BlogJava-分享ｊａｖａ带来的快乐-文章分类-sendmail

postfix 邮件维护

强强 — Sun, 29 Apr 2012 10:38:00 GMT

# postfix 如何删除队列中的邮件

linux @ 06 二月 2009,

[root@mail ~]# mailq 查看队列邮件

postsuper -d ALL 这样就删除所有邮件啦

[注意：大小写有区别，请注意大小写！]

网上看到，Postfix 邮件队列管理的几个 Perl 小程序，pfdel.pl 是用来删除队列中指定用户的邮件的，luserdel.pl 是用来删除队列中无效用户的邮件的，moqdel.pl 是用来删除队列中邮箱配额已满的用户的邮件的，jmoqdel.pl 是删除邮箱配额已满的用户的垃圾邮件箱的。我装的是EMOS1.3，找不到这几个小程序。

用外面的邮件服务器发点EDM，一直有问题，成功太少，干脆用自己的邮件服务器发送，谁知道3W多封邮件是发出去了，全部堵在我们自己的服务器上，邮件服务器给堵死了只好删除队列中的垃圾邮件了，网上说是 mailq | tail +2 | awk ‘BEGIN { RS = “” } / chen@example\.org$/ { print $1 }’ | tr -d ‘*!’ | postsuper -d

参考官网写个脚本也不行，应该多研究下还可以的，脚本如下：

Q: 删除邮件队列

A: mailq | tail +2 | awk ‘BEGIN { RS = “” } / chen@example\.org$/ { print $1 }’ | tr -d ‘*!’

| postsuper -d -

[root@linuxas3 root]# vi mailqueue
#!/bin/bash
# netkiller@9812.net
queue=$1
# echo ${queue}
DELETE=”mailq | tail +2 | awk ’BEGIN { RS = \”\” } /${queue}$/ { print \$1 }’ | tr -d ‘*!’

| postsuper -d -”
echo ${DELETE} > queue
chmod 755 queue
./queue
[root@linuxas3 root]# chmod 755 mailqueue
[root@linuxas3 root]# ./mailqueue chen@example\\.org
mailq | tail +2 | awk ‘BEGIN { RS = “” } /chen@example\.org$/ { print $1 }’ | tr -d ‘*!’ |

由于邮件中有一些正常邮件，所以只能删除特定字符的垃圾邮件，通过mailq显示出来邮件队列：2AB97F815E* 2749 Thu Feb 5 15:48:38 web1@shequsz.com

szmaxoni@public.szptt.net.cn 删除邮件只需要命令postsuper -d 2AB97F815E即可。应该通过管道可以简单实现，但是我对使用管道不熟悉，只好多走两步了……

[root@mail ~]# mailq |grep shequsz\.com >>/home/maillist 到出包含shequsz.com的垃圾邮件到maillist

[root@mail home]# awk ‘{print $1}’ maillist >>/home/mywang/dellist 把邮件ID导出来，查看下如果带*，需要编辑替换下

[root@mail mywang]# cat delmail.sh 编辑一个脚本，把文件里面ID逐个匹配然后删除邮件

for i in `cat dellist`;

do postsuper -d $i;

done

[root@mail mywang]# sh delmail.sh

postfix有四种不同的邮件队列，并且由队列管理进程统一进行管理：

　　1． maildrop：本地邮件放置在maildrop中，同时也被拷贝到incoming中。

　　2． incoming：放置正在到达或队列管理进程尚未发现的邮件。

　　3． active：放置队列管理进程已经打开了并正准备投递的邮件，该队列有长度的限制。

　　4． deferred：放置不能被投递的邮件。

postfix日常维护

启动postfix postfix start

停止postfix postfix stop

重新读取postfix配置文件 postfix reload

立即投递队列中所有邮件(慎用) postfix flush

查看队列邮件 postqueue -p 或 mailqpostqueue -p |tail

使用postsuper 来维护队列。一般是先用mailq查看队列里的邮件，找到对应的id，然后用postsuper -d来删除。例如id是0EAF3A9B 那么postsuper -d 0EAF3A9B

Q: 删除邮件队列

A: mailq | tail +2 | awk ‘BEGIN { RS = “” } / chen@example\.org$/ { print $1 }’ | tr -d ‘*!’ | postsuper -d

详细要看mailq和postsuper的用法

修复队列以及任何权限错误

postfix check

查看邮件系统日志

tail -f /var/log/maillog

强强 2012-04-29 18:38 发表评论

Postfix的配置详解

强强 — Sun, 11 Dec 2011 11:36:00 GMT

4.1 postfix的配置文件结构

postfix的配置文件位于/etc/postfix下，安装完postfix以后，我们可以通过ls命令查看postfix的配置文件：

[root@mail postfix]# ls

install.cf main.cf master.cf postfix-script

这四个文件就是postfix最基本的配置文件，它们的区别在于：

mail.cf：是postfix主要的配置文件。

Install.cf：包含安装过程中安装程序产生的postfix初始化设置。

master.cf：是postfix的master进程的配置文件，该文件中的每一行都是用来配置postfix的组件进程的运行方式。

postfix-script：包装了一些postfix命令，以便我们在linux环境中安全地执行这些postfix命令。

4.2 postfix的基本配置

postfix大约有100个配置参数，这些参数都可以通过main.cf 指定。配置的格式是这样的，用等号连接参数和参数的值。如：

myhostname ＝ mail.mydomain.com

等号的左边是参数的名称，等号的右边是参数的值；当然，我们也可以在参数的前面加上$来引用该参数，如：

myorigin = $myhostname

虽然postfix有100个左右的参数，但是 postfix为大多数的参数都设置了缺省值，所以在让postfix正常为你服务之前，你只需要配置为数不多的几个参数。下面我们一起来看一看这些基本的postfix参数。需要注意的是，一旦你更改了main.cf文件的内容，则必须运行 postfix reload命令使其生效。

