Linux Sendmail 安全配置简述 (linux sendmail安全配置)
Linux Sendml 是一种邮件传输代理(MTA),它通常被用来传送邮件。然而,如果没有适当配置,运行 Sendml 可能会导致安全性问题,这将让您的主机对恶意攻击变得易于攻破。在本文中,我们将提供关于如何配置 Sendml 以确保它运行在最安全的模式下的一些信息。
1. 限制用户访问
默认情况下,Sendml 允许所有本地用户访问邮件服务。为了更大程度地减少被攻击的风险,您应该限制只允许特定用户访问邮件服务。通过在文件“/etc/ml/access”中定义特定的访问控制列表,可以轻松地实现此目的。其中列出的用户将被允许访问邮件服务,而没有列出的用户将被禁止。在完成此配置后,您应该使用以下命令重新启动 Sendml 服务以使更改生效:
# service sendml restart
2. 防止垃圾邮件
Sendml 是 Spam 反对者的一种宝贵工具。它使用规则基础的方法来拦截垃圾邮件和恶意软件,并阻止它们进入您的系统。要实现这个目标,您需要使用“milters”(Ml Filters)技术来检测和拦截垃圾邮件。您可以选择安装一个或多个 milters,包括 SpamAssassin,clamav-milter,或是 Greylist milter 等。这些 milters 将邮件评估为垃圾邮件或干净邮件,并只允许干净邮件通过。
3. 避免 Open Relay 攻击
Open Relay 是发件人可以将电子邮件转发到任何邮件服务器来对终端用户邮件服务器实施垃圾邮件攻击的一种攻击技术。为了防止出现这种情况,您必须正确地配置您的 Sendml 正确地拒绝来自外部网络的邮件转发请求。 实现这个目标的最简单方法是使用“relay-domns”配置和为可接受的收件人列表创建一个接受的域名列表。这可以通过在文件“/etc/ml/access”中添加以下条目来实现:
To: *@example.com OK
From: webuser@goodguy.com RELAY
上面的配置允许所有的“example.com”邮箱的用户接受邮件,而仅允许来自“goodguy.com”的用户发送邮件。此配置将帮助减少恶意攻击。
4. TLS/SSL 加密
它是一个安全协议,它将数据从客户端到服务器进行加密后传输。当您配置 Sendml 以使用 SSL /TLS 加密时,则具有以下优点:
– 安全提高,可以更好地防止黑客入侵您的系统。
– 保护隐私,确保敏感信息在传输时不易被窃取。
配置 Sendml 的 SSL/TLS 需要您安装 OpenSSL。完成安装后,您需要通过编辑“/etc/ml/sendml.mc”或“/etc/ml/submit.mc”文件来修改 Sendml。您需要修改以下行:
DAEMON_OPTIONS(`Port=tps, Name=TLTA, M=s’)dnl
到:
DAEMON_OPTIONS(`Port=tps, Name=TLTA, M=s, S=4096′)dnl
此设置为“tp”协议添加了加密的“tps”端口,可以保护您的邮件服务器不受威胁。
尽管 Sendml 之一次发布已经是 1983 年了,它仍然是许多 Linux 网络管理员最喜欢的邮件传输代理之一。如果您正确地配置它,Sendml 可以为您的机器提供出色的邮件传输功能,而不会影响到系统的安全性。如果您仍然担心 Sendml 的安全性问题,可以通过安装另外的安全工具如 fl2ban、rkhunter、Tripwire、OSSEC 等来进一步保护您的 Linux 系统。
相关问题拓展阅读:
如何在Linux下安装Sendmail服务器软件的方法
1、从
www.sendmail.org
下载最新的版本(这个snedmail倒是有必要升级为最新的版本,因为它的升级主要是安全漏洞问题)。这里说明的是用的sendmail-8.12.2.tar.gz
、cd /usr/local/src/
、把文件下载到:/usr/local/src中
、tar zxvf sendmail-8.12.2.tar.gz
、cd /usr/local/src/sendmail-8.12.2
、chmod go-w / /etc /etc/mail /usr /var /var/spool /var/spool/mqueue
、chown root / /etc /etc/mail /usr /var /var/spool /var/spool/mqueue
、cd /usr/local/src/sendmail-8.12.2/sendmail
、sh Build
、cd /usr/local/src/sendmail-8.12.2/cf/cf
、建立文件sendmail.mc内容码物塌如下,蚂野你可根据需要修改相应部分。
divert(-1)
dnl This is the macro config file used to generate the /etc/sendmail.cf
dnl file. If you modify thei file you will have to regenerate the
dnl /etc/sendmail.cf by running this macro config through the m4
dnl preprocessor:
dnl m4 /etc/sendmail.mc > /etc/sendmail.cf
dnl You will need to have the Sendmail-cf pacage installed for this to work.
