솔라리스에서 메일서버 구축하기
서론
인터넷 메일은 모든 사용자들이 가장 많이 이용하는 서비스임에도 불구하고, 두 가지 큰 불편함을 갖고 있다. 첫째는, 지정된 장소 (IP 주소) 이외의 곳에서 메일 서버에 접속하는 사용자는 outgoing(자신의 메일을 다른 사람에게 발송하기)이 불가능하다는 점이다. 이것을 제3자 릴레이(third-party relay) 금지라고 일컫는다. 둘째는, SMTP 세션이나 POP3(또는 IMAP) 세션은 암호화가 되어 있지 않기 때문에, 네트웍의 중간 부분에 적절한 스니핑(sniffing) 장비를 붙인다면 메일의 내용 및 심지어는 POP3 계정의 ID/암호도 잡아낼 수 있다.

릴레이 스팸 메일의 피해 때문에, sendmail 8.9.x 이상의 버전에서는 기본적으로 등록되지 않은 IP 주소로부터의 메일 보내기 요청은 (목적지가 local인 경우를 제외하고는) 모두 거절된다. 사무실의 IP 주소를 메일 서버에 등록하면, 사무실의 모든 직원들은 아무 곳으로나 자유롭게 메일을 보낼 수 있다. 하지만 다른 지역으로 출장을 가는 경우를 생각해보자. 호텔 방에서 또는 박람회장에서 랩탑을 꺼내어 인터넷에 연결을 한 후, 거래처로 메일을 보내려고 한다. 하지만 메일 서버의 입장에서 보면, 등록되지 않은 IP 주소로부터 "메일 보내줘" 요청이 들어왔으므로 거절을 할 것이다. 이런 문제는 SMTP AUTH라는 기능을 추가하여 해결이 가능하다. 지정된 IP 주소 이외의 곳에서 접속하는 사용자라면, 자신의 ID와 암호를 메일 서버에 제공하고 인증을 받은 후 제3자 릴레이를 허가 받을 수 있다.

후자의 경우는 연결 세션을 암호화하여 해결할 수 있다. 물론 SMTP 연결 세션도 암호화하는 것이 좋고, 아니, 암호화를 해야 할 것이다. 그러나 이에 관련된 내용은 아직 잘 알려진 바가 없다.

단, 메일 받기(incoming, 자신의 메일함을 열어서 로컬 컴퓨터로 다운로드하기)는 어디서나 항상 가능하다는 점을 명심하자. 메일 보내기는 SMTP 프로토콜을 이용하고 이 프로토콜은 사용자 인증 기능이 없지만, 메일 받기는 POP3나 IMAP4 프로토콜을 이용하며 이 프로토콜들은 사용자 인증 기능이 있기 때문이다.

마이크로소프트의 Exchange 서버는 이 모든 기능을 제공한다는 이야기를 들어본 것 같다. 문제는 예산이다. 서버로 사용하기 위한 값비싼 컴퓨터, 마이크로소프트 Windows 2000 서버 운영체제, 그리고 더해서 Exchange 서버 프로그램을 모두 합친다면 매우 아찔한 금액이다. 게다가 만일 서버(장비/프로그램)에 장애가 생기거나 특정 사용자에게 이상한 현상이 발생했을 경우 누가 해결할 수가 있을까?

이 문서는 SPARC 장비, Solaris 8 운영체제(무료), 그리고 sendmail (역시 무료) 등을 이용해서 원하는 요구 사항을 충족시키는 메일 서버를 구축하는 방법에 대해 설명한다. 인터넷에서 구한 여러 문서들도 도움이 되었으나, 가장 널리 이용하는 메일 클라이언트인 MS Outlook / Outlook Express와 함께 맞물려 동작하는 방법에 대한 설명은 어디에서도 구할 수가 없어서 시간이 많이 걸렸음을 말하고 싶다.

필요한 패키지 구하기
운영체제 및 필수적인 패치를 설치한다거나, 이런저런 편리한 패키지를 추가한다거나, 기타 보안에 관련된 작업 등에 대한 설명은 이 문서의 범위를 벗어나므로 생략한다. 하지만, 간략하게나마 언급을 하면 다음과 같다.

Solaris 8 운영체제 설치
Recommended Patch for Solaris 8 설치
Maintenance Update for Solaris 8 설치
유용한 패키지 설치 : bash, gcc, gnu make, rsync, sudo, top, wget 등
보안에 관련된 패키지 설치 : tcp_wrappers, ssh 등
보안성 향상 : inetd에서 불필요한 포트 닫기, tcp_wrappers의 규칙 설정 등
서론에서 언급한 요구 사항을 모두 만족하도록 Solaris 상에서 메일 서버를 구축하려면 과정이 복잡할 뿐만 아니라, 수많은 패키지를 (때로는 컴파일을 해서) 설치해야 한다. 필요한 패키지는 다음과 같다.

