用linux系统搭建postfix邮件服务器，但是局域网可以实现互发邮件，不能给其他的公网邮箱互发邮件，求解

快速配置Postfix邮件服务器

Postfix最被人称道的地方就在于其配置文件的可读性很高。Postfix的主配置文件是/etc/postfix/maincf。

在maincf文件中，参数都是以类似变量的设置方法来设置的，这些参数的使用主要包含两部分的内容：

（1）定义和声明变量：例如definename = good-better-best。等号左边是变量的名称，等号右边是变量的值。

（2）引用变量：可以在变量的前面加上符号“$”来引用该变量，如：myname = $ definename（相当于definename = good-better-best）。

需要注意的是：等号两边需要有空格字符。此外，如果变量有两个以上的设置值，就必须用逗号“，”或者空格符“ ”将它们分开。

在熟悉了上述变量的定义和引用方法后，下面详细介绍如何安全、高效地配置Postfix服务器的相关选项。

1．设置Postfix服务监听的网络接口

默认情况下，inet_interfaces参数的值被设置为localhost，这表明只能在本地邮件主机上寄信。如果邮件主机上有多个网络接口，而又不想使全部的网络接口都开放Postfix服务，就可以用主机名指定需要开放的网络接口。不过，通常是将所有的网络接口都开放，以便接收从任何网络接口来的邮件，即将inet_interfaces参数的值设置为“all”，如下所示：

inet_interfaces = all

2．安全设置可接收邮件的主机名称或域名

mydestination参数非常重要，因为只有当发来的邮件的收件人地址与该参数值相匹配时，Postfix才会将该邮件接收下来。通过该选项的设置可以过滤掉许多没有经过认证和授权的邮件，从而节省服务器的存储空间，以及节省用户的邮件处理时间。

举一个简单的例子，用户可以将该参数值设置为如下：

accept_domain = testnet

mydestination = $accept_domain

这就表明无论来信的收件人地址是X@testnet（其中X表示某用户在testnet域中的邮件账户名），Postfix都会接收这些邮件。而除此之外的邮件，Postfix都不会接受。

3．安全设置可转发邮件的网络（IP设置）

有关安全设置可转发邮件的网络可以使用mynetworks参数来设置。可将该参数值设置为所信任的某台主机的IP地址，也可设置为所信任的某个IP子网或多个IP子网（采用“，”或者“ ”分隔）。

比如，用户可以将mynetworks参数值设置为172168960/24，则表示这台邮件主机只转发子网172168960/24中的客户端所发来的邮件，而拒绝为其他子网转发邮件：

mynetworks = 172168960/24

除了mynetworks参数外，还有一个用于控制网络邮件转发的参数是mynetworks-style，它主要用来设置可转发邮件网络的方式。通常有以下三种方式：

（1）class：在这种方式下，Postfix会自动根据邮件主机的IP地址得知它所在的IP网络类型（即A类、B类或是C类），从而开放的它所在的IP网段。

（2）subnet：这是postfix的默认值，postfix会根据邮件主机的网络接口上所设置的IP地址、子网掩码来得知所要开放的IP网段。

（3）host：在这种方式下，postfix只会开放本机。

通常，用户一般不需要设置mynetworks-style参数，而直接设置mynetworks参数。如果这两个参数都进行了设置，那么mynetworks参数的设置有效。

4．设置可转发邮件的网络（域名设置）

上面介绍的mynetworks参数是针对邮件来源的IP来设置的，而relay_domains参数则是针对邮件来源的域名或主机名来设置的，其实从原理上来说是一致的，不过是区分了IP地址和域名而已，不过，relay_domains还需要依赖DNS这个基础设施。

例如，用户可以将relay_domains参数值设置为testnet，则表示任何由域testnet发来的邮件都会被认为是信任的，Postfix会自动对这些邮件进行转发，如下所示：

relay_domains = testnet

那么，要使它能在实际网络中更好地转发邮件，还必须进行相应的DNS设置。那么，需要在该网络的DNS服务器上定义了一个主区域testnet，并在该区域配置文件中定义了以下记录：

//定义邮件服务器的IP地址

pattersontestnet IN  A  17216896254

//定义邮件服务器的别名

mailtestnet IN CNAME  pattersontestnet

//定义优先级别

testnet  IN MX  10 mailtestnet

上述记录只对邮件服务器进行了定义，还有诸如SOA、NS等的定义，在这里就不再赘述。

配置Postfix使用SMTP安全认证

Postfix默认不会对外开放转发功能，而仅对本机（localhost）开放转发功能。但是，在实际应用中，必须在Postfix主配置文件中通过设置mynetworks、relay_domains参数来开放一些所信任的网段或网域，否则该邮件服务器几乎没有什么用处。在开放了这些所信任的网段或网域后，还可以通过设置SMTP认证，对要求转发邮件的客户端进行用户身份（用户账户名与密码）验证。只有通过了验证，才能接收该用户寄来的邮件并帮助转发。同样，Postfix中目前比较常用的SMTP认证机制是通过Cyrus SASL包来实现的。