include(`/usr/local/src/sendmail-8.12.2/cf’)
define(`confDEF_USER_ID’,`8:12′)
OSTYPE(`linux’)
undefine(`UUCP_RELAY’)
undefine(`BITNET_RELAY’)
define(`confTO_CONNECT’, `1m’)
define(`confTRY_NULL_MX_LIST’迟圆,true)
define(`confDONT_PROBE_INTERFACES’,true)
define(`PROCMAIL_MAILER_PATH’,`/usr/bin/procmail’)
define(`ART_HOST’,compaq.rd..com)
MASQUERADE_AS(`rd..com’)
FEATURE(`masquerade_entire_domain’)
FEATURE(`masquerade_envelope’)
FEATURE(`rsh’,`/usr/in/rsh’)
FEATURE(`mailertable’,`hash -o /etc/mail/mailertable’)
FEATURE(`virtusertable’,`hash -o /etc/mail/virtusertable’)
FEATURE(redirect)
FEATURE(always_add_domain)
FEATURE(use_cw_file)
FEATURE(local_procmail)
FEATURE(`access_db’)
FEATURE(`blacklist_recipients’)
FEATURE(`accept_unresolvable_domains’)
MAILER(tp)
MAILER(procmail)
dnl We strongly recommend to comment this one out if you want to protect
dnl yourself from spam. However, the laptop and users on computers that do
dnl not hav 24×7 DNS do need this.
dnl FEATURE(`relay_based_on_MX’)
、sh Build install-cf
、groupadd msp
、useradd msp
、cd cd /usr/local/src/sendmail-8.12.2/sendmail
、sh Build install
、cd /usr/local/src/sendmail-8.12.2/makemap
、sh Build clean
、sh Build all
、sh Build install
、cd /usr/local/src/sendmail-8.12.2/
、在本域DNS主数据库文件中增加MX纪录:
rd..com. IN MX 0 compaq
注意修改相应部分。那个0是有几个邮件集中器的时候用于标记先后顺序的。当有好几个MX的时候,建议顺序写为10、20、30…
、在/etc/mail目录下创建access文件,内容类似如下:
.0.0.1 RELAY
.9.22 RELAY
.99.221.238 RELAY
然后:makemap hash access.db
、创建文件/etc/mail/local-host-names,其内容为本机的拥有的域名信息。
rd..com
compaq.rd..com
、创建文件/etc/mail/aliases,内容类似:
MAILER-DAEMON: postmaster
postmaster: root
bin: root
daemon: root
nobody: root
运行newaliases创建数据库。
创建别名文件的意义之一在于当邮件发往域中其他邮件服务器的用户而不是mail HUB用户的时候用。
比如增加一条:
atan: atan@fbsd
则导致邮件发往mail
、启动sendmail: /usr/in/sendmail -bd -q30m
排错:如果有问题导致启动不了,大部分问题和DNS配置有关,可以使用nslookup检查DNS是否正常。挨个检查/etc/mail中的文件内容也是排错的好办法。另外,修改配置,不建议直接编辑sendmail.cf文件,建议使用m4宏编译工具,因为有些带有安全漏洞或过时的宏在编译的时候会有提示,这样以免造成相关安全问题。
通过上面文章,我们应该了解了在Linux下安装Sendmail服务器的方法,希望对你们有帮助!
RedHatLinux9.0操作系统Sendmail邮件服务器一.安装Sendmail完全安装RedHatLinux9.0时,Sendmail就会姿空自动内置,版本号为8.12.8-4。如果你不确定Linux是否已经安装有sendmail,可以输入以下命令查咐册扒看:rpm–衡昌qagrepsendlinux sendmail安全配置的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于linux sendmail安全配置,Linux Sendmail 安全配置简述,如何在Linux下安装Sendmail服务器软件的方法的信息别忘了在本站进行查找喔。
