SMTP安全
一、SMTP协议原理
SMTP-简单邮件传输协议(SimpleMailTransferProtocol),是定义邮件传输的协议,它是基于TCP服务的应用层协议,由RFC0821所定义。SMPT协议规定的命令是以明文方式进行的。为了说明SMTP的工作原理,我们以向www.Linuxaid.com.cn发送邮件为实例进行说明。
在linux环境下,使用"telnetwww.linuxaid.com.cn25"连接www.linuxaid.com.cn的25号端口(SMTP的标准服务端口);在windows下使用telnet程序,远程主机指定为www.linuxaid.com.cn,而端口号指定为25,然后连接www.linuxaid.com.cn:交互过程如下:
[lix@nslix]$telnetwww.linuxaid.com.cn25
Trying202.99.11.120...
Connectedtowww.linuxaid.com.cn.
Escapecharacteris"^]".
HELOideal
220www.linuxaid.com.cnESMTPSendmail8.10.2/8.10.2;Mon,18Sep200013:40:44
+0800
250www.linuxaid.com.cnHello[210.12.114.130],pleasedtomeetyou
MAILFROM:ideal@BTamail.net.cn
2502.1.0IDEAL@btamail.net.cn...Senderok
RCPTTO:ideal@linuxaid.com.cn
2502.1.5ideal@linuxaid.com.cn...Recipientok
DATA
354Entermail,endwith"."onalinebyitself
hello,Plstogettomeetu:)goodlUCk
.
2502.0.0e8I5j1M11204Messageacceptedfordelivery
QUIT
2212.0.0www.linuxaid.com.cnclosingconnection
Connectionclosedbyforeignhost.
其中黑体部分是输入的命令,其他内容是对方邮件服务器输出的状态信息。
这里,HELO是客户向对方邮件服务器发出的标识自己的身份的命令,这里假设发送者为ideal;MAILFROM命令用来表示发送者的邮件地址;RCPTTO:标识接收者的邮件地址,这里表示希望发送邮件给ideal@linuxaid.com.cn,假如邮件接收者不是本地用户,例如RCPTTO:ideal@btamail.net.cn,则说明希望对方邮件服务器为自己转发(Relay)邮件,若该机器答应转发这样的邮件,则表示该邮件服务器是OPENRELAY的,否则说明该服务器不答应RELAY;DATA表示下面是邮件的数据部分,输入完毕以后,以一个"."开始的行作为数据部分的结束标识;QUIT表示退出这次会话,结束邮件发送。
这就是一个简单的发送邮件的会话过程,其实当使用OutlookeXPress等客户软件发送时,后台进行的交互也是这样的,当然,SMTP协议为了处理复杂的邮件发送情况如附件等等,定义了很多的命令及规定,具体可以通过阅读RFC821来获得。
当你的一个朋友向你发送邮件时,他的邮件服务器和你的邮件服务器通过SMTP协议通信,将邮件传递给你邮件地址所指示的邮件服务器上(这里假设你的本地邮件服务器是Linux系统),若你通过telnet协议直接登录到邮件服务器上,则可以使用mail等客户软件直接阅读邮件,但是若你希望使用本地的MUA(MailUserAgent,如outlookexpress等客户软件)来阅读邮件,则本地客户端通过POP3或IMAP协议与邮件服务器交互,将邮件信息传递到客户端(如:win98系统)。而假如你向你的朋友回复一封信件时,你所使用的MUA也是通过SMTP协议与邮件服务(一般为发送邮件地址对应的email地址)器通信,指示其希望邮件服务器帮助转发一封邮件到你朋友的邮件地址指定的邮件服务器中。若本地邮件服务器答应你通过它转发邮件,则服务器通过SMTP协议发送邮件到对方的邮件服务器。这就是接受和发送邮件的全部过程。
二、什么是mailRelay
邮件服务器一般具有一个或若干个域名(这些域名应该出现在某个配置文件内),邮件服务器在运行时将监听25号端口,等待远程的发送邮件的请求。网络上其他的mail服务器或者请求发送邮件的MUA(MailUserAgent,如outlookexpress、FoxMail等等)会连接邮件服务器的25号端口,请求发送邮件,SMTP会话过程一般是从远程标识自己的身份开始,过程如下:
HELOremote.system.domainname
250qmailserver.domain
MAILFROM:user@somewherer.net
250OK
RCPTTO:user1@elsewhere.net
邮件的接收者user1@elsewhere.net中的域名并不一定是邮件接受服务器的所具有的本地域名,也就是说邮件目的可能不是上面协议交互中的接收方,而是邮件发送者希望接收邮件服务器帮助其转发邮件。这时候本地系统可能有两种回答,接受它:
250OK
或者拒绝接受它:
553sorry,.thatdomainisnotinmydomainlistofallowedrecphosts
第一种情况下,本地邮件服务器是答应relay的,它接收并同意传递一个目的地址不是本地的邮件;而第二种情况则不接收非本地邮件。
为什么不能配置邮件服务器为openrelay?