1． myorigin

myorigin参数指明发件人所在的域名。如果你的用户的邮件地址为user@domain.com,则该参数指定@后面的域名。缺省地， postfix使用本地主机名作为myorigin，但是建议你最好使用你的域名，因为这样更具有可读性。比如：安装postfix的主机为 mail.domain.com则我们可以这样指定myorigin:

myorigin = domain.com

当然我们也可以引用其他参数，如：

myorigin = $mydomain

2． mydestination

mydestination参数指定postfix接收邮件时收件人的域名，换句话说，也就是你的postfix系统要接收什么样的邮件。比如：你的用户的邮件地址为user@domain.com, 也就是你的域为domain.com, 则你就需要接收所有收件人为user_name@domain.com的邮件。与myorigin一样，缺省地，postfix使用本地主机名作为 mydestination。如：

mydestination = $mydomain

mydestination = domain.com

3． notify_classes

在postfix系统中，必须指定一个postfix系统管理员的别名指向一个用户，

只有这样，在用户遇到问题时才有报告的对象，postfix也才能将系统的问题报告给管理员。notify_classes参数就是用来指定向postfix管理员报告错误时的信息级别。共有以下几种级别：

bounce：将不可以投递的邮件的拷贝发送给postfix管理员。出于个人隐私的缘故，该邮件的拷贝不包含信头。

2bounce：将两次不可投递的邮件拷贝发送给postfix管理员。

delay：将邮件的投递延迟信息发送给管理员，仅仅包含信头。

policy：将由于UCE规则限制而被拒绝的用户请求发送给postfix管理员，包含整个SMTP会话的内容。

protocol：将协议的错误信息或用户企图执行不支持的命令的记录发送给postfix管理员。同样包含整个SMTP会话的内容。

resource：将由于资源错误而不可投递的错误信息发送给postfix管理员，比如：队列文件写错误等等。

software：将由于软件错误而导致不可投递的错误信息发送给postfix管理员。

缺省值为：

notify_classes = resource, software

4．myhostname

myhostname 参数指定运行postfix邮件系统的主机的主机名。缺省地，该值被设定为本地机器名。你也可以指定该值，需要注意的是，要指定完整的主机名。如：

myhostname = mail.domain.com

5．mydomain

mydomain参数指定你的域名，缺省地，postfix将myhostname的第一部分删除而作为mydomain的值。你也可以自己指定该值，如：

mydomain = domain.com

6．mynetworks

mynetworks 参数指定你所在的网络的网络地址，postfix系统根据其值来区别用户是远程的还是本地的，如果是本地网络用户则允许其访问。你可以用标准的A、B、C类网络地址，也可以用CIDR（无类域间路由）地址来表示,如：

192.168.1.0/24

192.168.1.0/26

7．inet_interfaces

inet_interfaces 参数指定postfix系统监听的网络接口。缺省地，postfix监听所有的网络接口。如果你的postfix运行在一个虚拟的ip地址上，则必须指定其监听的地址。如：

inet_interfaces = all

inet_interface = 192.168.1.1

4.3 postfix的UCE（unsolicited commercial email）控制

所谓UCE控制就是指控制postfix接收或转发来自于什么地方的邮件。

缺省地，postfix转发符合以下条件的邮件：

* 来自客户端ip地址符合$mynetworks的邮件。

* 来自客户端主机名符合$relay_domains及其子域的邮件。

* 目的地为$relay_domains及其子域的邮件。

缺省地，postfix接受符合以下条件的邮件：

* 目的地为$inet_interfaces的邮件。

* 目的地为$mydestination的邮件。

* 目的地为$virtual_maps的邮件。

但是我们也可以通过下面的规则来实现更强大的控制功能。

1．信头过滤

通过header_checks参数限制接收邮件的信头的格式，如果符合指定的格式，则拒绝接收该邮件。可以指定一个或多个查询列表，如果新邮件的信头符合列表中的某一项则拒绝该接收邮件。如：

header_checks = regexp:/etc/postfix/header_checks

header_checks = pcre:/etc/postfix/header_checks

缺省地，postfix不进行信头过滤。

2．客户端主机名/地址限制

通过smtpd_client_restrictions参数限制可以向postfix发起SMTP 连接的客户端的主机名或ip地址。可以指定一个或多个参数值，中间用逗号隔开。限制规则是按照查询的顺序进行的，第一条符合条件的规则被执行。可用的规则有：

reject_unknown_client：如果客户端的ip 地址在DNS中没有PTR记录则拒绝转发该客户端的连接请求。可以用 unknown_client_reject_code参数指定返回给客户机的错误代码（缺省为450）。如果你有用户没有作DNS记录则不要启用该选项。

permit_mynetworks：如果客户端的ip地址符合$mynetworks参数定义的范围则接受该客户端的连接请求，并转发该邮件。

check_client_access maptype:mapname：根据客户端的主机名、父域名、ip地址或属于的网络搜索access数据库。如果搜索的结果为REJECT 或者 '[45]XX text' 则拒绝该客户端的连接请求；如果搜索的结果为OK、RELAY 或数字则接受该客户端的连接请求，并转发该邮件。。可以用access_map_reject_code参数指定返回给客户机的错误代码（缺省为 554）。

reject_maps_rbl：如果客户端的网络地址符合$maps_rbl_domains参数的值则拒绝该客户端的连接请求。可以用maps_rbl_reject_code参数指定返回给客户机的错误代码（缺省为554）。