openssl (http://www.openssl.org) : 2001년 2월 기준 0.9.6
ANDI-random (http://www.cosy.sbg.ac.at/~andi) : 2001년 2월 기준 0.6
cyrus-sasl (ftp://ftp.andrew.cmu.edu/pub/cyrus-mail) : 2001년 2월 기준 1.5.24
sslwrap (http://www.rickk.com/sslwrap) : 2001년 2월 기준 2.0.6
solid-pop3d (http://solidpop3d.pld.org.pl) : 2001년 2월 기준 0.15
washington-imapd (ftp://ftp.cac.washington.edu/imap) : 2001년 2월 기준 2000c
sendmail (http://www.sendmail.org) : 2001년 2월 기준 8.11.2
procmail (http://www.procmail.org) : 2001년 2월 기준 3.15.1
각각의 패키지를 설치하는 방법은 3장에서 설명한다. 패키지의 설치 순서에는 다소의 의존성(dependency)가 존재한다. 예를 들어, ANDI-random을 openssl 보다 먼저 설치하는 것이 좋고, cyrus-sasl은 openssl 뒤에 설치해야 한다. 경험에 의한 설치 순서는, ANDI-random ⇒ openssl ⇒ sslwrap ⇒ cyrus-sasl ⇒ procmail ⇒ sendmail 이다. 나머지는 아무 단계에서나 설치해도 무방하다.

패키지 설치
패키지를 설치하기 위해서 쉘의 변수들을 다음처럼 맞춰주는 것이 좋다.


PATH=.:/usr/local/bin:/usr/sbin:/usr/bin:/usr/ccs/bin:/usr/ucb
export PATH
LD_LIBRARY_PATH=/usr/lib:/usr/local/lib
export LD_LIBRARY_PATH
CC=gcc
export CC


ANDI-random 설치하기

이 패키지는 Solaris 8에 없는 /dev/random을 구현한 것이다. 이 장치는 난수(random number)를 발생시키기 위한 충분한 엔트로피의 씨앗(seed)를 제공한다. 암호화 소프트웨어(openssl 등)가 키(key)를 생성하려면 필요한 장치이다. 설치는 pkgadd 명령어를 이용한다.

# pkgadd -d ANDIrand-0.6-5.8-sparc-1.pkg

파일명 중에서 0.6은 버전을, 그리고 5.8은 Solaris 8을 각각 의미한다. 다른 버전의 Solaris를 사용하고 있다면 그에 맞는 패키지를 구해오면 된다.

openssl 설치하기

이 패키지는 SSL(secure socket layer) 계층을 제공하여 peer-to-peer 간의 세션을 암호화한다. 암호화 세션에 필요한 키라던가 보증서 등을 만들 수도 있다. 소스 코드를 풀어서 컴파일해야 한다.


# gzip -dvc openssl-0.9.6.tar.gz | tar xvf -
# cd openssl-0.9.6
# ./config --prefix=/usr/local --openssldir=/usr/local/openssl
# find . -name "Makefile" -exec vi {} ;
modify CFLAGS line to omit -g option so binary will be smaller
# make
# make test
# make install
# cd /usr/local
# ln -s openssl ssl


sslwrap 설치하기

이 패키지는 지정된 TCP 포트로 들어오는 TCP 연결 세션을 받아서 SSL로 암호화하고 다른 TCP 포트로 넘겨주는 파이프 또는 터널의 역할을 한다. 소스 코드를 풀어서 컴파일해야 한다.


# gzip -dvc sslwrap.tar.gz | tar xvf -
# cd sslwrap206
# vi Makefile
uncomment EXTLIBS line
# make
# cp sslwrap /usr/local/sbin


cyrus-sasl 설치하기

이 패키지는 간단한 인증(simple authentication)을 제공한다. README 문서에 의하면 보안 계층(security layer)도 제공한다고 하는데, 방법에 대한 설명이 부족해서인지 사용하는 경우가 없다. sendmail 8.10.x 이상의 버전에서는 cyrus-sasl의 인증 모듈을 이용해서 보내기(outgoing) SMTP 시에 사용자 인증을 수행할 수 있다. 자신의 ID와 암호를 제공하고 서버로부터 인증을 받은 후에는 아무 곳으로나 자유롭게 메일을 보낼 수가 있다.

이 패키지를 설치하려면 openssl이 필요하다. 소스 코드를 풀어서 컴파일해야 한다.


# gzip -dvc cyrus-sasl-1.5.24.tar.gz | tar xvf -
# cd cyrus-sasl-1.5.24
# vi configure
change line number 1101 from "-g -O2" to "-O2"
# ./configure --with-dbpath=/usr/local/etc --enable-login
--with-rc4=/usr/local/ssl
# make
# make install
# cd /usr/lib
# ln -s /usr/local/lib/sasl sasl


마이크로소프트 Outlook과 Outlook Express는 (plain) LOGIN 메쏘드 밖에 지원하지 않기 때문에, --enable-login 옵션을 꼭 지정해야 한다. 그리고 sasl 라이브러리들은 관련 플러그인을 /usr/lib/sasl 디렉토리에서 찾기 때문에 제일 마지막에 심볼릭 링크를 걸어 주었다.

procmail 설치하기

이 패키지는 로컬 메일러(local mailer)이다. SMTP 서버는 메일을 수신하면 로컬 메일러를 호출하며, 로컬 메일러는 메일 주소의 골뱅이(@) 좌측의 이름에 맞는 사용자 메일함으로 메일을 저장하는 일을 한다. 이미 Solaris에는 로컬 메일러의 역할을 할 수 있는 /usr/lib/mail.local이 포함되어 있지만, procmail은 정규표현식(regular expression)에 기반한 강력한 필터링 기능을 제공한다. 이 기능을 이용하면 발신자 주소, 수신자 주소, 메일의 제목, 메일의 내용 등에 따라 수신할 것인지 거절할 것인지 다른 곳으로 포워딩할 것인지 등을 결정할 수 있으며 따라서 매우 유용하다.


