Sendmail是在Unix环境下使用最广泛的实现邮件发送/接受的🚸邮件传【yóu jiàn chuán】输代理【shū dài lǐ】程序【chéng xù】🍫。 由于Sendmail邮件服🚄务器的😉特点是🆙功能强🌏大而复杂，因此为保证【bǎo zhèng】🐘Sendmail的安全性【xìng】，需要作【xū yào zuò】🏂以下一【yǐ xià yī】些工作【xiē gōng zuò】。

1、设置【shè zhì】🤾Sendmail使用"smrsh"

smrsh程序的【chéng xù de】✳目的是作为在mailer中为😒sendmail定义的【dìng yì de】♊"/bin/sh"的替代✏shell。smrsh是一种【shì yī zhǒng】受限shell工具，它通过"/etc/smrsh"目录来明确指🌨定可执【dìng kě zhí】行文件的列表⛑。简而言之😍smrsh限制了💏攻击者可以执【kě yǐ zhí】行的程【háng de chéng】序集。当它与sendmail程序一【chéng xù yī】📚起使用【qǐ shǐ yòng】的时候，smrsh有效的【yǒu xiào de】将sendmail可以执【kě yǐ zhí】行的程【háng de chéng】序的【xù de】✳范围限制🛁在smrsh目录之【mù lù zhī】😍下。

第一步：

决定🏗smrsh可以允许【xǔ】sendmail运行的【yùn háng de】命令列【mìng lìng liè】表✏。缺省情【quē shěng qíng】况下应🕜当包含🏿以下命令，但不局🛍限于这【xiàn yú zhè】些命令：

"/bin/mail" (如果在🐮你的系🤧统中安【tǒng zhōng ān】装了的话【huà】)

"/usr/bin/procmail" (如果在你的系😁统中安装了的【zhuāng le de】话【huà】😆)

注意：不可在【bú kě zài】🕦命令列➿表里包括命令解释程【jiě shì chéng】序，例如🥐sh(1)，csh(1)，perl(1)，uudecode(1)及流编辑器【jí qì】sed(1)。

第二步：

在【zài】"/etc/smrsh"目录中👳创建允😮许sendmail运行的程序的【chéng xù de】符号连接【jiē】👎。

使用以下命令【xià mìng lìng】🤞允许👳mail程序"/bin/mail"运行【yùn háng】：

[root@deep]# cd /etc/smrsh

[root@deep]# ln -s /bin/mail mail

用以下命令允许【xǔ】📈procmail程序🖍"/usr/bin/procmail"运行【yùn háng】：

[root@deep]# cd /etc/smrsh

[root@deep]# ln -s /usr/bin/procmail procmail

这将允许位于【xǔ wèi yú】".forward"和👸"aliases"中的用户采用"|program"语法来运行【yùn háng】mail及🎵procmail程序【chéng xù】♈。

第三步

配置🖋sendmail使之使用受限【yòng shòu xiàn】shell。mailer程序在sendmail的配置【de pèi zhì】👷文件【wén jiàn】"/etc/sendmail.cf"中仅有一行🐦。必须修【bì xū xiū】🌞改"sendmail.cf"文件中【wén jiàn zhōng】"Mprog"定义的那一行🐒。将"/bin/sh"替换为"/usr/sbin/smrsh"。

编辑"sendmail.cf"文件【wén jiàn】(vi /etc/sendmail.cf)并改动😠下面这🏎一行【yī háng】：

例如：

Mprog, P=/bin/sh, F=lsDFMoqeu9, S=10/30, R=20/40, D=$z:/, T=X-Unix, A=sh -c $u

应该被改为：

Mprog, P=/usr/sbin/smrsh, F=lsDFMoqeu9, S=10/30, R=20/40, D=$z:/, T=X-Unix, A=sh -c $u

