郵件系統(tǒng)組成部分的分析與選型首先，一個(gè)完整的郵件系統(tǒng)除了底層操作系統(tǒng)以外，還包括郵件傳輸代理(MailTransferAgent,MTA)、郵件分發(fā)代理(MailDeliveryAgent，MDA)和郵件用戶代理(MailUserAgent，MUA)三個(gè)功能部分(如圖1)。圖1郵件系統(tǒng)功能結(jié)構(gòu)圖其次，在分析和架構(gòu)過程中要緊密把握郵件系統(tǒng)中最重要的三個(gè)特性，體系結(jié)構(gòu)、安全性和處理性能。只有牢牢把握上述幾個(gè)特點(diǎn)，將其作為系統(tǒng)選型的參考準(zhǔn)則，才能成功建立一個(gè)令人滿意的郵件系統(tǒng)。郵件系統(tǒng)的投遞和分發(fā)是一個(gè)比較復(fù)雜的過程，下面就從郵件系統(tǒng)的幾個(gè)功能模塊入手，剖析整個(gè)郵件系統(tǒng)的構(gòu)架。操作系統(tǒng)操作系統(tǒng)作為整個(gè)郵件系統(tǒng)服務(wù)器的底層支持，安全性至關(guān)重要。在這一方面，Unix類操作系統(tǒng)先天就足夠安全、足夠健壯。至于具體應(yīng)用中是選擇Unix、BSD或Linux操作系統(tǒng)，可以根據(jù)具體情況來選擇合適的系統(tǒng)。郵件傳輸代理MTAMTA是負(fù)責(zé)處理所有接收和發(fā)送郵件的程序。對(duì)于每一個(gè)外發(fā)的郵件，MTA決定接收方的目的地。如果目的地是本地主機(jī)，那么MTA將把郵件直接發(fā)送到本地郵箱，或者交給本地的MDA進(jìn)行投遞。如果目的地是遠(yuǎn)程主機(jī)，則MTA必須先和遠(yuǎn)程主機(jī)通信，得到遠(yuǎn)程主機(jī)的許可后建立通信鏈路，使用簡單郵件傳輸協(xié)議(SimpleMailTransferProtocol，SMTP)傳遞郵件。從上面的描述看，MTA好像并不是一個(gè)復(fù)雜的程序，其實(shí)不然。一個(gè)好的MTA程序必須具備上文提到的三個(gè)特征。Unix環(huán)境下可供選擇的MTA程序很多，通過互聯(lián)網(wǎng)的檢驗(yàn)并被廣泛使用的有Sendmail、Qmail和Postfix三種。下面分別分析這三種MTA程序。（1）SendmailSendmailMTA是使用最廣泛的MTA程序之一。它是EricAllman于1979年在伯克利大學(xué)時(shí)所寫，它的成長一直伴隨著Unix的發(fā)展，是目前最古老的MTA程序。Sendmail的流行來源于其通用性，它的很多標(biāo)準(zhǔn)特性現(xiàn)在已經(jīng)成為郵件系統(tǒng)的標(biāo)配，例如虛擬域、轉(zhuǎn)發(fā)、用戶別名、郵件列表及偽裝等。然而，Sendmail也存在一些明顯的不足。由于當(dāng)初互聯(lián)網(wǎng)剛剛起步，黑客也相對(duì)稀罕，因而，Sendmail的設(shè)計(jì)對(duì)安全性考慮很少，在大多數(shù)系統(tǒng)中都是以root權(quán)限運(yùn)行，而且程序設(shè)計(jì)本身Bug較多，很容易被黑客利用，對(duì)系統(tǒng)安全造成嚴(yán)重影響。此外，由于早期用戶數(shù)量和郵件數(shù)量都相對(duì)要小，Sendmail的系統(tǒng)結(jié)構(gòu)并不適合較大的負(fù)載，需要進(jìn)行復(fù)雜的調(diào)整。另外，Sendmail的配置保存在單一文件中，并且使用了自定義的宏和正則表達(dá)式，使得文件冗長晦澀、不易理解，被認(rèn)為是對(duì)系統(tǒng)管理員的一大挑戰(zhàn)。由于這些缺陷，Sendmail一直被后門問題和安全漏洞所困擾。很明顯，老的Sendmail已經(jīng)不能適應(yīng)新的應(yīng)用環(huán)境。在經(jīng)過多次程序修補(bǔ)后，EricAllman決定重新改寫Sendmail。新版本的Sendmail不僅去除了絕大部分的漏洞，還增加了很多新功能，如垃圾郵件控制等。