5.7. Sicherung von Sendmail

Sendmail ist ein Mail Transport Agent (MTA), der das Simple Mail Transport Protocol (SMTP) zur Übertragung elektronischer Nachrichten zwischen anderen MTAs und für das E-Mailen an Clients oder Delivery Agents einsetzt. Obwohl viele MTAs den Verkehr untereinander verschlüsseln können, tun dies viele nicht, so dass das Versenden von E-Mails über ein öffentliches Netzwerk als eine von Natur aus unsichere Form der Kommunikation betrachtet wird.

Weitere Informationen zur Funktionsweise von E-Mails und einen Überblick allgemeiner Konfigurationseinstellungen finden Sie im Kapitel E-Mail im Red Hat Enterprise Linux Referenzhandbuch. Dieser Abschnitt setzt ein Grundwissen über das Generieren einer gültigen /etc/mail/sendmail.cf durch das Bearbeiten von /etc/mail/sendmail.mc und dasAusführen des Befehls m4 voraus. Dies wird im Red Hat Enterprise Linux Referenzhandbuch beschrieben.

Es wird empfohlen, dass Sie sich mit den folgenden Angelegenheiten auseinandersetzen, wenn Sie die Implementierung eines Sendmail-Servers planen.

5.7.1. Einschränken von Denial-of-Service-Attacken

Durch die Natur von E-Mail kann ein dazu entschlossener Angreifer den Server leicht mit E-Mails überfluten und so eine Verweigerung des Services verursachen. Indem Sie in die folgenden Direktiven auf /etc/mail/sendmail.mc limitieren, kann die Wirksamkeit solcher Attacken stark abgeschwächt werden.

5.7.2. NFS und Sendmail

Legen Sie niemals das Mail-Spool-Verzeichnis, /var/spool/mail/, auf einem NFS-Shared Volumen ab.

Da NFS keine Kontrolle über Benutzer- und Gruppen-IDs hat, können zwei oder mehr Benutzer die gleiche UID besitzen und daher jeweils die E-Mail des anderen lesen.

5.7.3. Nur-Mail Benutzer

Um ein Ausbeuten des Sendmail-Servers durch lokale Benutzer zu vermeiden, ist es am besten, wenn Mail-Benutzer auf den Sendmail-Server nur über ein E-Mail-Programm zugreifen. Shell-Accounts auf dem Mail-Server sollten nicht erlaubt sein, und alle Benutzer-Shells in der Datei /etc/passwd sollten auf /sbin/nologin gesetzt sein (evtl. unter Ausnahme des Root-Benutzers).