现在用以下命【yǐ xià mìng】🚻令手工重起sendmail进程【jìn chéng】🥤：

[root@deep]# /etc/rc.d/init.d/sendmail restart

2、"/etc/aliases"文件【wén jiàn】📑

如果没【rú guǒ méi】💵有【yǒu】加以正确和严格的【yán gé de】管理的话😝，别名文【bié míng wén】🚶件被用来获取特权。例如🥣，很多发🥄行版本在别名文【bié míng wén】🚶件中带【jiàn zhōng dài】有【yǒu】"decode"别名🔕。现在这种情况【zhǒng qíng kuàng】越来越少了【shǎo le】。

这样做的目的🥀是为用户提供一个通过🗃mail传输二进制【èr jìn zhì】文件的🔏方便的【fāng biàn de】方式。在邮件的发送【de fā sòng】🔢地🧐，用户把🚕二进制【èr jìn zhì】文件用"uuencode"转换成ASCII格式【gé shì】，并把结【bìng bǎ jié】果邮递🆘给接收地🧐"decode"别名。那个别♋名通过🗃管道把🐰邮件消【yóu jiàn xiāo】息发送到"/usr/bin/uuencode"程序【chéng xù】🈵，由这个程序【chéng xù】🈵来完成从【cóng】ASCII转回到【zhuǎn huí dào】原始的【yuán shǐ de】二进制【èr jìn zhì】文件的🔏工作【gōng zuò】🕉。

删除【shān chú】"decode"别名🕯。类似的【lèi sì de】📏，对于所【duì yú suǒ】有用于执行没【zhí háng méi】🍱有被放在smrsh目录下的程序的别名🕯，你都要仔细的【zǎi xì de】🚷检查，可能它🦈们【men】都值🤭得怀疑并应当删除它【shān chú tā】🏨们【men】。要想使【yào xiǎng shǐ】你的改变生效🐔，需要运行：

[root@deep]# /usr/bin/newaliases

编辑别名文件🚬(vi /etc/aliases)并删除【bìng shān chú】以下各【yǐ xià gè】行😰：

# Basic system aliases -- these MUST be present.

MAILER-DAEMON: postmaster

postmaster: root

# General redirections for pseudo accounts.

bin: root

daemon: root

games: root?? 删除这一行

ingres: root ?? 删除这【shān chú zhè】一行🗯

nobody: root

system: root ?? 删除这【shān chú zhè】一行❗

toor: root?? 删除这一行

uucp: root ?? 删除这一行

# Well-known aliases.

manager: root ?? 删除这【shān chú zhè】🌑一行

dumper: root ?? 删除这一行【yī háng】🛳

operator: root ?? 删除这🕺一行【yī háng】

# trap decode to catch security attacks

decode: root ?? 删除这⌚一行【yī háng】

# Person who should get root's mail

#root: marc

最后应该运行【gāi yùn háng】"/usr/bin/newaliases"程序使【chéng xù shǐ】🐄改动生❌效

3、避免你🛎的Sendmail被未授📅权的用【quán de yòng】户滥用【hù làn yòng】

最新版本的【de】Sendmail (8.9.3)加入了很强的【hěn qiáng de】🔔防止欺【fáng zhǐ qī】骗的【de】特性。它们可❕以防止【yǐ fáng zhǐ】💦你的【de】邮🚱件🚇服务器被未😊授权的【shòu quán de】用【yòng】户滥用【yòng】。编辑你【biān jí nǐ】🐡的【de】"/etc/sendmail.cf"文件🏊，修改一【xiū gǎi yī】下这个🙅配置文件🏊，使你的【de】邮🚱件🚇服务器能够挡【néng gòu dǎng】住欺骗邮件🚇。

编辑🥐"sendmail.cf"文件(vi /etc/sendmail.cf)并更改【bìng gèng gǎi】下面一🆒行【háng】：

O PrivacyOptions=authwarnings

改为：

O PrivacyOptions=authwarnings,noexpn,novrfy

设置🖌"noexpn"使【shǐ】sendmail禁止所有📞SMTP的【de】🤳"EXPN"命令【mìng lìng】🆖，它也使【shǐ】👏sendmail拒绝所有📞SMTP的【de】🤳"VERB"命令【mìng lìng】🆖。设置🖌"novrfy"使【shǐ】sendmail禁止所有📞SMTP的【de】🤳"VRFY "命令【mìng lìng】🆖。这种更【zhè zhǒng gèng】改可以【gǎi kě yǐ】➕防止欺🏢骗者使【piàn zhě shǐ】🛌用【yòng】😉"EXPN"和"VRFY"命令【mìng lìng】🆖，而这些【ér zhè xiē】命令【mìng lìng】🆖恰恰被【qià qià bèi】那些不守规矩的【de】🤳人所滥用【yòng】😉。

