日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
適用于初創(chuàng)公司的超輕量級smtp服務配置

一、背景

公司主營業(yè)務:成都做網(wǎng)站、網(wǎng)站建設、移動網(wǎng)站開發(fā)等業(yè)務。幫助企業(yè)客戶真正實現(xiàn)互聯(lián)網(wǎng)宣傳,提高企業(yè)的競爭能力。成都創(chuàng)新互聯(lián)公司是一支青春激揚、勤奮敬業(yè)、活力青春激揚、勤奮敬業(yè)、活力澎湃、和諧高效的團隊。公司秉承以“開放、自由、嚴謹、自律”為核心的企業(yè)文化,感謝他們對我們的高要求,感謝他們從不同領域給我們帶來的挑戰(zhàn),讓我們激情的團隊有機會用頭腦與智慧不斷的給客戶帶來驚喜。成都創(chuàng)新互聯(lián)公司推出西豐免費做網(wǎng)站回饋大家。

smtp 是一種常見的服務,提供了程序自動化郵件外發(fā)的可能。不光是用于產(chǎn)品向客戶的通知服務;更多的是用在企業(yè)內(nèi)部的信息工具,比如我們就有 sentry / confluence / zulip 等等非常多的開源工具,都需要配置 smtp 來實現(xiàn)內(nèi)部信息的聯(lián)動。

當前最簡單的郵箱使用方式是使用開放的郵箱服務,比如現(xiàn)在很多小型企業(yè)在使用的企業(yè)郵箱,可以配置一個專門的賬號來提供發(fā)信服務。但是,這種方式存在非常大的安全隱患。

二、問題

直接使用公開的賬號,很容易帶來安全問題:

  1. 自動化發(fā)信的程序需要用戶名和密碼,這些信息需要存儲在代碼或者配置中
  2. 有經(jīng)驗的程序員知道將敏感信息分離,并且存儲在代碼庫外;然而新員工,或者安全意識不強的同事很容易將這些信息入庫
  3. 更糟糕的是,即使三令五申,有些程序員還是會無意的把代碼放到 github 上,這些是公開可以訪問的
  4. 然后就炸了

當郵箱賬號一泄露(一般 smtp 賬號同樣能登陸郵件賬戶或者使用 pop3 協(xié)議),郵件里面隱藏的一些敏感信息(尤其是 confluence 的通知郵件)會帶來更多的泄露,嚴重的可能會影響到我們競選總統(tǒng)。

一種解決方案是,加強所謂的安全流程,同時通過一些工具來驗證輔助(比如大家都在做的 github 掃描),但這種方式過于被動,而且無法從根本上來解決問題。技術上的問題,還得尋求技術方案來解決。

三、解決方案

其實傳統(tǒng)的工具就可以解決這個問題,我們就采用了 postfix 作 smtp 中轉:

??

??

  1. 配置 postfix 作為 smtp replay 服務,將發(fā)信方與真正的郵件服務器隔離開來
  2. 發(fā)信方與 postfix 使用公司內(nèi)部賬號(甚至無賬號)進行內(nèi)網(wǎng)通信,這樣即使賬號泄露,也無法用來登陸郵箱獲取信息;同時,由于 postfix 是內(nèi)部的服務,可以更靈活的配置防火墻
  3. postfix 和 smtp 服務之間仍然使用 smtp 賬號,但這里只有系統(tǒng)管理員才需要知道賬戶,相對安全。另外,還需要進行自動刪信,禁用 pop3,微信登陸等手段來加強,這個 163 郵箱,qq 郵箱都有不同的配置,請自行設置

說白了,就是靠代理解耦來解決問題。熟悉我們的人估計一看就明白,因為我們很多問題都是靠這種方式來解決。下面簡要描述下配置供參考。

sudo vim /etc/postfix/main.cf  
 
#####以下是main.cf配置內(nèi)容 
relayhost = [$SMTP_HOST]:25  
smtp_sasl_auth_enable = yes  
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd  
smtp_sasl_security_options = noanonymous 
#配置重寫規(guī)則,強制修改發(fā)送郵件地址,防止smtp服務拒收郵件 
ender_canonical_maps = pcre:/usr/local/etc/postfix/sender_canonical_map 
#####以上是main.cf配置內(nèi)容 
 
sudo vim /etc/postfix/sender_canonical_map 
#####以下是main.cf配置內(nèi)容 
/.*/ 發(fā)信smtp用戶名 
#####以上是main.cf配置內(nèi)容 
 
sudo vim /etc/postfix/sasl_passwd  
#####以下是sasl_passwd配置內(nèi)容 
[$SMTP_HOST]:25     用戶名:密碼 
#####以下是sasl_passwd配置內(nèi)容 
 
sudo postmap /etc/postfix/sasl_passwd 
sudo service postfix resart 
 
# done

四、自動化集成

添加自己的 smtp 中轉服務,還可以配置無賬號登陸的方式,這樣在命令行中調用服務將更加簡單,這也是我們搭建 postfix 的另外一個原因。這里介紹兩種方式:

1. 通過 curl 命令發(fā)送郵件

最新版的 curl 命令支持 smtp / smtps , 不過發(fā)型版自帶的比較老,需要自己下載最新版本進行編譯安裝,使用的話相對簡單。

/usr/local/bin/curl -s -v --url "smtp://xxxx:25" --mail-from "sender@bigsec.com" --mail-rcpt "receiver@bigsec.com" --upload-file mail.txt 
 
# content of mail.txt 
From:xxx@bigsec.com 
To:xxx@bigsec.com 
Subject: curl發(fā)送郵件標題 
 
xxxxx

2. 通過傳統(tǒng)的mailx命令來發(fā)送郵件

其實依舊是相對傳統(tǒng)的命令,比如 mailx 就能滿足我們的需要。不過安裝起來略顯麻煩,需要在每個發(fā)行版找各自合適的包,比如 ubuntu 就應該安裝 heirloom-mailx ,使用起來則更加簡單:

echo "test" |mail -S smtp=xxxx -r sender@bigsec.com -s subject receiver@bigsec.com

上面一條命令就可以將信息通過郵件進行發(fā)送。

我們更加傾向于采用第二種,因為比較簡單:這使得我們在大量的腳本中能很方便的集成郵件通知功能。

五、總結

本文描述了通過 postfix 做 smtp relay 的方式來解決賬號泄露的風險,這也再一次驗證了兩點:

  1. 代理是王道,幫懶人快速解決問題。
  2. 技術遇到的問題必須用技術來解決,這比所謂的架構 / 流程要靠譜的多。

【本文是專欄機構“豈安科技”的原創(chuàng)文章,轉載請通過微信公眾號(bigsec)聯(lián)系原作者】

??

??

??戳這里,看該作者更多好文??


網(wǎng)頁標題:適用于初創(chuàng)公司的超輕量級smtp服務配置
當前路徑:http://www.dlmjj.cn/article/dpojjsh.html