のsmtp

smtpは、簡易メール転送プロトコル(定義はrfc 821 )します。 他のタスクの間で、メールを受信され、その仕事はtcpポート25からの接続を受け付けてメールサーバーをリモートします。 デフォルトでは、 sendmailプログラムのunixに付属して、昔からプログラムを実装するsmtpプロトコル(およびそれ以上)します。

smtpのリスク

  

sendmailはこれらのプログラムごとに1つの管理者のように耳にしているのです。 その歴史のセキュリティ上の問題はよく知られている。 かもしれない、最もmaligned unixソフトウェアまでに書かれます。 評判をして、それを明確にしなければならない、何かが根本的に間違っているはずのsendmailとは、何かモノリシック設計しています。

しかし、 sendmailのセキュリティが大幅に改善され、ここ数年の取り組みのため、その著者、エリックオールマンは、数多くのセキュリティ上の問題に対応して苦しんだ。 それは議論の余地は全くかかわらずsendmailのかどうか"のうち、ウッズは、 "これからも無いでしょう、そのために設計します。

歴史を繰り返すことなく、ここにセキュリティ上の欠陥(はないと思うの空間)は、これらの問題はいくつかの総称して、デフォルトのインストールsendmailの男性:

スポンジsendmailは"もうひとつのデーモン" rootとして実行しています。 したがって、 sendmailの脆弱性を悪用することを意味するフェーシャルトリートメントルートを攻撃します。 rootとしてました。

スポンジsendmailは信じられないほど複雑な用途でm4 - -その設定ファイルは、 gnu implementa tion unixのマクロのプロセッサが必要です。 少数の人たちを真に理解するm4が、まだ少ないとsendmailの設定を理解します。 結果として、それを作るのは簡単だとハードへまをロックして外部の助けを借りずにダウンします。

sendmailのスポンジを引き出すのユーザー名に使用することができます。 に接続するポート25および発行vrfy 、 expnコマンドでは、 sendmailの有効なユーザー名が確認されます。 これは、最初の一歩アカウントを引き継いだ。 リモートログインサービスを使用することができ攻撃をしようとするとパスワードを推測します。 この推測攻撃を自動化することができ大規模な辞書を使用すると、共通のユーザー名を見つける可能性を高めるために、有効なユーザー名です。

スポンジ古いバージョンのsendmailを許可するには、システムのスパムメールをリレーします。 別にリソースを使用して、このことができたことを非常に不人気と結果にお客様のサイトに記載されrbl (リアルタイムブラックホールリストhttp://mail-abuse.org/rbl/ )します。 これはあなたにとって悪いニュースとして任意のメールサーバーは、お客様のサイトへの接続を試みドロップして接続すればrblリストに従っています。

スポンジもし間違って設定されると、 sendmailの内部のアドレス情報を外にリークします。 攻撃プローブに電子メールを送信することができ、会社のメールサーバーにします。 不正な形式のメッセージを送信することによって、引き出すことができる可能性があるメッセージを含む内部ipアドレス直帰します。 このアシストアタッカーの内部ネットワークにマッピングします。

スポンジのsendmailデーモンのバージョン番号を出力し、クライアントに接続してください。 この情報は、攻撃を選択して関連性の搾取に役立ちます。

固定のsmtp

私の経験では、いくつかのマシンでは、組織のネットワークにする必要があり、実際にメールを聞いてたまたまされるため、 sendmailはデフォルトで有効です。 単純に言えば、メール転送を実行していない場合を除き必要としています。 お使いのメール転送エージェントをオフに影響はありませんお使いのシステムの能力を実際に送信するメール(のような出力のためのcronジョブ)します。

スポンジの代わりにsendmailをqmailでの使用を検討します。 次のコードに作られていて、安全保障の原則と音が印象的な追跡記録からセキュリティセキュリティホールゼロします。 http://www.qmail.org/の詳細はこちらをご覧ください。 qmailでの最近のバージョンからの移行して行くのさらなる緩和がsendmailです。 qmailでは、広範なプラットフォーム上で利用可能です。

postfixのスポンジ(正式vmailer )は、書かれたwietse venema 、 sendmailの互換性は、人気の高い代替に書き込まれる迅速に、簡単にインストールしてセキュリティで保護されます。 詳細はhttp://www.postfix.org/ます。 できない場合は、顔をqmailで、 postfixをチェックアウトします。

スポンジsendmailを実行する必要がある場合は、 rootとして実行していない-を実行してchroot環境を構築するとして、非特権ユーザです。 ラッセルコーカー彼は、この方法では、詳細なhttp://www.coker.com.au/ 〜ラッセル/ sendmail.htmlます。

スポンジの間に、共通の誤解は、 sendmailの管理者にする必要があり、ネットワークを聞いてからメールを送信するために、ローカルマシンのです。 これはデフォルトの中には、多くのシステムでは、それはなりません。 sendmailを起動することができ経由でのcronでは" - q "を旗に、サービスを提供して送信メッセージのキューを定期的にします。 すべての能力をしたい場合は、メールを送信し、次にsendmailの起動スクリプトを無効にする必要はありません- sendmailのリスニングのポートを25にします。

注意

作者のはqmailやpostfixが公開された回数に角ロックセキュリティ関連のメーリングリストです。 失われた愛を明確にありませんしようとしてかれらの間でのセキュリティバグを見つけて、互いのソフトウェアです。 楽しいかもしれませんが、この光景をuninitiated 、これは貴重な洞察を与えるセキュリティ上の問題に直面しデザイナー( mta )の代理店のメールを転送するなど、どこの弱点を避けるためには、どのようにしてください。 一番下の行がしたい場合は、安全なメールサーバーは、専用の使用は、硬化システムでは信頼できるユーザーのみに与えられたシェルアクセス

これは、記事を追加したアンドレアスシュミット
免責事項:弊社のウェブサイト上に含まれる情報は、責任を負いませんこの記事されました。 この記事ではない方法での意見を反映して、ご意見、思想や信条の記事ディレクトリのスタッフします。

翻訳注意:記事" smtpの"だった翻訳する自動翻訳サービスを使っています。 すべてのお客様にご迷惑を翻訳してエラーが発生しました。 理解していただきありがとうございました。

Online: 362 users browsing the articles directory