sendmail8.9.3中的Relay规则简介邮件服务器教程 -免费技术教程下载中心

              摘要：sendmail8.9.3中的Relay规则简介
一.什么是第三方的Mail Relay?

当一台邮件服务器处理一封邮件时，该封邮件的发送者(the sender)和接收者(the recipient)都不是本地用户（local user),即发送者和接收者都处于本地域之外，该邮件服务器对于这封邮件的传送完全属于不相关的第三方，因此Mail Relay被sedmail默认禁止了。这阻止了Spammer利用你的服务器发送垃圾邮件。

二.为什么你要停止第三方的Mail Relay?

如果你的邮件服务器不能有效地控制第三方的mail relay，你应该立刻着手解决这个问题，不要等待spammer 来攻击你的邮件主机，主要是因为：

a.大量的垃圾邮件（junk email）可能会使你的邮件系统崩溃。它们占用你的磁盘空间，CPU资源，还可能引发Dos类型攻击（denial of service attack).

b.你的组织可能被列入黑名单（backlist)。由于大量垃圾邮件从你的主机发出，其它一些组织或公司可能会不做任何更深的调查就更改设置阻止了从你的主机来的任何邮件，这也将同时阻止从你的站点发到它们的所有正常的商业性邮件,损失不可估量.

c.意识到这种攻击将会发生在你身上。不要因为它没有发生就意味着你是安全的。他们每天正用一些自动扫描的工具去扫描网络而寻找那些对他们打开relay功能的邮件主机。他们可能自己写了某个程序正每刻地进行扫描，如果你的邮件主机是易受攻击的，那么扫描到你就是迟早的事情。

三. Sendmail(8.9.3)如何relay你的邮件？

如果发送者和接收者都不属于本地域，sendmail将默认禁止mail relay. 要想使得sendmail relay 你的邮件，可以有下面两种途径，你必须确保发送者或者接收者其中至少有一个属于本地域.

a. 本地发送者到外部接收者(local sender to external recipient)

b. 外部发送者到本地接收者(external sender to local recipient)

==========

c. 何为本地发送者（local sender)?

当邮件服务器接收到一封从其它机器（如windows pc)发来的邮件时，它首先检查连接进来的主机的域名和 IP地址，注意：决不是检查这封邮件的信封里的发送者地址（not based on the envelope MAIL FROM address!) (要了解一封邮件的全部信封头信息，参考（http://www.stopspam.org/email/headers/headers.html）) 如果你是拨号用户，IP地址当然是你拨到ISP所得到的动态IP地址，然后你的主机名/域名是由你的ISP对你的IP 地址作反向DNS解析出来的主机名/域名，不过大多数ISP不作这个，因此，sendmail将仅仅记录你连接进来的IP地址，由此判断是否这个地址被允许relay mail.对sendmail 8.9.3来说，最通常的用来检查是否relay邮件的配置文件是/etc/mail/relay-domains,它能对IP地址或域名进行判断是否允许relay. 如果这一步不允许，再检查/etc/mail/access（它能被通过加FEATURE(access_db)到.mc文件再用m4生成/etc/sendmail.cf所激活附:本文讨论的所有设置都是基于M4宏命令生成的/etc/sendmail.cf）

d. 何为本地接收者（local recipient ）？

决定接收者邮件地址是否为本地的不是件轻松的事情，sendmail认为类w中的所有主机/域为本地接收者，也就是/etc/mail/sendmail.cw文件或者/etc/sendmail.cf中的Cw类定义后面列出的所有主机或域名。为了激活对/etc/mail/sendmail.cw的检查,使用特性Feature(use_cw_file)。但是这还不够，因为这个能被愚弄的，如. 因此sendmail用规则集(ruleset)先移走这个地址的本地部分( @local.site)后，如果仍有一些域，则考虑是否能通过relay检查，另外，sendmail也还检查/etc/mail/access 决定是否有项目匹配接收者地址所在的域，根据相应标记确定是否被允许接收。

四. Sendmail 8.9.3: anti-relaying（拒绝传递）怎么工作？

  a. 如果Mail From:行有下面的参数，sendmail拒绝mail relay:
1.发送者的域名不能被解析。这个能用FEATURE(accept_unresolvable_domains)被禁止。
2.非全称的域名。能被用FEATURE(accept_unresolvable_domains)禁止。
3.与access map（ /etc/mail/access）中的一项匹配。
  域名：如spammer.domain  reject
  全称email地址：如spammer@domain reject
  邮件地址的用户名部分：如spammer@  reject
或者不用'reject'用'error code error text'
spammer.domain"501 No e-mail from this domain."
spammer@domain"501 No e-mail from your address."
spammer@"501 Get a real address."