# gzip -dvc procmail-3.15.1.tar.gz | tar xvf -
# cd procmail-3.15.1
# vi Makefile
change BASENAME= line from /usr to /usr/local
# make
I will temporarily use a testdirectory named _locktest
in the following directories:
/tmp .
If you would like to add any, please specify them below,
press return to continue:
/var/mail
I will temporarily use a test directory named _locktest
in the following directories:
/tmp . /var/mail
If you would like to add any, please specify them below,
press return to continue:
# make install-suid


제일 마지막에 make install 대신 make install-suid를 하는 이유는, procmail이 배달된 메일을 각 사용자의 메일함에 저장을 하기 위해서는 suid 권한이 필요하기 때문이다. 로컬 메일러로 procmail을 이용할 것이기 때문에 이 권한이 꼭 필요하다.

sendmail 설치하기

이 유명한 패키지를 제대로 설치하기 위해서는 수많은 README 문서와 웹 사이트들을 뒤져야 할 것이다. 바이너리를 만드는 것은 sendmail.cf 환경 파일을 만드는 것 보다는 오히려 쉽다. 환경 파일을 만드는 법은 나중에 설명하기로 하고, 우선 바이너리 파일부터 컴파일하여 설치해보자. 소스 코드를 풀어서 컴파일해야 한다.


# gzip -dvc sendmail.8.11.2.tar.gz | tar xvf -
# cd sendmail-8.11.2
# vi devtools/OS/SunOS.5.8
change line 5 ~ line 8 to
define(`confMAPDEF', `-DNDBM -DMAP_REGEX')
define(`confENVDEF', `-DSOLARIS=20800 -DSASL')
define(`confLIBS', `-lsocket -lnsl')
# vi devtools/Site/site.config.m4
define(`confCC', `gcc')
APPENDDEF(`confINCDIRS', `-I/usr/local/include')
APPENDDEF(`confLIBDIRS', `-R/usr/local/lib')
APPENDDEF(`conf_sendmail_LIBS', `-lsasl')
# cd sendmail
# sh Build
# cd ../obj.SunOS.5.8.sun4/sendmail
# vi Makefile
modify line 210 (and 211) from /usr/share/man/cat to /usr/local/man/man
# make install
# cd /usr/lib
# ln -s ../local/lib/libsasl.so.7 libsasl.so.7


이전 버전(8.9.x)에 비해 바뀐 점은 SASL에 대한 옵션이 추가되었다는 점이다. 최신 버전(8.11.x)에서는 STARTTLS를 지원하여 SMTP 세션의 암호화를 제공한다고 하는데, 설치 방법이 너무 복잡할 뿐만 아니라 우리가 원하는 요구 사항은 이미 충족이 되므로 고려하지 않았다.

제일 마지막 명령행은 libsasl.so.7을 /usr/lib 위치에 심볼릭 링크를 걸어주는 것으로서, SUID 비트가 붙어있는 sendmail 바이너리가 이 라이브러리를 꼭 /usr/lib의 위치에서만 찾으려고 하기 때문이다.

이외에도 makemap 프로그램을 설치해야 한다. 이 프로그램은 /etc/mail/aliases나 /etc/mail/access 등의 각종 맵(map)을 생성하는 역할을 하며, sendmail 소스 패키지 속에 들어있다. 다시 sendmail 소스 코드 트리로 돌아가자.


# cd sendmail-8.11.2
# cd makemap
# sh Build
modify line 194 (and 195) from /usr/share/man/cat to /usr/local/man
# make install


solid-pop3d 설치하기

이 패키지는 POP3 서버 프로그램이다. 다른 POP3 서버 프로그램(예를 들어, Qualcomm popper 등)에 비해, 기능은 뒤지지 않으면서도 작고 가볍고 빠른 속도를 자랑한다. 먼저 spop3d라는 허구의 사용자를 만들어야 하고, 그런 후, 소스 코드를 풀어서 컴파일해야 한다.


# useradd -u 65000 -g 60001 -d /dev/null -s /bin/true spop3d
# gzip -dvc solid-pop3d-0.15.tar.gz | tar xvf -
# cd solid-pop3d-0.15
# ./configure --enable-pam --enable-last
# vi src/const.h
modify "/var/spool/mail/%s" to "/var/mail/%s"
# find . -name "Makefile" -exec vi {} ;
modify CFLAGS line to omit -g option so binary will be smaller
# make
# make install


washington-imapd 설치하기

IMAP4 프로토콜을 지원하는 IMAP 서버 프로그램의 종류는 다양하지만, 무료이면서도 기능이 다양한 것은 많지 않다. 그 중의 하나가 워싱톤 대학에서 만든 IMAP 서버로서, 회사에서 지금까지 계속 사용하면서 별 문제가 없다는 것을 확인하였다.

