Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Sicherheitshandbuch - Sicherung von Sendmail
Red Hat Enterprise Linux 4: Sicherheitshandbuch
Zur�ckKapitel 5. Server-SicherheitNach vorne

5.7. Sicherung von Sendmail

Sendmail ist ein Mail Transport Agent (MTA), der das Simple Mail Transport Protocol (SMTP) zur �bertragung elektronischer Nachrichten zwischen anderen MTAs und f�r das E-Mailen an Clients oder Delivery Agents einsetzt. Obwohl viele MTAs den Verkehr untereinander verschl�sseln k�nnen, tun dies viele nicht, so dass das Versenden von E-Mails �ber ein �ffentliches Netzwerk als eine von Natur aus unsichere Form der Kommunikation betrachtet wird.

Weitere Informationen zur Funktionsweise von E-Mails und einen �berblick allgemeiner Konfigurationseinstellungen finden Sie im Kapitel E-Mail im Red Hat Enterprise Linux Referenzhandbuch. Dieser Abschnitt setzt ein Grundwissen �ber das Generieren einer g�ltigen /etc/mail/sendmail.cf durch das Bearbeiten von /etc/mail/sendmail.mc und dasAusf�hren des Befehls m4 voraus. Dies wird im Red Hat Enterprise Linux Referenzhandbuch beschrieben.

Es wird empfohlen, dass Sie sich mit den folgenden Angelegenheiten auseinandersetzen, wenn Sie die Implementierung eines Sendmail-Servers planen.

5.7.1. Limitierung einer Denial-of-Service-Attacke

Durch die Natur von E-Mail kann ein dazu entschlossener Angreifer den Server leicht mit E-Mails �berfluten und so eine Verweigerung des Dienstes verursachen. Indem Sie in die folgenden Direktiven in /etc/mail/sendmail.mc limitieren, kann die Wirksamkeit solcher Attacken stark abgeschw�cht werden.

  • confCONNECTION_RATE_THROTTLE — Die Anzahl der Verbindungen, die der Server pro Sekunde empfangen kann. Standardm��ig begrenzt Sendmail die Zahl der Verbindungen nicht. Wird eine Grenze gesetzt, werden dar�ber hinaus gehende Verbindungen verz�gert.

  • confMAX_DAEMON_CHILDREN — Die maximale Anzahl von Child-Prozessen, die vom Server erzeugt werden k�nnen. Standardm��ig begrenzt Sendmail die Anzahl der Child-Prozesse nicht. Wird eine Grenze gesetzt und diese erreicht, werden alle weiteren Verbindungen verz�gert.

  • confMIN_FREE_BLOCKS — Die minimale Anzahl freier Bl�cke, die f�r den Server zur Verf�gung stehen m�ssen, um E-Mail empfangen zu k�nnen. Der Standard ist 100 Bl�cke.

  • confMAX_HEADERS_LENGTH — Die maximal akzeptierte Gr��e (in Bytes) f�r einen Nachrichtenkopf.

  • confMAX_MESSAGE_SIZE — Die maximal akzeptierte Gr��e (in Bytes) pro Nachricht.

5.7.2. NFS und Sendmail

Legen Sie niemals das Mail-Spool-Verzeichnis, /var/spool/mail/, auf einem NFS-Shared Volumen ab.

Da NFSv2 und NFSv3 keine Kontrolle �ber Benutzer- und Gruppen-IDs haben, k�nnen zwei oder mehr Benutzer die gleiche UID besitzen und daher jeweils die E-Mail des anderen lesen. Mit NFSv4 und Kerberos ist dies nicht der Fall, da das SECRPC_GSS-Kernel-Modul keine UID-basierte Authentifizierung anwendet.

5.7.3. Nur-Mail Benutzer

Um ein Ausbeuten des Sendmail-Servers durch lokale Benutzer zu vermeiden, ist es am besten, wenn Mail-Benutzer auf den Sendmail-Server nur �ber ein E-Mail-Programm zugreifen. Shell-Accounts auf dem Mail-Server sollten nicht erlaubt sein, und alle Benutzer-Shells in der Datei /etc/passwd sollten auf /sbin/nologin gesetzt sein (evtl. unter Ausnahme des Root-Benutzers).

Zur�ckZum AnfangNach vorne
Sicherung von FTPNach obenBest�tigen, welche Ports auf Verbindungen abh�ren

  
 
  Published under the terms of the GNU General Public License Design by Interspire