甚至用DISCARD （接收并安静地删除掉，让发送者感觉象被接收）

  b.检查接收者。
用FEATURE(blacklist_recipients)允许指定access map中不应该接收email的用户。
如：
badlocaluser550 Mailbox disabled for this username
host.mydomain550 That host does not accept mail
user@otherhost.mydomain550 Mailbox disabled for this recipient

这将禁止发到你本地域中的用户邮件地址badlocaluse@mydomain和在主机
host.mydomain中的任何用户和单个地址 user@otherhost.mydomain.

注：关于access map的说明：
  它的默认位置是/etc/mail/access. 每次更新后你必须运行
makemap hash /etc/mail/access.db < /etc/mail/access ，不需要重启用Sendmail.
它可以有以下入口：
1.域名
2.email地址
3.本地用户名部分
4.IP地址（完整的或者子网）
  和以下操作标记：
  1.OK
接收email，即使被其它规则拒绝了
  2.RELAY
允许通过该邮件主机relay的域。relay意味着OK
  3.REJECT
拒绝email并显示内部通用的错误提示
  4.DISCARD
安静地接收随后取消掉这封邮件
  5.XYZ some other text
XYZ是 RFC 821兼容的错误代码后面跟上一段自定义的错误信息

五.常见的两种检查规则

1. check_relay 规则（发送者检查）：
  检查主机名和IP地址，当无论什么时候，一台客户通过(E)SMTP连到邮件服务器时
该规则被调用。

2. check_rcpt 规则（接收者检查）：
  用于RCPT命令(用来禁止未被授权的relay).该规则禁止了所有的已知的relay诡计。

你能#tail -f /var/log/maillog检查是否某个邮件被运用了上述规则。

六. Why "550 Relaying Denied"?
如果你从你自己的邮件服务器得到了一个错误说"550 Relaying Denied"，你需要
弄清楚为什么，甚至可能你认为这决不应该发生，但是你可能忽略了某些细节，看
上去是应该被Relay，但实际上不。看下面的几个例子：

  1.正确的DNS数据
QAA02454: ... we do not relay
QAA02454: ruleset=check_rcpt, arg1=,
relay=170-51-209.ipt.aol.com [152.170.51.209], reject=550
... we do not relay
QAA02454: from=, size=0, class=0, pri=0, nrcpts=0,
proto=SMTP, relay=170-51-209.ipt.aol.com [152.170.51.209]

这里，主机名为170-51-209.ipt.aol.com的机器IP地址为152.170.51.209 试着交付
一封邮件给，然而，这个被拒绝了，因为接收者不是本地接
收者并且发送者的机器170-51-209.ipt.aol.com（152.170.51.209）也不是本地发送者。

   2.错误的DNS数据
QAA02454: ... Relaying denied
QAA02454: ruleset=check_rcpt, arg1=, relay=[134.245.85.93],
    reject=550 ... Relaying denied
QAA02454: from=, size=0, class=0, pri=0, nrcpts=0,
proto=SMTP, relay=[134.245.85.93]

这个其实与上面的情况相同，对于IP地址134.245.85.93没有PTR记录被找到，关于
这一点有个问题就是：万一你的邮件主机的relay功能仅仅是基于主机/域名进行检查
是否为本地发送者，(e.g., FEATURE(relay_entire_domain)，那样的话，如果该IP地址
是属于你的本地域之内，仍将被你拒绝relay.解决办法是为这个IP地址加PTR记录，
也就是反向DNS解析，或者添加到/etc/hosts文件中，再或者添加该IP地址到access map
中去（/etc/mail/access）。

  3.不一致的DNS数据
QAA02454: ... Relaying denied
QAA02454: ruleset=check_rcpt, arg1=,
relay=some.do