假如系统治理员将自己的邮件服务器设置为openrelay,将会导致一些垃圾邮件发送者将你的邮件服务器作为转发自圾邮件的中继站,这将使垃圾邮件的接收者将矛头对准你,可能会导致报复性的邮件炸弹;垃圾邮件还能消耗你大量的资源,占用你的带宽。更为糟糕的事情可能是你的名字可能会上了黑名单,成为其他邮件接收者共同抵制的目标,你的邮件将被这些接收者所拒绝。
因此,系统治理员应当注重不要使自己的邮件服务器是openrelay的。
二、Sendmail服务器安全
sendmail是在Unix环境下使用最广泛的实现邮件发送/接受的邮件传输代理程序。由于Sendmail邮件服务器的特点是功能强大而复杂,因此为保证Sendmail的安全性,需要作以下一些工作。
1、设置Sendmail使用"smrsh"
smrsh程序的目的是作为在mailer中为sendmail定义的"/bin/sh"的替代shell。smrsh是一种受限shell工具,它通过"/etc/smrsh"目录来明确指定可执行文件的列表。简而言之smrsh限制了攻击者可以执行的程序集。当它与sendmail程序一起使用的时候,smrsh有效的将sendmail可以执行的程序的范围限制在smrsh目录之下。
第一步:
决定smrsh可以答应sendmail运行的命令列表。缺省情况下应当包含以下命令,但不局限于这些命令:
"/bin/mail"(假如在你的系统中安装了的话)
"/usr/bin/procmail"(假如在你的系统中安装了的话)
注重:不可在命令列表里包括命令解释程序,例如sh(1),csh(1),perl(1),uudecode(1)及流编辑器sed(1)。
第二步:
在"/etc/smrsh"目录中创建答应sendmail运行的程序的符号连接。
使用以下命令答应mail程序"/bin/mail"运行:
[root@deep]#cd/etc/smrsh
[root@deep]#ln-s/bin/mailmail
用以下命令答应procmail程序"/usr/bin/procmail"运行:
[root@deep]#cd/etc/smrsh
[root@deep]#ln-s/usr/bin/procmailprocmail
这将答应位于".forward"和"aliases"中的用户采用"program"语法来运行mail及procmail程序。
第三步
配置sendmail使之使用受限shell。mailer程序在sendmail的配置文件"/etc/sendmail.cf"中仅有一行。必须修改"sendmail.cf"文件中"Mprog"定义的那一行。将"/bin/sh"替换为"/usr/sbin/smrsh"。
编辑"sendmail.cf"文件(vi/etc/sendmail.cf)并改动下面这一行:
例如:
Mprog,P=/bin/sh,F=lsDFMoqeu9,S=10/30,R=20/40,D=$z:/,T=X-Unix,A=sh-c$u
应该被改为:
Mprog,P=/usr/sbin/smrsh,F=lsDFMoqeu9,S=10/30,R=20/40,D=$z:/,T=X-Unix,A=sh-c$u
现在用以下命令手工重起sendmail进程:
[root@deep]#/etc/rc.d/init.d/sendmailrestart
2、"/etc/aliases"文件
假如没有加以正确和严格的治理的话,别名文件被用来获取特权。例如,很多发行版本在别名文件中带有"decode"别名。现在这种情况越来越少了。
这样做的目的是为用户提供一个通过mail传输二进制文件的方便的方式。在邮件的发送地,用户把二进制文件用"uuencode"转换成ASCII格式,并把结果邮递给接收地"decode"别名。那个别名通过管道把邮件消息发送到"/usr/bin/uuencode"程序,由这个程序来完成从ASCII转回到原始的二进制文件的工作。
删除"decode"别名。类似的,对于所有用于执行没有被放在smrsh目录下的程序的别名,你都要仔细的检查,可能它们都值得怀疑并应当删除它们。要想使你的改变生效,需要运行:
[root@deep]#/usr/bin/newaliases
编辑别名文件(vi/etc/aliases)并删除以下各行:
#Basicsystemaliases--theseMUSTbepresent.
