基于 HTTP 的邮件认证深入解读 ngx_mail_auth_http_module

news2025/6/1 7:04:55

一、模块启用与示例配置

mail {
    server {
        listen     143;           # IMAP
        protocol   imap;
        auth_http  http://auth.local/auth;

        # 可选:传递客户端证书给认证服务
        auth_http_pass_client_cert on;
        auth_http_timeout 5s;
        auth_http_header X-Auth-Key "shared_secret";
    }
}

  • auth_http URL;
    指定后端认证服务地址(可包含域名、IP、端口以及 path)。

  • auth_http_header name value;
    自定义 HTTP Header,通常用作 shared‐secret,防止伪造认证请求。

  • auth_http_pass_client_cert on|off;
    将客户端 SSL 证书(PEM 格式,URL 编码)通过 Auth-SSL-Cert 头一并提交。

  • auth_http_timeout time;
    与认证服务器通信超时时间,默认 60 秒。

二、认证协议详解

认证请求使用纯 HTTP/1.0 GET 方法,仅关注 请求头响应头,忽略响应体。请求示例:

GET /auth HTTP/1.0
Host: auth.local
Auth-Method: plain            # 登录方式:plain/apop/cram-md5/external/none
Auth-User: alice              # 用户名
Auth-Pass: secret123          # 密码或摘要
Auth-Protocol: imap           # imap/pop3/smtp
Auth-Login-Attempt: 1         # 当前尝试次数
Client-IP: 203.0.113.5        # 客户端 IP
Client-Host: user.example.org # 客户端主机名

认证服务器若成功,应返回:

HTTP/1.0 200 OK
Auth-Status: OK
Auth-Server: 198.51.100.1     # 转发给后端的服务器 IP
Auth-Port: 143                # 转发给后端的端口

失败示例:

HTTP/1.0 200 OK
Auth-Status: Invalid password
Auth-Wait: 3                  # 建议客户端等 3 秒再试
  • 若响应中无 Auth-Wait,NGINX 会断开连接;
  • 建议同一会话内失败 10–20 次后,认证服务返回无 Auth-Wait,以免占用过多内存。

三、APOP 与 CRAM-MD5 认证

对于挑战-响应方式(APOP、CRAM-MD5),客户端请求会带上服务端盐值(Auth-Salt)和摘要结果:

GET /auth HTTP/1.0
Host: auth.local
Auth-Method: apop
Auth-User: alice
Auth-Salt: <238188073.1163692009@mail.example.com>
Auth-Pass: md5_digest
Auth-Protocol: imap
Auth-Login-Attempt: 1
Client-IP: 203.0.113.5

认证服务器成功应同样返回 Auth-Status: OK,并可额外携带 Auth-Pass(明文密码),用于后续向后端登录。

四、SMTP 专用逻辑

  • 无认证(匿名 SMTP 转发)
    Auth-Method: none 时,认证请求会附带 Auth-SMTP-HeloAuth-SMTP-FromAuth-SMTP-To,便于后端策略判断。

  • 错误码处理
    若响应头含 Auth-Error-Code: xyz,则返回给 SMTP 客户端的错误代码即为 xyz。否则默认 535 5.7.0

五、TLS 客户端证书透传

开启 auth_http_pass_client_cert on; 后,NGINX 会在请求中附加:

Auth-SSL: on
Auth-SSL-Protocol: TLSv1.3
Auth-SSL-Cipher: TLS_AES_256_GCM_SHA384
Auth-SSL-Verify: SUCCESS|FAILED:reason|NONE
Auth-SSL-Subject: /CN=client
Auth-SSL-Issuer: /CN=CA
Auth-SSL-Serial: 1234ABCD
Auth-SSL-Fingerprint: ab:cd:ef:...
Auth-SSL-Cert: <URL-encoded PEM>

