Linux(Redhat)下配置sendmail和smtp

Linux(Redhat)下配置sendmail和smtp

一: 本文目的
利用RedHat 7.1中的默認配置方便地設置一台利用SASL庫進行用戶名和密碼認證的SMTP伺服器，以允許外面的用戶以用戶名和密碼認證來relay郵件。
二: 網路系統

公司域名 : domain.com
用來認證的SMTP伺服器全稱域名: smtp.domain.com
三: 為什麼要這樣用?
假設上面的公司有專線接入Internet， 且在其它城市有多個分支機構，公司有統一的域名domain.com，
所有員工的郵件地址類似如staffname@domain.com。但是分支機構大多數沒有專線接入，用ISDN或者普通撥號方式入網，並且越來越多的ISP不允許以非ISP的郵件地址域名後綴發送郵件，即使你是他們的撥號用戶。
還有一種情況是移動用戶，經常地，公司派遣用戶在外出差旅行期間，用戶需要發送郵件，則也同樣需要一種認證方案去允許正確的用戶relay郵件。
現在我們考慮做公司自己內部的郵件relay系統。
就是設置一台SMTP伺服器在防火牆之外，安裝Redhat 7.1，選擇『伺服器系統』方式安裝所有需要的包，然後設置Sendmail，配置一台基於SASL的用戶名和密碼認證的郵件伺服器，以relay自己公司的員工的郵件。
四: 配置Sendmail
1. 選擇『伺服器系統』安裝Redhat 7.1
2. 進入目錄 /usr/share/sendmail-cf/cf 。
如果你沒有該目錄，說明你還沒有安裝sendmail-cf-8.11.2-14 RPM包，從你的安裝CD中安裝它。
3. 修改文件redhat.mc如下
divert(-1)
dnl This is the sendmail macro config file. If you make changes to this file,
dnl you need the sendmail-cf rpm installed and then have to generate a
dnl new /etc/sendmail.cf by running the following command:
dnl
dnl m4 /etc/mail/sendmail.mc > /etc/sendmail.cf
dnl
include(`../m4/cf.m4')
VERSIONID(`linux setup for Red Hat Linux')dnl
OSTYPE(`linux')
define(`confDEF_USER_ID',``8:12'')dnl
undefine(`UUCP_RELAY')dnl
undefine(`BITNET_RELAY')dnl
define(`confAUTO_REBUILD')dnl
define(`confTO_CONNECT', `1m')dnl
define(`confTRY_NULL_MX_LIST',true)dnl
define(`confDONT_PROBE_INTERFACES',true)dnl
define(`PROCMAIL_MAILER_PATH',`/usr/bin/procmail')dnl
define(`ALIAS_FILE', `/etc/aliases')dnl
define(`STATUS_FILE', `/var/log/sendmail.st')dnl
define(`UUCP_MAILER_MAX', `2000000')dnl
define(`confUSERDB_SPEC', `/etc/mail/userdb.db')dnl
define(`confPRIVACY_FLAGS', `authwarnings,novrfy,noexpn,restrictqrun')dnl
define(`confAUTH_OPTIONS', `A')dnl
define(QUEUE_DIR,`/var/spool/mqueue/q*')
TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
define(`confAUTH_MECHANISMS', `DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
DAEMON_OPTIONS(`Port=25,Name=MTA')dnl
DAEMON_OPTIONS(`Port=587,Name=MSA,M=Ea')dnl
dnl define(`confTO_QUEUEWARN', `4h')dnl
dnl define(`confTO_QUEUERETURN', `5d')dnl
dnl define(`confQUEUE_LA', `12')dnl
dnl define(`confREFUSE_LA', `18')dnl
dnl FEATURE(delay_checks)dnl
FEATURE(`no_default_msa',`dnl')dnl
FEATURE(`smrsh',`/usr/sbin/smrsh')dnl
FEATURE(`mailertable',`hash -o /etc/mail/mailertable')dnl
FEATURE(`virtusertable',`hash -o /etc/mail/virtusertable')dnl
FEATURE(redirect)dnl
FEATURE(always_add_domain)dnl
FEATURE(use_cw_file)dnl
FEATURE(use_ct_file)dnl
FEATURE(local_procmail)dnl
FEATURE(`access_db')dnl
FEATURE(`blacklist_recipients')dnl
EXPOSED_USER(`root')dnl
dnl This changes sendmail to only listen on the loopback device 127.0.0.1
dnl and not on any other network devices. Comment this out if you want
dnl to accept email over the network.
dnl DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1, Name=MTA')
dnl We strongly recommend to comment this one out if you want to protect
dnl yourself from spam. However, the laptop and users on computers that do
dnl not have 24x7 DNS do need this.
dnl FEATURE(`accept_unresolvable_domains')dnl
dnl FEATURE(`relay_based_on_MX')dnl
MAILER(smtp)dnl
MAILER(procmail)dnl
其中，我加了下面的行：
1. define(QUEUE_DIR,`/var/spool/mqueue/q*')
2. TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
