邮件服务器的安全解决方案

2.动态中继验证控制

DRAC(Dynamic Relay Authorization Control)动态中继验证控制是专门为邮件服务器设计的一个服务器端软件(http://mail.cc.umanitoba.ca/drac/index.html)，它可以安装在一台SMTP服务器上，并同时为多个邮件服务器提供动态中继验证服务。DRAC主要通过自动获取和动态更新中继验证数据库中的信息来允许合法pop3或IMAP用户使用邮件服务器，从而有效地控制邮件炸弹和非法的邮件中继。DRAC的原理就是利用pop3或imap服务器固有的功能来获取用户名、密码和客户机IP地址等信息，并将这些信息及时映象到验证数据库中，供smtp服务器调用，同时在经过一段时间以后(缺省为30分种)，其验证信息将自动失效，需要用户重新输入验证信息。这样不仅可以保证合法的pop3或imap用户能够正常使用邮件服务器，也可以阻止任何非注册用户(包括本地)利用邮件服务器来发送邮件。这种邮件安全控制常常被称为：“邮件服务之前的pop验证”(POP-before-SMTP)。

(1)DRAC的编译

在编译DRAC之前，系统的sendmail服务器应该已经正确编译安装了。首先在DRAC源程序目录中编辑Makefile文件，在Solaris 2.x操作系统中其Makefile改成：

INSTALL=/usr/ucb/install

EBIN=/usr/local/sbin

MAN=/usr/local/man/man

DEFS=-DTI_RPC -DFCNTL_LOCK -DSYSINFO

CC= (编译器)

RANLIB= :

CFLAGS=$(DFES) -g -I/path/to/db/include

LDLIBS=-L/path/to/db/library -lns1 -1db

TSTLIBS=-L. -ldrac -lns1

MANLIB=3

MANADM=1m

然后编译并安装即可。

如果存在多个pop/IMAP服务器，则还需要将这些服务器的IP地址加到文件/etc/mail/dracd.allow中，其文件书写格式与/var/yp/securenets文件格式一样。如：

255.255.255.255 202.139.244.23

255.255.255.255 127.0.0.1

(2)修改sendmail.mc文件重新生成sendmail.cf

在使用DRAC验证功能之前，还需要将DRAC的验证信息加到sendmail.cf文件中。首先要修改sendmail.mc文件，然后重新生成sendmail.cf。sendmail.mc文件中相关语句修改如下：

在LOCAL_CONFIG行下增加

kdrac btree /etc/mail/dracd

在LOCAL_RULESETS下增加

Slocal_check_rcpt

R$* $: $&{client_addr}

R$+ $: $(drac $1 $: ? $)

R? $@ ?

R$+ $@ $#OK

重新生成sendmail.cf文件后，再重启sendmail进程。