作者 主題: sendmail認證問題...  (閱讀 30941 次)

0 會員 與 1 訪客 正在閱讀本文。

iscandy

  • 憂鬱的高中生
  • ***
  • 文章數: 127
    • 檢視個人資料
sendmail認證問題...
« 於: 2003-01-14 09:55 »
請問各位高手,

我是rh7.2+sendmail
我按照文件說明加上smtp認證的功能
但不論local或遠端的outlook有沒有勾選"我的伺服器(SMTP)需要驗證"
都可以正常收發信耶...
好像認證的功能沒有生效...

請問有人知道為什麼嗎??

audiman

  • 活潑的大學生
  • ***
  • 文章數: 249
    • 檢視個人資料
sendmail認證問題...
« 回覆 #1 於: 2003-01-14 10:28 »
最近我也開始發生這種問題了
直覺上應該是被CRACK了.....
剛裝好時還可以做到認證的功能
不過現在似乎失去作用...我也正在查原因..
測試他有沒有啟動也OK....
現在正想把他裝新版的看看會不會好點...

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17477
    • 檢視個人資料
    • http://www.study-area.org
sendmail認證問題...
« 回覆 #2 於: 2003-01-14 11:07 »
不知到 access 是否有設過及更新過 access.db?

iscandy

  • 憂鬱的高中生
  • ***
  • 文章數: 127
    • 檢視個人資料
sendmail認證問題...
« 回覆 #3 於: 2003-01-14 11:28 »
但我覺得更奇怪的是
以前我也用rh7.2+sendmail+smtp認證功能 ==> 有成功
現在我機器重新安裝,一樣的套件確不行....  : (
真是怪了~

audiman

  • 活潑的大學生
  • ***
  • 文章數: 249
    • 檢視個人資料
sendmail認證問題...
« 回覆 #4 於: 2003-01-14 11:48 »
NETMAN大大不太懂你的意思...
我在每次更改完ACCESS後都會作
makemap -r hash /etc/mail/access.db < /etc/mail/access
這項動作....
因為我想破頭也想不出來哪有問題....

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17477
    • 檢視個人資料
    • http://www.study-area.org
sendmail認證問題...
« 回覆 #5 於: 2003-01-14 12:55 »
若 access.db 已通過 relay,那 sednmail 就不再參考 auth smtp ,
因此不關密碼是否有設,都可通過。
(星期六的聚會我有提到過...)

iscandy

  • 憂鬱的高中生
  • ***
  • 文章數: 127
    • 檢視個人資料
sendmail認證問題...
« 回覆 #6 於: 2003-01-14 13:37 »
引述: "netman"
若 access.db 已通過 relay,那 sednmail 就不再參考 auth smtp ,
因此不關密碼是否有設,都可通過。
(星期六的聚會我有提到過...)


可是這裡如果沒有設relay
那遠端不就不能寄信了嗎??

audiman

  • 活潑的大學生
  • ***
  • 文章數: 249
    • 檢視個人資料
sendmail認證問題...
« 回覆 #7 於: 2003-01-14 13:54 »
這.....哈哈
原來是這麼回是...
另外想請教NETMAN大大...(一直忘記再版上問既然提到就順便問一下)
RELAY這個功能....怎麼關掉啊....
是把ACCESS裡面的全MARK起來嗎?
或是有其他的方式...

audiman

  • 活潑的大學生
  • ***
  • 文章數: 249
    • 檢視個人資料
sendmail認證問題...
« 回覆 #8 於: 2003-01-14 13:56 »
那這樣不是很矛盾嗎....開放了RELAY ,AUTH SMTP卻沒作用了
是否有什麼方法可以做到又有安全認證又可以RELAY...

audiman

  • 活潑的大學生
  • ***
  • 文章數: 249
    • 檢視個人資料
sendmail認證問題...
« 回覆 #9 於: 2003-01-14 14:09 »
對不起我又來插花了......
關於開不開放RELAY...
基於安全性的考量應該是儘量不要去開放...就連LOCAL都要關掉...
這樣子他才會恢復認證的功能...(剛剛試出來了)...
iscandy兄如果想要遠端有RELAY的話,那AUTH SMTP可能就沒辦法發揮作用....

