为Qmail增加smtp用户认证功能

出处：LinuxAid.com.cn 作者： iamafan 时间：2005-9-1 13:55:00

本文介绍如何让 qmail 增加 smtpd-auth 功能．

  软件需求
  系统版本：RedHat6.2
  必需软件：1、qmail-1.03　(www.qmail.org) qmail的主要程序包
　　      　2、checkpassword　(cr.yp.to/checkpwd.html)　让qmail使用系统用户认证的密码认证包或vpopmail　(www.inter7.com/vpopmail)    让qmail支持mysql和虚拟主机用户认证的密码验证包
            3、qmail-smtpd.c　(www.nimh.org/hacks/qmail-smtpd.c)　qmail支持smtp认证的补丁或者到http://www.elysium.pl/members/brush/下载 qmail-smptd.patch

    原理介绍
    QMail系统安装完成后，其smtp是允许任何人匿名发送邮件的。但是，这一点经常会被恶意的垃圾邮件发送者利用。因此，为了避免这种问题发生，我们为qmail安装并配置smtp发信密码认证功能。

    首先我们先来认识一下什么是smtp下的relay规则。

    relay规则也可以理解成转发规则。当用户使用telnet到25端口（smtp端口），或者使用类似outlook这样的MUA（用户投递代理）发送邮件时，服务器都会在后端判断是否允许转发（发送）这份邮件，判断的依据是接收方的域名是否在允许之内。

    在Qmail中，有一个名为rcpthosts(该文件名源于RCPT TO命令)的配置文件，其决定了是否接受一个邮件。只有当一个RCPT TO命令中的接收者地址的域名存在于rcpthosts文件中时，才接受该邮件,否则就拒绝该邮件。若该文件不存在，则所有的邮件将被接受。当一个邮件服务器不管邮件接收者和邮件接收者是谁，而是对所有邮件进行转发(relay)，则该邮件服务器就被称为开放转发(open relay)的。当qmail服务器没有rcpthosts时，其是开放转发的。

    设置自己服务器为非open relay的最简单的办法就是将你的邮件服务器的所有域名(若DNS的MX记录指向该机器，也应该包括该域名。）但是要想实现smtp用户漫游功能，也就是任何网络的合法用户都能发信，仅使用rcphosts就很难操作了，因为不可能每一个用户连接进来就修改一次rcphosts，使之包括发信人域名和ip，再重起qmail。显然，这种方法很不现实。别担心。

    qmail-smtpd支持一种有选择性的忽略rcpthosts文件的方法：若qmail-smtpd的环境变量RELAYCLIENT被设置，则rcpthost文件将被忽略，relay将被允许。但是如何识别一个邮件发送者是否是自己的客户呢？qmail并没有采用密码认证的方法，而是判断发送邮件者的源IP地址，若该IP地址属于本地网络，则认为该发送者为自己的客户。如果要实现SMTP认证后的relay ，不需要对任何IP进行预先设定，所以默认规则设置成“只对本服务器relay”。

　　这里使用ucspi-tcp软件包。即该软件包的tcpserver程序。该程序的功能类似于inetd-监听进入的连接请求，为要启动的服务设置各种环境变量，然后启动指定的服务。

　　tcpserver的配置文件是/etc/tcp.smtp，该文件定义了是否对某个网络设置RELAYCLIENT环境变量。例如，本地网络是地址为192.168.10.0/24的C类地址，则tcp.smtp的内容应该设置如下：

    127.0.0.1:allow,RELAYCLIENT=""
    192.168.10.:allow,RELAYCLIENT=""
    :allow

    这几个规则的含义是指若连接来自127.0.0.1和192.168.10则允许，并且为其设置环境变量RELAYCLIENT，否则允许其他连接，但是不设置RELAYCLIENT环境变量。如果只需要对本机relay，第二行可以不要。
    这样当从其他地方到本地的25号连接将会被允许，但是由于没有被设置环境变量，所以其连接将会被qmail-smptd所拒绝。但是tcopserver并不直接使用/etc/tcp.smtp文件，而是需要先将该文件转化为cbd文件：

