架设Linux邮件服务器安全策略的实现.docx

架设Linux邮件服务器安全策略的实现一弓I言1.邮件服务器安全的简介2（一）邮件服务器安全的原理2（二）邮件服务器安全的类型2.搭建DNS服务器3（-）DNS的系统构成3C-）实验环境4（）搭建DNS服务器4四.搭建Sendmail邮件服务器11（一）Sendma 7 / 简介11（二）Sendmai /邮件服务器的优缺点11（）搭建Sendma / /邮件服务器12（四）测试邮件的发送15六 .DNS的负载均衡19（-）基于DNS的负载均衡19C-）用客户机测试DNS服务器19（）测试DNS的负载均衡20七 .Sendmail邮件服务器安全策略的实现21（一） 关闭 Sendma i I 的 Re lay 功能21（）在Sendmail中实时黑名单过滤22（）配置ACCeSS文件错误!未定义书签。（四）设置SMTP认证23（五）使用SpamAssass in工具来防止垃圾邮件.26（六）Sendmail服务器防范DoS攻击措施28（七）为电子邮件账户设置别名30八 .结束语31参考文献32致谢32架设Iinux邮件服务器安全策略的实现莫佳佳王杰（浙江商业职业技术学院信息技术学院，网络013班）内容摘要本文基于LinUX操作系统架设Sendmail邮件服务器，在SendmaiI服务器中实现 黑名单过滤，设置SMTP认证，使用SPamASSaSSin工具来防止垃圾邮件，通过架设邮件服 务器并配置邮件服务器的策略，实现用户收发邮件与提高邮件服务器的安全与可靠性。并利 用DNS轮询在两台邮件服务器之间实现负载均衡。关键词黑名单过滤：SMTP认证；防垃圾邮件；DNS轮询引言随着计算机网络的迅速进展，Linux作为一个现代化的操作系统，正在各个方面得到广泛 的应用。电子邮件服务是一种重要的网络服务，如今已经是现代通信方式中不可缺少的一种， 继而已经成为当今人们生活中不可或者缺的重要部分。而随着其应用的广泛与地位的提高， 邮件服务器也备受关注。人们要求邮件服务器可用性更强，更加快速，更加安全与使用方便。 邮件服务器提供了邮件系统的基本结构，包含邮件传输、邮件分发、邮件存储等功能，以确 保邮件能够发送到Internet网络中的任意地方。针对此情况基于邮件服务器来实现SMTP用户认证、黑名单过滤、关闭ReIay功能等垃圾 邮件的防范策略，来提高邮件服务器的安全性与可靠性。还要利用DNS服务器来实现最基本 的域名解析与轮询功能。我们通过对邮件服务器的安全策略与DNS的域名解析、轮询功能来改善Linux邮件服务 器安全策略问题，提高了邮件服务器的安全性与可靠性，为用户提供更好更快的访问速度。本文共分六个部分。第一部分：引言。简述选题的背景与意义及研究目标与内容。第二部分：企业需求分析。简述公司的背景与需求及其目标。第三部分：邮件服务器安全的简介。介绍了邮件服务器安全的作用与邮件服务器安全的类 型。第四部分：DNS服务器的搭建。介绍了负载均衡技术的实现及步骤，如配置NAT负载均衡， 叙述了 NAT负载均衡技术的优缺点。第五部分：Sendmail邮件服务器的搭建。介绍了 Sendmail邮件服务器、优缺点及实现步 骤。第六部分：Sendmail邮件服务系统安全策略的实现。第七部分：结束语。叙述了使用LinUX系统与Sendmail邮件系统的优缺点与通过本次课 题设计的一些小结。二.邮件服务器安全的简介邮件服务器构成了电子邮件系统的核心。每个收信人都有一个位于某个邮件服务器上的 邮箱。接收者的邮箱用于管理与保护已经发送给他的邮件消息。一个邮件消息的典型旅程是 从发信人的用户代理开始，游经发信人的邮件服务器，中转到收信人的邮件服务器，然后投 递到收信人的邮箱中。当接收者想查看自己的邮箱中的邮件消息时，存放该邮箱的邮件服务 器将以他提供的用户名与口令认证他。发送者的邮件服务器还得处理接收者的邮件服务器出 故障的情况。假如发送者的邮件服务器无法把邮件消息立即递送到接收者的邮件服务器中， 发送者的服务器就把它们存放在消息队列中，以后再尝试递送。这种尝试通常每30分钟左右 执行一次:要是过了若干天仍未尝试成功，该服务器就把这个消息从消息队列中去除掉，同时 以另一个邮件消息通知发信人。（-）邮件服务器安全的原理邮件服务器的工作过程是靠计算机技术与通信技术来完成的。发信者注明收件人的姓名 与地址（即邮件地址），发送方服务器把邮件传到收件方服务器，收件方服务器再把邮件发到 收件人的邮箱中。邮件服务器安全就是为电子邮件账户设置别名，使用专用工具防止垃圾邮件，设置SMTP 认证，实时黑名单过滤。（二）邮件服务器安全的类型L邮件的隐私性电子邮件是通过网络介质来传播的，当你在Internet上发送邮件的时候，它是通过明文 封装来传输的，很容易受到来自网络上的监听。攻击者只要使用简单的监测软件（如超级网 管）就能截获网络上传输的数据包，获得邮件的内容，这使我们的隐私受到了威胁。2 .邮件的真实性电子邮件在发送过程中假如被人截取到了，那就意味着你的电子邮件真实性的问题，会 不可能是被人改了再发送过来的，而且攻击者这样做往往是有目的的，这样有的时候候会给 双方造成很大的误会与缺失。3 .邮件的认证性既然黑客能够截取并修改我们的电子邮件，那么，他会不可能把发信人的名字改成别人 的名字呢，比如：A发给B 一封信，C是黑客，他想让B不明白这封信是A发的，就改了发信 人的名字为D,当B接到信的时候，往往就会认为这封信是D发给他的。