為簡化Sendmail配置文件的創(chuàng)建，Sendmail使用了m4宏預(yù)處理器，通過使用宏代換簡化配置。為了保證Sendmail的安全，EricAllman在配置文件權(quán)限、執(zhí)行角色權(quán)限和受信應(yīng)用控制等方面做了大量的工作。但遺憾的是，由于Sendmail先天設(shè)計(jì)存在的問題，改版后的MTA仍有機(jī)會(huì)被侵入，仍然存在安全問題；加上它被設(shè)計(jì)成每隔一段時(shí)間才去查看一次郵件隊(duì)列，因此收發(fā)郵件的性能較低。（2） QmailQmail是另一個(gè)Unix系統(tǒng)下的MTA程序，它被專門設(shè)計(jì)用來替換現(xiàn)有的、安全性和性能都不太令人滿意的Sendmailo它的主要特點(diǎn)是安全、可靠和高效。Qmail設(shè)置簡單、速度很快，經(jīng)過互聯(lián)網(wǎng)的長久檢驗(yàn)，至今尚未發(fā)現(xiàn)任何安全漏洞，被公認(rèn)為是安全的MTA程序，推薦使用。Qmail具有以下安全和可靠特性：Qmail采用標(biāo)準(zhǔn)的Unix模塊化設(shè)計(jì)方法重建整個(gè)系統(tǒng)構(gòu)架。它由若干個(gè)模塊化的小程序組成，并由若干個(gè)獨(dú)立賬戶執(zhí)行，每項(xiàng)功能都由一個(gè)獨(dú)立的程序運(yùn)行，每個(gè)獨(dú)立程序由一個(gè)獨(dú)立賬戶運(yùn)行，而且不需要任何Shell支持。Qmail完全沒有使用特權(quán)用戶賬號(hào)，只使用多個(gè)普通低級(jí)用戶賬號(hào)（無Shell）將郵件處理過程分為多個(gè)進(jìn)程分別執(zhí)行，避免了直接以root用戶身份運(yùn)行后臺(tái)程序，同時(shí)還禁止對(duì)特權(quán)用戶（包括root、deamon等）直接發(fā)信。Qmail可以使用虛擬郵件用戶收發(fā)信件，避免了系統(tǒng)用戶的越權(quán)隱患。Qmail系統(tǒng)中只有必要的程序才是setuid程序，以減少安全隱患。迄今為止，擁有setuid的程序未發(fā)現(xiàn)任何代碼漏洞。?Qmail的SMTP會(huì)話實(shí)時(shí)過濾技術(shù)（RBL實(shí)時(shí)處理機(jī)制）和SASL認(rèn)證機(jī)制，在與SMTP客戶機(jī)或服務(wù)器交互時(shí)，實(shí)時(shí)地檢測發(fā)信主機(jī)IP及過濾郵件內(nèi)容，查殺病毒。一旦發(fā)現(xiàn)有問題馬上拒收，將病毒或垃圾郵件直接丟棄在進(jìn)行隊(duì)列之前，極大地保護(hù)了用戶的郵箱安全，降低了垃圾郵件的數(shù)量，同時(shí)有效地縮短了郵件服務(wù)器的響應(yīng)時(shí)間，更大程度提高性能和安全防御能力。Qmail使用先進(jìn)、快速的信息隊(duì)列及子目錄循環(huán)來存儲(chǔ)郵件消息。并且，它使用了比Mailbox更安全可靠的Maildir目錄結(jié)構(gòu)，以及經(jīng)典的管道投遞機(jī)制(快速的“I”管道處理)，使Qmail具有極強(qiáng)的抗郵件風(fēng)暴、抗DDoS攻擊的能力，即使遭遇攻擊也僅僅是降低郵件處理速度，而不會(huì)癱瘓甚至崩潰。即使在突然斷電的狀態(tài)下，仍能保存用戶的信息不丟失，并能保證系統(tǒng)穩(wěn)定運(yùn)行。Qmail使用詳細(xì)的信息遞送日志，提供更多信息供管理員分析。它可以對(duì)同一個(gè)客戶單位時(shí)間內(nèi)連續(xù)發(fā)送的郵件數(shù)目或并發(fā)連接數(shù)目進(jìn)行統(tǒng)計(jì)，一旦超出閥限，則應(yīng)用防火墻規(guī)則拒絕為該客戶提供服務(wù)或暫停正常響應(yīng)，極大地降低了被DDoS攻擊或由于客戶大量發(fā)送垃圾郵件導(dǎo)致系統(tǒng)變慢或停止服務(wù)的可能性，有效杜絕了成為垃圾郵件攻擊者或垃圾郵件被攻擊對(duì)象。