Sendmail服务器安全配置技巧
5、限制可以审核邮件队列内容的人员
通常情况下,任何人都可以使用"mailq"命令来查看邮件队列的内容。为了限制可以审核邮件队列内容的人员,只需要在"/etc/sendmail.cf"文件中指定"restrictmailq"选项即可。在这种情况下,sendmail只允许与这个队列所在目录的组属主相同的用户可以查看它的内容。这将允许权限为0700的邮件队列目录被完全保护起来,而我们限定的合法用户仍然可以看到它的内容。
编辑"sendmail.cf"文件(vi /etc/sendmail.cf)并更改下面一行:
O PrivacyOptions=authwarnings,noexpn,novrfy
改为:
O PrivacyOptions=authwarnings,noexpn,novrfy,restrictmailq
现在我们更改邮件队列目录的权限使它被完全保护起来:
[root@deep]# chmod 0700 /var/spool/mqueue
注意:我们已经在sendmail.cf中的"PrivacyOptions="行中添加了"noexpn"和"novrfy"选项,现在在这一行中我们接着添加"restrictmailq"选项。
任何一个没有特权的用户如果试图查看邮件队列的内容会收到下面的信息:
[user@deep]$ /usr/bin/mailq
You are not permitted to see the queue
6、限制处理邮件队列的权限为"root"
通常,任何人都可以使用"-q"开关来处理邮件队列,为限制只允许root处理邮件队列,需要在"/etc/sendmail.cf"文件中指定"restrictqrun"。
编辑"sendmail.cf"文件(vi /etc/sendmail.cf)并更改下面一行:
O PrivacyOptions=authwarnings,noexpn,novrfy,restrictmailq
改为:
O PrivacyOptions=authwarnings,noexpn,novrfy,restrictmailq,restrictqrun
任何一个没有特权的用户如果试图处理邮件队列的内容会收到下面的信息:
[user@deep]$ /usr/sbin/sendmail -q
You do not have permission to process the queue
7、在重要的sendmail文件上设置不可更改位
可以通过使用"chattr"命令而使重要的Sendmail文件不会被擅自更改,可以提高系统的安全性。具有"+i"属性的文件不能被修改:它不能被删除和改名,不能创建到这个文件的链接,不能向这个文件写入数据。只有超级用户才能设置和清除这个属性。
为"sendmail.cf"文件设置不可更改位:
[root@deep]# chattr +i /etc/sendmail.cf
为"sendmail.cw"文件设置不可更改位:
[root@deep]# chattr +i /etc/sendmail.cw
为"sendmail.mc"文件设置不可更改位:
[root@deep]# chattr +i /etc/sendmail.mc
为"null.mc"文件设置不可更改位:
[root@deep]# chattr +i /etc/null.mc
为"aliases"文件设置不可更改位:
[root@deep]# chattr +i /etc/aliases
为"access"文件设置不可更改位:
[root@deep]# chattr +i /etc/mail/access
8、Sendmail环境下的防止邮件relay
从8.9版本开始,缺省的是不允许邮件转发(mail relay)的。最简单的允许邮件转发的方法是在文件/etc/mail/relay-domains中进行设置。该文件中列出的域名内的信件都允许通过本地服务器进行邮件转发。
为了更精确的设置,可以在sendmail.mc中添加如下几个参数允许被用来设置邮件转发:
· FEATURE(relay_hosts_only). 通常情况下,在文件/etc/mail/relay-domains中列出的域名的主机都允许通过本地机转发,而该设置指示指定必须罗列出每个允许通过本机转发邮件的主机。
· FEATURE(relay_entire_domain). 该参数指示允许所有本地域通过本机进行邮件转发。
· FEATURE(access_db). 该参数指定利用哈希数据库/etc/mail/access来决定是否允许某个主机通过本地进行邮件转发。
· FEATURE(blacklist_recipients).若该参数被设置,则在决定是否允许某个主机转发邮件时同时察看邮件发送着地址和邮件接受者地址。
· FEATURE(rbl).允许基于maps.vix.com由黑名单(Realtime Blackhole List)进行邮件拒绝,以防范垃圾邮件。
· FEATURE(accept_unqualified_senders).允许接受发送者地址不包括域名的邮件,例如user,而不是user@B.NET。
· FEATURE(accept_unresolvable_domains).通常来讲,sendmail拒绝接受发送者邮件地址指定的主机通过DNS不能解析的邮件,而该参数允许接收这种邮件。
· FEATURE(relay_based_on_MX).该参数允许转发邮件接受者地址的MX记录指向本地的的邮件,例如,本地接收到一个发送目的地址为user@b.com的邮件,而b.com域名的MX记录指向了本地机器,则本地机器就允许转发该邮件。
下面几个特性可能会有安全漏洞,一般当邮件服务器位于防火墙后时才应该使用,因为这些参数可能导致你的系统易于被垃圾邮件发送者利用。
· FEATURE(relay_local_from). 该参数指定若消息自称源于本地域,则允许转发该邮件。
· FEATURE(promiscuous_relay). 打开对所有的邮件的转发。
宏配置文件"sendmail.mc"设置成功以后,可以用下面的命令创建sendmail的配置文件:
[root@deep]# cd /var/tmp/sendmail-version/cf/cf/
[root@deep]# m4 ../m4/cf.m4 /etc/sendmail.mc > /etc/sendmail.cf
注意:这里"../m4/cf.m4"告诉m4程序的缺省配置文件路径。
最新相关文章- ·正确配置Postfix来阻止垃圾邮件
- ·Postfix邮件系统的安装与配置
- ·Sendmail邮件服务器升级技巧速成
- ·SENDMAIL邮件服务器的安装与设置
- ·Sendmail服务器安全配置技巧
- ·安全易用:Winmail邮件服务器
- ·为什么IIS邮件服务器能收不能发
- ·Linux系统Qmail邮件服务器安装过程解析
- ·Linux系统环境下邮件服务器软件的分析比较
- ·RHEL4系统Sendmail邮件服务器的简单架设
- ·拒绝平庸 专业电子邮局轻松架设
- ·菜鸟也能玩转WinMail邮件服务器
- ·个人SMTP服务器的配置
- ·通过E-mail 共享Java 对象
- ·Server 2003中为SNMP服务配置网络安全性
- ·你的email服务器准备好应对账号搜集攻击了吗
发表评论- Server 2003中为SNMP服务配置网络安全性
- 用WebEasyMail架构Web邮件服务器(6)
- 用CMailServer打造邮件服务器
- Sendmail邮件服务器快速指南(2)
- 使用MDaemon搭建企业邮局(2)
- QMAIL+MH设计方案(6)
- Sendmail邮件服务器快速指(5)
- Webmail攻防实战(6)
- QMAIL+MH设计方案(8)
- 用WebEasyMail架构Web邮件服务器(1)
- 配置你的第一台e-mail服务器(上)
- 基于Sendmail和Perl的邮件附件过滤系统(2)
- 用MDaemon搭建邮件服务器(中)
- 一种经济合算的NT邮件服务器软件(3)
- 用Windows Server 2003架设小型邮件服务器