워싱톤 IMAP 서버 패키지에는 POP2 서버와 POP3 서버도 포함되어 있다. 이 POP3 서버는 사용 경험이 없기 때문에 뭐라고 언급하기 곤란하지만, 실행 파일의 크기는 solid-pop3보다 10배가 넘는다. 이 문서에서는 IMAP 서버만 설치한다.

확장자가 tar.Z이므로, uncompress를 먼저한 후에 tar를 풀거나, 또는 gzip에 딸려오는 zcat으로 풀어낸 후 컴파일을 해야 한다.


# zcat imap-2000c.tar.Z | tar xvf -
# cd imap-2000c
# vi src/osdep/unix/Makefile
find gso: line and modify -g -O2 to -O2
# make gso
# cp imapd/imapd /usr/local/sbin


위의 예에서, make gso는 GCC가 설치되어있는 Solaris의 경우에 선택하는 플랫폼이다. 다른 플랫폼이라면 최상위 Makefile에 적혀있는 주석문을 잘 읽어보자.
패키지 환경설정
인증서 만들기

세션을 암호화하려면 그에 관련된 인증서가 있어야 한다. 이 인증서는 sslwrap이 이용하며, 목적지 서버(장비)가 정말 원하는 목적지가 맞는지를 확인하는데 쓰인다. 오직 통신 세션의 암호화가 주목적이므로 개인키(private key)를 암호화할 필요는 없다. (만일, 개인키를 암호화한다면, 서비스가 호출될 때마다 개인키의 passphrase를 물어보게 될 것이다!)


# cd /usr/local/ssl/certs
# /usr/local/bin/openssl req -new -x509 -nodes -out server.pem -keyout
server.pem -days 1000
Using configuration from /usr/local/openssl/openssl.cnf
Generating a 1024 bit RSA private key
............................++++++
.................++++++
writing new private key to 'server.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]: Two letter code of your country
State or Province Name (full name) [Some-State]: Name of state
Locality Name (eg, city) []: Name of city
Organization Name (eg, company) : Name of your company
Organizational Unit Name (eg, section) []: Name of your department
Common Name (eg, YOUR name) []: servername.yourdomain.com
Email Address []: emailaddress@yourdomain.com


이제 server.pem이라는 이름의 파일이 생성되었다. 해시(hash) 값을 구해서, 그것을 파일명으로 삼는 심볼릭 링크를 만들어준다.


# cd /usr/local/ssl/certs
# ln -s server.pem `/usr/local/bin/openssl x509 -noout -hash <
server.pem`.0
# ls -l
lrwxrwxrwx user group e3cb79ae.0 -> server.pem
-rw-r--r-- user group server.pem


이 키는 단지 세션의 암호화를 목적으로 하는 암호화되지 않은 개인키로서, 서명도 자체 서명(self-signed) 되어 있으며, 유출이 되거나 하는 경우에도 별 위험이 없다. 하지만 가급적이면 다른 사용자가 읽지 못하도록 퍼미션을 설정하는 것이 좋다. 소유자는 /etc/inetd.conf 파일에서 sslwrap 부분을 호출하는 사용자의 ID로 맞춰주고 (4.3절 참고), 퍼미션은 600으로 설정하자.


# chmod 600 server.pem
# chown nobody server.pem


/etc/services 수정

이 파일에는 특정 서비스에 대한 TCP 포트를 등록한다. 파일의 제일 끝 부분에 암호화된 서비스를 위한 포트를 다음처럼 추가한다. Solaris 8의 /etc/services 파일에는 pop3와 imap이 각각 110과 143으로 이미 등록되어 있다.


#
# local specific services - added by mmung4u
#
imaps 993/tcp # imap4 over SSL
pop3s 995/tcp # pop3 over SSL
smtps 999/tcp # smtp over SSL


/etc/inetd.conf 수정

이 파일에는 수퍼 데몬 inetd가 호출할 서비스를 등록한다. 파일의 제일 끝 부분에 필요한 서비스들을 다음처럼 추가한다. 알다시피, pop3와 imap은 inetd가 띄우지만, sendmail은 inetd와 상관없는 독자적인 데몬이다.


#
# local specific services - added by mmung4u
#
pop3 stream tcp nowait root /usr/local/sbin/tcpd
/usr/local/sbin/spop3d
imap stream tcp nowait root /usr/local/sbin/tcpd
/usr/local/sbin/imapd
pop3s stream tcp nowait nobody /usr/local/sbin/sslwrap
sslwrap -cert /usr/local/ssl/certs/server.pem -port 110
imaps stream tcp nowait nobody /usr/local/sbin/sslwrap
sslwrap -cert /usr/local/ssl/certs/server.pem -port 143
smtps stream tcp nowait nobody /usr/local/sbin/sslwrap
sslwrap -cert /usr/local/ssl/certs/server.pem -port 587


제일 마지막 라인에서, smtps(tcp/999) 포트로 들어온 연결이 smtp(tcp/25)로 전달되는 것이 아니라 tcp/587 포트로 파이프 된다는 점에 주목하자. (새로운 버전의 sendmail은 25번 포트와 587 포트를 모두 이용한다.) 파일을 다 수정한 후에는 inetd 데몬을 재시작 해야 한다.


