浅析邮件服务器安全解决方案

安庆职业技术学院2010届毕业生毕业论文（设计）1-------------前言--------------随着计算机技术的迅速发展，邮件网络信息的安全问题的解决十分的重要。邮件服务器关系着人们信息交流的隐私安全。目前互连网上的邮件服务器所受攻击有两类：一类就是中继利用(Relay)，即远程机器通过你的服务器来发信，这样任何人都可以利用你的服务器向任何地址发邮件，久而久之，你的机器不仅成为发送垃圾邮件的帮凶，也会使你的网络国际流量激增，同时将可能被网上的很多邮件服务器所拒绝。另一类攻击称为垃圾邮件(Spam)，即人们常说的邮件炸弹，是指在很短时间内服务器可能接收大量无用的邮件，从而使邮件服务器不堪负载而出现瘫痪。这两种攻击都可能使邮件服务器无法正常工作。因此作为一个邮件服务器防止邮件攻击将不可缺少。所以如何保证邮件服务器的安全解决方案是当前的关键。Internet是一个开放系统，透明度极高，既不安全，又不可信，使邮件服务器存在许多安全问题。如何保证数据传输的安全性和收发邮件人身份的真实性就成为推广解决的关键问题。邮件服务器的解决方案主要通过了解其性能、安全配置技巧、自身安全功能机等方面。采取一种预防、阻止邮件服务器出现坏的信息，从而使邮件服务器有一个简单实用的解决方案。安庆职业技术学院2010届毕业生毕业论文（设计）1浅析邮件服务器安全解决方案【摘要】该文论述和分析了邮件服务器自身安全功能及其安全方面的解决方案。在安全解决方面,重点介绍了Sendmail软件。通过对邮件服务器性能和安全配置技巧的论述，了解邮件服务器的工作原理。对动态中继验证控制，采取更先进的Sendmail进行处理。总结出邮件服务器的主要性能和安全解决方案，既保证数据安全，又提高邮件服务器的信息传输能力。从而使邮件服务器能够公平、合理、安全的在互联网上运行。【关键词】邮件服务器；安全性；Sendmail软件；动态中继验证安庆职业技术学院2010届毕业生毕业论文（设计）1目录前言······································(1)摘要······································(2)一绪论····································(4)二邮件服务器的性能和安全配置技巧·······················(4)三安全解决方案································(5)3.1、邮件服务器的原理·····························(5)3.2、服务器自身安全功能····························(5)3.3、动态中继验证控制·····························(6)3.4、采用更先进的邮件服务器··························(7)四邮件服务器的防护······························(8)五全文总结··································(9)结束语·····································(9)参考文献····································(9)安庆职业技术学院2010届毕业生毕业论文（设计）1一绪论近年来，邮件服务器的广泛应用使其迅速发展。人们通过网络、服务器进行传输和交流信息，越来越离不开它。通过网络来实现邮件的发送接收，互联网上的邮件服务器的交流是否安全可靠，怎样安全解决一些问题的方案。由于邮件服务器构成了电子邮件系统的核心。每个收信人都有一个位于某个邮件服务器上的邮箱(mailbox)。Bob的邮箱用于管理和维护已经发送给他的邮件消息。所以我们不得不谈邮件服务器的安全和解决方案。Sendmail作为免费的邮件服务器软件，已被广泛应用于Internet各种操作系统的服务器中。用其阻止邮件攻击，修改程序文件。根据客户需求，协同工作平台的功能(企业移动办公技术、集成其他数据库、搜索引擎技术)，建议配置方案，目前对于sendmail邮件服务器，阻止邮件攻击的方法有两种。一种是升级高版本的服务器软件，利用软件自身的安全功能。第二种就是采用第三方软件利用其诸如动态中继验证控制功能来实现。二邮件服务器的性能和安全配置技巧邮件服务器的主要性能参数应当包括：SMTP发信效率、POP3收信效率、Web邮件方式下的收发邮件效率、邮件服务器消息转发效率等等,以下是影响邮件服务器整体性能的几个主要因素。1、服务器配置水平的影响。邮件服务器软件的配置水平是影响邮件服务器性能的主要因素之一，包括处理器性能、内存容量、SCSI或IDE的传输速率和磁盘读写速度、网络适配器最大吞吐量等等，因此需要服务器的配置处在一个较高的水平。当然，如果采用动态负载均衡技术，那么就可以随意扩展邮件服务器的硬件配置，满足不断变化的业务需要。2、网络带宽的影响。网络的带宽决定了网络通信的水平。在宽带时代到来的同时，也解决了邮件服务器的带宽问题，对于网络负载较大的用户还是需要寄希望于电信服务商的支持。3、操作系统的影响。目前较为流行的操作系统是UNIX、Linux和Windows系统，这些系统各有千秋，不同操作系统在处理机制上的不同往往有可能造成邮件服务器系统性能的差异。4、邮件设计技术的影响。是使用LDAP协议还是数据库方式进行用户登录认证和管理，以及是否采用SSL/TLS进行加密处理，是否提供防病毒模块，病毒处理机制等等，都是影响服务器系统性能的主要因素。应该在保证产品功能、安全性、稳定性的基础上，找到邮件服务器性能的最佳点。5、用户配置水平的影响。由于大部分邮件服务器的各项参数是可以调整的，因此，对于用户操作人员也有较高的要求，用户配置的水平也是影响邮件服务器使用的重要因安庆职业技术学院2010届毕业生毕业论文（设计）2素。