linux sendmail怎么配置？sendmail配置教程详解

在Linux环境下构建企业级邮件系统,Sendmail依然是目前最稳定、兼容性最强的MTA（邮件传输代理）之一。核心上文小编总结在于：Sendmail的高效运行不仅依赖于正确的参数配置，更取决于DNS解析环境的完备性、认证机制的安全性以及云环境下的端口策略管理。 一个配置不当的Sendmail服务器极易沦为垃圾邮件的中转站，或因云厂商的默认端口封锁而导致发送失败，配置过程必须遵循“基础环境检测—核心文件修改—安全认证加固—服务测试验证”的闭环逻辑，确保邮件投递成功率与服务器安全性并重。

环境筹备与DNS解析基石

在编辑配置文件之前,必须先夯实底层基础，这是许多运维人员容易忽视的权威性前提，Sendmail本身只是传输工具，邮件的接收与发送信誉很大程度上取决于DNS记录。

MX记录与反向解析
确保域名已正确添加MX（Mail Exchanger）记录，指向您的服务器A记录，更重要的是，必须配置PTR反向解析记录，许多大型邮件服务商（如Gmail、腾讯企业邮）会拒绝接收来自没有PTR记录的服务器的邮件，如果您使用的是酷番云服务器，可通过其控制台提交工单申请协助配置反向解析，将IP地址解析为邮件域名，这是提升邮件信誉度的关键一步。

主机名规范
服务器的主机名必须与邮件域名后缀保持一致，使用hostnamectl set-hostname mail.yourdomain.com命令修改，并确保/etc/hosts文件中包含类似0.0.1 mail.yourdomain.com localhost的映射，否则Sendmail启动时会报错或运行缓慢。

Sendmail核心配置文件详解

Sendmail的配置复杂性主要在于其使用M4宏语言生成sendmail.cf文件，直接编辑.cf文件既不推荐也极易出错，标准做法是修改.mc模板文件。

修改/etc/mail/sendmail.mc
这是配置的核心环节，默认情况下，Sendmail仅监听本地回环地址（127.0.0.1），无法接收外部邮件。

• 开启远程监听： 找到行DAEMON_OPTIONS('Port=smtp,Addr=127.0.0.1, Name=MTA')dnl，将其注释掉或修改为Addr=0.0.0.0，使其监听所有网络接口。
• 开启SMTP认证： 取消以下三行的注释（删除行首的dnl），启用认证功能，防止服务器被用作Open Relay：

  TRUST_AUTH_MECH(`EXTERNAL DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
  define(`confAUTH_MECHANISMS', `EXTERNAL GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl

  注意： 这里的LOGIN PLAIN是基础认证方式，虽然简单，但必须配合TLS加密使用，否则密码将明文传输。

  

生成配置文件
修改完成后，必须使用M4处理器生成新的配置文件，执行命令：
m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf
这一步体现了Sendmail的专业性操作流程，任何修改都必须经过M4转换才能生效。

配置local-host-names
编辑/etc/mail/local-host-names文件，添加您的域名，这告诉Sendmail，哪些域名的邮件应当被视为本地邮件接收，而非中继转发。

安全认证与云环境下的实战优化

仅仅完成基础配置不足以应对当前复杂的网络环境。在云服务器环境下，安全与端口策略是决定配置成败的“隐形关卡”。

开启SASL认证服务
Sendmail的认证依赖SASL库，需确保系统已安装cyrus-sasl相关包，并启动saslauthd服务：
systemctl start saslauthd
systemctl enable saslauthd
这是防止服务器被恶意利用发送垃圾邮件的最后一道防线。 只有通过认证的用户才能通过服务器发送邮件。

酷番云环境下的端口策略经验案例
在酷番云的实际部署经验中，我们发现一个常见的“配置正确但发送失败”的案例：用户按照标准教程配置了Sendmail，日志显示“Connection refused”。
原因分析： 为了防止垃圾邮件泛滥，酷番云与其他主流云厂商默认封禁了25端口的出站流量。
解决方案： 此时有两个选择：

• 方案A：申请解封25端口（需实名认证和业务说明）。
• 方案B（推荐）：配置Sendmail使用465端口（SMTPS）或587端口进行加密传输。
  在sendmail.mc中，可以通过配置DAEMON_OPTIONS来指定监听587端口，并强制启用STARTTLS，这种“避坑”经验在官方文档中鲜有提及，却是云环境下部署邮件系统的独家实战心得，通过酷番云的安全组策略开放相应端口，能迅速解决连接超时问题。

别名配置与测试验证

邮件别名系统
编辑/etc/aliases文件，可以实现邮件转发功能，系统发送给root的告警邮件，可以通过添加root: yourname@yourdomain.com转发到个人邮箱，便于运维监控，修改后需执行newaliases命令重建别名数据库。

测试验证
配置完成后，重启Sendmail服务，使用telnet localhost 25进行本地测试，输入ehlo localhost，查看返回信息中是否包含250-AUTH LOGIN PLAIN字样，若包含，说明认证功能已开启，随后，建议使用Swaks或Mailx工具进行真实的收发测试，检查邮件头信息是否正确，特别是Received字段是否暴露了真实的内网IP，必要时需在sendmail.cf中屏蔽版本号和敏感信息，以提升安全性。

相关问答

Sendmail配置完成后，发送邮件提示“Relaying denied”是什么原因？
解答： 这是一个典型的权限拒绝错误，通常由两个原因导致，检查/etc/mail/access文件，确保发送方的IP或域名被允许中继，修改后需运行makemap hash /etc/mail/access < /etc/mail/access生成数据库，也是最常见的原因，即客户端未进行SMTP认证，请确保邮件客户端（如Outlook、Foxmail）勾选了“我的服务器要求身份验证”，并且服务器端的SASL服务正常运行。

在云服务器上部署Sendmail，如何确保邮件不被大型邮箱（如QQ、Gmail）拦截？
解答： 邮件拦截通常涉及信誉度问题，除了前文提到的配置PTR反向解析外，还需配置SPF（Sender Policy Framework）和DKIM（DomainKeys Identified Mail），SPF记录是在DNS中添加TXT记录，授权服务器IP发送邮件；DKIM则需生成密钥并在Sendmail中配置签名，虽然Sendmail原生配置DKIM较为复杂，但这是企业级邮件系统权威性的体现，保持服务器IP清洁，不在RBL（实时黑名单）列表中，是邮件送达的根本保障。