Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux - Guide de securite - S�curisation de Sendmail

5.7. S�curisation de Sendmail

Sendmail est un Agent de Transport de Courrier (ATC) utilisant le protocole SMTP (Simple Mail Transport Protocol) pour distribuer des messages �lectroniques entre d'autres ATC et les livrer � des clients de messagerie ou des agents de distribution. Bien que de nombreux ATC soient en mesure de crypter le trafic passant entre eux, la plupart ne le font pas. Dans de telles circonstances, l'envoi de courrier �lectronique sur tout r�seau public est consid�r� comme une forme de communication non-s�curis�e par nature.

Pour obtenir davantage d'informations sur la mani�re dont les messages �lectroniques fonctionnent ou pour un aper�u des param�tres de configuration courants, consultez le chapitre intitul� Courrier �lectronique du Guide de r�f�rence de Red Hat Enterprise Linux. Cette section suppose que le lecteur dispose de connaissances �l�mentaires concernant la mani�re de cr�er un fichier /etc/mail/sendmail.cf valide en �ditant le fichier /etc/mail/sendmail.mc et en ex�cutant la commande m4, comme l'explique le Guide de r�f�rence de Red Hat Enterprise Linux.

Il est recommand� � toute personne envisageant d'impl�menter un serveur Sendmail, d'examiner pr�alablement les points suivants�:

5.7.1. Limitation des attaques par d�ni de service

En raison de la nature m�me des messages �lectroniques, il est relativement facile pour un agresseur d�termin� de submerger le serveur de messages �lectroniques et d'entra�ner ainsi un d�ni de service. En donnant certaines limites aux directives suivantes dans /etc/mail/sendmail.mc, il est possible de limiter l'efficacit� de telles agressions.

  • confCONNECTION_RATE_THROTTLE — Le nombre de connexions que le serveur peut recevoir par seconde. Par d�faut, Sendmail ne limite pas le nombre de connexions. Si une limite est fix�e et atteinte, les connexions suivantes sont retard�es.

  • confMAX_DAEMON_CHILDREN — Le nombre maximum de processus enfants pouvant �tre engendr�s par le serveur. Par d�faut, Sendmail n'assigne pas de limite au nombre de processus enfants. Si une limite est fix�e et atteinte, les connexions suivantes sont retard�es.

  • confMIN_FREE_BLOCKS — Le nombre minimum de blocs non-utilis�s devant �tre disponibles pour que le serveur puisse accepter du courrier. La valeur par d�faut est de 100 blocs.

  • confMAX_HEADERS_LENGTH — La taille minimale acceptable (en octets) pour un en-t�te de message.

  • confMAX_MESSAGE_SIZE — La taille maximale acceptable (en octets) pour tout message individuel.

5.7.2. NFS et Sendmail

Ne jamais placer le r�pertoire du spool de courrier, /var/spool/mail/, sur un volume partag� NFS.

�tant donn� que NFSv2 et NFSv3 n'exercent pas de contr�le sur les ID des utilisateurs et groupes, plusieurs utilisateurs peuvent avoir la m�me UID et donc recevoir et lire le courrier de l'un et de l'autre. Ce n'est pas le cas avec NFSv4 utilisant Kerberos. En effet, le module de noyau SECRPC_GSS n'utilise pas l'authentification bas�e sur UID.

5.7.3. Utilisateur courrier-seul

Afin d'essayer d'emp�cher les exploits des utilisateurs locaux sur le serveur Sendmail, il est pr�f�rable que les utilisateurs de courrier acc�dent au serveur Sendmail seulement avec un programme de messagerie. Les comptes shell sur le serveur de messagerie ne devraient pas �tre autoris�s et tous les shells utilisateurs dans le fichier /etc/passwd devraient avoir comme valeur /sbin/nologin (� l'exception pr�s du super-utilisateur si n�cessaire).

 
 
  Published under the terms of the GNU General Public License Design by Interspire