利用郵件服務(wù)器上已經(jīng)存在的日志文件進(jìn)行分析，可以自動(dòng)智能化地將這些IP添加在“短時(shí)間內(nèi)發(fā)送大量垃圾包的主機(jī)IP”中，從IP鏈路上杜絕傳輸。?模塊化的設(shè)計(jì)使Qmail可以方便地與各種殺毒軟件、過濾系統(tǒng)、識(shí)別系統(tǒng)、反垃圾郵件模塊等緊密結(jié)合，協(xié)同工作，進(jìn)行高級(jí)郵件過濾，包括過濾郵件信頭、郵件內(nèi)容、判斷垃圾等級(jí)，以及配合系統(tǒng)級(jí)和用戶級(jí)的黑、白名單過濾等，具有較高的靈活性和可升級(jí)性。Qmail配置簡單。它使用了多個(gè)小的配置文件，每種特性都有一個(gè)對(duì)應(yīng)的配置文件。這種設(shè)置方式不僅避免了配置文件過大的問題，而且不需要管理員過多地配置工作就可以保證一個(gè)安全的郵件服務(wù)器環(huán)境。其缺點(diǎn)是不熟練的管理員需要花些時(shí)間去熟悉配置文件與特性的對(duì)應(yīng)關(guān)系。Qmail本身支持虛擬郵件域，也可以通過vpopmail使虛擬域更易于使用和維護(hù)。同時(shí)，由于vpopmail支持Oracle、Sybase、MySQL及LDAP方式的用戶信息存儲(chǔ)，使得建立和維護(hù)大型分布式系統(tǒng)成為可能。Qmail并不是遵循GPL版權(quán)發(fā)布，但是仍然與其它開源軟件一樣可以被自由下載、修改和使用。注意，為了保證Qmail的純潔性，如果要公開發(fā)布自行修改的Qmail，必須經(jīng)過作者同意。PostfixPostfix是近來出現(xiàn)的另一個(gè)優(yōu)秀的MTA軟件。由于它的設(shè)計(jì)吸取了前輩們的優(yōu)點(diǎn)，如Sendmail的豐富功能特點(diǎn)、Qmail的快速隊(duì)列機(jī)制、Maildir的存儲(chǔ)結(jié)構(gòu)和獨(dú)立的模塊設(shè)計(jì)等。從這些先進(jìn)的體系設(shè)計(jì)結(jié)構(gòu)上不難看出Postfix的優(yōu)勢，但是它的起步時(shí)間較短，隨著其在互聯(lián)網(wǎng)的廣泛應(yīng)用和檢驗(yàn)正在不斷成熟。Postfix的主要特點(diǎn)是快速、安全、易于管理，同時(shí)盡量保持與Sendmail良好的兼容性。Postfix同樣采用模塊化的設(shè)計(jì)，只需要一個(gè)真實(shí)用戶來運(yùn)行所有的模塊。Postfix在系統(tǒng)安全方面考慮得很多，它的所有模塊都以較低的權(quán)限運(yùn)行，彼此分離，不需要setuid程序，甚至可以運(yùn)行在安全程度很高的chroot環(huán)境中。即使被入侵破壞了某一個(gè)Postfix模塊，也不能完全控制郵件服務(wù)器。Postfix最大的優(yōu)點(diǎn)是配置上的簡便性，它既不使用一個(gè)龐大復(fù)雜的配置文件，也不使用多個(gè)小的配置文件。Postfix的配置主要使用main.cf和master.cf兩個(gè)文本文件，使用中心化的配置文件和容易理解的配置指令。Postfix和Sendmail的兼容性非常好，甚至可以直接使用Sendmail的配置文件，這為想從Sendmail轉(zhuǎn)換到Postfix的用戶提供了便利。需要注意的是，Postfix是IBM資助下的開源軟件，它遵循IBM的開放源代碼許可證，用戶可以自由地分發(fā)該軟件進(jìn)行二次開發(fā)。它惟一的限制是必須將修改反饋給IBM公司。IBM的版權(quán)聲明中表示，它可以隨時(shí)取消用戶使用和發(fā)布Postfix的權(quán)力，對(duì)于想要實(shí)現(xiàn)商業(yè)應(yīng)用的企業(yè)則需要密切關(guān)注相應(yīng)的信息。郵件分發(fā)代理MDAUnix下常用的MDA軟件包括binmail、Procmail和Maildrop。