【正文】 ingres: root ?? 刪除這一行 nobody: root system: root ?? 刪除這一行 toor: root?? 刪除這一行 uucp: root ?? 刪除這一行 Wellknown aliases. manager: root ?? 刪除這一行 dumper: root ?? 刪除這一行 operator: root ?? 刪除這一行 trap decode to catch security attacks decode: root ?? 刪除這一行 24 / 123 Person who should get root39。s mail root: marc 最后應(yīng)該運(yùn)行/usr/bin/newaliases 程序使改動(dòng)生效 避免你的Sendmail被未授權(quán)的用戶濫用 最新版本的Sendmail ()加入了很強(qiáng)的防止欺騙的特性。它們可以防止你的郵件服務(wù)器被未授權(quán)的用戶濫用。編輯你的/etc/文件，修改一下這個(gè)配置文件，使你的郵件服務(wù)器能夠擋住欺騙郵件。 編輯文件（vi /etc/）并更改下面一行： O PrivacyOptions=authwarnings 改為： O PrivacyOptions=authwarnings,noexpn,novrfy 設(shè)置noexpn使sendmail禁止所有SMTP的EXPN命令，它也使sendmail拒絕所有SMTP的VERB命令。設(shè)置novrfy使sendmail禁止所有SMTP的VRFY 命令。這種更改可以防止欺騙者使用EXPN和VRFY命令，而這些命令恰恰被那些不守規(guī)矩的人所濫用。 SMTP的問(wèn)候信息 當(dāng) sendmail接受一個(gè)SMTP連接的時(shí)候，它會(huì)向那臺(tái)機(jī)器發(fā)送一個(gè)問(wèn)候信息，這些信息作為本臺(tái)主機(jī)的標(biāo)識(shí)，而且它所做的第一件事就是告訴對(duì)方它已經(jīng)準(zhǔn)備好了。 編輯文件（vi /etc/）并更改下面一行： O SmtpGreetingMessage=$j Sendmail $v/$Z。 $b 改為： O SmtpGreetingMessage=$j Sendmail $v/$Z。 $b NO UCE C=xx L=xx 現(xiàn)在手工重起一下 sendmail 進(jìn)程，使剛才所做的更改生效： [root@deep] /etc/25 / 123以上的更改將影響到Sendmail在接收一個(gè)連接時(shí)所顯示的標(biāo)志信息。你應(yīng)該把`C=xx L=xx條目中的xx換成你所在的國(guó)家和地區(qū)代碼。后面的更改其實(shí)不會(huì)影響任何東西。但這是新聞組的伙伴們推薦的合法做法。 限制可以審核郵件隊(duì)列內(nèi)容的人員 通常情況下，任何人都可以使用mailq命令來(lái)查看郵件隊(duì)列的內(nèi)容。為了限制可以審核郵件隊(duì)列內(nèi)容的人員，只需要在/etc/文件中指定restrictmailq選項(xiàng)即可。在這種情況下，sendmail只允許與這個(gè)隊(duì)列所在目錄的組屬主相同的用戶可以查看它的內(nèi)容。這將允許權(quán)限為0700的郵件隊(duì)列目錄被完全保護(hù)起來(lái)，而我們限定的合法用戶仍然可以看到它的內(nèi)容。 編輯文件（vi /etc/）并更改下面一行： O PrivacyOptions=authwarnings,noexpn,novrfy 改為： O PrivacyOptions=authwarnings,noexpn,novrfy,restrictmailq 現(xiàn)在我們更改郵件隊(duì)列目錄的權(quán)限使它被完全保護(hù)起來(lái)： [root@deep] chmod 0700 /var/spool/mqueue 注意：我們已經(jīng)在 中的PrivacyOptions=行中添加了noexpn 和novrfy選項(xiàng)，現(xiàn)在在這一行中我們接著添加restrictmailq選項(xiàng)。 任何一個(gè)沒(méi)有特權(quán)的用戶如果試圖查看郵件隊(duì)列的內(nèi)容會(huì)收到下面的信息： [user@deep]$ /usr/bin/mailq You are not permitted to see the queue 限制處理郵件隊(duì)列的權(quán)限為root 通常，任何人都可以使用q開(kāi)關(guān)來(lái)處理郵件隊(duì)列，為限制只允許root處理郵件隊(duì)列，需要在/etc/文件中指定restrictqrun。 26 / 123編輯文件（vi /etc/）并更改下面一行： O PrivacyOptions=authwarnings,noexpn,novrfy,restrictmailq 改為： O PrivacyOptions=authwarnings,noexpn,novrfy,restrictmailq,restrictqrun 任何一個(gè)沒(méi)有特權(quán)的用戶如果試圖處理郵件隊(duì)列的內(nèi)容會(huì)收到下面的信息： [user@deep]$ /usr/sbin/sendmail q You do not have permission to process the queue 在重要的sendmail文件上設(shè)置不可更改位 可以通過(guò)使用chattr命令而使重要的Sendmail文件不會(huì)被擅自更改，可以提高系統(tǒng)的安全性。