5.7. Защита Sendmail

Sendmail — это почтовый транспортный агент (Mail Transport Agent — MTA), использующий простой протокол передачи почты (Simple Mail Transport Protocol — SMTP) для пересылки электронных сообщений между MTA и получения почты от почтовых клиентов. Хотя многие почтовые агенты могут шифровать трафик между собой, большинство этого не делает, поэтому пересылка почты по открытым сетям считается небезопасной по природе формой связи.

Дополнительные сведения о работе электронной почты и обзор стандартных параметров вы найдёте в главе Электронная почта Справочного руководства по Red Hat Enterprise Linux. В этом разделе предполагается, что вы можете правильно создать /etc/mail/sendmail.cf, отредактировав /etc/mail/sendmail.mc и запустив команду m4, как описано в Справочном руководстве по Red Hat Enterprise Linux.

Всем, кто планирует внедрять сервер Sendmail, рекомендуется уделить внимание следующим вопросам.

5.7.1. Ограничение атаки типа отказ в обслуживании

Сама природа электронной почты позволяет опытному нападающему легко завалить сервер почтой и вызвать отказ в обслуживании. Но определив следующие ограничения в /etc/mail/sendmail.mc, вы ограничите эффективность таких атак.

5.7.2. NFS и Sendmail

Никогда не помещайте каталог спулера почты /var/spool/mail/ на общий том NFS.

Так как NFS не может управлять кодами пользователей и групп, два или несколько пользователей могут получить одинаковый код и таким образом читать почту друг друга.

5.7.3. Пользователи только почтовой службы

Чтобы предотвратить атаки на сервер Sendmail локальных пользователей, лучше разрешить пользователям почты доступ к серверу только из почтовой программы. Доступ пользователей почтового сервера к интерактивной оболочке следует закрыть, для этого нужно задать для всех пользователей в файле /etc/passwd оболочку /sbin/nologin (за возможным исключением пользователя root).