它們除了具有本地投遞的功能外，還增加了郵件過濾、黑白名單、自動(dòng)分類和處理等功能，能夠根據(jù)用戶要求對(duì)郵件頭和郵件體的內(nèi)容進(jìn)行過濾，防止通過電子郵件傳播病毒，或者幫助用戶阻擋廣告和宣傳品類的垃圾郵件，防止通過郵件對(duì)系統(tǒng)的惡意攻擊，并幫助管理用戶接收到的郵件。binmail的系統(tǒng)命令為/bin/mail，該MDA程序簡單，不需要進(jìn)行配置，因而不能完全滿足用戶的需要。相對(duì)而言，Procmail使用了類似于“處方”的用戶配置文件，通過定制正則表達(dá)式實(shí)現(xiàn)郵件的分發(fā)。它的缺點(diǎn)是不支持Maildir郵箱格式，且編程語法太復(fù)雜，不易被人掌握和使用。與Procmail相比，Maildrop更新一些，除了支持傳統(tǒng)郵箱格式，還支持Qmail的Maildir郵件存儲(chǔ)格式，并且它的編程語言簡單易懂，容易上手。因此，推薦使用Maildrop來實(shí)現(xiàn)郵件的分發(fā)功能。郵件用戶代理MUA郵件用戶代理MUA有基于客戶端的，也有基于Web方式的。無論是Windows下的Outlook、Foxmail，還是Linux下基于終端命令行的mail工具、圖形文本終端pine、圖形界面下的Kmail和Eudora等，都是優(yōu)秀的MUA軟件。隨著互聯(lián)網(wǎng)的普及，越來越多的人喜歡使用基于瀏覽器的MUA程序，可以隨時(shí)隨地跨平臺(tái)收發(fā)郵件，典型的代表有SqWebMail、OpenWebMail和iGENUS等。這些軟件除了都支持流行的POP3和IMAP協(xié)議，還具有功能豐富、安全穩(wěn)定和簡單易用的特點(diǎn)。綜上所述，這里大致列出一個(gè)通用郵件系統(tǒng)的框架：OS選用LinuxRedHatAS3.0,這是目前安全級(jí)別最高、最穩(wěn)定的操作系統(tǒng)版本之MTA選用Qmail，這是全球使用率很高、安全性領(lǐng)先、性能高效的MTA程序。MDA選用Maildrop，它功能豐富、語法簡練。MUA選用基于客戶端的Outlook或基于瀏覽器的iGENUS，它基于LAMP組合，支持中文、功能豐富。后面的內(nèi)容將對(duì)這一組合的具體架構(gòu)進(jìn)行分析和實(shí)踐。郵件系統(tǒng)的服務(wù)質(zhì)量郵件系統(tǒng)的服務(wù)質(zhì)量主要是指系統(tǒng)防止垃圾郵件及病毒郵件的能力。隨著電子郵件的日益普及，黑客利用電子郵件的特點(diǎn)和漏洞編寫程序?qū)︵]件服務(wù)器和接收郵件的用戶個(gè)人主機(jī)進(jìn)行攻擊越來越多，在不知不覺中系統(tǒng)就被安裝了特洛伊木馬等黑客工具，被偷竊了重要數(shù)據(jù)，甚至被完全破壞。垃圾郵件是指那些非請自來的電子郵件，如商業(yè)廣告、站點(diǎn)宣傳，甚至是一些有非法和不健康內(nèi)容的郵件。目前，互聯(lián)網(wǎng)上的垃圾郵件日益泛濫，危害極大。因此，過濾功能是郵件系統(tǒng)中非常重要的一項(xiàng)特征，它可以提升郵件系統(tǒng)的性能，有效地控制垃圾郵件的泛濫和郵件病毒的傳播。圖2電子郵件的接收流程圖

如何才能有效地防止垃圾郵件？從電子郵件的接收過程來看（如圖2）,電子郵件的過濾分為幾個(gè)不同的層次，包括在路由器上過濾、MTA過濾、MDA過濾和MUA過濾（如圖3）。圖3電子郵件過濾層次示意圖MTA級(jí)的過濾適合基于SMTP信封信息的過濾，而不適合對(duì)信件的內(nèi)容進(jìn)行過濾，尤其是在高負(fù)荷的郵件服務(wù)器上，如果對(duì)每一封信的內(nèi)容都進(jìn)行分析、過濾，則可能會(huì)嚴(yán)重影響MTA的性能。MDA是對(duì)郵件內(nèi)容進(jìn)行過濾的最佳位置。MDA有兩方面的作用，一個(gè)是對(duì)郵件內(nèi)容特別是對(duì)郵件中的附件進(jìn)行過濾，另一個(gè)是幫助用戶對(duì)郵件進(jìn)行分類管理。在互聯(lián)網(wǎng)上，已有多種不同的技術(shù)用來阻攔垃圾郵件（如圖4），最常用的包括以下三種：圖4在不同層面過濾垃圾郵件拒收來自己知垃圾郵件主機(jī)的信息拒收接收已知垃圾郵件主機(jī)發(fā)來的郵件，可以通過設(shè)置MTA程序中的配置文件來實(shí)現(xiàn)。