示例：

smtpd_client_restrictions = hash:/etc/postfix/access, reject_maps_rbl

smtpd_client_restrictions = permit_mynetworks, reject_unknown_client

该参数的缺省值为：

smtpd_client_restrictions =

也即接收来自任何客户端的SMTP连接。

3. 是否请求HELO命令

可以通过smtpd_helo_required参数指定客户端在SMTP会话的开始是否发送一个HELO命令。你可以指定该参数的值为yes或no。缺省值为：

smtpd_helo_required = no

4. HELO主机名限制

可以通过smtpd_helo_restrictions参数指定客户端在执行HELO命令时发送给postfix的主机名。缺省地， postfix 接收客户端发送的任意形式的主机名。可以指定一个或多个参数值，中间用逗号隔开。限制规则是按照查询的顺序进行的，第一条符合条件的规则被执行。可用的规则有：

reject_invalid_hostname：如果HELO命令所带的主机名参数不符合语法规范则拒绝客户机的连接请求。可以用invalid_hostname_reject_code参数指定返回给客户机的错误代码（缺省为501）。

permit_naked_ip_address：RFC要求客户端的HELO命令包含的ip地址放在方括号内，你可以用permit_naked_ip_address参数取消该限制。因为有的mail客户端不遵守该RFC的规定。

reject_unknown_hostname：如果客户端执行HELO命令时的主机名在DNS中没有相应的A 或 MX 记录则拒绝该客户端的连接请求。可以用invalid_hostname_reject_code参数指定返回给客户机的错误代码（缺省为450）。

reject_non_fqdn_hostname：如果客户端执行HELO命令时的主机名不是RFC规定的完整的域名则拒绝客户端的连接请求。可以用invalid_hostname_reject_code参数指定返回给客户机的错误代码（缺省为504）。

check_helo_access maptype:mapname：根据客户端HELO的主机名、父域名搜索access数据库。如果搜索的结果为REJECT 或者 '[45]XX text' 则拒绝该客户端的连接请求；如果搜索的结果为OK、RELAY 或数字则接受该客户端的连接请求。可以用access_map_reject_code参数指定返回给客户机的错误代码（缺省为554）。

示例：

smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname

5. RFC 821信头限制

RFC 821对邮件的信头做了严格的规定，但是广泛使用的sendmail并不支

持该规定，所以对于该参数我们只能说不，即：

strict_rfc821_envelopes = no

6. 通过发件人地址进行限制

可以用smtpd_sender_restrictions参数通过发件人在执行MAIL FROM命令时提供的地址进行限制。可以指定一个或多个参数值，中间用逗号隔开。限制规则是按照查询的顺序进行的，第一条符合条件的规则被执行。可用的规则有：

reject_unknown_sender_domain：如果MAIL FROM命令提供的主机名在DNS中没有相应的A 或 MX 记录则拒绝该客户端的连接请求。可以用unknown_address_reject_code参数指定返回给客户机的错误代码（缺省为450）。

check_sender_access maptype:mapname：根据MAIL FROM命令提供的主机名、父域搜索access数据库。如果搜索的结果为REJECT 或者 '[45]XX text' 则拒绝该客户端的连接请求；如果搜索的结果为OK、RELAY 或数字则接受该客户端的连接请求。可以用access_map_reject_code参数指定返回给客户机的错误代码（缺省为554）。可以通过该参数过滤来自某些不受欢迎的发件人的邮件。

reject_non_fqdn_sender：如果MAIL FROM命令提供的主机名不是RFC规定的完整的域名则拒绝客户端的连接请求。可以用non_fqdn_reject_code 参数指定返回给客户机的错误代码（缺省为504）。

缺省地，postfix接受来自任何发件人的邮件。

示例：

smtpd_sender_restrictions = hash:/etc/postfix/access, reject_unknown_sender_domain

7. 通过收件人地址进行过滤

可以用smtpd_recipient_restrictions参数通过发件人在执行RCPT TO命令时提供的地址进行限制。缺省值为：

smtpd_recipient_restrictions = permit_mynetworks, check_relay_domains

可以指定一个或多个参数值，中间用逗号隔开。限制规则是按照查询的顺序进行的，第一条符合条件的规则被执行。可用的规则有：

check_relay_domains：如果符合以下的条件，则接受SMTP连接请求，否则拒绝该连接，可以用relay_domains_reject_code 参数指定返回给客户机的错误代码（缺省为504）。

* 客户端主机名符合$relay_domains及其子域

* 目的地为$inet_interfaces、$mydestination或$virtual_maps

permit_auth_destination：不管客户端的主机名，只要符合以下的条件，就

接受SMTP连接请求：

* 解析后的目标地址符合$relay_domains及其子域

* 解析后的目标地址符合$inet_interfaces、$mydestination或$virtual_maps

reject_unauth_destination：不管客户端的主机名，只要符合以下的条件，就拒绝该客户端SMTP连接请求：

* 解析后的目标地址符合$relay_domains及其子域

* 解析后的目标地址符合$inet_interfaces、$mydestination或$virtual_maps

check_recipient_access：根据解析后的目标地址、父域搜索access数据库。如果搜索的结果为REJECT 或者 '[45]XX text' 则拒绝该客户端的连接请求；如果搜索的结果为OK、RELAY 或数字则接受该客户端的连接请求。可以用access_map_reject_code参数指定返回给客户机的错误代码（缺省为554）。

reject_unknown_recipient_domain：如果收件人的邮件地址在DNS中没有相应的A 或 MX 记录则拒绝该客户端的连接请求。可以用unknown_address_reject_code参数指定返回给客户机的错误代码（缺省为450）。

reject_non_fqdn_recipient：如果发件人在执行RCPT TO命令时提供的地址

不是完整的域名则拒绝其SMTP连接请求。可以用The non_fqdn_reject_code参数指定返回给客户机的错误代码（缺省为504）。

4.4 posftfix的性能控制

之所以对postfix的性能进行控制，是为了在遇到邮件风暴时保证postfix可以正常运行。通常，我们可以通过对下列postfix 参数的配置来调节postfix的性能，这些参数都是通过mail.cf配置文件进行配置的，修改以后不要忘了运行postfix reload命令来使配置生效。

1．进程数限制

可以通过default_process_limit 参数来控制postfix系统同时可以运行的最大进程数目。缺省值是50个。

2．对同一目标主机的并发连接限制

当向同一目标主机发出SMTP连接时，postfix初始化发出两个SMTP连接，如果投递成功则增加并发的SMTP连接数目，遇到拥塞时又减少并发连接的数目。postfix中通过以下的参数对同一目标主机的并发连接进行控制：

