• 您的位置：您現(xiàn)在的位置： 創(chuàng)新互聯(lián) >> 企業(yè)郵局 >> 郵局知識 >> 小編錦囊妙計(jì)之加密工具：郵件服務(wù)器四步就搞定

小編錦囊妙計(jì)之加密工具：郵件服務(wù)器四步就搞定

• 作者：曾小姐 文章來源：成都企業(yè)郵局 點(diǎn)擊數(shù)：543 更新時間：2009-1-09
• 　　首先，我們先來說說SSL (Secu rity Socket Layer)協(xié)議，這是由Netscape公司設(shè)計(jì)開發(fā)的，主要用來提供對用戶和服務(wù)器的認(rèn)證以及對傳送的數(shù)據(jù)進(jìn)行加密和隱藏和確保數(shù)據(jù)在傳送中不被改變(即數(shù)據(jù)的完整性)，現(xiàn)在已經(jīng)成為該領(lǐng)域中全球化的標(biāo)準(zhǔn)了。
  　 其次，解釋一下Stunnel，這是一款可以加密網(wǎng)絡(luò)數(shù)據(jù)的TCP連接工具，可以工作在Unix、Linux和Windows平臺上，采用Client/Server模式，將CIient端的網(wǎng)絡(luò)數(shù)據(jù)采用SSL加密，安全傳輸?shù)街付ǖ腟erver端再進(jìn)行解密還原，然后發(fā)送到訪問的服務(wù)器。
  　 StunneI的優(yōu)勢是很好地解決了SSL不能對現(xiàn)有舊的應(yīng)用程序傳輸數(shù)據(jù)加密的問題。并且在Stunnel出現(xiàn)之前，需要實(shí)現(xiàn)安全的數(shù)據(jù)傳輸，就只能依靠在應(yīng)用程序之中添加SSL代碼的方式來提高安全性。Stunnel是基于OPenSSL， 所以要求大家安裝OpenSSL，并進(jìn)行正確的配置。最重要的是，Stunnel可以向不啟用SSL的服務(wù)器端軟件提供保護(hù)卻不需對守護(hù)進(jìn)程的編碼做任何修改。
  　 下面小編來說說Stunnel的工作原理，例如，可以使用Stunnel保護(hù)POP3、SMTP和IMAP服務(wù)器。StunneI最新版本為stunel-4.33.tar.gz，其官網(wǎng)為www.stunnel.org。
  　 1.怎么安裝編譯Stunnel？
  　 其實(shí)，StunneI安裝非常簡單，小編在此節(jié)約時間，就不再累贅，使用下面的命令完成對StunneI的安裝：
  #wget http://www.stunnel.org/download/stunnel/src/stunnel-4.33.tar.gz
  #tar zxvf stunel-4.33.tar.gz
  #./configure;make;make install
  　 下面再使用Stunnel封裝一些流行的郵件服務(wù)器。
  　 2.保障IMAP的安全很重要
  　 什么是IMAP呢？IMAP是Internet MessageAccess Protocol的簡稱。指的是用戶從不同的計(jì)算機(jī)訪問郵件的一種方式。其工作方式為在一臺中央計(jì)算機(jī)上存儲信息，并且允許用戶訪問信息的一個拷貝。用戶可以讓本地工作站和服務(wù)器同步，此外也可以為郵件創(chuàng)建一個文件夾， 并且具有完全的訪問權(quán)限。
  　 通過Stunnel封裝IMAP有兩種方法。具體步驟如下：
  　 1).先要通過stunnel直接運(yùn)行IMAP服務(wù)
  　 如果你是使用SSL協(xié)議連接的IMAP客戶端，那么小編推薦使用這種方法。
  　 首先關(guān)閉imapd守護(hù)進(jìn)程，然后使用重啟腳本(/etc/rc.d/rc.1ocal)中的命令行代替imapd，使用如下命令：
  /usr/sbin/stunel -p /usr/local/ssl/certs/stunel.pem -d 993 -r localhost:143
  這個命令意義是使用IMAPS端口(993)上指定的文件運(yùn)行Stunnel，imapd端口監(jiān)聽程序的代理，在143端口上運(yùn)行。要是允許非SSL IMAP客戶端連接到標(biāo)準(zhǔn)的IMAP端口(143)，你就可以配置SSL IMAP客戶端連接到端口I MAPS(993)代替：