4、SMTP的问候信息

当 sendmail接受一个【gè】🏝SMTP连接的时候，它会向🛌那台机器发送🥩一个【gè】🏝问候信【wèn hòu xìn】息【xī】✔，这些信息【xī】作为本台主机的标【jī de biāo】识【shí】，而且它🌪所做的第一件🌦事就是【shì jiù shì】👩告诉对【gào sù duì】方它已【fāng tā yǐ】经准备好了。

编辑【biān jí】☕"sendmail.cf"文件(vi /etc/sendmail.cf)并更改下面一🎿行【háng】：

O SmtpGreetingMessage=$j Sendmail $v/$Z; $b

改为：

O SmtpGreetingMessage=$j Sendmail $v/$Z; $b NO UCE C=xx L=xx

现在手【xiàn zài shǒu】工重起【gōng chóng qǐ】🧚一下sendmail进程，使刚才所做的【suǒ zuò de】⛏更改生🤛效：

[root@deep]# /etc/rc.d/init.d/sendmail restart

以上的更改将【gèng gǎi jiāng】💂影响到Sendmail在接收一个连🥁接时所显示的标志信息【xī】。你应该【nǐ yīng gāi】🕦把【bǎ】"`C=xx L=xx"条目中【tiáo mù zhōng】的"xx"换成你所在的国家和【guó jiā hé】地区代🐊码。后面的更改其【gèng gǎi qí】实不会🖐影响任何东西。但这是"news.admin.net-abuse.email"新闻组🦇的伙伴【de huǒ bàn】🗻们推荐🐍的合法做法【zuò fǎ】🥩。

5、限制可以审核邮件队列内容的人员

通常情【tōng cháng qíng】况下【kuàng xià】💄，任何人🎑都可以【kě yǐ】使用"mailq"命令来查看邮件队列【jiàn duì liè】🥃的内容。为【wéi】💛了限制可以【kě yǐ】🤞审核邮【shěn hé yóu】件队列【jiàn duì liè】🥃内容的🌫人员【rén yuán】📱，只需要【zhī xū yào】在🔱"/etc/sendmail.cf"文件中指定"restrictmailq"选项即😪可。在🔱这种情【zhè zhǒng qíng】况下【kuàng xià】💄，sendmail只允许与这个【yǔ zhè gè】🔗队列所在🔱目录的组属主【zǔ shǔ zhǔ】相同🌋的用户【de yòng hù】可以查【kě yǐ chá】🚠看它的【kàn tā de】内容。这将允许权限⚡为【wéi】💛0700的邮件队列【jiàn duì liè】🥃目录被完全保护🐷起来，而我们限定的🛥合法用【hé fǎ yòng】户仍然可以【kě yǐ】看到它的【dào tā de】内容。

编辑🐽"sendmail.cf"文件【wén jiàn】(vi /etc/sendmail.cf)并更改下面一📢行【háng】：

O PrivacyOptions=authwarnings,noexpn,novrfy

改为：

O PrivacyOptions=authwarnings,noexpn,novrfy,restrictmailq

现在我【xiàn zài wǒ】⏹们更改邮件队❎列目录的权限使它被完全保【wán quán bǎo】护起来【hù qǐ lái】🎷：

[root@deep]# chmod 0700 /var/spool/mqueue

注意：我们已【wǒ men yǐ】经在⛲sendmail.cf中的"PrivacyOptions="行中添【háng zhōng tiān】✈加了"noexpn"和📍"novrfy"选项【xuǎn xiàng】，现在在😽这一行☝中我们【zhōng wǒ men】接着添【jiē zhe tiān】加"restrictmailq"选项【xuǎn xiàng】。