* initial_destination_concurrency：控制对同一目标主机的初始化并发连接数目。缺省值为2。

* default_destination_concurrency_limit：控制初始化连接后对同一目标主机的最大并发连接数目。缺省值为10。

* local_destination_concurrency_limit：控制对同一本地收件人的最大同时投递的邮件数目。缺省值为2，因为对本地同一收件人投递邮件时投递工作只能一个接一个的进行，所以设得在大也没用。

3．对同一封邮件的收件人数目限制

通过default_destination_recipient_limit参数来控制postfix的投递代理（如

smtp进程）可以将同一封邮件发送给多少个收件人。缺省值为50。也可以用明确指出该投递代理的参数来覆盖该缺省值。如用smtpd_recipient_limit来指定smtp投递代理可以将同一封邮件发送给多少个收件人，该参数的缺省值为1000。

4．推迟投递控制

通过defer_transports参数，我们可以推迟投递该参数指定的邮件直到postfix明确的提出投递要求。下面我们看一个例子：

有一个小型的局域网，用户都将邮件发送给局域网内部的一台postfix邮件服务器，然后通过在该服务器上拨号将邮件发送出去。这时我们可以这样指定该参数的值：

defer_transports = smtp

该语句表示postfix推迟投递所有的邮件直到执行sendmail -q命令，这样我们就可以在ppp的脚本中加上sendmail -q，以便在拨号成功后让postfix开始投递邮件。

强强 2011-12-11 19:36 发表评论

Sendmail 8.9.3中的Mail Relay规则简介

强强 — Sat, 30 Jan 2010 05:24:00 GMT

一.什么是第三方的Mail Relay?
当一台邮件服务器处理一封邮件时，该封邮件的发送者(the sender)和接收者(the recipient)都不是本地用户（local user),即发送者和接收者都处于本地域之外，该邮件服务器对于这封邮件的传送完全属于不相关的第三方，因此Mail Relay被sedmail默认禁止了。这阻止了Spammer利用你的服务器发送垃圾邮件。
二.为什么你要停止第三方的Mail Relay?
如果你的邮件服务器不能有效地控制第三方的mail relay，你应该立刻着手解决这个问题，不要等待spammer 来攻击你的邮件主机，主要是因为：
a.大量的垃圾邮件（junk email）可能会使你的邮件系统崩溃。它们占用你的磁盘空间，CPU资源，还可能引发Dos类型攻击（denial of  service attack).
b.你的组织可能被列入黑名单（backlist)。由于大量垃圾邮件从你的主机发出，其它一些组织或公司可能会不做任何更深的调查就更改设置阻止了从你的主机来的任何邮件，这也将同时阻止从你的站点发到它们的所有正常的商业性邮件,损失不可估量.
c.意识到这种攻击将会发生在你身上。不要因为它没有发生就意味着你是安全的。他们每天正用一些自动扫描的工具去扫描网络而寻找那些对他们打开relay功能的邮件主机。他们可能自己写了某个程序正每刻地进行扫描，如果你的邮件主机是易受攻击的，那么扫描到你就是迟早的事情。
    三. Sendmail(8.9.3)如何relay你的邮件？
      如果发送者和接收者都不属于本地域，sendmail将默认禁止mail relay. 要想使得sendmail relay
你的邮件，可以有下面两种途径，你必须确保发送者或者接收者其中至少有一个属于本地域.
a. 本地发送者到外部接收者(local sender to external recipient)
b. 外部发送者到本地接收者(external sender to local recipient)
==========
c. 何为本地发送者（local sender)?
当邮件服务器接收到一封从其它机器（如windows pc)发来的邮件时，它首先检查连接进来的主机的域名和 IP地址，注意：
决不是检查这封邮件的信封里的发送者地址（not based on the envelope MAIL FROM address!)
(要了解一封邮件的全部信封头信息，参考（http://www.stopspam.org/email/headers/headers.html）)
如果你是拨号用户，IP地址当然是你拨到ISP所得到的动态IP地址，然后你的主机名/域名是由你的ISP对你的IP
地址作反向DNS解析出来的主机名/域名，
不过大多数ISP不作这个，因此，sendmail将仅仅记录你连接进来的IP地址，由此判断是否这个地址被允许relay mail.对sendmail
8.9.3来说，最通常的用来检查是否relay邮件的配置文件是/etc/mail/relay-domains,它能对IP地址或域名进行判断是否允许relay.
如果这一步不允许，再检查/etc/mail/access（它能被通过加FEATURE(access_db)到.mc文件再用m4生成/etc/sendmail.cf所激活
附:本文讨论的所有设置都是基于M4宏命令生成的/etc/sendmail.cf）
d. 何为本地接收者（local recipient ）？
决定接收者邮件地址是否为本地的不是件轻松的事情，sendmail认为类w中的所有主机/域为本地接收者，也就是/etc/mail/sendmail.cw文件或者/etc/sendmail.cf中的Cw类定义后面列出的所有主机或域名。为了激活对/etc/mail/sendmail.cw的检查,使用特性Feature(use_cw_file)。但是这还不够，因为这个能被愚弄的，如.
因此sendmail用规则集(ruleset)先移走这个地址的本地部分(
@local.site)后，如果仍有一些域，则考虑是否能通过relay检查，另外，sendmail也还检查/etc/mail/access
决定是否有项目匹配接收者地址所在的域，根据相应标记确定是否被允许接收。

