SMTP安全手册—Sendmail服务器安全（2）

4、SMTP的问候信息
当sendmail接受一个SMTP连接的时候，它会向那台机器发送一个问候信息，这些信息作为本台主机的标识，而且它所做的第一件事就是告诉对方它已经准备好了。
编辑”sendmail.cf”文件（vi /etc/sendmail.cf）并更改下面一行： 　　O SmtpGreetingMessage=$j Sendmail $v/$Z; $b 　　改为： 　　O SmtpGreetingMessage=$j Sendmail $v/$Z; $b NO UCE C=xx L=xx
现在手工重起一下sendmail进程，使刚才所做的更改生效： 　　[root@deep]# /etc/rc.d/init.d/sendmail restart
以上的更改将影响到Sendmail在接收一个连接时所显示的标志信息。你应该把”`C=xx L=xx”条目中的”xx”换成你所在的国家和地区代码。后面的更改其实不会影响任何东西。但这是”news.admin.net- abuse.email”新闻组的伙伴们推荐的合法做法。
5、限制可以审核邮件队列内容的人员
通常情况下，任何人都可以使用”mailq”命令来查看邮件队列的内容。为了限制可以审核邮件队列内容的人员，只需要在”/etc/sendmail.cf”文件中指定”restrictmailq”选项即可。在这种情况下，sendmail只允许与这个队列所在目录的组属主相同的用户可以查看它的内容。这将允许权限为0700的邮件队列目录被完全保护起来，而我们限定的合法用户仍然可以看到它的内容。
编辑”sendmail.cf”文件（vi /etc/sendmail.cf）并更改下面一行： 　　O PrivacyOptions=authwarnings,noexpn,novrfy
改为： 　　O PrivacyOptions=authwarnings,noexpn,novrfy,restrictmailq
现在我们更改邮件队列目录的权限使它被完全保护起来： 　　[root@deep]# chmod 0700 /var/spool/mqueue
注意：我们已经在sendmail.cf中的”PrivacyOptions=”行中添加了”noexpn”和”novrfy”选项，现在在这一行中我们接着添加”restrictmailq”选项。
任何一个没有特权的用户如果试图查看邮件队列的内容会收到下面的信息： 　　[user@deep]$ /usr/bin/mailq 　　You are not permitted to see the queue
6、限制处理邮件队列的权限为”root”
通常，任何人都可以使用”-q”开关来处理邮件队列，为限制只允许root处理邮件队列，需要在”/etc/sendmail.cf”文件中指定”restrictqrun”。
编辑”sendmail.cf”文件（vi /etc/sendmail.cf）并更改下面一行： 　　O PrivacyOptions=authwarnings,noexpn,novrfy,restrictmailq 　　改为： 　　O PrivacyOptions=authwarnings,noexpn,novrfy,restrictmailq,restrictqrun
任何一个没有特权的用户如果试图处理邮件队列的内容会收到下面的信息： 　　[user@deep]$ /usr/sbin/sendmail -q 　　You do not have permission to process the queue
7、在重要的sendmail文件上设置不可更改位
可以通过使用”chattr”命令而使重要的Sendmail文件不会被擅自更改，可以提高系统的安全性。具有”+i”属性的文件不能被修改：它不能被删除和改名，不能创建到这个文件的链接，不能向这个文件写入数据。只有超级用户才能设置和清除这个属性。
为”sendmail.cf”文件设置不可更改位： 　　[root@deep]# chattr +i /etc/sendmail.cf
为”sendmail.cw”文件设置不可更改位： 　　[root@deep]# chattr +i /etc/sendmail.cw
为”sendmail.mc”文件设置不可更改位： 　　[root@deep]# chattr +i /etc/sendmail.mc
为”null.mc”文件设置不可更改位： 　　[root@deep]# chattr +i /etc/null.mc
为”aliases”文件设置不可更改位： 　　[root@deep]# chattr +i /etc/aliases
为”access”文件设置不可更改位： 　　[root@deep]# chattr +i /etc/mail/access
8、Sendmail环境下的防止邮件relay 　　从8.9版本开始，缺省的是不允许邮件转发(mail relay)的。最简单的允许邮件转发的方法是在文件/etc/mail/relay-domains中进行设置。该文件中列出的域名内的信件都允许通过本地服务器进行邮件转发。
为了更精确的设置，可以在sendmail.mc中添加如下几个参数允许被用来设置邮件转发：

亮晶晶  发表于: 2009-09-29