任何一【rèn hé yī】🕝个没有特权的【tè quán de】用户如👮果试图【guǒ shì tú】查看邮😼件队列的内容【de nèi róng】🕛会收到下面的信息：

[user@deep]$ /usr/bin/mailq

You are not permitted to see the queue

6、限制处理邮件【lǐ yóu jiàn】🍷队列的【duì liè de】权限为🕳"root"

通常【tōng cháng】，任何人都可以使用"-q"开关来处理邮【chù lǐ yóu】❣件队列【jiàn duì liè】🍦，为限制🎎只允许root处理邮【chù lǐ yóu】❣件队列【jiàn duì liè】🍦，需要在【xū yào zài】"/etc/sendmail.cf"文件中【wén jiàn zhōng】🕎指定💄"restrictqrun"。

编辑🙏"sendmail.cf"文件(vi /etc/sendmail.cf)并更改【bìng gèng gǎi】下面一【xià miàn yī】🚼行：

O PrivacyOptions=authwarnings,noexpn,novrfy,restrictmailq

改为：

O PrivacyOptions=authwarnings,noexpn,novrfy,restrictmailq,restrictqrun

任何一【rèn hé yī】🌎个没有特权的用户如🤓果试图👷处理邮【chù lǐ yóu】件队列的内容🉐会收到【huì shōu dào】下面的【xià miàn de】信息：

[user@deep]$ /usr/sbin/sendmail -q

You do not have permission to process the queue

7、在重要的【de】sendmail文件上🌚设置不可更改【kě gèng gǎi】🎏位

可以通过使用🍦"chattr"命令而使重要的📞Sendmail文件不【wén jiàn bú】🚍会被擅自更改🚰，可以提【kě yǐ tí】高系统的📞安全性🍒。具有"+i"属性【shǔ xìng】🐶的📞文件不【wén jiàn bú】🚍能被修【néng bèi xiū】改：它不能被删除和改名，不能创【bú néng chuàng】建到这个文件【jiàn】📴的链接🍀，不能向【bú néng xiàng】这个文件【jiàn】📴写入数【xiě rù shù】据。只有超【zhī yǒu chāo】级用户【jí yòng hù】👟才能设【cái néng shè】🦔置和清除这个♒属性【shǔ xìng】🐶。

为【wéi】"sendmail.cf"文件设💤置不可【zhì bú kě】🗯更改位：

[root@deep]# chattr +i /etc/sendmail.cf

为🧝"sendmail.cw"文件设【wén jiàn shè】🔀置不可【zhì bú kě】更改位：

[root@deep]# chattr +i /etc/sendmail.cw

为【wéi】"sendmail.mc"文件设【wén jiàn shè】🥛置不可🖍更改位：

[root@deep]# chattr +i /etc/sendmail.mc

为【wéi】🌤"null.mc"文件设🔽置不可【zhì bú kě】更改位：

[root@deep]# chattr +i /etc/null.mc

为🖇"aliases"文件设【wén jiàn shè】👒置不可【zhì bú kě】更改位：

[root@deep]# chattr +i /etc/aliases

为"access"文件设🎴置不可【zhì bú kě】👞更改位【gèng gǎi wèi】：

[root@deep]# chattr +i /etc/mail/access

8、Sendmail环境下的防止【de fáng zhǐ】邮件🍱relay

从🚷8.9版本开【bǎn běn kāi】始【shǐ】📵，缺省的【quē shěng de】是不允许邮件转【yóu jiàn zhuǎn】发(mail relay)的。最简单🛌的允许邮件转【yóu jiàn zhuǎn】发的方【fā de fāng】法是在🕵文件🦔/etc/mail/relay-domains中进行设置。该文件🦔中列出的域名内的信【nèi de xìn】件都允许通过🍆本地服✨务器进行邮件🥃转发【zhuǎn fā】。

为了更【wéi le gèng】🎞精确的🤒设置，可以在【kě yǐ zài】sendmail.mc中添加🕯如下几【rú xià jǐ】🚔个参数允许被用来设置邮件转发【zhuǎn fā】：

· FEATURE(relay_hosts_only). 通常