四. Sendmail 8.9.3: anti-relaying（拒绝传递）怎么工作？
a. 如果Mail From:行有下面的参数，sendmail拒绝mail relay:
1.发送者的域名不能被解析。这个能用FEATURE(accept_unresolvable_domains)被禁止。
2.非全称的域名。能被用FEATURE(accept_unresolvable_domains)禁止。
3.与access map（ /etc/mail/access）中的一项匹配。
域名：如spammer.domain  reject
全称email地址：如spammer@domain reject
邮件地址的用户名部分：如spammer@  reject
或者不用'reject'用'error code error text'
spammer.domain "501 No e-mail from this domain."
spammer@domain "501 No e-mail from your address."
spammer@ "501 Get a real address."
甚至用DISCARD （接收并安静地删除掉，让发送者感觉象被接收）
b.检查接收者。
用FEATURE(blacklist_recipients)允许指定access map中不应该接收email的用户。
如：
badlocaluser 550 Mailbox disabled for this username
host.mydomain 550 That host does not accept mail
user@otherhost.mydomain 550 Mailbox disabled for this recipient
这将禁止发到你本地域中的用户邮件地址badlocaluse@mydomain和在主机
host.mydomain中的任何用户和单个地址 user@otherhost.mydomain.
注：关于access map的说明：
它的默认位置是/etc/mail/access. 每次更新后你必须运行
makemap hash /etc/mail/access.db < /etc/mail/access ，不需要重启用Sendmail.
它可以有以下入口：
1.域名
2.email地址
3.本地用户名部分
4.IP地址（完整的或者子网）
和以下操作标记：
1.OK
接收email，即使被其它规则拒绝了
2.RELAY
允许通过该邮件主机relay的域。relay意味着OK
3.REJECT
拒绝email并显示内部通用的错误提示
4.DISCARD
安静地接收随后取消掉这封邮件
5.XYZ some other text
XYZ是 RFC 821兼容的错误代码后面跟上一段自定义的错误信息
五.常见的两种检查规则

1. check_relay 规则（发送者检查）：
检查主机名和IP地址，当无论什么时候，一台客户通过(E)SMTP连到邮件服务器时该规则被调用。
2. check_rcpt 规则（接收者检查）：
用于RCPT命令(用来禁止未被授权的relay).该规则禁止了所有的已知的relay诡计。
你能#tail -f /var/log/maillog检查是否某个邮件被运用了上述规则。
六. Why "550 Relaying Denied"?

如果你从你自己的邮件服务器得到了一个错误说"550 Relaying Denied"，你需要弄清楚为什么，甚至可能你认为这决不应该发生，但是你可能忽略了某些细节，看上去是应该被Relay，但实际上不。看下面的几个例子：
1.正确的DNS数据
QAA02454: ... we do not relay
QAA02454: ruleset=check_rcpt, arg1=,
relay=170-51-209.ipt.aol.com [152.170.51.209], reject=550
... we do not relay
QAA02454: from=, size=0, class=0, pri=0, nrcpts=0,
proto=SMTP, relay=170-51-209.ipt.aol.com [152.170.51.209]
这里，主机名为170-51-209.ipt.aol.com的机器IP地址为152.170.51.209 试着交付一封邮件给，然而，这个被拒绝了，因为接收者不是本地接收者并且发送者的机器170-51-209.ipt.aol.com（152.170.51.209）也不是本地发送者。
2.错误的DNS数据
QAA02454: ... Relaying denied
QAA02454: ruleset=check_rcpt, arg1=, relay=[134.245.85.93],
reject=550 ... Relaying denied
QAA02454: from=, size=0, class=0, pri=0, nrcpts=0,
proto=SMTP, relay=[134.245.85.93]
这个其实与上面的情况相同，对于IP地址134.245.85.93没有PTR记录被找到，关于这一点有个问题就是：万一你的邮件主机的relay功能仅仅是基于主机/域名进行检查是否为本地发送者，(e.g., FEATURE(relay_entire_domain)，那样的话，如果该IP地址是属于你的本地域之内，仍将被你拒绝relay.解决办法是为这个IP地址加PTR记录，也就是反向DNS解析，或者添加到/etc/hosts文件中，再或者添加该IP地址到access map 中去（/etc/mail/access）。
3.不一致的DNS数据
QAA02454: ... Relaying denied
QAA02454: ruleset=check_rcpt, arg1=,
relay=some.domain [10.0.0.1] (may be forged),
reject=550 ... Relaying denied
QAA02454: from=, size=0, class=0, pri=0, nrcpts=0,
proto=SMTP, relay=some.domain [10.0.0.1] (may be forged)
这儿,(may be forged)是个很重要的部分：它说明对于该主机的DNS数据是不一致的，并且主机名不被用来检查是否被允许relay,而仅仅检查IP地址，因此这和第二种情况相同。
七. 动态Relay授权控制简介：（DRAC）

DRAC是一个后台程序，它动态地为Sendmail更新access map文件，它提供一种方法，就是允许合法的用户通过你的SMTP邮件主机relay mail,同时仍然阻止其它人用它作为Spam Relay.当用户被POP/IMAP服务器认证后其IP地址被立即加入/etc/mail/access允许mail relay.默认地，该IP地址在access map的入口在30分钟后被终止了。
这种功能特别是对那些公司有用，它们在各个地方有办事处，外地办事处或出差在外的笔记本用户通过拨入当地ISP，且设置了发送邮件服务器为本公司的SMTP邮件主机时。
一般地，Sendmail所能看见的唯一可靠的信息是客户机的主机/域名或IP地址，并且当一个用户是通过拨本地ISP连接到其本公司总部的SMTP邮件服务器时，Sendmail不能分辩你的用户是spammer还是本公司合法员工，如果拨号用户有固定的IP地址/域名，你可以配置sendmail允许他们relay mail.但是大多数情况，特别在中国，拨号用户每次得到的是不同的变化多端的IP地址，因此你不得不告诉用户通过他们本地ISP提供的邮件主机发送邮件.
DRAC所用的方法是叫做POP-before-SMTP, 既然POP服务器知道每一个接收邮件的客户机的IP地址,这些IP地址能被收集起来动态构建access map,你可能需要写一个程序来收集这些地址,象上面说的一样,默认保留30分钟然后取消这些IP地址的mail relay. 一般地定期运行makemap程序更新access map.
这有两种情况:
1. 拨到ISP后先收后发.
2. 在发件信(outbox)中有信,拨号后先发后收.
第一种情况没有问题,对于第二种情况,需要在连到POP3信箱收信之后邮件才能被发送,
第一次发送将被拒绝.
第二种情况在被POP3取得认证后，随即access map被更新允许SMTP Mail Relay.