    [lix@mail /etc]$ # tcprules tcp.smtp.cdb tcp.smtp.temp < tcp.smtp
    然后再回头看在
    /service/qmail-smtpd 目录下的run文件中有
    /usr/local/bin/tcpserver -v -p -x /etc/tcp.smtp.cdb

    可以看到，tcpserver利用了/etc/smtp.cbd文件。若本地有多个网络，则需要这些网络都出现在/etc/tcp.smtp文件中。这样就实现了允许本地客户relay邮件，而防止relay被滥用。

    软件安装

    1.安装好qmail以及vpopmail或者checkpassword软件包

    2.在 /usr/ports/mail/qmail 目录下面，运行命令
      patch <qmail-smptd.patch
      重新编译 qmail，并拷贝 qmail-smtpd 到 /var/qmail/bin下面

       ./compile qmail-smtpd.c
       ./load qmail-smtpd rcpthosts.o commands.o timeoutread.o
         timeoutwrite.o ip.o ipme.o ipalloc.o control.o constmap.o
         received.o date822fmt.o now.o qmail.o cdb.a fd.a wait.a
         datetime.a getln.a open.a sig.a case.a env.a stralloc.a
         alloc.a substdio.a error.a str.a fs.a auto_qmail.o  `cat
         socket.lib`

    3. 在 /usr/ports/mail/vpopmail/下面增加 files 目录，并建立下面两个 patch 文件

       文件patch-aa，内容如下：
       +++ vmysql.h
       27c27
       < #define MYSQL_PASSWD "gipgap"
       ---
       > #define MYSQL_PASSWD "mypassword"

       文件 patch-bb，内容如下：
       +++ vchkpw.c
       310a311
       >
       311a313
       >
       313a316,317
       > #ifdef AUTH_VCHKPW
       >
       359a364,365
       >
       > #endif

      然后make -D WITHOUT_ROAMING -D WITH_MYSQL DEFAULT_DOMAIN=sczg.net，重新编译拷贝新的vchkpw到qmail的bin目录。

    4.设置 /bin/checkpassword 或 /home/vpopmail/bin/vchkpw 可以SetUID和SetGID。这点很重要，否则认证无法通过。这是因为smtpd 的进程是由qmaild 执行的。而密码验证程序原来只使用于pop3进程，分别由root或vpopmail执行，为的是读shadow或数据库中的密码，并取出用户的邮件目录。这些操作qmaild 都没有权限去做。如果smtp进程要调用密码验证程序，则必须要使用 setuid 和setgid 。其实这点大可放心，这两个密码验证程序都是带源代码的，本身非常安全，只需要放在安全的目录里就可以了(设置其他用户除qmaild 可执行外都没有权限执行；其实如果没有其他SHELL帐户，也就不用这么麻烦了)。

       chmod 4755 /bin/checkpassword  或
       chmod 4755 /home/vpopmail/bin/vchkpw  使用vpopmail。

    5.测试.如果使用的是vpopmail，要把下面的 /bin/checkpassword 换成 /home/vpopmail/bin/vchkpw 。

          #su - qmaild -c "/var/qmail/bin/qmail-popup localhost /bin/checkpassword  pwd"〈回车>
          +OK ，〈18789.978689240@localhost>
          user realuser〈回车>
          +OK
          pass password〈回车>

      如果结果显示的是用户目录，说明成功了；如果显示"-ERR authorization failed"，除检查      密码外，还要检查用户上级的各个目录是否可读，还有密码验证程序的权限是否设置正确。

    6. 把 smtp 的 tcpserver 命名改为：

       /usr/local/bin/tcpserver  -H -R -l 0 -t 1  -c 100 -x/etc/tcp.smtp.cdb -u604 -g601
       0 smtp /var/qmail/bin/qmail-smtpd /bin/checkpassword /bin/true 2>&1
      | /var/qmail/bin/splogger smtpd 3 &

      或者是

       /usr/local/bin/tcpserver  -H -R -l 0 -t 1  -c 100 -x/etc/tcp.smtp.cdb -u604 -g601
       0 smtp /var/qmail/bin/qmail-smtpd /usr/local/vpopmail/bin/vchkpw
       2>&1 | /var/qmail/bin/splogger smtpd 3 &

      注：“/usr/local/vpopmail/bin/vchkpw”是重新编译的。以上的全在一行。重新启动所有的qmail进程。
,