

（五）使用SpamAssassin工具来防止垃圾邮件 26

（六）Sendmail服务器防范DoS攻击措施 28

（七）为电子邮件账户设置别名 30

八．结束语 32

参考文献 33

致谢 33

架设linux邮件服务器安全策略的实现

莫佳佳王杰

（浙江商业职业技术学院信息技术学院，网络013班）

[内容摘要]本文基于Linux操作系统架设Sendmail邮件服务器，在Sendmail服务器中实现黑名单过滤，设置SMTP认证，使用SpamAssassin工具来防止垃圾邮件，通过架设邮件服务器并配置邮件服务器的策略，实现用户收发邮件和提高邮件服务器的安全和可靠性。

并利用DNS轮询在两台邮件服务器之间实现负载均衡。

[关键词]黑名单过滤；SMTP认证；防垃圾邮件；DNS轮询

一．引言

随着计算机网络的迅速发展，Linux作为一个现代化的操作系统，正在各个方面得到广泛的应用。

电子邮件服务是一种重要的网络服务，如今已经是现代通信方式中不可缺少的一种，继而已经成为当今人们生活中不可或缺的重要部分。

而随着其应用的广泛和地位的提高，邮件服务器也备受关注。

人们要求邮件服务器可用性更强，更加快速，更加安全和使用方便。

邮件服务器提供了邮件系统的基本结构，包括邮件传输、邮件分发、邮件存储等功能，以确保邮件能够发送到Internet网络中的任意地方。

针对此情况基于邮件服务器来实现SMTP用户认证、黑名单过滤、关闭Relay功能等垃圾邮件的防范策略，来提高邮件服务器的安全性和可靠性。

还要利用DNS服务器来实现最基本的域名解析和轮询功能。

我们通过对邮件服务器的安全策略和DNS的域名解析、轮询功能来改善Linux邮件服务器安全策略问题，提高了邮件服务器的安全性和可靠性，为用户提供更好更快的访问速度。

本文共分六个部分。

第一部分：

引言。

简述选题的背景与意义及研究目标与内容。

第二部分：

企业需求分析。

简述公司的背景与需求及其目标。

第三部分：

邮件服务器安全的简介。

介绍了邮件服务器安全的作用和邮件服务器安全的类型。

第四部分：

DNS服务器的搭建。

介绍了负载均衡技术的实现及步骤，如配置NAT负载均衡，叙述了NAT负载均衡技术的优缺点。

第五部分：

Sendmail邮件服务器的搭建。

介绍了Sendmail邮件服务器、优缺点及实现步骤。

第六部分：

Sendmail邮件服务系统安全策略的实现。

第七部分：

结束语。

叙述了采用Linux系统和Sendmail邮件系统的优缺点以及通过本次课题设计的一些小结。

二．邮件服务器安全的简介

邮件服务器构成了电子邮件系统的核心。

每个收信人都有一个位于某个邮件服务器上的邮箱。

接收者的邮箱用于管理和维护已经发送给他的邮件消息。

一个邮件消息的典型旅程是从发信人的用户代理开始，游经发信人的邮件服务器，中转到收信人的邮件服务器，然后投递到收信人的邮箱中。

当接收者想查看自己的邮箱中的邮件消息时，存放该邮箱的邮件服务器将以他提供的用户名和口令认证他。

发送者的邮件服务器还得处理接收者的邮件服务器出故障的情况。

如果发送者的邮件服务器无法把邮件消息立即递送到接收者的邮件服务器中，发送者的服务器就把它们存放在消息队列中，以后再尝试递送。

这种尝试通常每30分钟左右执行一次:

要是过了若干天仍未尝试成功，该服务器就把这个消息从消息队列中去除掉，同时以另一个邮件消息通知发信人。

（一）邮件服务器安全的原理

邮件服务器的工作过程是靠计算机技术和通信技术来完成的。

发信者注明收件人的姓名与地址（即邮件地址），发送方服务器把邮件传到收件方服务器，收件方服务器再把邮件发到收件人的邮箱中。

邮件服务器安全就是为电子邮件账户设置别名，使用专用工具防止垃圾邮件，设置SMTP认证，实时黑名单过滤。

（二）邮件服务器安全的类型

1.邮件的隐私性

电子邮件是通过网络介质来传播的，当你在Internet上发送邮件的时候，它是通过明文封装来传输的，很容易受到来自网络上的监听。

攻击者只要使用简单的监测软件（如超级网管）就能截获网络上传输的数据包，获得邮件的内容，这使我们的隐私受到了威胁。

2.邮件的真实性

电子邮件在发送过程中如果被人截取到了，那就意味着你的电子邮件真实性的问题，会不会是被人改了再发送过来的，而且攻击者这样做往往是有目的的，这样有时候会给双方造成很大的误会和损失。

3.邮件的认证性

既然黑客能够截取并修改我们的电子邮件，那么，他会不会把发信人的名字改成别人的名字呢，例如：

A发给B一封信，C是黑客，他想让B不知道这封信是A发的，就改了发信人的名字为D，当B接到信的时候，往往就会认为这封信是D发给他的。

这个例子也说明了，邮件如果没有身份认证有可能会产生张冠李戴的事情，这样有时也会造成重大损失。

4.邮件的安全性

所有邮件都是通过邮件服务器来转发的，因此，邮件服务器的安全问题变得严峻起来，黑客的攻击、病毒的感染、发件人的群发，乱发（垃圾邮件）等等问题都要求邮件服务器必需要有一个安全稳定的运行环境。