默认情况下，Postfix并没有启用SMTP认证机制。要让Postfix启用SMTP认证，就必须对Postfix的主配置文件/etc/postfix/maincf进行修改。用户需要在maincf文件中添加如下有关SMTP认证的设置部分：

smtpd_sasl_auth_enable = yes

smtpd_sasl_local_domain = ''

smtpd_recipient_restrictions = permit_mynetworks

permit_sasl_authenticated, reject_unauth_destination

broken_sasl_auth_clients=yes

smtpd_client_restrictions = permit_sasl_authenticated

smtpd_sasl_security_options = noanonymous

其中，每个选项的具体含义如下：

（1）smtpd_sasl_auth_enable：指定是否要启用SASL作为SMTP认证方式。默认不启用，这里必须将它启用，所以要将该参数值设置为yes。

（2）smtpd_sasl_local_domain：如果采用Cyrus-SASL版进行认证，那么这里不做设置。

（3）smtpd_recipient_restrictions：表示通过收件人地址对客户端发来的邮件进行过滤。通常有以下几种限制规则：

permit_mynetworks：表示只要是收件人地址位于mynetworks参数中指定的网段就可以被转发邮件。

permit_sasl_authenticated：表示允许转发通过SASL认证的邮件。

reject_unauth_destination：表示拒绝转发含未信任的目标地址的邮件。

（4）broken_sasl_auth_clients：表示是否兼容非标准的SMTP认证。有一些Microsoft的SMTP客户端采用非标准的SMTP认证协议，只需将该参数设置为yes就可解决这类不兼容问题。

（5）smtpd_client_restrictions：表示限制可以向Postfix发起SMTP连接的客户端。如果要禁止未经过认证的客户端向Postfix发起SMTP连接，则可将该参数值设置为permit_sasl_authenticated。

（6）smtpd_sasl_security_options：用来限制某些登录的方式。如果将该参数值设置为noanonymous，则表示禁止采用匿名登录方式。

在完成上述设置后，必须使用

/etc/initd/postfix reload

重新载入配置文件，或使用

/etc/initd/postfix restart

重新启动Postfix服务，以使该配置生效。这两个命令的具体使用需要根据不同的Linux版本来选用。

此外，由于当Postfix要使用SMTP认证时，会读取/usr/lib/sasl2/smtpdconf文件中的内容，以确定所采用的认证方式，因此如果要使用saslauthd这个守护进程来进行密码认证，就必须确保/usr/lib/sasl2/smtpdconf文件中的内容为：

pwcheck_method: saslauthd

1先决条件

每个域必须有一个DNS服务器。建议不要使用Live域用于测试目的。在本教程中，将在实验室环境中使用测试域exampletst。在这个假设域名的DNS服务器应该在至少以下记录。

exampletst的forward zone配置：

IN MX 10 mailexampletst

mailexampletst IN A 192168101

exampletst的Reverse zone配置：

192168101 IN PTR mailexampletst

在配置邮件服务器的过程中，这些记录可以根据系统的要求进行修改。

2设置主机名

首先，必须在/etc/hostname和/etc/hosts文件中指定邮件服务器的主机名。前者应仅包含主机名。

root@mail:~# vim /etc/hostname

mail

root@mail:~# vim /etc/hosts

## IP Fully Qualified Domain Name Hostname ##

192168101 mailexampletst mail

增加用户

每一个Linux用户，在默认情况下，系统会为其自动创建一个邮箱。这些用户和邮箱将被用作电子邮件帐户和它们各自的邮箱。创建一个用户是很容易的。

root@mail:~# adduser fourbyte

安装和配置SMTP

服务: postfix

配置文件路径 /etc/postfix/

执行脚本 /etc/initd/postfix

日志文件 /var/log/maillog

端口 TCP/25

SMTP：安装postfix

postfix是广泛使用的SMTP服务器之一，因为它是稳定的、轻量级的、可扩展的、高度可定制的。安装postfix可以使用apt-get的完成。

root@mail:~# apt-get install postfix

在安装过程中，需要指定电子邮件服务器和域名的类型。

由于此邮件服务器就会直接向目的地发送电子邮件，我们选择Internet Site。

邮件服务器的域名也需要配置，这可以从确保该邮件服务器发送的所有邮件都有@ exampletst作为发件人域。

postfix的配置文件存储在/etc/postfix目录。下面的配置文件是非常重要的。他们中的一些可能不存在，因此需要手动创建。

transport：主要用于定义邮件如何被路由到特定的目标域。绕过DNS查询可以是一个很好的例子。在这种情况下，人们可以发送到域XYZcom的电子邮件直接通过IP地址XYYX不考虑任何DNS查询的结果。