為使MTA程序知道拒收來自哪些主機(jī)的郵件，必須要列出已知的垃圾郵件主機(jī)。通?？捎靡韵聝煞N方法來實(shí)現(xiàn)這一目標(biāo)。創(chuàng)建自己的垃圾郵件主機(jī)列表供郵件服務(wù)器查詢Qmail在badmailfrom文件中設(shè)置要拒收的垃圾郵件主機(jī)?？梢詮淖粉櫪]件站點(diǎn)的互聯(lián)網(wǎng)服務(wù)器上獲取已知的垃圾郵件主機(jī)地址，如spamcop站點(diǎn)()上提供了4個(gè)關(guān)于垃圾郵件主機(jī)地址的列表：?產(chǎn)生垃圾郵件的主機(jī)網(wǎng)絡(luò)地址或IP；?轉(zhuǎn)發(fā)垃圾郵件的主機(jī)網(wǎng)絡(luò)地址或IP；?垃圾郵件中發(fā)現(xiàn)的網(wǎng)站網(wǎng)絡(luò)地址或IP；?垃圾郵件涉及的郵件地址或IP。這些地址是由接收到垃圾郵件的人提交的，可以手動(dòng)從spamcop提取這些主機(jī)信息，把它們加入到本地垃圾郵件主機(jī)列表中，即Qmail的badmailfrom文件中。這種方式直截了當(dāng)、查殺效率高，缺點(diǎn)是垃圾郵件的誤報(bào)率、誤殺率過高，需謹(jǐn)慎使用。連接到互聯(lián)網(wǎng)上提供已知垃圾郵件主機(jī)列表的服務(wù)器上目前國際上比較流行的反垃圾郵件技術(shù)是，針對(duì)每一個(gè)進(jìn)入的郵件信息，MTA程序獲得遠(yuǎn)程服務(wù)器的地址，并查詢遠(yuǎn)程互聯(lián)網(wǎng)服務(wù)器對(duì)該地址進(jìn)行認(rèn)證。如果該地址在已知垃圾郵件主機(jī)列表中，則MTA程序拒絕接收這些進(jìn)入的郵件信息。無論是郵件濫用保護(hù)系統(tǒng)(MailAbusePreventionSystem，MAPS)的中轉(zhuǎn)垃圾郵件阻塞器(RelaySpamStopper，RSS)，還是使用第三方實(shí)時(shí)黑名單主機(jī)列表(RealtimeBlackholeList，RBL)，如果郵件地址在這些列表中被找到，則郵件服務(wù)器認(rèn)為這是一個(gè)垃圾郵件主機(jī)，將拒絕接收它的郵件(如圖5)。

圖5利用RBL過濾垃圾郵件的典型過程國內(nèi)的郵件服務(wù)器防范意識(shí)普遍偏低，容易被不法分子利用做垃圾郵件的中轉(zhuǎn)站。因此，如果企業(yè)的郵件客戶大都在中國，建議采用中國反垃圾郵件聯(lián)盟提供的RBL+黑名單列表和中國郵件服務(wù)運(yùn)營商白名單列表CML（如圖6）。在Qmail中，可以使用rblsmtpd程序利用MAPSRSS服務(wù)器對(duì)進(jìn)入的連接進(jìn)行檢查。通過修改SMTP啟動(dòng)腳本，加上/usr/local/bin/rblsmtpd：/usr/local/bin/tcpserver-H-R-l0-t1-v-p-x\/home/vpopmail/etc/tcp.smtp.cdb-uqmaild-gnofiles0smtp\/usr/local/bin/rblsmtpd\JE#超M搏|:JLl堤=-LLLiLL-.IX.罪漆版第V' 賽迪網(wǎng)技術(shù)應(yīng)用畫粗ftZlt痂： tech,有：!斤瑚了口島牡吳*攔i?*m昭椅亂MW初次德亍制程軻￡2%折蜒跤琬F眉翌（柿電IlWrP：日口■1此訖4說0基中€Aj'n￡?A>u：,W￥l：mx-圖6黑、白名單列表/var/qmail/bin/qmail-smtpd\/home/vpopmail/bin/vchkpw/bin/true2>&1|\/var/qmail/bin/sploggersmtpd3&如果想使用第三方的RBL列表，只要加上-r選項(xiàng)就可以。該選項(xiàng)可以指定多個(gè)RBL源，比如：-rblackhole-rcb這樣，如果連接主機(jī)出現(xiàn)在RBL列表中，系統(tǒng)將拒絕連接。