  /usr/sbin/stunel -p /usr/local/ssl/certs/stunel.pem -d 993 -l /usr/sbin/imapd
  　 2).再使用xinetd運(yùn)行安全的IMAP
  　 現(xiàn)在，我們從守護(hù)進(jìn)程的概念可以看出，對于系統(tǒng)所要通過的每一種服務(wù)，都必須運(yùn)行監(jiān)聽某個端口連接所發(fā)生的守護(hù)進(jìn)程，這通常意味著資源浪費(fèi)。那么要怎樣節(jié)約資源呢？為了解決這個問題，Linux引入了"網(wǎng)絡(luò)守護(hù)進(jìn)程服務(wù)程序" 的概念。　　 　 xinetd能夠同時監(jiān)聽多個指定的端口，在接受用戶請求時，能夠根據(jù)用戶請求的端口不同，啟動不同的網(wǎng)絡(luò)服務(wù)進(jìn)程處理這些用戶請求。大家可以把xinetd看做一個管理啟動服務(wù)的管理服務(wù)器，把一個客戶請求交給程序處理，然后啟動相應(yīng)的守護(hù)進(jìn)程。
  　 如果你是使用的xinetd運(yùn)行IMAP服務(wù)，就需要修改配置文件(/etc/xinetd.d/imapd)。方法如下：
  service imap
  {
  disable=no
  socket_type=stream
  wait=no
  user=root
  port=143
  server=/usr/sbin/stunel
  server_args=stunel imapd -l /usr/sbin/imapd -imapd
  log_on_succes+=USERID
  log_on_failure+=USERID
  #env=VIRTDOMAIN=virtual.hostname
  }
  然后你需要向超級服務(wù)程序傳遞SIGHUP信號，再重新載人xinetd配置：killall -USR1 xinetd
  3.接著要確保POP3安全
  為了使用SSL連接POP3郵件服務(wù)，需要重新配置文件腳本如下：
  service pop3s
  {
  disable=no
  socket_type=stream
  wait=no
  user=root
  server=/usr/sbin/stunel
  server_args=stunel pop3s -l /usr/sbin/ipop3d -ipop3d
  log_on_success+=USERID
  log_on_failure+=USERID
  }
  　 如果出現(xiàn)客戶端軟件不能使用基于SSL的POP3郵件用戶代理MUA，那么你就可以使用POP3重新定向的方法。
  　 4.最后需要保障sMTP安全
  　 假設(shè)一個情況：一個正在運(yùn)行的SMTP服務(wù)器需要允許出差在外的員工向內(nèi)部網(wǎng)絡(luò)發(fā)送多個郵件，那我們就可以進(jìn)行如下設(shè)定： /usr/local/sbin/stunel -d 25 -p /var/lib/ssl/certs/server.pem -r localhost:smtp
  但是這樣的設(shè)定就只能保障終端用戶和郵件服務(wù)器之間的安全SMTP傳輸。郵件要是發(fā)送到域之外的郵件服務(wù)器將不在安全范圍之內(nèi)。
  　 總結(jié)的來說呢，Stunnel安全工具可以為兩個網(wǎng)絡(luò)或多個網(wǎng)絡(luò)的郵件服務(wù)器提供安全保障。簡單的說，即指用戶是一個系統(tǒng)管理員，而不是開發(fā)者。并且Stunnel也是一個很強(qiáng)大的工具，因?yàn)樗�可以向不啟用SSL的服務(wù)器端軟件添加SSL。列舉來說就像以上提到的使用Stunnel保護(hù)POP3、SMTP和IMAP服務(wù)器�？墒谴嬖谖┮徊槐M人意的地方是，Stunnel需要使用這些服務(wù)器的安全版本，客戶機(jī)也必須是可識別SSL的，不容就會存在風(fēng)險(xiǎn)哦。并且Stunnel也存在一些局限性，比如在服務(wù)器端，當(dāng)前只能夠透明地代理Linux客戶機(jī)。在客戶機(jī)端，Stunnel是不容易執(zhí)行充分的證書驗(yàn)證的。
  　 講到這里，不知道你的看法和小編是否相同呢？
• 上一篇文章：如何使你的網(wǎng)站被百度有效收錄和受歡迎
  下一篇文章：郵件推廣的八秘訣