后台可据此决策:如仅允许持有特定证书的客户端。

六、PROXY 协议支持

若在邮件代理层部署了 PROXY 协议,ngx_mail_auth_http_module 也能透传源 IP/端口、代理服务器 IP/端口至认证服务:

Proxy-Protocol-Addr: 10.0.0.2
Proxy-Protocol-Port: 12345
Proxy-Protocol-Server-Addr: 198.51.100.1
Proxy-Protocol-Server-Port: 2525

七、最佳实践与注意事项

  1. 共享密钥:务必通过 auth_http_header 加入签名或 token,校验请求来源;
  2. 限次重试:控制 Auth-Login-Attempt,在后端强制 10–20 次后不返回 Auth-Wait
  3. 超时设置auth_http_timeout 建议 3–10 秒,防网络抖动导致阻塞;
  4. 安全隔离:认证 URL 搭建在内网或加 TLS + 访问控制,避免外网滥用;
  5. 日志埋点:在认证服务中记录 Auth-MethodAuth-Login-Attempt、返回耗时,方便排查;
  6. APOP/CRAM-MD5:仅在后端支持时开启,对性能影响极小。

通过 ngx_mail_auth_http_module,NGINX 能以极简配置实现灵活的 HTTP 认证后端接入,不仅统一了多种邮件协议(IMAP/POP3/SMTP)的认证逻辑,也方便与现有的 SSO、OAuth 或自研用户中心无缝集成,让邮件代理既可靠又安全。欢迎在评论区交流更多实战经验!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2392300.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

关于无法下载Qt离线安装包的说明

关于无法下载Qt离线安装包的说明

不知道出于什么原因考虑&#xff0c;Qt官方目前不提供离线的安装包下载&#xff0c;意味着网上各种文章提供的各种下载地址都失效了&#xff0c;会提示Download from your IP address is not allowed&#xff0c;当然目前可以在线安装&#xff0c;但是据说只提供了从5.15开始的…
阅读更多...
Java开发经验——阿里巴巴编码规范实践解析4

Java开发经验——阿里巴巴编码规范实践解析4

摘要 本文主要介绍了阿里巴巴编码规范中关于日志处理的相关实践解析。强调了使用日志框架&#xff08;如 SLF4J、JCL&#xff09;而非直接使用日志系统&#xff08;如 Log4j、Logback&#xff09;的 API 的重要性&#xff0c;包括解耦日志实现、统一日志调用方式等好处。同时&…
阅读更多...
HTML应用指南:利用GET请求获取全国捞王锅物料理门店位置信息

HTML应用指南:利用GET请求获取全国捞王锅物料理门店位置信息

随着新零售业态的快速发展&#xff0c;门店位置信息的获取变得越来越重要。作为知名中式餐饮品牌之一&#xff0c;捞王锅物料理自2009年创立以来&#xff0c;始终致力于为消费者提供高品质的锅物料理与贴心的服务体验。经过多年的发展&#xff0c;捞王在全国范围内不断拓展门店…
阅读更多...
算法日记32:埃式筛、gcd和lcm、快速幂、乘法逆元

算法日记32:埃式筛、gcd和lcm、快速幂、乘法逆元

一、埃式筛&#xff08;计算质数&#xff09; 1.1、概念 1.1.1、在传统的计算质数中&#xff0c;我们采用单点判断&#xff0c;即判断(2~sqrt(n))是否存在不合法元素&#xff0c;若存在则判否&#xff0c;否则判是 1.1.2、假设&#xff0c;此时我们需要求1~1000的所有质数&am…
阅读更多...
黑马点评-分布式锁Lua脚本

黑马点评-分布式锁Lua脚本

文章目录 分布式锁Redis setnxredis锁误删Lua脚本 分布式锁 当我们的项目服务器不只是一台&#xff08;单体&#xff09;&#xff0c;而是部署在多态服务器上&#xff08;集群/分布式&#xff09;&#xff0c;同样会出现线程安全问题。不同服务器内部有不同的JVM&#xff0c;每…
阅读更多...
机械师安装ubantu双系统:三、GPT分区安装Ubantu