對(duì)遠(yuǎn)程主機(jī)提供的SMTP會(huì)話信息進(jìn)行確認(rèn)另一個(gè)阻擋垃圾郵件的有效方法是在SMTP會(huì)話期間對(duì)遠(yuǎn)程主機(jī)所使用的SMTP信息進(jìn)行驗(yàn)證。很多MTA程序允許配置對(duì)進(jìn)入的SMTP信息進(jìn)行嚴(yán)格的檢查。兩個(gè)經(jīng)常被檢查的SMTP命令是HELO（對(duì)于ESMTP為EHLO）和MAILFROM。HELO命令用來找出遠(yuǎn)程服務(wù)器的真實(shí)身份。通過執(zhí)行DNS主機(jī)名查找時(shí)，對(duì)由HELO命令所提供的無效信息進(jìn)行過濾。MAILFROM命令用于確定郵件發(fā)送者。正常的MAILFROM命令包括接收郵件地址的正式域名（FullyQualifiedDomainName，F(xiàn)QDN）格式，不符合要求的將拒絕接收。如果使用Qmail的SMTP信息檢查，必須使用一些Qmail的補(bǔ)丁程序，包括qmail-badhelo_diff.patch、qmail-badmailfrom-wildcard.patch、qmail-badrcptto_diff.patch、qmail-reject_percent_diff.patch、qmail-limit-bounce-size.patch和qmail-smtpd-auth-0.31.patch。通過查找已知的垃圾郵件記號(hào)過濾進(jìn)入的信息通過以上的一些措施，有相當(dāng)一部分的垃圾郵件會(huì)被阻止連接。但只是從發(fā)送郵件服務(wù)器的特征，如主機(jī)地址、IP和連接數(shù)量等來杜絕垃圾源還遠(yuǎn)遠(yuǎn)不夠，還需要仔細(xì)檢查郵件本身是否包含有垃圾內(nèi)容。所以，需要在應(yīng)用層上做內(nèi)容過濾。（1）使用qmail-qfilter過濾帶有特定詞語的郵件qmail-qfilter是一個(gè)允許在Qmail隊(duì)列程序前加入基于Perl的過濾器腳本。此腳本可以定義多條過濾規(guī)則，針對(duì)郵件中的任何數(shù)據(jù)進(jìn)行掃描和過濾，不論數(shù)據(jù)信息是在郵件頭還是郵件體中。例如：#!/usr/bin/perlwhile（＜＞）{print;exit31if/"Subject:Makemoremoney/;exit31if/"From:123\/}這種方式的優(yōu)點(diǎn)是簡單，缺點(diǎn)是不夠智能，且對(duì)中文過濾不起作用。由于它是置于qmail-queue程序前執(zhí)行，因此它的效率直接對(duì)郵件系統(tǒng)產(chǎn)生影響，加上過濾效果并不顯著，因此不建議使用。（2）使用SpamAssassin軟件分析郵件是否為垃圾郵件SpamAssassin是一個(gè)非常優(yōu)秀的、基于貝葉斯算法、功能強(qiáng)大的反垃圾郵件開源軟件。SpamAssassin的判斷是一種給郵件進(jìn)行評(píng)分的系統(tǒng)。根據(jù)郵件的各種特征可以給出符合條件的正或負(fù)的評(píng)分，加在一起就是總的評(píng)分，這個(gè)分值越高就越有可能是垃圾郵件。通常可以設(shè)置一個(gè)區(qū)別的分值，比如默認(rèn)是5分，等于或高于此分值的郵件會(huì)被判斷為垃圾郵件，從而讓郵件系統(tǒng)選擇進(jìn)行何種處理。SpamAssassin也可以在調(diào)用Razor及DCC等數(shù)據(jù)庫的基礎(chǔ)上，再采用人工加權(quán)或scored的方法進(jìn)行垃圾郵件識(shí)別。在本例郵件系統(tǒng)中使用了以下技術(shù)減少垃圾郵件的侵入。?下載并安裝DCC和Razor的Perl源碼包，使用DCC和Razor的特征數(shù)據(jù)庫，為SpamAssassin的評(píng)分提供更準(zhǔn)確的信息。?下載互聯(lián)網(wǎng)上由中國反垃圾郵件聯(lián)盟提供的垃圾郵件信息，分別放在SpamAssassin的特征庫中。