NETMAN大大我這樣講不知道對不對....

iscandy

  • 憂鬱的高中生
  • ***
  • 文章數: 127
    • 檢視個人資料
sendmail認證問題...
« 回覆 #10 於: 2003-01-14 14:54 »
不好意是!!
您是說access.db要清空
還是relay-domains呢??

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17477
    • 檢視個人資料
    • http://www.study-area.org
sendmail認證問題...
« 回覆 #11 於: 2003-01-14 15:01 »
引述: "audiman"
那這樣不是很矛盾嗎....開放了RELAY ,AUTH SMTP卻沒作用了
是否有什麼方法可以做到又有安全認證又可以RELAY...


auth smtp 的目的是???
-----> 就是要開 relay 。
若,access 已 relay ,那,為何還 auth smtp?

不知能搞懂這個羅輯嗎?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17477
    • 檢視個人資料
    • http://www.study-area.org
sendmail認證問題...
« 回覆 #12 於: 2003-01-14 15:09 »
引述: "audiman"
對不起我又來插花了......
關於開不開放RELAY...
基於安全性的考量應該是儘量不要去開放...就連LOCAL都要關掉...

建議開 localhost 及內部網路。
剩下的,交給  auth smtp 吧。

或許還有人搞不懂 relay 是甚麼?
簡單來說:是從一個 smtp 連線進來,再用 smtp 送出。(兩者缺一都不算 relay)
那麼, access, relay-domains, popb4smtp, auth-smtp,  ... 是做甚麼的?
都是做 relay 控制的。但有參考順序之別,若 1,2,3,4 都可做同一事情﹔
要是 1 完成了,那 2,3,4 就不必管,否則輪到 2﹔
要是 2 完成了,那 3,4 就不必管,否則輪到 3﹔
要是 3 完成了,那 4 就不必管,否則輪到 4﹔
要是 4 完成了,那也可,否則就失敗。

而 access 是優於 auth-smtp 的。

iscandy

  • 憂鬱的高中生
  • ***
  • 文章數: 127
    • 檢視個人資料
sendmail認證問題...
« 回覆 #13 於: 2003-01-14 15:19 »
netman大大:
那我知道了~

但我把access.db的遠端IP刪掉
然後在relay-domains加上遠端ip ==> 如此遠端才可送信
但遠端有沒有勾郵件認證,結果都可以傳耶....
醬子應該是沒達到認證功能吧...

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17477
    • 檢視個人資料
    • http://www.study-area.org
sendmail認證問題...
« 回覆 #14 於: 2003-01-14 15:27 »
引述: "iscandy"
netman大大:
那我知道了~

但我把access.db的遠端IP刪掉
然後在relay-domains加上遠端ip ==> 如此遠端才可送信
但遠端有沒有勾郵件認證,結果都可以傳耶....
醬子應該是沒達到認證功能吧...


再看前面的 1,2,3,4 ....
    要是 1 完成了,那 2,3,4 就不必管,否則輪到 2﹔
    要是 2 完成了,那 3,4 就不必管,否則輪到 3﹔
    要是 3 完成了,那 4 就不必管,否則輪到 4﹔
    要是 4 完成了,那也可,否則就失敗。  

access.db  -->1
relay-domains -->2
auth-smtp -->3

代入公式,再簡化,得:
    要是 access.db  完成了,那 relay-domains, auth-smtp 就不必管,否則輪到 relay-domains ﹔
    要是 relay-domains 完成了,那 auth-smtp 就不必管,否則輪到 auth-smtp ﹔
    要是 auth-smtp  完成了,那也可,否則就失敗。  


因為你的目的不是要作 auth-smtp ,而是 relay !
因此,是 access.db  跟 relay-domains 要是能 relay ,那目的就達到了。而不是 auth-smtp 沒達到。