机械师安装ubantu双系统:三、GPT分区安装Ubantu

目录 一、查看磁盘格式 二、安装ubantu 参考链接&#xff1a; GPT分区安装Ubuntu_哔哩哔哩_bilibili 一、查看磁盘格式 右击左边灰色区域&#xff0c;点击属性 二、安装ubantu 插入磁盘&#xff0c;重启系统&#xff0c;狂按F7&#xff08;具体我也忘了&#xff09;&#…
阅读更多...
kafka学习笔记(三、消费者Consumer使用教程——从指定位置消费)

kafka学习笔记(三、消费者Consumer使用教程——从指定位置消费)

1.简介 Kafka的poll()方法消费无法精准的掌握其消费的起始位置&#xff0c;auto.offset.reset参数也只能在比较粗粒度的指定消费方式。更细粒度的消费方式kafka提供了seek()方法可以指定位移消费允许消费者从特定位置&#xff08;如固定偏移量、时间戳或分区首尾&#xff09;开…
阅读更多...
【后端高阶面经:架构篇】46、分布式架构:如何应对高并发的用户请求

【后端高阶面经:架构篇】46、分布式架构:如何应对高并发的用户请求

一、架构设计原则:构建可扩展的系统基石 在分布式系统中,高并发场景对架构设计提出了极高要求。 分层解耦与模块化是应对复杂业务的核心策略,通过将系统划分为客户端、CDN/边缘节点、API网关、微服务集群、缓存层和数据库层等多个层次,实现各模块的独立演进与维护。 1.1 …
阅读更多...
网络编程学习笔记——TCP网络编程

网络编程学习笔记——TCP网络编程

文章目录 1、socket()函数2、bind()函数3、listen()4、accept()5、connect()6、send()/write()7、recv()/read()8、套接字的关闭9、TCP循环服务器模型10、TCP多线程服务器11、TCP多进程并发服务器 网络编程常用函数 socket() 创建套接字bind() 绑定本机地址和端口connect() …
阅读更多...
Vue+element-ui,实现表格渲染缩略图,鼠标悬浮缩略图放大,点击缩略图播放视频(一)

Vue+element-ui,实现表格渲染缩略图,鼠标悬浮缩略图放大,点击缩略图播放视频(一)

Vueelement-ui&#xff0c;实现表格渲染缩略图&#xff0c;鼠标悬浮缩略图放大&#xff0c;点击缩略图播放视频 前言整体代码预览图具体分析基础结构主要标签作用videoel-popover 前言 如标题&#xff0c;需要实现这样的业务 此处文章所实现的&#xff0c;是静态视频资源。 注…
阅读更多...
day13 leetcode-hot100-22(链表1)

day13 leetcode-hot100-22(链表1)

160. 相交链表 - 力扣&#xff08;LeetCode&#xff09; 1.哈希集合HashSet 思路 &#xff08;1&#xff09;将A链的所有数据存储到HashSet中。 &#xff08;2&#xff09;遍历B链&#xff0c;找到是否在A中存在。 具体代码 /*** Definition for singly-linked list.* pu…
阅读更多...
【Oracle】DQL语言

【Oracle】DQL语言

个人主页&#xff1a;Guiat 归属专栏&#xff1a;Oracle 文章目录 1. DQL概述1.1 什么是DQL&#xff1f;1.2 DQL的核心功能 2. SELECT语句基础2.1 基本语法结构2.2 最简单的查询2.3 DISTINCT去重 3. WHERE条件筛选3.1 基本条件运算符3.2 逻辑运算符组合3.3 高级条件筛选 4. 排序…
阅读更多...
HUAWEI华为MateBook D 14 2021款i5,i7集显非触屏(NBD-WXX9,NbD-WFH9)原装出厂Win10系统

HUAWEI华为MateBook D 14 2021款i5,i7集显非触屏(NBD-WXX9,NbD-WFH9)原装出厂Win10系统

适用型号&#xff1a;NbD-WFH9、NbD-WFE9A、NbD-WDH9B、NbD-WFE9、 链接&#xff1a;https://pan.baidu.com/s/1qTCbaQQa8xqLR-4Ooe3ytg?pwdvr7t 提取码&#xff1a;vr7t 华为原厂WIN系统自带所有驱动、出厂主题壁纸、系统属性联机支持标志、系统属性专属LOGO标志、Office…
阅读更多...
【STIP】安全Transformer推理协议

【STIP】安全Transformer推理协议

Secure Transformer Inference Protocol 论文地址&#xff1a;https://arxiv.org/abs/2312.00025 摘要 模型参数和用户数据的安全性对于基于 Transformer 的服务&#xff08;例如 ChatGPT&#xff09;至关重要。虽然最近在安全两方协议方面取得的进步成功地解决了服务 Transf…
阅读更多...
leetcode hot100刷题日记——27.对称二叉树

leetcode hot100刷题日记——27.对称二叉树

方法一&#xff1a;递归法 class Solution { public:bool check(TreeNode *left,TreeNode *right){//左子树和右子树的节点同时是空的是对称的if(leftnullptr&&rightnullptr){return true;}if(leftnullptr||rightnullptr){return false;}//检查左右子树的值相不相等&a…
阅读更多...
高考加油(Python+HTML)

高考加油(Python+HTML)

前言 询问DeepSeek根据自己所学到的知识来生成多个可执行的代码&#xff0c;为高考学子加油。最开始生成的都会有点小问题&#xff0c;还是需要自己调试一遍&#xff0c;下面就是完整的代码&#xff0c;当然了最后几天也不会有多少人看&#xff0c;都在专心的备考。 Python励…
阅读更多...
贪心算法应用:Ford-Fulkerson最大流问题详解

贪心算法应用:Ford-Fulkerson最大流问题详解

Java中的贪心算法应用:Ford-Fulkerson最大流问题详解 1. 最大流问题概述 最大流问题(Maximum Flow Problem)是图论中的一个经典问题,旨在找到一个从源节点(source)到汇节点(sink)的最大流量。Ford-Fulkerson方法是解决最大流问题的经典算法之一,它属于贪心算法的范畴…
阅读更多...
UE5 Niagara 如何让四元数进行旋转

UE5 Niagara 如何让四元数进行旋转

Axis Angle中&#xff0c;X,Y,Z分别为旋转的轴向&#xff0c;W为旋转的角度&#xff0c;在这里旋转角度不需要除以2&#xff0c;因为里面已经除了&#xff0c;再将计算好的四元数与要进行旋转的四元数进行相乘&#xff0c;结果就是按照原来的角度绕着某一轴向旋转了某一角度
阅读更多...
从“黑箱”到透明化:MES如何重构生产执行全流程?

从“黑箱”到透明化:MES如何重构生产执行全流程?

引言 在传统制造企业中&#xff0c;生产执行环节常面临“计划混乱、进度难控、异常频发、数据滞后”的困境。人工派工效率低下、物料错配频发、质量追溯困难等问题&#xff0c;直接导致交付延期、成本攀升、客户流失。深蓝易网MES系统以全流程数字化管理为核心&#xff0c;通过…
阅读更多...
探索Linux互斥:线程安全与资源共享

探索Linux互斥:线程安全与资源共享

个人主页&#xff1a;chian-ocean 文章专栏-Linux 前言&#xff1a; 互斥是并发编程中避免竞争条件和保护共享资源的核心技术。通过使用锁或信号量等机制&#xff0c;能够确保多线程或多进程环境下对共享资源的安全访问&#xff0c;避免数据不一致、死锁等问题。 竞争条件 竞…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023