如chese_diy.cf文件內(nèi)容為：bodych_free1/免費(fèi)的/bodych_free2/激情的/scorech_free10.5scorech_free21.5scorech_free31.5scorech_free43.0如果郵件內(nèi)容包括以上這些詞語，SpamAssassin評(píng)出的分值就會(huì)高出區(qū)別分值，郵件系統(tǒng)就會(huì)認(rèn)為這是一封內(nèi)容超標(biāo)的垃圾郵件而拒絕接收。這種方法的優(yōu)點(diǎn)是可以根據(jù)實(shí)際情況靈活調(diào)整對(duì)應(yīng)的分值，使之更符合要求，有效降低誤報(bào)、誤殺率；缺點(diǎn)是查殺效率較低，影響郵件系統(tǒng)的性能。建議在硬件配置比較高的機(jī)器上采用。其它的方法還包括使用Maildrop過濾及分類投遞郵件等。最后，簡單地說一下防止病毒。如果想使用免費(fèi)的防毒軟件可以考慮基于個(gè)人版的Linux殺毒軟件，如BitDefender公司的BitDefender-Qmail工具，再配合Qmail-Scanner（原名scan4virus）。這是一個(gè)專門為Qmail開發(fā)的郵件掃描腳本程序，用Perl編寫，可以支持多個(gè)Unix下的專業(yè)查毒軟件，安裝和使用比較簡單。需要注意的是，它需要最新的Perl5.8版本支持，因此使用此程序需要升級(jí)系統(tǒng)的Perl版本。如果是構(gòu)建商用郵件系統(tǒng)，建議購買商業(yè)版殺毒軟件。這樣，無論是在查殺病毒的效率上，還是病毒特征庫的更新速度上都會(huì)更有保證。郵件系統(tǒng)的安全服務(wù)保障對(duì)于那些暴露在互聯(lián)網(wǎng)上的郵件服務(wù)器來說，受到外界黑客的探查和攻擊是常有的事情。因此，需要通過必要的手段加強(qiáng)郵件環(huán)境。禁用SMTP協(xié)議中的VRFY和EXPN命令VRFY命令（verify）用來向遠(yuǎn)程郵件服務(wù)器查詢郵件地址。如果郵件服務(wù)器配置為響應(yīng)VRFY命令，它將根據(jù)查詢地址的狀況返回一個(gè)SMTP代碼。常用的VRFY返回碼為：250表示地址存在，服務(wù)器將接收發(fā)給它的郵件；252表示地址可能存在，服務(wù)器將接收發(fā)給它的郵件，并試圖將其發(fā)送到目的地；550表示地址不存在，服務(wù)器拒收任何發(fā)給它的郵件。通過發(fā)送大量查詢郵件地址的VRFY命令，一個(gè)遠(yuǎn)程的攻擊者可以根據(jù)郵件服務(wù)器返回的SMTP返回碼猜測系統(tǒng)中的郵件賬號(hào)，這是一個(gè)有潛在危險(xiǎn)的舉動(dòng)。EXPN命令（expend）允許遠(yuǎn)程主機(jī)請求別名列表和郵件列表地址。有了該列表地址，遠(yuǎn)程郵件服務(wù)器可以向別名或郵件列表發(fā)送郵件來確定真實(shí)的郵件地址。垃圾郵件發(fā)送者和黑客也可以利用這條命令來探查郵件服務(wù)器。大多數(shù)的MTA軟件都禁用VRFY和EXPN命令。事實(shí)上，這兩個(gè)命令在MTA軟件缺省安裝時(shí)都是被禁用的。缺省安裝的Qmail不管真實(shí)的地址狀態(tài)如何，對(duì)所有收到的VRFY查詢都返回252號(hào)SMTP返回碼；EXPN命令返回502返回碼，表明該命令在服務(wù)器禁用。這兩條命令狀態(tài)在Qmail服務(wù)器中是不能修改的。在SMTP中使用SASL認(rèn)證機(jī)制最常用的網(wǎng)絡(luò)連接認(rèn)證方法是簡單認(rèn)證和安全層（SimpleAuthenticationandSecurityLayer，SASL）協(xié)議。該協(xié)議定義了一套任何網(wǎng)絡(luò)應(yīng)用程序都可以用來對(duì)遠(yuǎn)程用戶進(jìn)行認(rèn)證的機(jī)制。每個(gè)認(rèn)證會(huì)話都必須使用一種確定的認(rèn)證機(jī)制。認(rèn)證機(jī)制是用來向服務(wù)器發(fā)送認(rèn)證憑證時(shí)使用的協(xié)議。