Red Hat Enterprise Linux 3: Sicherheitshandbuch | ||
---|---|---|
Zurück | Kapitel 5. Server-Sicherheit | Nach vorne |
Sendmail ist ein Mail Transport Agent (MTA), der das Simple Mail Transport Protocol (SMTP) zur Übertragung elektronischer Nachrichten zwischen anderen MTAs und für das E-Mailen an Clients oder Delivery Agents einsetzt. Obwohl viele MTAs den Verkehr untereinander verschlüsseln können, tun dies viele nicht, so dass das Versenden von E-Mails über ein öffentliches Netzwerk als eine von Natur aus unsichere Form der Kommunikation betrachtet wird.
Weitere Informationen zur Funktionsweise von E-Mails und einen Überblick allgemeiner Konfigurationseinstellungen finden Sie im Kapitel E-Mail im Red Hat Enterprise Linux Referenzhandbuch. Dieser Abschnitt setzt ein Grundwissen über das Generieren einer gültigen /etc/mail/sendmail.cf durch das Bearbeiten von /etc/mail/sendmail.mc und dasAusführen des Befehls m4 voraus. Dies wird im Red Hat Enterprise Linux Referenzhandbuch beschrieben.
Es wird empfohlen, dass Sie sich mit den folgenden Angelegenheiten auseinandersetzen, wenn Sie die Implementierung eines Sendmail-Servers planen.
Durch die Natur von E-Mail kann ein dazu entschlossener Angreifer den Server leicht mit E-Mails überfluten und so eine Verweigerung des Services verursachen. Indem Sie in die folgenden Direktiven auf /etc/mail/sendmail.mc limitieren, kann die Wirksamkeit solcher Attacken stark abgeschwächt werden.
confCONNECTION_RATE_THROTTLE — Die Anzahl der Verbindungen, die der Server pro Sekunde empfangen kann. Standardmäßig begrenzt Sendmail die Zahl der Verbindungen nicht. Wird eine Grenze gesetzt, werden darüber hinaus gehende Verbindungen verzögert.
confMAX_DAEMON_CHILDREN — Die maximale Anzahl von Child-Prozessen, die vom Server erzeugt werden können. Standardmäßig begrenzt Sendmail die Anzahl der Child-Prozesse nicht. Wird eine Grenze gesetzt und diese erreicht, werden alle weiteren Verbindungen verzögert.
confMIN_FREE_BLOCKS — Die minimale Anzahl freier Blöcke, die für den Server zur Verfügung stehen müssen, um E-Mail empfangen zu können. Der Standard ist 100 Blöcke.
confMAX_HEADERS_LENGTH — Die maximal akzeptierte Größe (in Bytes) für einen Nachrichtenkopf.
confMAX_MESSAGE_SIZE — Die maximal akzeptierte Größe (in Bytes) pro Nachricht.
Legen Sie niemals das Mail-Spool-Verzeichnis, /var/spool/mail/, auf einem NFS-Shared Volumen ab.
Da NFS keine Kontrolle über Benutzer- und Gruppen-IDs hat, können zwei oder mehr Benutzer die gleiche UID besitzen und daher jeweils die E-Mail des anderen lesen.
Um ein Ausbeuten des Sendmail-Servers durch lokale Benutzer zu vermeiden, ist es am besten, wenn Mail-Benutzer auf den Sendmail-Server nur über ein E-Mail-Programm zugreifen. Shell-Accounts auf dem Mail-Server sollten nicht erlaubt sein, und alle Benutzer-Shells in der Datei /etc/passwd sollten auf /sbin/nologin gesetzt sein (evtl. unter Ausnahme des Root-Benutzers).
Zurück | Zum Anfang | Nach vorne |
Sicherung von FTP | Nach oben | Bestätigen, welche Ports auf Verbindungen abhören |