懂了?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17477
    • 檢視個人資料
    • http://www.study-area.org
sendmail認證問題...
« 回覆 #15 於: 2003-01-14 15:31 »
p.s. 這就是為何我一直強調 "基礎與原理" 而不強調 "設定" 的原因。
上面所談,就算看一萬個"設定範例"也是理解不來的,
但,反過來,一旦"原理"懂了,那自然會設...

audiman

  • 活潑的大學生
  • ***
  • 文章數: 249
    • 檢視個人資料
sendmail認證問題...
« 回覆 #16 於: 2003-01-14 15:33 »
>_<....................好難喔...
這...
應該是說遠端(某些特定IP之類的)想要可以使用自己架設的MAIL SERVER才設定了RELAY,但是為了讓所有在MAIL SERVER認可的帳號,在任何地方都可以使用MAIL SERVER,才有了AUTH SMTP。
這個邏輯不知道通不通......

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17477
    • 檢視個人資料
    • http://www.study-area.org
sendmail認證問題...
« 回覆 #17 於: 2003-01-14 15:44 »
引述: "audiman"
>_<....................好難喔...
這...
應該是說遠端(某些特定IP之類的)想要可以使用自己架設的MAIL SERVER才設定了RELAY,但是為了讓所有在MAIL SERVER認可的帳號,在任何地方都可以使用MAIL SERVER,才有了AUTH SMTP。
這個邏輯不知道通不通......

不難...  ^_^
請再理解 relay :smtp-in then smtp-out 。
若 smtp-in then local ,不算 relay ﹔
若 local to smtp-out ,也不算 relay (註:某些 local process 也可能用 local smtp-in then smtp-out)。

okay?可以理解?
然後,說故事:
之前的 mail system 是沒限制 relay 的,
也就是任何 ip 都可連進 mail server 然後送信到任何地方。
這多美好啊 ....  
但,太美好是有問題的,尤其對廣告信而言...  
於是人們想辦法來限制 relay ,
但聰明的人們想出來的方法太多了...
於是就是前面的 1,2,34 ...

okay?可以理解?

然後,你的問題呢?

cwlvkimo

  • 活潑的大學生
  • ***
  • 文章數: 276
    • 檢視個人資料
    • http://cwlv.adsldns.org
sendmail認證問題...
« 回覆 #18 於: 2003-01-15 21:26 »
引述: "iscandy"
netman大大:
那我知道了~

但我把access.db的遠端IP刪掉
然後在relay-domains加上遠端ip ==> 如此遠端才可送信
但遠端有沒有勾郵件認證,結果都可以傳耶....
醬子應該是沒達到認證功能吧...


可以
192.168.0.100/24                               RELAY
或是
192.168.0.100/255.255.255.0              RELAY
這樣表示嗎

VBird

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 1516
    • 檢視個人資料
    • http://linux.vbird.org
sendmail認證問題...
« 回覆 #19 於: 2003-01-16 00:37 »
引述: "cwlvkimo"
引述: "iscandy"
netman大大:
那我知道了~

但我把access.db的遠端IP刪掉
然後在relay-domains加上遠端ip ==> 如此遠端才可送信
但遠端有沒有勾郵件認證,結果都可以傳耶....
醬子應該是沒達到認證功能吧...


可以
192.168.0.100/24                               RELAY
或是
192.168.0.100/255.255.255.0              RELAY
這樣表示嗎
不行!!!但是可以這樣表示:
192.168.0    RELAY

cwlvkimo

  • 活潑的大學生
  • ***
  • 文章數: 276
    • 檢視個人資料
    • http://cwlv.adsldns.org
sendmail認證問題...
« 回覆 #20 於: 2003-01-16 01:42 »
引述: "VBird"
引述: "cwlvkimo"
引述: "iscandy"
netman大大:
那我知道了~

但我把access.db的遠端IP刪掉
然後在relay-domains加上遠端ip ==> 如此遠端才可送信
但遠端有沒有勾郵件認證,結果都可以傳耶....
醬子應該是沒達到認證功能吧...