SASL框架中可以使用多種不同的機(jī)制來認(rèn)證用戶°RFC2222定義了下面幾種確定的機(jī)制：（1） KERBEROS_V4機(jī)制主機(jī)發(fā)送隨機(jī)生成的32字節(jié)數(shù)字作為應(yīng)答，客戶端使用Kerberos標(biāo)簽和用戶名的標(biāo)志進(jìn)行響應(yīng)。（2） GSSAPI機(jī)制客戶端發(fā)送使用通用安全服務(wù)應(yīng)用接口（GenericSecurityServiceApplicationInterface，GSSAPI）加密的用戶名和口令。（3） SKEY機(jī)制客戶端發(fā)送基于64位密鑰加密的用戶名和一次性口令。（4） CRAM-MD5和DIGEST-MD5機(jī)制使用呼叫/應(yīng)答模式的加密方法。（5） PLAIN機(jī)制允許客戶機(jī)向服務(wù)器發(fā)送ASCII碼文本形式的用戶ID和口令。（6） LOGIN機(jī)制它是最常用的機(jī)制，使用基于64位的密鑰加密用戶ID和口令。微軟的Outlook和網(wǎng)景公司的Netscape郵件客戶端使用的就是基于LOGIN的認(rèn)證機(jī)制。Qmail版本（qmail-1.03）尚不支持SASL。為了使Qmail支持SASL,需要給Qmail程序打上補(bǔ)丁qmail-smtpd-auth來實(shí)現(xiàn)。使用帶有驗(yàn)證的SMTP，該進(jìn)程要調(diào)用密碼驗(yàn)證程序，可以使用cmd5checkpw命令來幫助進(jìn)行密碼驗(yàn)證。首先下載安裝cmd5checkpw軟件包，然后修改SMTP服務(wù)的啟動(dòng)腳本（注意加粗部分）：#!/bin/sh#-c100指同時(shí)并行連接數(shù)為100QMAILDUID=QmaildNOFILESGID=nofilesSERVER='hostname'/usr/local/bin/tcpserver-H-R-c100-l0-t1-v-p-x/home/vpopmail/etc/tcp.smtp.cdb\-u$QMAILDUID-g$NOFILESGID0smtp/var/qmail/bin/qmail-smtpd$SERVER\/home/vpopmail/bin/vchkpw/bin/true/bin/cmd5checkpw/bin/true2>&1\/var/qmail/bin/sploggersmtpd3&創(chuàng)建郵件防火墻郵件防火墻是一臺(tái)專用的郵件服務(wù)器，專門轉(zhuǎn)發(fā)發(fā)往內(nèi)部郵件服務(wù)器和從其發(fā)出的郵件。經(jīng)過配置，郵件防火墻將接收任何發(fā)往域中的郵件，將它們直接發(fā)給內(nèi)部網(wǎng)絡(luò)中真正的域郵件服務(wù)器。同時(shí)，郵件防火墻也轉(zhuǎn)發(fā)從內(nèi)部郵件服務(wù)器發(fā)往互聯(lián)網(wǎng)的郵件。郵件防火墻的配置是一個(gè)高級(jí)應(yīng)用，Qmail郵件防火墻是使用一張?zhí)摂M表來映射地址。通過三個(gè)步驟對(duì)它進(jìn)行配置：（1） 在virtualdomains控制文件中增加域名映射，接收指定域用戶的郵件映射到一個(gè)真實(shí)的用戶賬號(hào)。如virtualdomains文件內(nèi)容為:mymail，則Qmail將會(huì)把所有發(fā)往*的郵件轉(zhuǎn)換為mymail-*，然后在本地發(fā)送該郵件。（2） 將域名加入rcpthosts控制文件中，使用Qmail接收發(fā)往該域的郵件，如。（3）為每個(gè)域用戶創(chuàng)建一個(gè)獨(dú)立的本地用戶，使用各自獨(dú)立的。qmail文件。具體的郵件收發(fā)流程為，virtualdomain控制文件將域指向一個(gè)普通的本地用戶賬號(hào)mymail，Qmail防火墻服務(wù)器收到的郵件將被發(fā)給本地賬號(hào)mymail，比如對(duì)應(yīng)mymail-test1，對(duì)應(yīng)mymail-test2。然后，在mymail本