文章导航绿软下载站软件下载安卓资源苹果资源专题

您当前所在位置:首页服务器MAIL服务器 → 安全技巧:设置Linux邮件服务器安全策略(二)

安全技巧:设置Linux邮件服务器安全策略(二)

时间:2015/6/28来源:IT猫扑网作者:网管联盟我要评论(0)

 (4)使用专用工具防止垃圾邮件

SpamAssassin的安装过程比较简单,这里就不赘述了。

其配置过程如下:

SpamAssassin预设了许多默认规则,可以在/usr/share/spamassassin下找到,用户想添加自己的规则,可以配置通过/etc/mail/spamassassin/local.cf文件实现。要在其中添加白名单(即可以确信不会发送垃圾邮件的发件人列表)。设置代码如下:

whitelist_from_rcvd  people@basic.com
whitelist_from_rcvd  @ people.com

以上两条规则将people@basic.com邮箱和@people.com整个域加入了白名单。

下面还要把SpamAssassin与Sendmail(此处以Sendmail为例,Qmail、Postfix略有不同)整合在一起。最简单的方法是使用procmail来调用SpamAssassin过滤器。procmail来调用SpamAssassin的过程如图2所示。

图2

添加以下内容到/etc/procmailrc文件:

:0fw 
| /usr/bin/spamassassin
:0
* X-Spam-Status: Yes
Spam

如果希望SpamAssassin不检查大邮件,可以对其做出限制,添加一行:

:0fw * < 1000000 | /usr/bin/spamassassin

这段代码表示把邮件检查的大小限制在1000K字节以内。SpamAssassin还提供了一个专门的spamd后台守护程序,可以设置为系统启动时自动启动。在Mail-SpamAssassin-3.-0.2/spamd/下有一个redhat-rc-script.sh脚本,将此脚本放入RedHat的启动目录/etc/rc.d/init.d/下即可。同时,还需要对/etc/procmailrc文件做如下修改:

:0fw
| /usr/bin/spamc -s 100000

这样就可以通过控制spamd进程来调整过滤器的运行状态。配置完成后,可以发邮件进行测试。如果看到在邮件头出现与spam检查相关的几项内容,表示SpamAssassin已经开始发挥作用。

除了设置内部的规则之外,SpamAssassin也可以访问其他外部的垃圾邮件过滤规则集,这样可以进一步增强其适用性。Chinese_rules.cf是用于垃圾邮件过滤系统SpamAssassin的中文垃圾邮件过滤规则集。由于以前没有中文的过滤规则集,SpamAssassin对中文邮件过滤的准确性不高。CCERT反垃圾邮件研究小组推出了第一个基于SpamAssassin的中文垃圾邮件过滤规则集Chinese_rules.cf。把Chinese_rules.cf复制到/usr/share/spamassassin配置文档中的命令为:

# wget -N -P /usr/share/spamassassin www.ccert.edu.cn/spam/sa/Chinese_rules.cf

要注意的是,CCERT每周更新一次规则集,更新使用CCERT反垃圾邮件服务在6个月内处理过的垃圾邮件为样本。经常更新Chinese_rules.cf会使过滤效果更好。

Linux有一个称为crond的守护程序,主要功能是周期性地检查/var/spool/cron目录下的一组命令文件的内容,并在设定的时间执行这些文件中的命令。用户可以通过crontab命令来建立、修改、删除这些命令文件。例如用crontab命令实现每周一08:35自动更新:

A.首先建立一个文件,文件名称myproject(名称可随意设定):

#crontab -e

B.文件内容为:

35 08 * * 1 wget -N -P /usr/share/spamassassin 
www.ccert.edu.cn/spam/sa/Chinese_rules.cf; /etc/init.d/init-script 
restart

用vi编辑后存盘退出。

C.使用crontab命令添加到任务列表中:

#crontab myproject

这样,Linux服务器便会在每星期一的8点35分会自动下载Chinese_rules.cf更新规则。

(5)Sendmail服务器防范DoS攻击措施

通过设置/etc/mail/Sendmail.mc的一些目录限度,DoS攻击的有效性就会大受限制。(可参考本刊8月刊《分类防范对Linux的DoS》)。另外可以考虑使用非root权限运行Sendmail服务,使用基于xinetd的SMTP服务即可。

缺省情况下Sendmail的守护进程作为set-UID用户进程来运行。如果Sendmail的守护进程被缓冲区溢出攻击的话,可能危及root账号的安全,而root用户的权限最高,攻击者可以摧毁整个服务器。因此需要降低Sendmail运行权限为普通用户。方法如下:

A.建立mail用户名称:

#useradd mail -s /bin/false

B.修改Sendmail使用的文件和目录的权限:

#chown root:mail /var/spool/mail;#chmod 1775 /var/spool/mail
#chown -R :mail /var/spool/mail/*;#chmod -R 660 /var/spool/mail/*
#chown mail:mail /usr/sbin/Sendmail;#chmod 6555 /usr/sbin/Sendmail
#chown mail /var/spool/mqueue/*;chown -R mail:mail /etc/mail
#chmod -R 664 /etc/mail

C.为Sendmail创建一个超级访问程序/etc/xine.d/Sendmail:

相关阅读

文章评论
发表评论

热门文章 用WebEasyMail架构Web邮件服务器用WebEasyMail架构Web邮件服务器安全技巧:设置Linux邮件服务器安全策略(二安全技巧:设置Linux邮件服务器安全策略(二安全技巧:设置Linux邮件服务器安全策略(一安全技巧:设置Linux邮件服务器安全策略(一巧妙配置Win2003自带mail服务器巧妙配置Win2003自带mail服务器

相关软件

人气排行 基于openldap邮件系统的完全ports安装Winwebmail终极安全设置FOR IDC,避免ASP/ASP.NET跨站攻击危险用WebEasyMail架构Web邮件服务器打造一个百毒不侵的Imail服务器安全技巧:设置Linux邮件服务器安全策略(一)邮件服务器变慢的原因用MDaemon搭建邮件服务器Linux邮件服务器常见错误报告汇总