加密工具:四步搞定邮件服务器

运维 服务器运维
Stunnel是一款可以加密网络数据的TCP连接工具,采用Client/Server模式,将CIient端的网络数据采用SSL加密,安全传输到指定的Server端再进行解密还原,然后发送到访问的服务器。

SSL (Secu rity Socket Layer)协议由Netscape公司设计开发,主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变(即数据的完整性),现已成为该领域中全球化的标准。

Stunnel是一款可以加密网络数据的TCP连接工具,可工作在Unix、Linux和Windows平台上,采用Client/Server模式,将CIient端的网络数据采用SSL加密,安全传输到指定的Server端再进行解密还原,然后发送到访问的服务器。

StunneI很好地解决了SSL不能对现有旧的应用程序传输数据加密的问题。在Stunnel出现之前,要实现安全的数据传输,只能依靠在应用程序之中添加SSL代码的方式来提高安全性。Stunnel基于OPenSSL, 所以要求安装OpenSSL,并进行正确的配置。Stunnel可以向不启用SSL的服务器端软件提供保护却不需对守护进程的编码做任何修改,Stunnel的工作原理如图所示。例如,可以使用Stunnel保护POP3、SMTP和IMAP服务器。StunneI***版本为stunel-4.33.tar.gz,其官网为www.stunnel.org

1.安装编译Stunnel

StunneI安装非常简单,笔者在此就不在累赘, 使用下面的命令完成对StunneI的安装:

#wget http://www.stunnel.org/download/stunnel/src/stunnel-4.33.tar.gz

#tar zxvf stunel-4.33.tar.gz

#./configure;make;make install

  图Stunnel工作原理

下面使用Stunnel封装一些流行的邮件服务器。

#p#

2.保障IMAP安全

IMAP(Internet MessageAccess Protocol)是用户从不同的计算机访问邮件的一种方式。其工作方式为在一台中央计算机上存储信息,并且允许用户访问信息的一个拷贝。用户可以让本地工作站和服务器同步, 此外也可以为邮件创建一个文件夹, 并且具有完全的访问权限。通过Stunnel封装IMAP有两种方法。

1).通过stunnel直接运行IMAP服务

如果有使用SSL协议连接的IMAP客户端,则推荐使用这种方法。首先关闭imapd守护进程,然后使用重启脚本(/etc/rc.d/rc.1ocal)中的命令行代替imapd,使用如下命令:

/usr/sbin/stunel -p /usr/local/ssl/certs/stunel.pem -d 993 -r localhost:143

这个命令使用IMAPS端口(993)上指定的文件运行Stunnel,imapd端口监听程序的代理,在143端口上运行。如果允许非SSL IMAP客户端连接到标准的IMAP端口(143),可以配置SSL IMAP客户端连接到端口I MAPS(993)代替:

/usr/sbin/stunel -p /usr/local/ssl/certs/stunel.pem -d 993 -l /usr/sbin/imapd

2).使用xinetd运行安全的IMAP

从守护进程的概念可以看出,对于系统所要通过的每一种服务,都必须运行监听某个端口连接所发生的守护进程,这通常意味着资源浪费。

为了解决这个问题,Linux引入了"网络守护进程服务程序" 的概念。xinetd能够同时监听多个指定的端口,在接受用户请求时,能够根据用户请求的端口不同,启动不同的网络服务进程处理这些用户请求。可以把xinetd看做一个管理启动服务的管理服务器,把一个客户请求交给程序处理,然后启动相应的守护进程。如果使用xinetd运行IMAP服务,修改配置文件(/etc/xinetd.d/imapd)如下:

service imap

{

disable=no

socket_type=stream

wait=no

user=root

port=143

server=/usr/sbin/stunel

server_args=stunel imapd -l /usr/sbin/imapd -imapd

log_on_succes+=USERID

log_on_failure+=USERID

#env=VIRTDOMAIN=virtual.hostname

}

然后向超级服务程序传递SIGHUP信号,重新载人xinetd配置:

killall -USR1 xinetd

#p#

3.保障POP3安全

为了使用SSL连接POP3邮件服务,要重新配置文件脚本如下:

service pop3s

{

disable=no

socket_type=stream

wait=no

user=root

server=/usr/sbin/stunel

server_args=stunel pop3s -l /usr/sbin/ipop3d -ipop3d

log_on_success+=USERID

log_on_failure+=USERID

}

如果客户端软件不能使用基于SSL的POP3邮件用户代理MUA,则可以使用POP3重新定向的方法。

#p#

4.保障sMTP安全

如果一个正在运行的SMTP服务器需要允许出差在外的员工向内部网络发送多个邮件,则可以进行如下设定:

/usr/local/sbin/stunel -d 25 -p /var/lib/ssl/certs/server.pem -r localhost:smtp

这样就只能保障终端用户和邮件服务器之间的安全SMTP传输。邮件发送到域之外的邮件服务器将不在安全范围之内。

Stunnel安全工具可以为两个网络或多个网络的邮件服务器提供安全保障。即使用户是一个系统管理员,而不是开发者,Stunnel也是一个强大的工具,因为可以向不启用SSL的服务器端软件添加SSL。例如, 以上提到的使用Stunnel保护POP3、SMTP和IMAP服务器。惟一不尽人意的地方是,需要使用这些服务器的安全版本,客户机必须是可识别SSL的。Stunnel也有些局限性, 比如在服务器端, 当前只能够透明地代理Linux客户机。在客户机端,不容易执行充分的证书验证。

【编辑推荐】

  1. Windows 2003架设邮件服务器大全
  2. 邮件服务器故障检查全览
  3. 邮件服务器配置管理大汇总
责任编辑:景琦 来源: IT168
相关推荐

2012-08-28 09:53:47

2009-09-24 11:10:56

打印服务器

2009-02-25 16:09:17

Windows优化XPy

2021-07-26 09:35:26

SQL数据库优化

2012-05-29 13:59:30

服务器选购曙光服务器

2009-10-10 14:54:38

RHEL 5搭建DNS

2010-09-07 13:18:49

ROS构建PPPOE服

2010-06-02 17:29:02

svnserve服务

2021-11-23 23:43:16

MySQL数据库Docker

2009-10-15 10:46:35

虚拟化主机热备份

2011-07-28 17:33:02

服务器WindowsServ

2009-09-02 14:43:26

邮件服务器

2015-03-11 09:55:15

运维管理

2010-04-22 15:24:36

邮件安全网络加密服务器

2010-04-09 11:21:37

Linux下配置VSf

2010-11-19 15:44:04

IT跳槽

2011-07-07 13:09:04

编程

2017-04-17 12:31:45

SDN网络虚拟化

2010-04-20 10:12:05

2012-02-23 23:46:26

点赞
收藏

51CTO技术栈公众号