3. define(`confAUTH_MECHANISMS', `DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
4. DAEMON_OPTIONS(`Port=25,Name=MTA')dnl
5. DAEMON_OPTIONS(`Port=587,Name=MSA,M=Ea')dnl
註：
第1行我啟動了多個郵件隊列，希望得到更好的隊列處理和性能改進。
第2,3行 移走前面的註釋，打開相應的各種認證機制。
第4,5行 設置相應的MTA和MSA所在的埠號。
且註釋出了
1. dnl DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1, Name=MTA')
2. dnl FEATURE(`accept_unresolvable_domains')dnl
第1行 允許通過網路連接Sendmail。
第2行 禁止不可解析的域名relay郵件
最後運行
#m4 /etc/mail/sendmail.mc > /etc/sendmail.cf
寫到/etc/sendmail.cf文件中
既然我們打開了多個隊列，現在我們在/var/spool/mqueue/下創建任意多個隊列目錄如
#cd /var/spool/mqueue
#mkdir q1 q2 q3 q4 q5 q6
這樣Sendmail將會使用這六個目錄做為隊列目錄，增加了性能。
五: 設置SASL認證方案
1. 運行下面的命令，確保SASL被編譯進Sendmail.
#/usr/sbin/sendmail -d0.1 -bv root |grep SASL
輸出應該類似如下面:
NETUNIX NEWDB QUEUE SASL SCANF SMTP USERDB XDEBUG
確保你能看見上面的文本中的 SASL
2. 測試埠25，確保輸出AUTH提示行。
#telnet localhost 25
Trying 127.0.0.1...
Connected to smtp.domain.com.
Escape character is '^]'.
220 smtp.domain.com ESMTP Sendmail 8.11.2/8.11.2; Sun, 1 July 2001 17:56:54 -0800
EHLO localhost
250-smtp.domain.com Hello IDENT:root@smtp.domain.com [127.0.0.1], pleased to meet you
250-ENHANCEDSTATUSCODES
250-EXPN
250-VERB
250-8BITMIME
250-SIZE
250-DSN
250-ONEX
250-ETRN
250-XUSR
250-AUTH LOGIN PLAIN DIGEST-MD5 CRAM-MD5
250 HELP
quit
221 2.0.0 smtp.domain.com closing connection
Connection closed by foreign host.
你需要至少看見AUTH行中有LOGIN PLAIN在那裡，否則不能relay mail。
3. 增加SASL用戶且更改密碼
#/usr/sbin/saslpasswd jephe
Password: *******
Again (for verification): *******
#/usr/sbin/sasldblistusers
user: jephe realm: smtp.domain.com mech: DIGEST-MD5
user: jephe realm: smtp.domain.com mech: PLAIN
user: jephe realm: smtp.domain.com mech: CRAM-MD5
用戶的密碼DB文件在/etc/sasldb,用下面的命令確保正確的許可權設置。
特別注意: 在下面的windows的Outlook Express中設置用戶名和密碼時並不是簡單地使用用戶名jephe，而是用象「user@realm」的用戶名，在這裡是 jephe@smtp.domain.com作為用戶名。
#chmod 400 /etc/sasldb
可以用/usr/sbin/saslpasswd加更多的用戶，用/usr/sbin/sasldblistusers檢查用戶已經加入。
4. 更改默認的Redhat 7.1密碼認證方法
默認地，Redhat 7.1中的Sendmail用PAM方法檢查密碼，這意味著用戶必須是系統用戶，為了
增強安全性，我們改用/etc/sasldb中的用戶，改下面的文件中的pam為sasldb。
#vi /usr/lib/sasl/Sendmail.conf 更改pwcheck_method行象下面
pwcheck_method:sasldb
5. 最後，運行/etc/rc.d/init.d/sendmail restart重新啟動Sendmail。
六: 設置Windows的Outlook Express。
1. Outlook Express僅僅使用 PLAIN LOGIN 認證機制，確保上面的telnet localhost 25中的AUTH行
輸出PLAIN LOGIN即可。
2. 在『工具』-『帳號』-『屬性』-『伺服器『-
』發送郵件伺服器』中選中『我的伺服器需要認證』
然後在『登錄用戶帳號』上填上
「你的用戶名@你的realm冒號後面的伺服器全稱域名」
如：本文的情況是 jephe@smtp.domain.com
密碼為你在前面輸入的密碼。
注意: 用戶名絕不是簡單地 jephe，必須跟上realm:後面的域名。
3. 現在測試，發一封信給自己，檢查tail -f /var/log/maillog有無任何錯誤
然後在收到自己發出的信之後檢查郵件頭，你能發現被伺服器接收後有個(authenticated)在後面表示是通過允許的認證機制relay的郵件。
七: FAQ。
1. 如果你沒有命令saslpasswd,sasldblistusers在/usr/sbin/目錄下面。
答： 你需要安裝cyrus-sasl-1.5.24-17 RPM包。
2. 如果不想用SASL認證，就用默認的Redhat 的PAM方法。
答： 忽略上面的SASL設置的部分，默認地 Redhat 7.1的 /usr/lib/sasl/Sendmail.conf文件裡面為
pwcheck_method:pam
則你就簡單地用useradd增加一個系統用戶並更改密碼即可。
然後在Outlook Express中設置用戶名時則只用如「jephe」即可，不需要跟全稱域名。
驗證pop3
reahat 6.2 ----〉
1。/etc/inetd.conf
# pop3 stream tcp mowait
root /usr/sbin /tcpd/usr/sbin/in.popsd (#去掉）
2，存檔。/運行inetd
3y驗證：netstat -a |grep pop

輸出 ------tcp 0 0 * : pop3 *:* listen
ok了！
redhat 7.1以上:
1、vi etc/services
# pop3 110/tcp
# pop3 110/udp (去掉#）
ok了！

Tags: linux system 系統