# ps -ef | grep inetd
# kill -HUP inetd_process_id


/usr/lib/sasl 수정

SASL을 이용할 프로그램들 각각에 대한 설정 파일을 /usr/lib/sasl 디렉토리에 생성해 주어야 한다. 파일명의 제일 첫 문자는 대문자로 시작해야 한다.


# cd /usr/lib/sasl
# vi Sendmail.cf
pwcheck_method: PAM


위처럼 달랑 한 줄이다. SASL 패키지의 README 파일에 의하면, SASL이 암호를 검사하는 방법으로서 pam, shadow, sasldb, passwd 등이 있다. 복잡한 방법의 암호 검사를 지원하고 싶다면 sasldb를 권장하지만, MS Outlook은 단순한 LOGIN 메커니즘을 이용하기 때문에 PAM을 선택하였다.

실행과 테스트
sendmail의 실행은 root의 권한으로 해야 한다. 옵션 중에서 -bd는 백그라운드 데몬(daemon)으로 실행하라는 뜻이며, -q30m은 큐에 쌓인 메일들을 30분마다 처리하라는 의미이다. (시스템이 부팅될 때는 /etc/rc2.d에 있는 S88sendmail 스크립트에 의해 자동으로 백그라운드 데몬 모드로 실행될 것이다.)


# /usr/lib/sendmail -bd -q30m


SMTP 연결이 제대로 되는지 보기 위해 telnet을 이용하여 25번 포트와 587번 포트를 확인한다.


# telnet 127.0.0.1 25
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
220 server.domain.com ESMTP Sendmail 8.11.2/8.11.2; .....
ehlo a
250-server.domain.com Hello localhost [127.0.0.1], pleased to meet you
250-ENHANCEDSTATUSCODES
250-8BITMIME
250-SIZE
250-DSN
250-ONEX
250-ETRN
250-XUSR
250-AUTH LOGIN PLAIN
250 HELP
quit
221 2.0.0 server.domain.com closing connection
Connection closed by foreign host.

# telnet 127.0.0.1 587
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
220 server.domain.com ESMTP Sendmail 8.11.2/8.11.2; .....
ehlo a
250-server.domain.com Hello localhost [127.0.0.1], pleased to meet you
250-ENHANCEDSTATUSCODES
250-8BITMIME
250-SIZE
250-DSN
250-ONEX
250-ETRN
250-XUSR
250-AUTH LOGIN PLAIN
250 HELP
quit
221 2.0.0 server.domain.com closing connection
Connection closed by foreign host.


위에서 볼 수 있듯이, 연결이 된 후에 ehlo a 명령을 입력하니까 AUTH LOGIN PLAIN 출력이 나타났다. 이 메시지가 출력되면 SMTP 인증을 제공하도록 설정이 잘 되어 있다는 것을 확인한 것이다.

POP3와 IMAP의 동작도 확인을 해보자. 역시 telnet을 이용해서 110번 포트와 143번 포트를 각각 연결해본다.


# telnet 127.0.0.1 110
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
+OK Solid POP3 server ready
quit
+OK session ended
Connection closed by foreign host.

# telnet 127.0.0.1 143
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
* OK [CAPABILITY IMAP4 IMAP4REV1 LOGIN-REFERRALS AUTH=LOGIN] localhost
IMAP4rev1 2000.287 at Wed, 14 Feb 2001 11:06:20 -0800 (PST)
quit logout
* BYE server.domain.com IMAP4rev1 server terminating connection
quit OK LOGOUT completed
Connection closed by foreign host.


이제 POP3와 IMAP의 동작도 확인하였으므로, sslwrap으로 감싸주는 포트(993, 995, 999)의 동작도 확인을 하자. 연결이 된 후, 아무 글자들이나 입력하고 엔터를 치면 SSL 에러가 출력되어야 한다.


# telnet 127.0.0.1 993 (또는 995나 999)
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
jksadjfk
asjdkf
6854:error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown
protocol:s23_srvr.c:565:
Connection closed by foreign host.


이제 Outlook이나 Outlook Express를 구동한다. 상세한 설정 단계는 다음과 같다.


"도구" 메뉴의 "계정" 메뉴를 선택.
우측의 "추가" ⇒ "메일"을 선택.
"표시 이름"에 자신의 이름을 입력하고 "다음"을 클릭.
자신의 "전자 메일 주소"를 입력하고 "다음"을 클릭.
"받는 메일 서버 종류"는 POP3로 지정. 만일 IMAP 사용자라면 IMAP을 선택. "받는 메일 서버" 항목에 메일 서버의 완전한 호스트명을 적어줌. "보내는 메일 서버" 항목에 메일 서버의 완전한 호스트명을 적어줌. 그리고 "다음"을 클릭.
"계정 이름"에 자신의 ID를 입력하고, "암호"에 자신의 암호를 입력함. 만일 암호를 저장해 놓고 싶지 않으면 비워도 무방함. 그리고 "다음"을 클릭.
"설정이 끝났습니다" 메시지를 본 후에 "마침"을 클릭.
방금 만들어진 항목을 더블 클릭함.
"서버" 탭을 선택한 후, 하단 "보내는 메일 서버"의 "인증 필요"에 체크.
"연결" 탭의 항목은 "LAN"으로 지정.
"고급" 탭으로 간 후, "보내는 메일"의 "보안 연결 필요" 및 "받는 메일"의 "보안 연결 필요"에 모두 체크함. 포트 번호는 "보내기(SMTP)"에 "999", "받기(POP3)"에 "995"를 입력함. 단, IMAP 사용자라면 "받기(IMAP)"에 "993"을 입력함.
"확인"을 누르고 끝.

