Безопасность и оптимизация Linux.Редакция для Red Hat
Организация защиты Sendmail - часть 3
Редактируйте файл aliases (vi /etc/mail/aliases) и удалите следующие строки:
# Базовые псевдонимы системы – ДОЛЖНЫ быть представлены.
MAILER-DAEMON: postmaster
postmaster: root
# Обычная переадресация для псевдобюджетов.
bin: root
daemon: root
games: root - удалите эту строку.
ingres: root - удалите эту строку.
nobody: root
system: root - удалите эту строку.
toor: root - удалите эту строку.
uucp: root - удалите эту строку.
# Хорошо известные псевдонимы.
manager: root - удалите эту строку.
dumper: root - удалите эту строку.
operator: root - удалите эту строку.
# ловушка decode для захвата атаки
decode: root - удалите эту строку.
# Человек получающий почту для пользователя root
#root: marc
Чтобы изменения вступили в силу выполните команду:
[root@deep /]# /usr/bin/newaliases
Предотвращение неправильного обращения к вашему Sendmail неавторизированными пользователями
Sendmail сейчас включает значительные антиспаммовские возможности, которые могут помочь предотвратить неправильное использование вашего почтового сервера неавторизированными пользователями. Для этого, редактируйте ваш файл “/etc/mail/sendmail.cf” и внесите в него изменения блокирующие спаммеров.
Редактируйте файл sendmail.cf (vi /etc/mail/sendmail.cf) и измените строку:
O PrivacyOptions=authwarnings
Должна быть:
O PrivacyOptions=authwarnings,goaway
Установка “goaway” говорит Sendmail отвергать все SMTP “EXPN” команды, отбрасывать все SMTP “VERB” команды и игнорировать все SMTP “VRFY” команды. Эти изменения не дадут спаммеру использовать команды “EXPN” и “VRFY”.
Ограничение числа людей, которые могут просматреть содержимое очереди
Обычно, кто угодно может просмотреть почтовую очередь при помощи команды “mailq”. Для ограничения тех, кто имеет возможность ее просмотреть используйте опцию “restrictmailq” в файле “/etc/mail/sendmail.cf”. С ней, Sendmail позволяет просматривать очередь только тем пользователям, кто входит в группу владеющую ею (root). Это позволяет полностью защитить каталог очереди, используя режим доступа 0700.