access：可用于安全目的，如阻止发件人/收件人和他们的域名。

aliases：用于定义用户别名。例如，发送到userA的邮件可以由userB和userC接收。

maincf：是postfix的配置文件。

SMTP：准备配置文件

差不多可以准备配置文件了。transport与aliases配置文件没有默认提供，需要手动创建。

root@mail:~# cd /etc/postfix

root@mail:/etc/postfix# touch transport aliases

maincf

首先需要备份maincf然后再进行修改。根据下面的配置添加或修改配置文件。有关参数的更多详细信息，请参阅官方README和配置手册。

root@mail:/etc/postfix# vim maincf

## the name of the server ##

myhostname = mailexampletst

## alias definitions ##

alias_maps = hash:/etc/postfix/aliases

alias_database = hash:/etc/postfix/aliases

## transport definition ##

transport_maps = hash:/etc/postfix/transport

## myorigin defines the domain name for emails originated from this server In this case, all outgoing mail should have '@exampletst' as sender domain ##

myorigin = exampletst

## mydestination parameter specifies what domains this machine will deliver locally, instead of forwarding to another machine ##

mydestination = mailexampletst, localhostexampletst, localhost, hash:/etc/postfix/transport

## the smarthost address Not used in this tutorial and will be covered in the future##

relayhost =

## the trusted sender networks postfix will not forward mails originated from other subnets ##

mynetworks = 127000/8 [::ffff:127000]/104 [::1]/128 192168100/24

## mailbox size in bytes 0 denotes no limit ##

mailbox_size_limit = 0

## postfix will listen on all available interfaces ie eth0, eth1, eth2 and so on ##

inet_interfaces = all

transport

邮件域exampletst被定义为在本地传递不需要任何DNS查询。

root@mail:/etc/postfix# vim transport

exampletst local:

exampletst local:

root@mail:/etc/postfix# postmap transport

aliases

假设所有发送到userA的所有电子邮件可以由userB接收，别名文件需要按如下所述进行修改。

强烈建议你使用postfix,目前大多数linux教程书上都会提到postfix的安装方法，可想而知postfix是主留。postfix的主要特点有：

1 postfix是免费的：

　　postfix想要作用的范围是广大的Internet用户，试图影响大多数的Internet上的电子邮件系统，因此它是免费的。

　　2 更快：

　　postfix在性能上大约比sendmail快三倍。一部运行postfix的台式PC每天可以收发上百万封邮件。

　　3 兼容性好:

　　postfix是sendmail兼容的，从而使sendmail用户可以很方便地迁移到postfix。Postfix支持/var[/spool]/mail、/etc/aliases、 NIS、和 ~/forward 文件。

　　4 更健壮：

　　postfix被设计成在重负荷之下仍然可以正常工作。当系统运行超出了可用的内存或磁盘空间时，postfix会自动减少运行进程的数目。当处理的邮件数目增长时，postfix运行的进程不会跟着增加。

　　5 更灵活：

　　postfix是由超过一打的小程序组成的，每个程序完成特定的功能。你可以通过配置文件设置每个程序的运行参数。

　　6 安全性

　　postfix具有多层防御结构，可以有效地抵御恶意入侵者。如大多数的postfix程序可以运行在较低的权限之下，不可以通过网络访问安全性相关的本地投递程序等等。

1． 用以下命令查看系统是否安装了sendmail:

[root@mail /root]# rpm –qa |grep sendmail

sendmail-8110-8

2． 卸载sendmail：

[root@mail /root]# rpm -e sendmail –nodeps

3． 用以下命令杀死运行中的sendmail进程：

[root@mail /root]# killall sendmail

如果系统提示：

sendmail: no process killed

则说明当前系统中没有sendmail进程。

4． 安装postfix：

[root@mail /root]# rpm -ivh postfix-20010228release-2i386rpm

若已经安装，则此步可以省略。(注：安装时最好用rpm包，会自动创建postfix用户和postfix组）

5． 安装imap

rpm –ivh /mnt/cdrom/RedHat/RPMS/ imap-47c2-12rpm

imap使pop3有效，即打开110端口。（注：安装时最好用rpm包）

若已经安装，则此步可以省略。

6． 检查系统中是否安装了cyrus-sasl

执行以下命令查看系统中是否安装了cyrus-sasl：

rpm –qa |grep cyurs

如果您看到以下提示，则说明已经安装了cyrus-sasl

[root@test bye2000]# rpm -qa |grep sasl

cyrus-sasl-devel-1524-17

cyrus-sasl-1524-17

否则，请用rpm –ivh 命令先安装所需sasl-cyrus包。

7．修改postfix用户

同时应该让该用户不能登录到系统，也即不为该用户指定可执行的登录外壳程序和可用

的用户宿主目录。

编辑/etc/passwd文件中的相关条目如下所示：

postfix:x:89:89::/no/where:/no/shell [编辑后，只修改蓝色部分就可以了]