이제부터는 Outlook/OE를 이용해서 메일을 보낼 때, 사용자명과 암호를 물어볼 것이다. 인증을 받고 나면 소스 IP 주소에 상관없이 아무 곳으로나 메일을 발송할 수가 있다.

만일 동작이 원만하지 못하면, sendmail.cf의 LOG level을 14 이상으로 증가 시키고 sendmail을 다시 시작한다. 일반적인 로그 레벨은 9이다. 로그 메시지는 (로그의 종류에 따라 다르지만) /var/adm/messages 또는 /var/log/syslog에 쌓인다.


# vi /etc/mail/sendmail.cf
O LogLevel=9 - O LogLevel=14
# ps -ef | grep sendmail
# kill -HUP sendmail_process_id

# tail /var/adm/messages
Feb 13 16:05:59 server sendmail[6744]: [ID 171004 auth.error]
unable to dlopen /usr/lib/sasl/libdigestmd5.so: ld.so.1:
/usr/lib/sendmail: fatal: relocation error: file
/usr/lib/sasl/libdigestmd5.so: symbol des_ecb_encrypt:
referenced symbol not found
Feb 13 16:05:59 server sendmail[6744]: [ID 847733 auth.error]
unable to dlopen /usr/lib/sasl/libgssapiv2.so: ld.so.1:
/usr/lib/sendmail: fatal: relocation error: file
/usr/lib/sasl/libgssapiv2.so: symbol
GSS_C_NT_HOSTBASED_SERVICE: referenced symbol not found
# tail /var/log/syslog
Feb 13 13:18:06 fusion01 sendmail[3433]: [ID 702911 mail.info]
starting daemon (8.11.2): SMTP+queueing@00:30:00


/var/adm/messages 파일을 보니, sendmail을 처음 시작할 때, 라이브러리(digest-md5와 gssapi)가 없다는 에러가 발생하였다. 아마 sendmail에 suid 비트가 설정되어 있어서 라이브러리 검색 경로를 제대로 찾지 못하기 때문이 아닐까 생각한다. 그래도 동작에는 아무런 문제가 없다.

Oulook이나 OE를 이용하여 사용자 인증을 받은 후 메일을 발송하면 다음과 같은 로그가 /var/log/syslog에 남는다. 굵은 글자들을 눈여겨 보자. LOGIN 메커니즘으로 사용자 인증을 받았다는 것을 말한다.


Feb 13 18:17:52 server sendmail[6800]: [ID 801593 mail.info]
f1E2HqG06800: from=, size=82, class=0,
nrcpts=1, msgid=<000601c0962c$567353e0$7f00a8c0@tp600x>, proto=ESMTP,
daemon=MSA, mech=LOGIN, relay=localhost [127.0.0.1]
Feb 13 18:19:41 server sendmail[6800]: [ID 801593 mail.info]
f1E2HqG06800: to=,
ctladdr= (2003/10), delay=00:06:07,
xdelay=00:06:06, mailer=esmtp, pri=120821, relay=mx4.dacom.co.kr.
[203.248.240.62], dsn=2.0.0, stat=Sent (f1E2JOT02499 Message accepted
for delivery)


sendmail.cf 만들기
Solaris에 기본적으로 제공되는 sendmail.cf 파일은 새로 컴파일한 sendmail과 함께 사용할 수가 없다. 이것은 너무나 방대하고 심오한 내용이기 때문에 따로 빼내서 설명한다.

일단 sendmail.cf를 만든 후에도, 네트웍의 상황이 바뀌거나 새로운 규칙이 필요하다거나 하여 sendmail.cf를 새로 만들려고 하면 cf 내의 파일들이 필요하기 때문에, 아예 sendmail 소스 패키지 내에 있는 서브 디렉토리 cf를 /etc/mail로 복사한다.


# cd ...sendmail-8.11.2
# find cf | cpio -pdmv /etc/mail


이제 /etc/mail로 이동해서 sendmail.cf를 만들자. 이 파일은 편집기로 직접 작성하기에는 너무나 복잡하며, 대신에 mc 파일을 만든 후 m4 프로그램을 통해 생성한다.


# cd /etc/mail
# vi cf/m4/cf.m4
add following line before ifdef statement
define('_CF_DIR_','/etc/mail/cf/')dnl


위 라인은 cf 디렉토리를 /etc/mail 밑으로 옮겨왔기 때문에 필요한 것이다. 이제 본인의 사이트에 맞는 mc 파일을 만들도록 한다.