这个例子也说明了， 邮件假如没有身份认证有可能会产生张冠李戴的情况，这样有的时候也会造成重大缺失。4 .邮件的安全性所有邮件都是通过邮件服务器来转发的，因此，邮件服务器的安全问题变得严峻起来， 黑客的攻击、病毒的感染、发件人的群发，乱发（垃圾邮件）等等问题都要求邮件服务器必 需要有一个安全稳固的运行环境。随着网络技术的快速进展，这些问题都上升为邮件系统的 核心技术问题。.搭建DNS服务器（-）DNS的系统构成DNS服务器在互联网的作用是：把域名转换成为网络能够识别的IP地址。首先，要明白 互联网的网站都是一台一台服务器的形式存在的，但是我们怎么去到要访问的网站服务器 呢？这就需要给每台服务器分配IP地址，互联网上的网站无穷多，我们不可能记住每个网站 的IP地址，这就产生了方便经历的域名管理系统DNS,他能够把我们输入的好记的域名转换 为要访问的服务器的IP地址。简单的说，就是为了方便我们浏览互联网上的网站而不用去刻 意记住每个主机的IP地址，DNS服务器就应运而生，提供将域名解析为IP的服务，从而使我 们上网的时候能够用简短而好记的域名来访问互联网上的静态IP的主机。能够将DNS服务器分为3个部分：1 .域名空间。这是标识一组主机并提供他们的有关信息的树结构的全面说明。树上的没 一个节点都有其操纵下的主机的有关信息的数据库。查询命令试图从这个数据库中提取适当 的信息。这些是域名、IP地址、邮件别名等在DNS系统中能找到的内容。2 .域名服务器。他们是保持与保护域名空间中数据的程序。由于域名服务是分布式的， 每一个域名服务器含有一个域名空间自己的完整信息，并储存其他有关部分的信息。一个域 名服务器拥有其操纵范围内的完整信息。其操纵范围成为区（Zone）,关于本区内的请求由负 责本区的域名服务器解释；关于不一致区的请求将由本区的域名服务器与负载替他区的相应 服务器联系。3 .解析器。解析器是简单的程序或者子程序库，它从服务器中提取信息以响应对域名空 间中主机的查询，用于DNS客户。（二）实验环境LINUX 系统版本：RedHat 9.0DNSserver IP 192. 168. 1. 10Mailserverl IP 192. 168. 1. 7Mailserver2 IP 192. 168. 1.8Windows Xp IP 192. 168. 1. 99DNSSerVer作为域名解析服务器启动轮询功能为两台邮件服务器提供负载平衡。Mailserverl与MaiISerVer2作为邮件服务器为用户提供收发邮件。Windows Xp作为测试工作站。（三）搭建DNS服务器（1）配置静态IP地址#Vi etcsysconfignetwork-scrIPtsifcfg-ethO,如图 3T 所示：/device 设备名称；/Zbootproto=Static 静态；/IPaddr 网卡的 IP；/netmask网卡的掩码；“gateway网关；OnboOt启动引导时是否激活。rootNSSerVer naned# v i /e tc/sysconf ine tvork-scr ipts i fcf-e thDEVlCE=ethOBOOTPR0OstaticIPACoR=I92.168.1.10NETNASK=255,255.255.0TYPE=Etherne tGTEWY=192.168.1.1NoDr=ye s图3T配置静态IP地址（2）重启network服务#SerViCe network restart 如图 3-2 所示：roo t®NSserver nanrdff serv ice ne tork res tar t定让¾让让 C tA CA OA 确确确确确正在关闭接口 ethO：关闭环回接口：设置网络参数：弹出环回接口：弹出界面ethO：图 3-2 重启 network（3）检查BIND域名服务器检查系统中是否安装了 BlND域名服务器，如图3-3所示：rootserver nanvd# rpm -q bind lbind-9.2.1-16图3-3检查BlND域名服务器（4）配置正向解析，即域名转换为IP的过程Dttvi /etc/named, conf如图3-4所示，添加正向解析区域。/ yxedu. cnff定义了区域名称。/ type类型有三种，它们分别是master, slave与hint它们的含义分别是：InaSter :表示定义的是主域名服务器。slave :表示定义的是辅助域名服务器。hint:表示是互联网中根域名服务器。/ wang. cn. zonew定义了实现正向解析的区域文件名。root®NSserver nanvd# v i /e tcnatd .confzone * IN type bster;f i Ie ang .cn. zone*;a I IOW-UPda te none; ;）：图3-4添加正向解析区域2）进入varnamed把 IoCalhOSt. zone 复制到 yxedu. cn. zone 里,如图 3-5 所示：把localhost. zone这个模板复制到yxedu. cn. zone这个区域文件中，方便下一步编辑 这个区域文件。root<<NSserver narrcd# Cd ZvarZnarredroot¢hserver narrcd# CD Ioca Ihos t. zone an.cn. zone图 35 生成 yxedu. cn. zone 区域3)编辑 yxedu. cn. zone#Vi yxedu. cn. zone 如图 3-6 所示: