说明:Postfix的SMTP认证需要透过Cyrus-SASL,连接到authdaemon获取认证信息;
本节后面将讲解Postfix自带的限制、过滤功能。
一、安装配置Cyrus-SASL
1、系统已默认安装Cyrus-SASL:
[root@mail ~]# rpm -aq|grep cyrus-sasl
cyrus-sasl-gssapi-2.1.23-13.el6_3.1.x86_64
cyrus-sasl-plain-2.1.23-13.el6_3.1.x86_64
cyrus-sasl-lib-2.1.23-13.el6_3.1.x86_64
cyrus-sasl-2.1.23-13.el6_3.1.x86_64
cyrus-sasl-md5-2.1.23-13.el6_3.1.x86_64
2、配置cyrus-sasl
[root@mail ~]# vi /etc/sasl2/smtpd.conf
#pwcheck_method: saslauthd
#mech_list: plain login
pwcheck_method: authdaemond
log_level: 3
mech_list: PLAIN LOGIN
authdaemond_path:/usr/local/var/spool/authdaemon/socket
[root@mail ~]# chmod 755 /usr/local/var/spool/authdaemon
说明:有的系统authdaemond路径为/var/spool/authdaemon/socket。
3、配置postfix
[root@mail ~]# vi /etc/postfix/main.cf
# SMTP 收件方限制
smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_non_fqdn_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unauth_destination,
reject_unauth_pipelining,
reject_invalid_hostname
# SMTP 发件方限制
smtpd_sender_restrictions =
permit_mynetworks,
reject_sender_login_mismatch,
reject_authenticated_sender_login_mismatch,
reject_unauthenticated_sender_login_mismatch
# SMTP 用户登陆限制
smtpd_sender_login_maps =
mysql:/etc/postfix/mysql_virtual_sender_maps.cf,
mysql:/etc/postfix/mysql_virtual_alias_maps.cf
# SMTP 认证配置
broken_sasl_auth_clients = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous
[root@mail ~]# service postfix restart
说明:以上限制方式是postfix自带的一种访问限制方式,下文会详细说明。
4、测试SMTP认证
使用MIME::Base64将邮箱账号和密码进行Base64编码:
[root@mail ~]# perl -e ‘use MIME::Base64; print encode_base64(“postmaster\@yourmail.com”)’
cG9zdG1hc3RlckB5b3VybWFpbC5jb20=
[root@mail ~]# perl -e ‘use MIME::Base64; print encode_base64(“extmail”)’
ZXh0bWFpbA==
本地测试需要安装telnet工具:
[root@mail ~]# yum install -y telnet
[root@mail ~]# telnet localhost 25
Trying ::1…
Connected to localhost.
Escape character is ‘^]’.
220 mail.eplantstore.com ESMTP Postfix – by eplantstore.com
ehlo localhost #输入hello内容
250-mail.eplantstore.com
250-PIPELINING
250-SIZE 10485760
250-VRFY
250-ETRN
250-AUTH PLAIN LOGIN #显示认证登陆表示Postfix成功
250-AUTH=PLAIN LOGIN #调用Cyrus-SASL进行SMTP认证
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
auth login #输入认证登陆命令
334 VXNlcm5hbWU6
cG9zdG1hc3RlckB5b3VybWFpbC5jb20= #输入账号的Base64编码
334 UGFzc3dvcmQ6
ZXh0bWFpbA== #输入密码的Base64编码
235 2.7.0 Authentication successful #显示认证成功
quit
221 2.0.0 Bye
Connection closed by foreign host.
结论:以上信息表示postfix成功使用并通过SMTP认证(cyrus-sasl)
二、Postfix本身的邮件过滤
1、访问表
(1)访问表类型
check_client_access maptype:mapname
检查主机名和从属网域
192.168.1.100
10.188
check_helo_access maptype:mapname
检查HELO命令中显示的主机名
check_recipient_access maptype:mapname
检查收件地址
user@example.com
example.com
user@
check_sender_access maptype:mapname
检查发件地址
user@example.com
example.com
user@
(2)处理动作
OK
通过
REJECT
拒绝
REJECT message-text
messsage-text用来设置一条消息;
消息会连同拒收邮件一起发给客户端,并记录在log中(下同)
DUNNO
暂停检查
HOLD message-text
保留在队列中
DISCARD message-text
postfix丢弃邮件,但让客户端误以为发送成功
4.xx message-text
返回指定的拒绝码与信息给客户端,暂时拒收
5.xx message-text
返回指定的拒绝码与信息给客户端,彻底拒收
(3)使用举例
设置访问表限制:
[root@mail ~]# vi /etc/postfix/main.cf
smtpd_client_restrictions = check_client_access hash:/etc/postfix/client_access
smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/sender_access
smtpd_recipient_restrictions = check_recipient_access hash:/etc/postfix/recipient_access
创建访问表
[root@mail ~]# vi /etc/postfix/client_access
10.188 REJECT
192.168.1.100 REJECT
[root@mail ~]# vi /etc/postfix/sender_access
user@example.com
marketing@
abc.example.com
转化为数据库格式 (只要修改了访问表都要进行转化)
[root@mail ~]# postmap /etc/postfix/client_access
[root@mail ~]# postmap /etc/postfix/sender_access
2、内置限制条件
permit_auth_destination
放行mydestination\inet_interfaces\virtual_alias_maps\virtual_mailbox_maps\relay_domain
设置的范围,不符合时返回DUNNO
permit_mynetworks
放行客户端IP位于mynetworks设置的范围
reject_unauth_destination
和第一条相反,拒绝以上所设范围
reject_invalid_hostname
HELO命令中的主机名称无效时返回501
reject_non_fqdn_hostname
HELO命令中的主机名称不是FQDN形式则返回504
reject_non_fqdn_recipient
收件地址不是FQDN则返回504
reject_non_fqdn_sender
发件地址不是FQDN则返回504
reject_unauth_pipelining
拒绝不守规定的流水线操作
reject_unknown_client
DNS查不出客户端IP的PTR记录时拒绝
reject_unknown_hostname
HELO命令中的主机名称没有A和MX记录时拒绝
reject_unknown_recipient_domain
收件人地址的网域部分查不出有效的A或MX记录时拒绝
reject_unknown_sender_domain
发件人地址的网域部分查不出有效的A或MX记录时拒绝
3、RBL实时黑名单
reject_rbl_client rblprovider.domain
客户端IP地址黑名单库
reject_rhsbl_client rblprovider.domain
客户端主机名称黑名单库
reject_rhsbl_sender rblprovider.domain
发件人黑名单库
4、内容过滤
(1)类型
header_checks = /etc/postfix/header_checks
检查标题
body_checks = /etc/postfix/body_checks
检查正文
nested_header_checks
检查附件标题
mime_header checks
检查标题的MIME字段
(2)动作
REJECT message-text
拒收
WARN message-text
不拒绝,记录message到log,可用于测试
IGNORE
删除符合模式的内容
HOLD message-text
保留到队列中
DISCARD message-text
偷偷丢弃邮件
(3)样例
运用header_checks进行简单的病毒过滤
/name ?=”?.*\.(bat|scr|com|dll|exe|hta|pif|vbs)”?/ REJECT
1.
运用body_checks进行内容过滤
/increase your sales by / REJECT
/in compliance (with|of) strict/ REJECT
/lowest rates.*!/ REJECT
/[:alpha:]<!–.*–>[:alpha:]/ REJECT
第三个模式挑出任何含有lowest rates字样且其后跟着任何文字和!的字符串
最后一个模式检查是否有HTML注释嵌在字句中间
最好是使用外部内容过滤器spamassassin或DSPAM
上图是SMTP对话过程以及各阶段对应的限制条件。
———————————–
©著作权归作者所有:来自51CTO博客作者月晴星飞的原创作品,请联系作者获取转载授权,否则将追究法律责任
Postfix邮箱(四):安装Cyrus-SASL使Postfix支持SMTP认证
https://blog.51cto.com/ywzhou/1590342