# vi config.mc
include('cf/m4/cf.m4')
VERSIONID('$Id: Secure Roaming Mail 02/15/2001 mmung4u Exp $')
OSTYPE(solaris8)
define('confPRIVACY_FLAGS','authwarnings,noexpn,novrfy')dnl
define('DATABASE_MAP_TYPE','dbm')dnl
FEATURE(nouucp,'reject')dnl
FEATURE(always_add_domain)dnl
FEATURE(local_procmail,'/usr/local/bin/procmail')dnl
FEATURE(use_cw_file)dnl
FEATURE(masquerade_entire_domain)dnl
MASQUERADE_AS('yourdomain.com')dnl
FEATURE(access_db)dnl
MAILER(local)dnl
MAILER(smtp)dnl
TRUST_AUTH_MECH('LOGIN PLAIN CRAM-MD5')dnl
define('confAUTH_MECHANISMS','LOGIN PLAIN CRAM-MD5')dnl


복잡해 보이는가? mc 파일의 각 라인이 의미하는 것은 다음과 같다. 원하는 사양에 따라 더 많은 FEATURE를 추가할 수도 있지만, 위의 예에서는 아주 기본적인(?) 것만을 설정하였다.

include('cf/m4/cf.m4')
sendmail.cf를 만들기 위해 꼭 필요한 (일종의) 헤더 파일인 cf.m4를 포함 시킨다.

VERSIONID(…)
언제 누가 어떤 목적으로 이 m4 파일을 만들었는지 또는 고쳤는지를 기록한다.

OSTYPE(solaris8)
운영체제에 맞는 종류를 적어주면 된다. 종류 목록은 cf/ostype 참조.

define('confPRIVACY_FLAGS','authwarnings,noexpn,novrfy')dnl
프라이버시 플랙 지정. TCP/25번 포트로 telnet하여 expn 명령을 내리면 메일링 리스트의 개별 멤버들의 메일 주소를 알아낼 수가 있는데, 이를 금지한다.

define('DATABASE_MAP_TYPE','dbm')dnl
데이터베이스 맵(map)의 종류를 dbm으로 선언한다. 이 종류는 Solaris가 기본적으로 지원하는 형식이다. 만일 버클리 NewDB를 설치하면 이외에도hash와 btree를 이용 가능하다. sendmail이 참조하는 파일 중에서 어떤 것(예: /etc/mail/local-host-names)들은 텍스트 형태로 존재하지만, 어떤 것들은 데이터베이스 맵의 형태로 존재하는데, 예를 들어, /etc/mail/aliases, /etc/mail/access 등이 있다.

FEATURE(nouucp,'reject')dnl
UUCP 프로토콜 메일 주소는 취급을 안 한다고 선언한다.

FEATURE(always_add_domain)dnl
발신자의 메일 주소에 항상 도메인 네임을 붙인다. 심지어 로컬 사용자가 로컬 사용자에게 메일을 보내더라도 발신자의 메일 주소에는 도메인 네임이 붙게 된다.

FEATURE(local_procmail,'/usr/local/bin/procmail')dnl
로컬 메일러, 즉, MTA(sendmail)가 수신한 메일은 로컬 메일러에게 전달되어 수신자 ID에 따라 그 사용자의 메일함으로 분배된다. Solaris가 제공하는 로컬 메일러보다 훨씬 기능이 뛰어난 procmail을 로컬 메일러로 사용하겠다고 선언한 것이다.

FEATURE(use_cw_file)dnl
/etc/mail/local-host-names 파일을 이용하겠다고 선언한다. 수신자 메일 주소의 골뱅이(@) 뒷부분(도메인)이 /etc/mail/local-host-names 파일 속에 등록되어 있는 경우에, 메일 서버는 그 메일을 접수한다. 그렇지 않으면 자신이 받을 메일이 아니라고 간주하여 반송하거나 다른 곳으로 포워딩한다. 이전 버전의 sendmail에서 /etc/mail/sendmail.cw 파일이다.

FEATURE(masquerade_entire_domain)dnl
메일 서버의 실제 호스트명이 무엇이건간에 발신자 메일 주소의 골뱅이(@) 뒷부분(도메인)을 다른 이름으로 바꿔치기 한다. 아래의 MASQUERADE_AS와 짝을 이룬다.

MASQUERADE_AS('yourdomain.com')dnl
메일 서버의 실제 호스트명이 server.yourdomain.com이라고 할 때, 발신자 메일 주소는 username@server.yourdomain.com이 되는 대신에 username@yourdomain.com이 된다.

FEATURE(access_db)dnl
릴레이 허용/금지, 스패머 주소 등록 등을 위한 파일로서, /etc/mail/access에 위치하고, 데이터베이스 맵 형태로 존재한다. 이제는 SMTP AUTH 기능이 지원되기 때문에 그 역할이 많이 줄었다고 여겨진다. 자세한 이용법은 cf/README의 "Anti-Spam" 부분을 참고하자.

MAILER(local)dnl
로컬 메일러를 선언하는 부분이다. 필수적이다.

MAILER(smtp)dnl
SMTP 메일러를 선언하는 부분이다. 필수적이다.