可以
192.168.0.100/24                               RELAY
或是
192.168.0.100/255.255.255.0              RELAY
這樣表示嗎
不行!!!但是可以這樣表示:
192.168.0    RELAY


如果是半個c class怎麼表示ㄋㄟ......?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17477
    • 檢視個人資料
    • http://www.study-area.org
sendmail認證問題...
« 回覆 #21 於: 2003-01-16 14:13 »
引述: "cwlvkimo"
如果是半個c class怎麼表示ㄋㄟ......?


之前的 sendmail 版本沒辦法,只能逐個 IP 寫了。
但,不知新版的如何?有人試過嗎?不如就請 cwlvkimo 兄幫忙測試看看?記得回來跟大家報告結果哦~~~  ^_^

cwlvkimo

  • 活潑的大學生
  • ***
  • 文章數: 276
    • 檢視個人資料
    • http://cwlv.adsldns.org
sendmail認證問題...
« 回覆 #22 於: 2003-01-16 15:38 »
引述: "netman"
引述: "cwlvkimo"
如果是半個c class怎麼表示ㄋㄟ......?


之前的 sendmail 版本沒辦法,只能逐個 IP 寫了。
但,不知新版的如何?有人試過嗎?不如就請 cwlvkimo 兄幫忙測試看看?記得回來跟大家報告結果哦~~~  ^_^


能被netman大大如此瞧得起....感恩蛤 !!!
小弟才剛剛玩1-2個月而以ㄟ.....
我試過
192.168.0.100/24 RELAY
192.168.0.100/255.255.255.0 RELAY
結果連outlook都無法發信....
不知道還有沒有其他的表示法了....

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
sendmail認證問題...
« 回覆 #23 於: 2003-01-16 15:59 »
半個C class ?
作各nat放在中間再透過nat連到email server不就只要
client端一律透過nat連,access改這樣
nat ip RELAY

zoob

  • 鑽研的研究生
  • *****
  • 文章數: 776
    • 檢視個人資料
    • http://www.myunix.idv.tw
sendmail認證問題...
« 回覆 #24 於: 2003-01-16 16:36 »
引述: "cwlvkimo"

我試過
192.168.0.100/24 RELAY
192.168.0.100/255.255.255.0 RELAY
結果連outlook都無法發信....
不知道還有沒有其他的表示法了....


正常一個C class是用以下表示法

192.168.0    RELAY

如果你要用CIDR的表示法,請參考以下敘述

    Q3.41 -- How do I use CIDR notation in the access map (or other places)?
    Date: December 3, 2002
    Use contrib/cidrexpand to pre-process the data into a format that is supported by sendmail. For example:

    cidrexpand < access | makemap hash access


    --------------------------------------------------------------------------------

    Q3.42 -- Why isn't CIDR notation directly supported by sendmail?
    Date: December 3, 2002
    Because it is in general very expensive to do this. Here's an explanation from Per Hedeland:

    And not just more complex, it would have to do many more (comparatively expensive) lookups - there's no way, given (e.g.) the IP address 66.205.192.123, to find the matching "66.205.192.0/19" with a single lookup in a general key/value hashed map. The code would have to look for "66.205.192.123", "66.205.192.122/31", "66.205.192.120/30", "66.205.192.120/29", etc, etc - 14 lookups to find a /19, 32 to establish a non-match.
    which is 8 times more than the available octet boundary lookup.
    I haven't done any measurements, but I wouldn't be surprised if even in the absolute worst case, that your map is 128 times bigger than it "needs" to be, the time for a single lookup won't even double - i.e. you'll lose already on the second lookup. [/list]

    cwlvkimo

    • 活潑的大學生
    • ***
    • 文章數: 276
      • 檢視個人資料
      • http://cwlv.adsldns.org
    寫錯了
    « 回覆 #25 於: 2003-01-16 17:00 »
    可以
    192.168.0.0/24                               RELAY
    或是
    192.168.0.0/255.255.255.0              RELAY
    這樣表示嗎[/quote]不行!!!但是可以這樣表示:
    192.168.0    RELAY[/quote]