强强 2010-01-30 13:24 发表评论

管理 sendmail 的邮件队列

强强 — Mon, 22 Dec 2008 10:46:00 GMT

邮件队列是存储 sendmail 命令传送的邮件消息数据和控制文件的目录。缺省情况下，邮件队列是 /var/spool/mqueue。

邮件消息可能由于很多原因而排入队列。

例如：

sendmail 命令可以配置成按一定的时间间隔处理队列，而不是立即处理。如果这样，邮件消息必须临时存储。
如果一个远程主机不响应一个邮件连接的请求，邮件系统会将这些消息排入队列，稍后再作尝试。

打印邮件队列

队列内容可以使用 mailq 命令打印（或通过指定 sendmail 命令的 -bp 标志）。

这些命令产生队列标识、消息大小、消息进入队列的日期以及发送方与收件人的列表。

邮件队列文件

队列中的每条消息都与一定数量的文件相关联。这些文件按以下约定命名：

TypefID

其中 ID 是一个唯一的消息队列标识，而 Type 是以下表示文件类型的字母中的一个：

d	包含消息正文但无标题信息的数据文件。
q	队列控制文件。该文件包含处理作业所需要的信息。
t	临时文件。该文件是 q 文件重建时的一个映象。它快速重命名为 q 文件。
x	在会话过程中存在并显示该次会话中发生的任何事件的记录文件。

例如，如果一条消息的队列标识为 AA00269，当 sendmail 命令尝试传送消息时，在邮件队列目录中创建和删除以下文件：

dfAA00269	数据文件
qfAA00269	控制文件
tfAA00269	临时文件
xfAA00269	记录文件

q 控制文件

q 控制文件包括一系列行，每一行都以一个代码字母开始：

B	指定 `body type`。该行其余部分是定义 `body type` 的文本字符串。如果缺失该项字段，则缺省情况下 `body type` 是 7 位的，而且不会尝试特殊的处理。合法值是 7BIT 和 8BITMIME。
C	包括控制用户。对于以文件或程序作收件人的地址，sendmail 作为该文件或程序的所有者来执行传送。控制用户被设置为文件或程序的所有者。由 .forward 或 :include: 文件读取的收件人地址也将使控制用户被设置为文件所有者。当 sendmail 传送邮件到这些收件人时，sendmail 作为控制用户传送，然后转换回 root 用户。
F	包括信包标志。标志是以下的任意组合：w（设置 EF_WARNING 标志）、r（设置 EF_RESPONSE 标志）、8（设置 EF_HAS8BIT 标志）和 b（设置 EF_DELETE_BCC 标志）。其它字母则被忽略而无提示。
H	包括一个标题定义。此类行的数量任意。H 行出现的顺序确定了它们在最终消息里的出现顺序。这些行使用的语法与 /etc/mail/sendmail.cf 配置文件中的标题定义相同。（对于早于 AIX 5.1 的版本，该文件是 /etc/sendmail.cf。）
I	为 df 文件指定内节点和设备信息；这可以在磁盘崩溃后用来恢复邮件队列。
K	指定上一次传输尝试的时间（以秒为单位）。
M	当一条消息由于在传送尝试中出现了错误而放入队列时，错误的性质就存储在 M 行。
N	指定传送尝试的总数。
O	指定 ESMTP 的消息传输系统（MTS）的原始值。它只用于传送状态通知。
P	包括当前消息的优先级。优先级用来对队列排序。数字越大表示优先级越低。当消息位于队列中时优先级增加。初始优先级取决于消息的类和消息的大小。
Q	包含初始收件人，由 ESMTP 事务中的 `ORCPT=` 字段指定。仅用于传送状态通知。只应用于紧接着的 R 行。
R	包含收件人地址。每个收件人占一行。
S	包含发送方地址。此类行只有一行。
T	包含消息创建时间，用来计算何时消息超时。
V	指定队列文件格式版本号（该队列文件格式用来允许新的 sendmail 二进制文件读取旧版本创建的队列文件）。缺省时指版本 0。如果存在，必须是文件的第一行。
Z	指定原始信包标识（从 ESMTP 事务中）。只用于传送状态通知。
$	包含宏定义。某些宏（$r 和 $s）的值会传递到队列运行阶段。

传送到 amy@zeus 的消息的 q 文件类似于：

P217031
T566755281
MDeferred: Connection timed out during user open with zeus
Ramy@zeus
H?P?return-path: 
Hreceived: by george (0.13 (NL support)/0.01)
id AA00269; Thu, 17 Dec 87 10:01:21 CST
H?D?date: Thu, 17 Dec 87 10:01:21 CST
H?F?From: geo
Hmessage-id: <8712171601.AA00269@george>
HTo: amy@zeus
Hsubject: test

其中：

`P217031`	消息的优先级
`T566755281`	提交时间（秒）
`MDeferred: Connection timed out during user open with zeus`	状态消息
`Sgeo`	发送方标识
`Ramy@zeus`	收件人标识
`Hlines`	消息的报头信息

在 sendmail 中指定时间值

要设置消息超时和队列处理间隔，必须用特定的时间值格式。时间值的格式是：

-qNumberUnit

其中 Number 是一个整数值，Unit 是单位字母。Unit 可以是以下值中的一个：

s	秒
m	分
h	小时
d	天
w	周

如果没有指定 Unit，sendmail 守护程序使用分（m）作为缺省值。下面三个示例说明时间值的规范：

/usr/sbin/sendmail -q15d

该命令使得 sendmail 守护程序每 15 天处理一次队列。

/usr/sbin/sendmail -q15h

该命令使得 sendmail 守护程序每 15 小时处理一次队列。

/usr/sbin/sendmail -q15

该命令使得 sendmail 守护程序每 15 分钟处理一次队列。

强制邮件队列

在某些情况下，您可能发现队列由于某种原因阻塞。您可以使用 -q 标志（没有值）强制一个队列运行。您也可以用 -v 标志（详细）来观察发生了什么：

/usr/sbin/sendmail -q -v

使用一个队列修饰符，您也可以将作业限制在具有特定队列标识符、发送方或收件人的范围中。例如，-qRsally 将队列运行限制为收件人地址之一中有字符串 sally 的作业。同样，-qS 字符串会将运行限制为特定的发送方，而 -qI 字符串将它限制为特定的队列标识。