MAILER-DAEMON:postmaster
postmaster:root
#Generalredirectionsforpseudoaccounts.
bin:root
daemon:root
games:root??删除这一行
ingres:root??删除这一行
nobody:root
system:root??删除这一行
toor:root??删除这一行
uucp:root??删除这一行
#Well-knownaliases.
manager:root??删除这一行
dumper:root??删除这一行
operator:root??删除这一行
#trapdecodetocatchsecurityattacks
decode:root??删除这一行
#Personwhoshouldgetroot"smail
#root:marc
最后应该运行"/usr/bin/newaliases"程序使改动生效
3、避免你的Sendmail被未授权的用户滥用
最新版本的Sendmail(8.9.3)加入了很强的防止欺骗的特性。它们可以防止你的邮件服务器被未授权的用户滥用。编辑你的"/etc/sendmail.cf"文件,修改一下这个配置文件,使你的邮件服务器能够挡住欺骗邮件。
编辑"sendmail.cf"文件(vi/etc/sendmail.cf)并更改下面一行:
OPrivacyOptions=authwarnings
改为:
OPrivacyOptions=authwarnings,noexpn,novrfy
设置"noexpn"使sendmail禁止所有SMTP的"EXPN"命令,它也使sendmail拒绝所有SMTP的"VERB"命令。设置"novrfy"使sendmail禁止所有SMTP的"VRFY"命令。这种更改可以防止欺骗者使用"EXPN"和"VRFY"命令,而这些命令恰恰被那些不守规矩的人所滥用。
4、SMTP的问候信息
当sendmail接受一个SMTP连接的时候,它会向那台机器发送一个问候信息,这些信息作为本台主机的标识,而且它所做的第一件事就是告诉对方它已经预备好了。
编辑"sendmail.cf"文件(vi/etc/sendmail.cf)并更改下面一行:
OSmtpGreetingMessage=$jSendmail$v/$Z;$b
改为:
OSmtpGreetingMessage=$jSendmail$v/$Z;$bNOUCEC=xxL=xx
现在手工重起一下sendmail进程,使刚才所做的更改生效:
[root@deep]#/etc/rc.d/init.d/sendmailrestart
以上的更改将影响到Sendmail在接收一个连接时所显示的标志信息。你应该把"`C=xxL=xx"条目中的"xx"换成你所在的国家和地区代码。后面的更改其实不会影响任何东西。但这是"news.admin.net-abuse.email"新闻组的伙伴们推荐的合法做法。
5、限制可以审核邮件队列内容的人员
通常情况下,任何人都可以使用"mailq"命令来查看邮件队列的内容。为了限制可以审核邮件队列内容的人员,只需要在"/etc/sendmail.cf"文件中指定"restrictmailq"选项即可。在这种情况下,sendmail只答应与这个队列所在目录的组属主相同的用户可以查看它的内容。这将答应权限为0700的邮件队列目录被完全保护起来,而我们限定的合法用户仍然可以看到它的内容。
编辑"sendmail.cf"文件(vi/etc/sendmail.cf)并更改下面一行:
OPrivacyOptions=authwarnings,noexpn,novrfy
改为:
OPrivacyOptions=authwarnings,noexpn,novrfy,restrictmailq
现在我们更改邮件队列目录的权限使它被完全保护起来:
[root@deep]#chmod0700/var/spool/mqueue
注重:我们已经在sendmail.cf中的"PrivacyOptions="行中添加了"noexpn"和"novrfy"选项,现在在这一行中我们接着添加"restrictmailq"选项。
任何一个没有特权的用户假如试图查看邮件队列的内容会收到下面的信息:
[user@deep]$/usr/bin/mailq
Youarenotpermittedtoseethequeue
6、限制处理邮件队列的权限为"root"
通常,任何人都可以使用"-q"开关来处理邮件队列,为限制只答应root处理邮件队列,需要在"/etc/sendmail.cf"文件中指定"restrictqrun"。
编辑"sendmail.cf"文件(vi/etc/sendmail.cf)并更改下面一行:
OPrivacyOptions=authwarnings,noexpn,novrfy,restrictmailq
改为:
OPrivacyOptions=authwarnings,noexpn,novrfy,restrictmailq,restrictqrun
任何一个没有特权的用户假如试图处理邮件队列的内容会收到下面的信息:
[user@deep]$/usr/sbin/sendmail-q
Youdonothavepermissiontoprocessthequeue
7、在重要的sendmail文件上设置不可更改位
可以通过使用"chattr"命令而使重要的Sendmail文件不会被擅自更改,可以提高系统的安全性。具有"+i"属性的文件不能被修改:它不能被删除和改名,不能创建到这个文件的链接,不能向这个文件写入数据。只有超级用户才能设置和清除这个属性。
为"sendmail.cf"文件设置不可更改位:
[root@deep]#chattr+i/etc/sendmail.cf
为"sendmail.cw"文件设置不可更改位:
[root@deep]#chattr+i/etc/sendmail.cw
为"sendmail.mc"文件设置不可更改位:
[root@deep]#chattr+i/etc/sendmail.mc
为"null.mc"文件设置不可更改位:
[root@deep]#chattr+i/etc/null.mc
为"aliases"文件设置不可更改位:
[root@deep]#chattr+i/etc/aliases
为"Access"文件设置不可更改位:
[root@deep]#chattr+i/etc/mail/access
8、Sendmail环境下的防止邮件relay
从8.9版本开始,缺省的是不答应邮件转发(mailrelay)的。最简单的答应邮件转发的方法是在文件/etc/mail/relay-domains中进行设置。该文件中列出的域名内的信件都答应通过本地服务器进行邮件转发。
为了更精确的设置,可以在sendmail.mc中添加如下几个参数答应被用来设置邮件转发:
·FEATURE(relay_hosts_only).通常情况下,在文件/etc/mail/relay-domains中列出的域名的主机都答应通过本地机转发,而该设置指示指定必须罗列出每个答应通过本机转发邮件的主机。
·FEATURE(relay_entire_domain).该参数指示答应所有本地域通过本机进行邮件转发。
·FEATURE(access_db).该参数指定利用哈希数据库/etc/mail/access来决定是否答应某个主机通过本地进行邮件转发。
·FEATURE(blacklist_recipients).若该参数被设置,则在决定是否答应某个主机转发邮件时同时察看邮件发送着地址和邮件接受者地址。
·FEATURE(rbl).答应基于maps.vix.com由黑名单(RealtimeBlackholeList)进行邮件拒绝,以防范垃圾邮件。
·FEATURE(accept_unqualified_senders).答应接受发送者地址不包括域名的邮件,例如user,而不是user@B.NET。
·FEATURE(accept_unresolvable_domains).通常来讲,sendmail拒绝接受发送者邮件地址指定的主机通过DNS不能解析的邮件,而该参数答应接收这种邮件。
·FEATURE(relay_based_on_MX).该参数答应转发邮件接受者地址的MX记录指向本地的的邮件,例如,本地接收到一个发送目的地址为user@b.com的邮件,而b.com域名的MX记录指向了本地机器,则本地机器就答应转发该邮件。