邮件服务器的安全配置，技巧很重要。有一个软件叫postfix，postfix的主要特点是快速、安全、易于管理，同时尽量保持与sendmail良好的兼容性。postfix同样采用模块化的设计，只需要一个真实用户来运行所有的模块。同时可以通过配置控制服务器的性能，有以下几点：（1）限制服务器使用的进程数目可以通过指定文件的下列参数来控制使用的并发进程总量。比如default_process_limit=100。这样服务器同时允许100个并发进程(例如smtp客户端、smtp服务器端和本地分发)。如果希望增加同时接受1000条信息，可以修改／etc／postfix／master.cf文件，使smtp服务的最大进程达到1000（2）控制最大邮件尺寸可以修改／etc／postfix／main.cf如下参数控制邮件尺寸：message_size—limit=1073741824这样，服务器可以处理最大邮件尺寸是1073741824字节(10兆)。（3）控制队列中的消息数量要控制服务器处理的队列中消息数量，可以在／etc／postfix／main．cf使用下面参数：qmgr_message_active_limit=100。控制同时发送一个远程服务器的邮件数量，同时向远程服务器发送太多smtp连接是不合理的，也是危险的(可能会被认为是发送垃圾邮件)。（4）控制整个队列状态如果服务器处理的邮件数量太多，会使队列空间耗尽，可以在／postfix／main．cf增加下面参数：queue_minfree=1048576这里当队列目录(即队列目录所在的磁盘分区)的大小达到1048576字节(1兆)时，服务器会拒绝邮件服务.（5）控制服务器处理邮件的频率。控制服务器处理邮件的频率，可以在／etc／postfix／main．cf使用下面参数:queue_run_delay=600这样邮件服务器每600秒(10分钟)处理一次邮件。（6）隐藏邮件服务器ip地址。如果网络中有专门发送邮件的中央邮件服务器，为许多主机提供访问，那么必须隐藏邮件地址的主机名部分。三安全解决方案安庆职业技术学院2010届毕业生毕业论文（设计）3Sendmail作为免费的邮件服务器软件，广泛应用于Internet各种操作系统的服务器中。3.1邮件服务器的原理邮件服务器构成了电子邮件系统的核心。每个收信人都有一个位于某个邮件服务器上的邮箱(mailbox)。一个邮件消息的典型旅程是从发信人的用户代理开始，游经发信人的邮件服务器，中转到收信人的邮件服务器，然后投递到收信人的邮箱中。简单邮件传送协议(SMTP)是因特网电子邮件系统首要的应用层协议。它使用由TCP提供的可靠的数据传输服务把邮件消息从发信人的邮件服务器传送到收信人的邮件服务器。跟大多数应用层协议一样，SMTP也存在两个端:在发信人的邮件服务器上执行的客户端和在收信人的邮件服务器上执行的服务器端。SMlP的客户端和服务器端同时运行在每个邮件服务器上。当一个邮件服务器在向其他邮件服务器发送邮件消息时，它是作为SMTP客户在运行。当一个邮件服务器从其他邮件服务器接收邮件消息时，它是作为SMTP服务器在运行。3.2服务器自身安全功能(1)编译sendmail时的安全考虑要利用sendmail8.9.3的阻止邮件攻击功能，就必须在系统编译时对相关参数进行设置，并借助相关的软件包。目前主要就是利用BerkeleyDB数据库的功能，BerkeleyDB包可以从相关站点上下载，并需要预先编译好。然后将BerkeleyDB的相关参数写进sendmail的有关文件中。(2)相关文件的配置正确编译好sendmail是邮件服务器安全控制的基础，而真正的安全设置主要还是利用相关文件进行的。这种包含控制语句的文件主要是access和relay-domains。access是邮件安全控制的主要数据库文件，在该文件中可以按照特定的格式将需控制的域名、IP地址或目标邮件地址，以及相应的动作值写入，然后使用makmap命令生成access.db文件(#makemaphashaccess.dbaccess)，从而使服务器允许或屏蔽邮件中继和邮件轰炸。(3)版本号的修改对于一台邮件服务器，可以通过远程的25端口telnet命令来获取服务器的版本信息。如：“telnetsendmail服务器主机25”就可以查看sendmail的当前版本。为了安庆职业技术学院2010届毕业生毕业论文（设计）4防止一些恶意的查看版本信息操作，sendmail提供了可以对显示的版本进行修改的操作。在sendmail.cf文件中有一句“SmtpGreetingMessage=$jsendmail$V/$Z;$b”的语句，其中$V/$Z就是版本信息，正常情况下由该参数显示的版本信息为sendmail本身的版本。如果要设定成管理员给定的版本信息，只需将该参数改掉，然后加入你所希望的信息即可。例如：当把这句改成“SmtpGreetingMessage=$jsendmail0.0/0.0;$b”，重启sendmail服务，则sendmail的版本就会变成“sendmail0.0”。从而达到隐蔽版本信息的目的。3.3动态中继验证控制DRAC(DynamicRelayAuthorizationControl)动态中继验证控制是专门为邮件服务器设计的一个服务器端软件()，它可以安装在一台SMTP服务器上，并同时为多个邮件服务器提供动态中继验证服务。DRAC主要通过自动获取和动态更新中继验证数据库中的信息来允许合法pop3或IMAP用户使用邮件服务器，从而有效地控制邮件炸弹和非法的邮件中继。DRAC的原理就是利用pop3或imap服务器固有的功能来获取用户名、密码和客户机IP地址等信息，并将这些信息及时映象到验证数据库中，供smtp服务器调用，同时在经过一段时间以后(缺省为30分种)，其验证信息将自动失效，需要用户重新输入验证信息。这样不仅