设置队列处理时间间隔

守护程序启动时 -q 标志的值确定 sendmail 守护程序处理邮件队列的时间间隔。

sendmail 守护程序通常由 /etc/rc.tcpip 文件在系统启动时启动。/etc/rc.tcpip 文件包含一个称为队列处理间隔（QPI）的变量，该变量在该文件启动 sendmail 守护程序时用来指定 -q 标志的值。缺省情况下，qpi 的值是 30 分钟。要指定不同的队列处理间隔：

用您喜欢的编辑器编辑 /etc/rc.tcpip 文件。
查找给 qpi 变量指定值的行，例如：
```
qpi=30m
```
将指定给变量 qpi 的值更改为希望的时间值。

这些变化会在下一次系统重新启动时生效。如果您想让这些变化立刻生效，请停止并重新启动 sendmail 守护程序，指定新的 -q 标志值。更多相关信息，请参阅停止 sendmail 守护程序和启动 sendmail 守护程序。

移动邮件队列

当一个主机长期关闭时，路由到（或通过）该主机的很多消息可能存储在邮件队列中。结果 sendmail 命令要花费很长时间对队列排序，这严重降低了系统性能。如果您移动队列到一个临时空间并创建一个新的队列，旧队列可以稍后在该主机恢复服务后运行。要移动队列到一个临时空间并创建一个新的队列，请：

按停止 sendmail 守护程序中的指示信息停止 sendmail 守护程序。
输入以下内容移动整个队列目录：
```
cd /var/spool
    mv mqueue omqueue
```
按启动 sendmail 守护程序中的指示信息重新启动 sendmail 守护程序。
输入以下内容处理旧邮件队列：
```
/usr/sbin/sendmail -oQ/var/spool/omqueue -q
```
-oQ 标志指定一个备用队列目录。 -q 标志指定运行队列中的每一项作业。要获取操作过程的报告，请使用 -v 标志。

注:

此操作可能要花些时间。
当队列为空时，输入以下内容除去日志文件和临时目录：
```
rm /var/spool/omqueue/*
    rmdir /var/spool/omqueue
```

启动 sendmail 守护程序

要启动 sendmail 守护程序，请输入以下命令中的一个：

startsrc -s sendmail -a "-bd -q15"

/usr/lib/sendmail -bd -q15

如果 sendmail 守护程序在输入这些命令中的一个时已经激活，请参阅屏幕上的以下消息：

sendmail 子系统已经激活。不支持多实例。

如果 sendmail 守护程序没有被激活，您将会看到一条消息表示 0sendmail 守护程序已经启动。

停止 sendmail 守护程序

要停止 sendmail 守护程序，请运行 stopsrc -s sendmail 命令。

如果 sendmail 守护程序没有随 startsrc 命令启动，请：

查找 sendmail 进程标识。
输入 kill sendmail_pid 命令。（其中 sendmail_pid 是 sendmail 过程的处理标识）。

强强 2008-12-22 18:46 发表评论

配置Sendmail

强强 — Thu, 18 Oct 2007 15:26:00 GMT

要生成sendmail.cf文件

一般是编译sendmail.mc来生成sendmail.cf,这样的好处是通过编译，会查看出一些sendmail的设置错误和漏洞。

# cd /etc/mail
# vi sendmail.mc

(1)找到：

TRUST_AUTH_MECH(`EXTERNAL DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl

打开注解，启用相应的认证机制，主要是为了支持Outlook。

(2)找到：

DAEMON_OPTIONS(`Port=25, Name=MSA,M=Ea')dnl 这样sendmail将在25端口进行强制身份认证
dnl DAEMON_OPTIONS(`Port=smtp,Addr=0.0.0.0, Name=MTA')dnl
dnl DAEMON_OPTIONS(`Port=587, Name=MSA,M=a')dnl

define(`confAUTH_MECHANISMS', `EXTERNAL GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl

打开注解，启用相应的认证机制，主要是为了支持Outlook。

(3)在(2)后添加两行：

设置MTA和MSA端口。

(4)找到：

dnl DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1, Name=MTA')

将该行注释掉，以允许通过网络连接Sendmail。

(5)找到：

dnl FEATURE(`accept_unresolvable_domains')

禁止不可解析域名的转发邮件。

最后保存退出。

[编辑]

编译sendmail.mc生成sendmail.cf文件

# m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf
# /etc/rc.d/init.d/sendmail restart --重起sendmail服务。

如果在执行m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf 报错的话，那么检查是否安装sendmail-cf.*.rpm是否安装：

# rpm -qa | grep sendmail-cf

如果没有安装，则需要在安装光盘中找到sendmail-cf包，并安装：

# rpm -ivh sendmail-cf*.rpm

[编辑]

检测编译结果

1、检测SASL被编译到sendmail中。

#/usr/sbin/sendmail -d0.1 -bv root |grep SASL

输出类似如下：

NETUNIX NEWDB NIS PIPELINING SASL SCANF STARTTLS TCPWRAPPERS

保证你看到SASL就是正确的。

2、检测25端口：

# telnet localhost 25


Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 fyhtest.163.net ESMTP Sendmail 8.12.5/8.12.5; Thu, 10 Apr 2003 16:35:42 -0400
ehlo test
250-fyhtest.163.net Hello localhost [127.0.0.1], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE
250-DSN
250-ETRN
250-AUTH LOGIN PLAIN
250-DELIVERBY
250 HELP


quit ---退出

只要输出有LOGIN PLAIN就可以了。

到这里，sendmail就配置完了，你可以添加一个用户进行测试：

#useradd test
#passwd test 设置密码

把你服务器的域名添加到/etc/mail/local-host-names中。

[编辑]