即：修改用户的Home directory和Shell 参照 /etc/passwd文件

8．编辑postfix的主要配置文件/etc/postfix/maincf，根据需求只需修改以下几个参数：

1）mydomain

指明你的域名，在这里我们指定：

mydomain = xxcom

2）myorigin

myorigin参数指明发件人所在的域名。如果你的用户的邮件地址为user@domaincom,则该参数指定@后面的域名。在这里我们指定：

myorigin = $mydomain

3）inet_interfaces

inet_interfaces = all 监听所有端口

4）mydestination

mydestination参数指定postfix接收邮件时收件人的域名，换句话说，也就是你的postfix

系统要接收什么样的邮件。通常与myorigin一样：

mydestination = $mydomain

5）mynetworks_style

设置网络类型，我们指定：

mynetworks_style = subnet

6）ynetworks

定义可以使用的此smtp服务器发信的客户ip地址，因为公司的ip范围已知，所以我们

指定：

mynetworks = 19216810/24

注：此项可根据情况而定，主要是指定ip范围，假如公司的ip划分是按照网段来的，例如：101010~101019，101030~101039等等更细。根据需要，该项可以不设置。

7）SMTP的配置

为了告诉postfix采用sasl来进行SMTP的用户认证，我们必须在/etc/postfix/maincf文件的最后添加以下几行：

smtpd_sasl_auth_enable = yes

smtpd_recipient_restrictions = permit_sasl_authenticated

permit_auth_destination reject

broken_sasl_auth_clients = yes

smtpd_sasl_security_options = noanonymous

说明如下：

smtpd_sasl_auth_enable：告诉SMTP客户，该SMTP服务器需要进行用户认证。

smtpd_recipient_restrictions = permit_sasl_authenticated

permit_auth_destination reject

仅仅中继通过SMTP认证的客户端邮件，以及接收本postfix为最后一站的邮件。

broken_sasl_auth_clients = yes

有一些Microsoft 的SMTP客户端，比如Outlook Express 4X采用的是非标准的SMTP认证协议，将该选项设置为yes可以解决这类不兼容问题。

smtpd_sasl_security_options = noanonymous

控制本地SMTP认证所采用的机制，这里是允许任何非匿名认证方法。

9．配置SASL

进入/usr/lib/sasl/目录，用touch新建这样一个文件：

[root@test sasl]# touch smtpdconf

在该文件中加入以下内容：

[root@test sasl]# more smtpdconf

pwcheck_method:pam

也就是指定通过PAM来进行用户认证。

10．配置PAM

进入/etc/pamd/目录，用touch新建这样一个文件：

[root@test pamd]# touch smtp

在该文件中加入如下内容：

[root@test pamd]# more smtp

#%PAM-10

auth required /lib/security/pam_stackso service=system-auth

account required /lib/security/pam_stackso service=system-auth

也即和/etc/pamd/pop文件的内容是一致的。

11．修改/etc/shadow文件权限

因为PAM最终要去读取/etc/shadow文件的内容来进行用户认证，但是/etc/shadow文件

权限是设置为只有root用户可以读写，而我们的postfix是运行在postfix用户权限之下，所以我们要合理的设置/etc/shadow文件权限，以便让pam可以读取其内容。

执行以下命令，让root组也可以读取shadow：

[root@test /etc]# chmod 640 /etc/shadow

然后再将postfix用户加入root组，采用以下命令：

[root@test /etc]# usermod -G root postfix

12．编辑postfix的主要配置文件/etc/postfix/mastercf

# ==========================================================================

# service type private unpriv chroot wakeup maxproc command + args

# (yes) (yes) (yes) (never) (100)

# ==========================================================================

smtp inet n - n - - smtpd

这里开始

#smtps inet n - n - - smtpd

# -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes

#submission inet n - n - - smtpd

# -o smtpd_enforce_tls=yes -o smtpd_sasl_auth_enable=yes

这里结束

#628 inet n - n - - qmqpd

把我标的注释部分去掉即可。

13．配置pop3

RedHat70已经使用xinetd代替了以前的inetd，为了使pop3服务启动，我们编辑

/etc/xinetdd/ipop3文件，将其中的disable = yes改为disable = no 以便启动pop3

服务。

为了使改动生效，执行以下命令：

/etc/rcd/initd/xinetd reload

14．启动postfix

执行以下命令启动postfix:

/etc/rcd/initd/postfix start

这样，一个支持SMTP认证的postfix邮件服务器就配好了。