校园网上大多数邮件服务器都是UNIX系统,包括Solaris, HPUX, AIX, IRIX,Linux等等,其中最通用的配置是运行sendmail和popper服务软件。Sendmail是SMTP服务器,专门负责接收和发送邮件;而popper是通过POP3协议来专门负责用户读取和处理邮件的请求。目前邮件服务器所受的攻击主要有下面两类: / L" G; T: ]( ^' {$ C% v5 Q! z
9 C! h* p1 t/ J
1.中继利用(Relaying)。比如国外的用户通过你的邮件服务器给不属于你本地的用户发邮件,这样, 他的国际流量都记载在你的邮件服务器上。在SendmailV8.8之前的版本都不能防止这一类攻击。 - m( Z8 ?+ ]" x9 f5 X
5 B# e, b" \4 q0 i2.垃圾邮件(Spamming),也叫邮件炸弹。这种情形是指邮件服务器或某个用户在很短的时间内收到大量无用的邮件,而且通常是从某一虚设的地址发来的。 6 [% y [- i. t7 {
3 g( e# N/ L! X2 _: S$ @这两类的攻击都是通过sendmail进行的。那么, 如何来防卫这两类的攻击呢? 最直接的方法就是安装 SendmailV8.8以上版本,因为在V8.8以上版本的Sendmail中已经提供了很好的功能来对付这些邮件攻击,Sendmail V8.8.x之前的版本都没有提供一定的机制来对付这种攻击。。下面我们就说明SendmailV8.9.3中是如何实现这些机制的。 8 U9 c; C' y" Z# c( P- |
& l( U4 ^! U7 _6 K& K
1.Sendmail如何防止邮件攻击 0 d) G7 L. }: f$ \4 e5 _
' Z+ i! w$ z. B; k1 O$ a, l8 A/ n3 c
我们知道,sendmail8.9.x的缺省配置是不允许邮件中继的。但通常我们不应屏蔽所有的邮件中继,至少本地子网中的IP地址是许可中继的。Sendmail提供了一些配置文件是我们可以根据自己的需要灵活配置,这些文件主要有:
* G' J+ F$ T$ R6 Q1 i
( x x- O6 C1 U+ F+ Ya./etc/mail/relay-domains * [; u8 |4 k2 m
在该文件中你可以设定那些你许可中继的域,比如 cs.pku.edu.cn来允许所有计算机系有域名的机器可以通过你的服务器发邮件。注意每次修改该文件后必须重新启动sendmail后,新的配置才起作用。
7 Y+ d4 x' G: n8 a2 X
+ q/ o; z$ b4 h4 f% P; Bb./etc/mail/access
" g( I' S! h' T! e$ h- u在该文件中,你可以根据域名、IP或 发送方的邮件地址(From 域)来允许或屏蔽中继或邮件轰炸。Access是一个正文文件,其中每项由一个地址做关键字,而一个动作做值。地址可以是域名如 host.subdomain.domain.com,subdomain.domain.com 或 domain.com,也可以是网络地址,子网地址,或单个IP地址,如205.199,205.199.2,或205.199.2.200;还可以是邮件地址,如 sam@netscape.com。下面我们看一个Access文件实例:
) w# l' G! e, qcyberpromo.com REJECT
I4 L8 o; y+ J7 scs.pku.edu.cn RELAY ; D$ S% c4 o# ]1 M8 X# E' r( C% |
spam@buyme.com 550 Spammers shan’t see sunlight here ; ?. y6 L6 S4 b h/ F& V/ p/ N
& ?4 m" R6 |; t' l$ K# ?: R! L
在该配置文件中,拒绝所有从 cyberpromo.com来的邮件,许可从cs.pku.edu.cn来的邮件中继,拒绝从发送方地址为spam@buyme.com来的邮件,并返回给他一个确定信息。Access文件中的动作值有下面几类: - p3 b" u9 y' s- I5 m m. s
OK--接收邮件,即使和其他规则不符,如不可查询的域名。
2 T. _' o) a9 G" {6 xRELAY--允许通过你的SMTP服务器中转邮件。
9 I/ t, k$ V& l% }5 g; K9 oREJECT--拒绝从指定地址来的邮件。
5 C" G1 w) d1 pDISCARD--将收到的指定地址的邮件交给 #discard mailer 处理,该功能只作用于发送方地址。 3 Y, O/ _* _* j& B1 `
### any text --其中 ###是 RFC821 出错码,“any text”是返回该命令的信息。 ! l. Q' v8 b& L+ k5 R
0 i i: w( b3 B7 S由上可知,通过access 文件,可以对邮件中继和邮件轰炸进行有效的防卫。一旦你发现某个地址在进行攻击,就可将其加入到access文件中。要使每一次的修改有效,你都要重新生成 access的数据库文件,通过下面的命令: {: Q; S; x" R) j5 Z
makemap hash access.db < access
) o0 N2 B' e3 ?8 B" P9 P1 e4 y9 Z
但每次的修改不需要重新启动sendmail进程。
! S% \* F, K. b) S4 S7 G4 u* w& g! J9 t7 i
7 e8 K/ |( d% x5 e- F0 Q) h0 A另外, 我们能对邮件的大小进行限制,在sendmail的配置文件sendmail.cf中有一项可用来设置邮件大小:
" n5 J$ U- G! Y0 x9 r; R6 b4 _/ C#maximum message size 4 s [. L8 }; O8 f/ q# w: f' w
O MaxMessageSize = 1000000 7 n6 M' \! j! @$ X
: C5 N+ A% c, y. B/ X. [" n1 }这样,sendmail只处理大小为1兆之内的邮件,大于1兆的邮件都拒收。 U! z% i: @6 H* N- Z
% H& m# w+ n2 \$ G$ Y8 e7 M, f
2.还存在的问题
9 f% u6 b: q2 k0 ?% ^+ m/ V" _5 Z: O5 G& T6 U B
通过上面的配置文件基本上可以对邮件攻击进行有效的抵制。唯一存在的问题是我们不能事先知道所有的邮件炸弹从哪儿来,只能等出现后才能禁止。而且目前大多数邮件客户软件都许可用户随便设置发送方地址,这也使得防范邮件攻击更复杂。通常我们设立一个专门用来就接收用户举报的邮件地址,如 abuse@pku.edu.cn, 这样系统管理员可及时得到YO邮件攻击消息,并采取相应的措施。 # Q1 }$ E, { A; j3 T4 _
7 Q/ q- P6 f/ R( c5 e( J; {' V, p另外,目前我们还不能根据邮件内容进行过滤,现在很多邮件都是MIME格式的,可能是二进制文件、图形、声音,各种语言的文字或加密文件,所以,对邮件内容进行过滤不是一件简单的关键词匹配的问题。如何解决该问题还有待探讨。 $ U/ D: n9 R! W* U r
, {9 z' m9 ]! }4 `4 { |
发表于 2003-12-3 12:34:00