其他设置

要想更好的使用sendmail，常用到的一些设置：

1、限制最大邮件。

# vi /etc/mail/sendmail.cf
# maximum message size
MaxMessageSize=5000000 (注：5M)

2、最大的群发数目。

# vi /etc/mail/sendmail.cf
# maximum number of recipients per SMTP envelope
MaxRecipientsPerMessage=20 （注：20个）

3、域名文件----local-host-name 可以用他来实现虚拟域名或多域名支持。

# vi /etc/mail/local-host-name
test.com
test1.com

4、mail别名文件--aliases。

# vi /etc/aliases
系统内部别名：discuz:bbsadmin
discuz是我的用户名，其他的是别名，用逗号隔开。
转发到其他的邮箱：discuz:bbsadmin@discuz.com
# newaliases --写到库中

5、邮件控制文件

relay、ok、reject和discard。

relay: 可以实现转发。

ok: 是用来允许用户的任意访问，它会覆盖任何其它已建立的检查（实际设置中，最好不要设为这项，除非你对该用户是绝对信任的）；

reject: 可以实现对来访地址的拒绝，它根本就不容许该地址与你的邮件服务器进行连接通信；

discard: 的作用是在接收到传输的邮件消息后，把它丢弃掉。在发送者看来，他的邮件的确是接收了，但他并不知道，发送的目的地址根本不可能接收到他的邮件，服务器巧妙地欺骗了他。

# vi /etc/mail/access


localhost.localdomain RELAY ---允许
localhost RELAY
127.0.0.1 RELAY
peng@sina.com ok
@sexgirl.net reject
211.77.22.45 discard


# makemap hash /etc/mail/access.db < /etc/mail/access --写到库中

6、Sendmail环境下的防止邮件relay
从8.9版本开始，缺省的是不允许邮件转发(mail relay)的。最简单的允许邮件转发的方法是在文件/etc/mail/relay-domains中进行设置。该文件中列出的域名内的信件都允许通过本地服务器进行邮件转发。
为了更精确的设置，可以在sendmail.mc中添加如下几个参数允许被用来设置邮件转发：
· FEATURE(relay_hosts_only). 通常情况下，在文件/etc/mail/relay-domains中列出的域名的主机都允许通过本地机转发，而该设置指示指定必须罗列出每个允许通过本机转发邮件的主机。
· FEATURE(relay_entire_domain). 该参数指示允许所有本地域通过本机进行邮件转发。
· FEATURE(access_db). 该参数指定利用哈希数据库/etc/mail/access来决定是否允许某个主机通过本地进行邮件转发。
· FEATURE(blacklist_recipients).若该参数被设置，则在决定是否允许某个主机转发邮件时同时察看邮件发送着地址和邮件接受者地址。
· FEATURE(rbl).允许基于maps.vix.com由黑名单(Realtime Blackhole List)进行邮件拒绝，以防范垃圾邮件。
· FEATURE(accept_unqualified_senders).允许接受发送者地址不包括域名的邮件，例如user，而不是user@B.NET。
· FEATURE(accept_unresolvable_domains).通常来讲，sendmail拒绝接受发送者邮件地址指定的主机通过DNS不能解析的邮件，而该参数允许接收这种邮件。
· FEATURE(relay_based_on_MX).该参数允许转发邮件接受者地址的MX记录指向本地的的邮件，例如，本地接收到一个发送目的地址为user@b.com的邮件，而b.com域名的MX记录指向了本地机器，则本地机器就允许转发该邮件。
下面几个特性可能会有安全漏洞，一般当邮件服务器位于防火墙后时才应该使用，因为这些参数可能导致你的系统易于被垃圾邮件发送者利用。

·FEATURE(relay_local_from).该参数指定若消息自称源于本地域，则允许转发该邮件。

            ·FEATURE(promiscuous_relay).打开对所有的邮件的转发。

7.设置完成后outlook发送邮件要求验证时，出现错误

Jan 30 14:45:57 qiuding sendmail[13908]: o0U6jvs1013908: [116.230.242.136] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Jan 30 14:45:58 qiuding sendmail[13909]: o0U6jw4h013909: [116.230.242.136] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Jan 30 14:47:38 qiuding sendmail[13918]: o0U6lcCc013918: [116.230.242.136] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Jan 30 14:47:41 qiuding sendmail[13919]: o0U6lefW013919: [116.230.242.136] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Jan 30 14:47:42 qiuding sendmail[13920]: o0U6lfoF013920: [116.230.242.136] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Jan 30 14:47:43 qiuding sendmail[13921]: o0U6lgtZ013921: [116.230.242.136] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Jan 30 14:47:43 qiuding sendmail[13922]: o0U6lh53013922: [116.230.242.136] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Jan 30 14:47:44 qiuding sendmail[13923]: o0U6li7I013923: [116.230.242.136] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
大量查找资料原来是
认证进程没有启动 SASLAUTHD服务一定要启动否则无法进行用户验证
etc/rc.d/init.d/saslauthd start
配置下载

sendmail -bd -q1h

　　Sendmail的命令参数的含义如下：

　　-b：指定Sendmail在后台运行，并且监听端口25的请求。

　　-d：指定Sendmail以Daemon方式运行(守护进程)。

　　-q：当Sendmail无法将邮件成功地发送到目的地时，它会将邮件保存在队列里。该参数指定邮件在队列里保存的时间。例子里的1h表示保留1小时。

　　在终端命令窗口运行以下命令来重新启动Sendmail服务：

　　[root@ahpeng root]#/etc/rc.d/init.d/sendmail restart

　　在终端命令窗口运行以下命令来关闭Sendmail服务：

　　[root@ahpeng root]#/etc/rc.d/init.d/sendmail stop

　　我们还可以在终端命令窗口运行以下命令来检测Sendmail服务器的运行状态：

　　[root@ahpeng root]# /etc/rc.d/init.d/sendmail status

　　系统应该显示：

　　sendmail (pid 3251) 正在运行…

/etc/mail目录下操作
makemap hash access.db killall -9 sendmail
etc/rc.d/init.d/saslauthd start
sendmail -bd -q30m

强强 2007-10-18 23:26 发表评论