下面几个特性可能会有安全漏洞,一般当邮件服务器位于防火墙后时才应该使用,因为这些参数可能导致你的系统易于被垃圾邮件发送者利用。
·FEATURE(relay_local_from).该参数指定若消息自称源于本地域,则答应转发该邮件。
·FEATURE(promiscuous_relay).打开对所有的邮件的转发。
宏配置文件"sendmail.mc"设置成功以后,可以用下面的命令创建sendmail的配置文件:
[root@deep]#cd/var/tmp/sendmail-version/cf/cf/
[root@deep]#m4../m4/cf.m4/etc/sendmail.mc>/etc/sendmail.cf
注重:这里"../m4/cf.m4"告诉m4程序的缺省配置文件路径。
三、qmail安全
qmail有一个名为rcpthosts(该文件名源于RCPTTO命令)的配置文件,其决定了是否接受一个邮件。只有当一个RCPTTO命令中的接收者地址的域名存在于rcpthosts文件中时,才接受该邮件,否则就拒绝该邮件。若该文件不存在,则所有的邮件将被接受。当一个邮件服务器不管邮件接收者和邮件接收者是谁,而是对所有邮件进行转发(relay),则该邮件服务器就被称为开放转发(openrelay)的。当qmail服务器没有rcpthosts时,其是开放转发的。
设置自己服务器为非openrelay的最简单的办法就是将你的邮件服务器的所有域名(若DNS的MX记录指向该机器,也应该包括该域名。例如你的机器有三个域名mail.linxuaid.com.cn、mail1.linuxaid.com.cn,而且linuxaid.com.cn的MX指向mail.linuxaid.com.cn,则qmail的rcphosts的应该包括mail.linuxaid.com.cn、mail1.linuxaid.com.cn和linuxaid.com.cn)。
但是这将导致你的本地客户也被拒绝使用你的服务器转发邮件,而要支持客户使用MUA来发送邮件,必须答应客户使用服务器转发邮件。qmail-smtpd支持一种有选择性的忽略rcpthosts文件的方法:若qmail-smtpd的环境变量RELAYCLIENT被设置,则rcpthost文件将被忽略,relay将被答应。但是如何识别一个邮件发送者是否是自己的客户呢?qmail并没有采用密码认证的方法,而是判定发送邮件者的源IP地址,若该IP地址属于本地网络,则认为该发送者为自己的客户。
这里就要使用ucspi-tcp软件包。在这里我们要使用该软件包的tcpserver程序。该程序的功能类似于inetd-监听进入的连接请求,为要启动的服务设置各种环境变量,然后启动指定的服务。
tcpserver的配置文件是/etc/tcp.smtp,该文件定义了是否对某个网络设置RELAYCLIENT环境变量。例如,本地网络是地址为192.168.10.0/24的C类地址,则tcp.smtp的内容应该设置如下:
127.0.0.1:allow,RELAYCLIENT=""
192.168.10.:allow,RELAYCLIENT=""
:allow
这几个规则的含义是指若连接来自127.0.0.1和192.168.10则答应,并且为其设置环境变量RELAYCLIENT,否则答应其他连接,但是不设置RELAYCLIENT环境变量。这样当从其他地方到本地的25号连接将会被答应,但是由于没有被设置环境变量,所以其连接将会被qmail-smptd所拒绝。
但是tcopserver并不直接使用/etc/tcp.smtp文件,而是需要先将该文件转化为cbd文件:
[lix@mail/etc]$#tcprulestcp.smtp.cdbtcp.smtp.temp<tcp.smtp
然后再回头看在/service/qmail-smtpd目录下的run文件中有
/usr/local/bin/tcpserver-v-p-x/etc/tcp.smtp.cdb
可以看到,tcpserver利用了/etc/smtp.cbd文件。若本地有多个网络,则需要这些网络都出现在/etc/tcp.smtp文件中。
这样就实现了答应本地客户relay邮件,而防止relay被滥用。