TRUST_AUTH_MECH('LOGIN PLAIN CRAM-MD5')dnl
SMTP AUTH(인증) 메커니즘으로 무엇과 무엇을 이용하겠다고 나열하는 부분이다. 아래의 define 구문과 짝을 이룬다.

define('confAUTH_MECHANISMS','LOGIN PLAIN CRAM-MD5')dnl
SMTP AUTH 메커니즘은 이외에도 DIGEST-MD5, GSSAPI 등이 있으나, 이 문서에서는 LOGIN 메커니즘 만을 지원하는 MS Outlook이나 Outlook Express 만을 지원할 것이기 때문에 간단하게 정의하였다.

다음으로, m4 프로그램을 이용하여 sendmail.cf를 만든다.


# m4 cf/m4/cf.m4 config.mc > sendmail.cf


이제 sendmail.cf 파일이 생겼다. sendmail을 컴파일 할 때 IP v6를 지원하도록 정의하지 않았기 때문에 IP v6에 대한 선언 부분을 주석 처리해야 한다.


# vi sendmail.cf
comment out the line O DaemonPortOptions=Name=MTA-IPv6, Family=inet6


이외에도 /etc/mail에 존재해야 하는 파일이 몇 가지 더 있다. 예를 들어, access, aliases, local-host-names, relay-domains 파일이 있다. 이 중에서 access 파일은 makemap 프로그램을 이용하여 데이터베이스 맵 형태로 바꿔 주어야 한다.


# vi access
127.0.0.1 OK
@spam.com REJECT
# makemap dbm access < access
# vi aliases
root: sysadmin
sysadmin: mmung4u, kildong
# newaliases
/etc/mail/aliases: 4 aliases, longest 22 bytes, 78 bytes total
# vi local-host-names
server
server.domain.com
mail.domain.com
domain.com
# vi relay-domains
domain.com


보다시피, aliases 파일은 데이터베이스 맵 형태로 존재해야 하지만 makemap 프로그램으로 처리하는 것이 아니라 newaliases 명령어로 처리해야 한다.

기타
세션이 연결되는 상황이나 데이터가 이동하는 상황을 패킷 스니퍼 소프트웨어나 Solaris에서 제공하는 snoop을 이용해서 테스트할 수 있다.


# snoop -o /tmp/snoop.out
Using device /dev/hme (promiscuous mode)
36 ^C
# snoop -r -v -i /tmp/snoop.out | more


SSL 인증서를 만들 때(4.1절 인증서 만들기 참조), "Common Name" 항목에 기입하는 호스트명은 메일 서버의 공식 이름과 같도록 입력해야 한다.

Common Name (eg, YOUR name) []: servername.yourdomain.com

예를 들어, 이 항목에 server.domain.com이라고 입력하여 인증서를 만든 후, Outlook이나 OE에서 "받는 메일 서버"나 "보내는 메일 서버"의 이름을 mail.domain.com이라고 설정하면, 서버에 연결할 때마다 "인증서의 서버 이름이 일치하지 않음" 경고 메시지를 만나게 된다.

보안을 위해서, Outlook/OE의 사용자 계정 설정 시에 "암호 저장함"을 선택하지 않는 것이 바람직하다.

지금까지 구축한 메일 시스템은 다음과 같은 장점을 제공한다.


SMTP 인증을 제공하여, 사무실 이외의 지역에서도 ID와 암호만 있으면 소속 메일 서버를 계속 "outgoing SMTP 서버"로 이용할 수 있다.
POP3와 IMAP을 모두 제공하므로 골라서 사용할 수 있다.
SMTP 인증, POP3, 그리고 IMAP 연결 시에는 사용자의 ID와 암호가 전송되는데, 이것을 다른 사람이 도청할 수 없도록 암호화한다.
인터넷에서 쉽게 구할 수 있는 무료 소프트웨어를 이용하였다.

이 메일 시스템이 제공하지 않는 것들은 다음과 같다.


SMTP 서버 간의 암호화는 지원하지 않는다. 메일 서버 간의 SMTP 세션은 ID와 암호가 이용되지 않는다. 메일의 내용(message body)을 보호하고 싶은 경우라면 PGP 등의 솔루션을 이용할 수 있다.
Virtual mail hosting이나 virtual user 등의 기능은 지원하지 않는다. 이 기능은 sendmail.cf 만드는 법을 잘 숙지하면 지원하도록 만들 수 있다.
STARTTLS를 지원하지 않는다. 이것을 이용하면 SMTP 세션을 암호화할 수 있다고 하는데, sslwrap을 이용해서 원하는 요구 사항은 만족 시킬 수 있기 때문에 신경쓰지 않았다.
LDAP 프로토콜을 지원하지 않는다.
IP v6를 지원하지 않는다.

이 문서에서 설명한 대부분의 내용은 각 패키지에 딸려 있는 README 파일들을 읽고 알아낸 내용이다. (무려 일주일이나!) 더욱 자세한 정보가 필요하면 직접 차근히 읽어보기 바란다. 이 문서는 자유롭게 읽고 응용하고 무료로 배포할 수 있으나 상업적인 목적으로는 이용할 수 없다. 어떤 경우에라도 저자의 이름을 반드시 명시해야 한다.
신고
Posted by The.민군


티스토리 툴바