随着网络技术的快速发展，这些问题都上升为邮件系统的核心技术问题。

三．搭建DNS服务器

（一）DNS的系统组成

DNS服务器在互联网的作用是：

把域名转换成为网络可以识别的IP地址。

首先，要知道互联网的网站都是一台一台服务器的形式存在的，但是我们怎么去到要访问的网站服务器呢？

这就需要给每台服务器分配IP地址，互联网上的网站无穷多，我们不可能记住每个网站的IP地址，这就产生了方便记忆的域名管理系统DNS，他可以把我们输入的好记的域名转换为要访问的服务器的IP地址。

简单的说，就是为了方便我们浏览互联网上的网站而不用去刻意记住每个主机的IP地址，DNS服务器就应运而生，提供将域名解析为IP的服务，从而使我们上网的时候能够用简短而好记的域名来访问互联网上的静态IP的主机。

可以将DNS服务器分为3个部分：

1.域名空间。

这是标识一组主机并提供他们的有关信息的树结构的详细说明。

树上的没一个节点都有其控制下的主机的有关信息的数据库。

查询命令试图从这个数据库中提取适当的信息。

这些是域名、IP地址、邮件别名等在DNS系统中能找到的内容。

2.域名服务器。

他们是保持和维护域名空间中数据的程序。

由于域名服务是分布式的，每一个域名服务器含有一个域名空间自己的完整信息，并保存其他有关部分的信息。

一个域名服务器拥有其控制范围内的完整信息。

其控制范围成为区（Zone），对于本区内的请求由负责本区的域名服务器解释；对于不同区的请求将由本区的域名服务器与负载替他区的相应服务器联系。

3.解析器。

解析器是简单的程序或子程序库，它从服务器中提取信息以响应对域名空间中主机的查询，用于DNS客户。

（二）实验环境

LINUX系统版本：

RedHat9.0

DNSserverIP192.168.1.10

Mailserver1IP192.168.1.7

Mailserver2IP192.168.1.8

WindowsXpIP192.168.1.99

DNSserver作为域名解析服务器启动轮询功能为两台邮件服务器提供负载平衡。

Mailserver1与Mailserver2作为邮件服务器为用户提供收发邮件。

WindowsXp作为测试工作站。

（三）搭建DNS服务器

（1）配置静态IP地址

#vi/etc/sysconfig/network-scrIPts/ifcfg-eth0，如图3-1所示：

//device设备名称；//bootproto=static静态；//IPaddr网卡的IP；

//netmask网卡的掩码；//gateway网关；//onboot启动引导时是否激活。

图3-1配置静态IP地址

（2）重启network服务

#servicenetworkrestart如图3-2所示：

图3-2重启network

（3）检查BIND域名服务器

检查系统中是否安装了BIND域名服务器，如图3-3所示：

图3-3检查BIND域名服务器

（4）配置正向解析，即域名转换为IP的过程

1）#vi/etc/named.conf

如图3-4所示，添加正向解析区域。

//“”定义了区域名称。

//type类型有三种，它们分别是master,slave和hint它们的含义分别是：

master:

表示定义的是主域名服务器。

slave:

表示定义的是辅助域名服务器。

hint:

表示是互联网中根域名服务器。

//“.zone”定义了实现正向解析的区域文件名。

图3-4添加正向解析区域

2）进入/var/named

把localhost.zone复制到.zone里，如图3-5所示：

//把localhost.zone这个模板复制到.zone这个区域文件中，方便下一步编辑这个区域文件。

图3-5生成.zone区域

3）编辑.zone

#vi.zone如图3-6所示：

图3-6编辑.zone

（5）配置反向解析，即IP转换为域名的过程

1）#vi/etc/named.conf

添加反向解析区域，如图3-7所示：

//“”定义了区域名称//“Master”说明这个区为主域名服务器//“192.168.1.zone”定义了实现反向解析的区域文件名。

图3-7添加反向解析区域

2）进入/var/named

复制named.local到192.168.1.zone，如图3-8所示：

//把named.local这个模板复制到192.168.1.zone这个区域文件中，方便下一步编辑这个区域文件。

图3-8生成192.168.1.zone区域

3）编辑192.168.1.zone

#vi192.168.1.zone如图3-9所示：

//NS：

表示是这个主机是一个域名服务器，//PTR：

表示反向记录。

图3-9编辑192.168.1.zone区域

（6）配置当前主机DNS服务器

#vi/etc/resolv.conf如图3-10所示：

//nameserver　表明DNS服务器的IP地址。

可以有很多行的nameserver，每一个带一个IP地址。

在查询时就按nameserver在本文件中的顺序进行，且只有当第一个nameserver没有反应时才查询下面的nameserver。

//domain声明主机的域名。

很多程序用到它，如邮件系统；当为没有域名的主机进行DNS查询时，也要用到。

如果没有域名，主机名将被使用，