smtp

smtp는 단순 메일 전송 프로토콜 (정의에 rfc 821). 다른 작업 중, 그 작업이 메일을받을 수 tcp 포트 25에서 그대로 사용하여 원격 메일 서버에 연결합니다. 기본적으로, 유닉스와 함께 제공 메일 전송 프로그램을 연령 - 오래된 프로그램을 구현하는 smtp 프로토콜 (등).

smtp 위험

메일 전송이 이러한 프로그램 중 하나가 모든 관리자가 들었을 것 같다. 그 역사의 보안 문제는 잘 알려져있습니다. 수도에서가 장 악의적 유닉스 소프트웨어가 사상 서면합니다. 와 함께하는 명성을 취소하는 것이되어야 메일 전송 -하고있는 사람은 근본적으로 문제가있다는 그 monolithic 디자인입니다.

그러나,이 보안의 메일 전송이 향상되었습니다 상당히 최근 몇 년간의 노력으로 인해 그 저자, 에릭 allman, 고통에 대한 응답을하는 많은 보안 문제가 그것입니다. 메일 전송이 전혀 여부 것이 논란 불구 "밖으로 우즈,"또는 사상은, 때문에 그 디자인입니다.

보다는 역사의 보안 결점을 반복 여기 (나는 생각하지 않는다있을의 공간), 이들은 몇가 지 일반적인 문제에 대한 기본 설치의 메일 전송 선물 :

· 메일 전송이 "또 다른 데몬"는 루트로 실행됩니다. 따라서 메일 전송에 악용될 수 취약점을 의미할 수 나눠주 루트를 공격자가있습니다. 루트로합니다.

· 메일 전송이 믿을 단지 - 그 설정 파일을 사용 m4 - 마지막으로 implementa tion의 유닉스 매크로 프로세서가있습니다. 몇몇 사람들이 진정으로 이해 m4, 그리고 더 적은 여전히 메일 전송 구성을 이해합니다. 그 결과, 쉽게하기 과오와 하드를 잠글 것이 도움이없이는 외부에서 다운입니다.

· 메일 전송을 이끌어내는가 사용자 이름을 사용할 수있습니다. 을 연결하는 포트 25를 발급 vrfy 및 expn 명령, 메일 전송은 유효한 사용자 이름을 확인합니다. 이것은 첫 단계는 인수해있는 계정입니다. 공격자가 원격 로그인 서비스를 사용할 수있습니다 다음과 시도를 추측 비밀 번호가있습니다. 이 추측 공격하고 사용하실 수있습니다 자동으로 크기가 큰 사전의 일반적인 사용자 이름을 늘리는 기회를 찾는 유효한 사용자 이름입니다.

· 이전 버전의 메일 전송을 허용 스패머를 릴레이 메일을 통해 사용자의 시스템입니다. 귀하의 자원을 사용하여 별도로,이를 만들 수있는 매우 비인기과 결과에 나열되는 귀하의 사이트에서 rbl (실시간 blackhole 목록에서 http://mail-abuse.org/rbl/)입니다. 이것은 나쁜 뉴스에 대한 귀하의 사이트로 모든 메일 서버에 연결을 시도하면 드롭가 연결되면 다음 단계를 rbl 목록입니다.

· 잘못 구성된 경우, 메일 전송 누수 내부 주소 정보를 외부입니다. 공격자 이메일 - 메일을 보낼 수있습니다 프로브의 회사 메일 - 서버입니다. 잘못된 형식의 메시지를 전송하여, 그들을 이끌어내는 반송 메시지가 아마도 내부 주소를 포함합니다. 이 어시스트 공격자가 내부 네트워크에 매핑합니다.

· 메일 전송 데몬을 출력하고 버전 번호를 즉시 클라이언트를 연결합니다. 이 정보는 공격자를 선택 관련성이 악용하는 데 도움이됩니다.

확보 smtp

내 경험을 몇가 기계에있는 조직의 네트워크가 실제로 필요는 듣기에 대한 메일 - 그냥 일어날 수 있기 때문에 기본적으로 메일 전송이 활성화됩니다. 간단하게 말하면, 실행하지 마십시오 메일을 전송하지 않는 경우가 필요합니다. 귀하의 메일 전송 에이전트를 해제하여 시스템에 영향을주지 않습니다 능력을 실제로 보낼 우편물 (예 cron의 출력 결과에 대한 일자리)입니다.

· qmail 대신 사용을 고려 메일 전송합니다. 그것은 다음과 같은 소리가 보안 원칙을 설계 및 코딩하고는 인상적인 보안을 추적 기록 - 0이 보안 구멍이있습니다. http://www.qmail.org/ 방문에 대한 더 자세한 정보를합니다. 최근의 버전은 qmail 서 그 레이션에서 더 이상의 완화 메일 전송합니다. qmail은 다양한 플랫폼에서 사용할 수있습니다.

· postfix (공식적 vmailer), 서면으로 wietse venema,이 인기가 메일 전송 - 호환 대체 서면으로 빠르고 편리를 설치하고 안전합니다. 전체 세부 사항은 http://www.postfix.org/. 얼굴을 할 수없는 경우 qmail, 체크 아웃 postfix입니다.

· 메일 전송을 실행해야하는 경우, 루트로 실행하지 마십시오 - 빌드하는 chroot 환경 및 실행으로 비 - 권한이 사용자가됩니다. 러셀 coker했습니다 그는 이러한 작업을 수행하는 방법에 대한 상세한 http://www.coker.com.au/ ~ 러셀 / sendmail.html.

· 일반적인 오해 해짐 관리자가이 메일 전송해야 할 듣기가 네트워크에 메일을 보낼하기 위해서는 로컬 머신입니다. 이것은 기본 일 동안 많은 시스템을 것이 필요하지 않습니다. 메일 전송을 통해 불러올 수있습니다 cron과 함께 "- 질문"국기에 대한 서비스의 대기열에 보내는 메시지를 정기적으로합니다. 모든 원하는 경우는 메일을 보낼 수있는 기능을 해제하는 메일 전송 시작 스크립트 -하실 필요가없습니다 메일 전송 수신 대기 포트 25.

참고 사항

저자는 qmail과 postfix이 공개적으로 잠겨 뿔하는 여러가 지 배에 대한 보안 - 관련 메일링리스트입니다. 사랑을 잃은 이들 사이에는 분명히 없음으로 그들을 찾아보십시오 보안 버그에서 서로의 소프트웨어가있습니다. 이되지 않을 수도 있지만 유쾌한 시야를 uninitiated,하지주는 귀중한 통찰력으로 보안 문제가 직면한 디자이너의 메일 전송 에이전트 (mta)과 같은 위치에 약점을가하고을 피하는 방법입니다. 문제의 핵심은, 원할 경우 보안 메일 서버를 사용 헌신을 강화 시스템과 함께 쉘 액세스 권한 부여를 신뢰할 수있는 사용자에게만