    如果是半個c class怎麼表示ㄋㄟ......?[/quote]

    應該是192.168.0.0啦.....sorry

    duan

    • 榮譽博士
    • 活潑的大學生
    • ***
    • 文章數: 253
      • 檢視個人資料
    sendmail認證問題...
    « 回覆 #26 於: 2003-06-19 11:47 »
    引述: "netman"

      要是 access.db  完成了,那 relay-domains, auth-smtp 就不必管,否則輪到 relay-domains ﹔
      要是 relay-domains 完成了,那 auth-smtp 就不必管,否則輪到 auth-smtp ﹔
      要是 auth-smtp  完成了,那也可,否則就失敗。  



    不好意思, 想請教個問題.

     netman 兄其實說的很清楚了, 之前找到的資料也是這樣說. 只是弟實作的情
    況有點小差異, 想確認一下.

    弟目前有做 smtp-auth , 用 sendmail  , 測試上都 ok , 也運作了好幾個月
    (在此感謝 vvbird 兄, 當時在 linux 看到您的文章之後照著實做的).

    可是比較不一樣的是, 弟的 access 有 192.168.0  relay
    192.168.0 是弟的內部 IP , 在沒有設 auth 前就已經是這樣的設定.
    照理來說, 會先檢查  access , 才會檢查 auth 的部份.

    well, 弟這邊的情況是, outlook 的確是可以直接寄信, 不需要 auth .
    但是 mozilla 卻一定需要 auth 才能發信. (試過 mozilla 1.2, 1.3)

    能否請教是否有人也有這樣的情況, 還是弟忽略了什麼地方?
    或是這和  client 的軟體有關?    

    謝謝.   :)

    netman

    • 管理員
    • 俺是博士!
    • *****
    • 文章數: 17477
      • 檢視個人資料
      • http://www.study-area.org
    sendmail認證問題...
    « 回覆 #27 於: 2003-06-19 13:19 »
    mozilla 我沒試過(因為我很少用 Linux 做 desktop ... )
    但不知您能否試試取消 mozilla 的 outing account 的設定呢?

    duan

    • 榮譽博士
    • 活潑的大學生
    • ***
    • 文章數: 253
      • 檢視個人資料
    sendmail認證問題...
    « 回覆 #28 於: 2003-06-19 14:09 »
    引述: "netman"
    mozilla 我沒試過(因為我很少用 Linux 做 desktop ... )
    但不知您能否試試取消 mozilla 的 outing account 的設定呢?


    因為一開始 sendmail 是沒有 auth , mozilla 和 outlook 都是透過 relay 的
    設定來寄信.

    後來加上 auth 以後, outlook 可以照舊使用, mozilla 卻會 popup 出視窗詢
    問帳號密碼. 這個部份因為 mozilla 和系統都曾經重灌過 (當然不是因為
    這個問題重灌的  ^^;)  , 所以試了好幾次都這樣.    :O

    不過弟今晚回到家後再試一次看看. 因為這是有點奇怪, 和看到的文件
    不太一樣.  一種是弟那裡有設錯, 另一種是 mozilla 連上 smtp 時, ehlo
    之後看到有 AUTH 的字樣就自動詢問了 (這種猜測會不會很愚蠢啊? ^^)

    netman

    • 管理員
    • 俺是博士!
    • *****
    • 文章數: 17477
      • 檢視個人資料
      • http://www.study-area.org
    sendmail認證問題...
    « 回覆 #29 於: 2003-06-19 15:37 »
    嗯... 剛抓了兩台 redhat 7.3 來試,
    我這邊的 mozilla 只有第一次被勾選了"smtp 使用帳號"時才會問密碼,
    之後就不會問了...
    又,我將 smtp server 的 auth stmp 取消,也不會問密碼。
    在此基礎上,若將 access.db 的 relay 也取消,那也不會問密碼,但卻得到 relay denied ....

    或許,我之前的推斷也不怎麼正確,
    可能還需以 mua 那邊的判斷來決定所用的方式?這個我不肯定啦。