SMTP

SMTP - это Simple Mail Transfer Protocol (определен в RFC 821). Среди других задач, свою работу будет получать почту, приняв соединения TCP порт 25 с удаленных почтовых серверов. По умолчанию UNIX приходит с sendmail программа, старение программу, которая реализует протокол SMTP (и более).

SMTP Риски

Sendmail является одним из этих программ каждый администратор, похоже, услышали. Его история проблем безопасности, хорошо известна. Она может быть наиболее maligned UNIX программного обеспечения, когда-либо написано. При этом репутация, должно быть ясно, что что-то в корне неверно с sendmail - и это что-то ее монолитной конструкции.

Однако безопасность sendmail значительно улучшилось в последние годы в связи с усилиями ее автора, Эрик Аллман, в ответ на многочисленные проблемы в области безопасности, страдала. Это спорный, хотя ли sendmail совершенно "из леса", или все будет, в силу своей конструкции.

Вместо того чтобы повторять истории недостатки безопасности здесь (я не считаю, космической), вот некоторые общие проблемы, что по умолчанию установки sendmail представляет:

· Sendmail является "еще одно Демон", что противоречит как корневой. Таким образом, эксплуатации уязвимости в sendmail может означать, оказавшись от корня злоумышленником. Даже если корневой запустить программу могут временно падение привилегиями, злоумышленник, который может запустить shellcode (через переполнение буфера или строки формата использовать) может просто позвонить по seteuid (), чтобы восстановить эти привилегии и ее оболочки код текущих как корневой.

· Sendmail является невероятно сложной - его файл конфигурации использует m4 - ПНЕ реализации ния в UNIX макро процессором. Мало кто по-настоящему понимает m4, и еще меньше понимают sendmail конфигурации. В результате можно легко сделать ошибки и трудно заблокировать ее без помощи извне.

· Sendmail может быть использована для получения имен пользователей. При подключении к порту 25 и выдачи VRFY и EXPN команд, sendmail будет подтвердить действительные пользователей. Это первый шаг в принятии учетной записи. Злоумышленники могут использовать услуги удаленного входа и попытаться угадать пароли. Это угадывает нападения могут быть автоматизированы и использование большого словаря общей пользователей увеличить шансы найти действительное имя пользователя.

· Старые версии sendmail разрешить спамерам ретрансляции почты через вашу систему. Помимо использования Ваших ресурсов, это может сделать вас очень непопулярной и привести на свой сайт в список RBL (реальном Blackhole Список по http://mail-abuse.org/rbl/). Это плохие новости для вас, как любые почтовые серверы сайта пытается подключиться к сократится связи, если они следуют в список RBL.

· Если неправильно, sendmail протечек внутреннего адреса для внешнего. Злоумышленники могут отправить зонд электронной почте в компанию почты сервер. Направляя неправильный сигнал, они могут вызвать проверку адреса сообщение, возможно, в том числе внутренние адреса. Это помогает злоумышленнику картирования внутренней сети.

· В sendmail демон результаты ее номер версии клиента на связи. Эта информация помогает злоумышленник выбирает соответствующие эксплуатировать.

Обеспечение SMTP

По моему опыту, немногие машины на организацию сети действительно необходимо слушать по почте - они просто находятся, поскольку sendmail включен по умолчанию. Попросту говоря, не противоречат почты передачи, если в ней нуждается. Отключение почтового агента передачи не влияет на Ваш систем способность реально отправить почту (например, для производства хрон рабочих мест).

· рассмотреть возможность использования Qmail вместо sendmail. Она была разработана и закодированы следующие чистых принципов безопасности и безопасности впечатляющий послужной список - нулевой безопасности лунок. Посетите http://www.qmail.org/ подробнее. Последние версии Qmail идти дальше в деле облегчения миграции с sendmail. Qmail имеется на широкий спектр платформ.

· Postfix (официально Vmailer), написанная Wietse Венема, является популярным sendmail совместимой альтернативы письменного быть быстрый, легкий в установке и безопасной. Полная информация на http://www.postfix.org/. Если вы не можете сталкиваются Qmail, Postfix проверить.

· Если нужно запустить sendmail, не запустить ее корня создания изолированной среды и запустить ее как не привилегированного пользователя. Рассел Кокер подробно, как он делает это на http://www.coker.com.au/ ~ russell / sendmail.html.

· А недопонимание между администраторами sendmail заключается в том, что необходимо прислушиваться к сети, с тем чтобы отправлять почту с адреса локальной машины. Хотя это по умолчанию на многих системах, это не обязательно. Sendmail можно ссылаться через хрон с "- q" флаг для обслуживания очереди исходящих сообщений на регулярной основе. Если вы хотите это возможность отправлять почту, а затем отключить sendmail сценария запуска - не нужно sendmail прослушивает порт 25.

Примечание

Авторы Qmail и Postfix публично заблокирован рога несколько раз по вопросам безопасности, связанных списков. Существует явно не потерял любовь между ними, как они пытаются найти ошибки в безопасности друг друга программного обеспечения. Хотя это может и не быть приятным на взгляд непосвященных, он дает ценный вклад в понимание проблем безопасности, стоящих дизайнеров Mail Transfer агентов (МТА), как, например, когда недостатки и как их избежать. Одним словом, если вы хотите обеспечить почтовых серверов, использование делу, закаленной систем с корпуса доступа уделено доверять только пользователям