具有+i屬性的文件不能被修改：它不能被刪除和改名，不能創(chuàng)建到這個(gè)文件的鏈接，不能向這個(gè)文件寫(xiě)入數(shù)據(jù)。只有超級(jí)用戶才能設(shè)置和清除這個(gè)屬性。 為文件設(shè)置不可更改位： [root@deep] chattr +i /etc/ 為文件設(shè)置不可更改位： [root@deep] chattr +i /etc/ 為文件設(shè)置不可更改位： [root@deep] chattr +i /etc/ 為文件設(shè)置不可更改位： [root@deep] chattr +i /etc/ 為aliases文件設(shè)置不可更改位： [root@deep] chattr +i /etc/aliases 為access文件設(shè)置不可更改位 ： 27 / 123[root@deep] chattr +i /etc/mail/access Sendmail環(huán)境下的防止郵件relay ，缺省的是不允許郵件轉(zhuǎn)發(fā)(mail relay)的。最簡(jiǎn)單的允許郵件轉(zhuǎn)發(fā)的方法是在文件/etc/mail/relaydomains中進(jìn)行設(shè)置。該文件中列出的域名內(nèi)的信件都允許通過(guò)本地服務(wù)器進(jìn)行郵件轉(zhuǎn)發(fā)。 為了更精確的設(shè)置，可以在 中添加如下幾個(gè)參數(shù)允許被用來(lái)設(shè)置郵件轉(zhuǎn)發(fā)： FEATURE(relay_hosts_only). 通常情況下，在文件 /etc/mail/relaydomains 中列出的域名的主機(jī)都允許通過(guò)本地機(jī)轉(zhuǎn)發(fā)，而該設(shè)置指示指定必須羅列出每個(gè)允許通過(guò)本機(jī)轉(zhuǎn)發(fā)郵件的主機(jī)。 FEATURE(relay_entire_domain). 該參數(shù)指示允許所有本地域通過(guò)本機(jī)進(jìn)行郵件轉(zhuǎn)發(fā)。 FEATURE(access_db). 該參數(shù)指定利用哈希數(shù)據(jù)庫(kù) /etc/mail/access 來(lái)決定是否允許某個(gè)主機(jī)通過(guò)本地進(jìn)行郵件轉(zhuǎn)發(fā)。 FEATURE(blacklist_recipients).若該參數(shù)被設(shè)置，則在決定是否允許某個(gè)主機(jī)轉(zhuǎn)發(fā)郵件時(shí)同時(shí)察看郵件發(fā)送著地址和郵件接受者地址。 FEATURE(rbl).允許基于 由黑名單 (Realtime Blackhole List)進(jìn)行郵件拒絕，以防范垃圾郵件。 FEATURE(accept_unqualified_senders).允許接受發(fā)送者地址不包括域名的郵件，例如 user，而不是 。 FEATURE(accept_unresolvable_domains).通常來(lái)講， sendmail 拒絕接受發(fā)送者郵件地址指定的主機(jī)通過(guò) DNS 不能解析的郵件，而該參數(shù)允許接收這種郵件。 28 / 123 FEATURE(relay_based_on_MX).該參數(shù)允許轉(zhuǎn)發(fā)郵件接受者地址的 MX記錄指向本地的的郵件，例如，本地接收到一個(gè)發(fā)送目的地址為 的郵件，而 域名的 MX 記錄指向了本地機(jī)器，則本地機(jī)器就允許轉(zhuǎn)發(fā)該郵件。 下面幾個(gè)特性可能會(huì)有安全漏洞，一般當(dāng)郵件服務(wù)器位于防火墻后時(shí)才應(yīng)該使用，因?yàn)檫@些參數(shù)可能導(dǎo)致你的系統(tǒng)易于被垃圾郵件發(fā)送者利用。 FEATURE(relay_local_from). 該參數(shù)指定若消息自稱源于本地域，則允許轉(zhuǎn)發(fā)該郵件。 FEATURE(promiscuous_relay). 打開(kāi)對(duì)所有的郵件的轉(zhuǎn)發(fā)。 宏配置文件設(shè)置成功以后，可以用下面的命令創(chuàng)建 sendmail的配置文件： [root@deep] cd /var/tmp/sendmailversion/cf/cf/ [root@deep] m4 ../m4/ /etc/ /etc/ 注意：這里../m4/告訴 m4 程序的缺省配置文件路徑。 29 / 123附錄：Domino 郵件服務(wù)器安全配置手冊(cè)第 1 章. 概述Domino 郵件服務(wù)器是組織中信息結(jié)構(gòu)的骨干。Domino 支持下列 Inter 郵件標(biāo)準(zhǔn)：簡(jiǎn)單郵件傳輸協(xié)議 (SMTP)、郵局協(xié)議版本 3 (POP3)、因特網(wǎng)消息訪問(wèn)協(xié)議 (IMAP) 和多用途 Inter 郵件擴(kuò)充 (MIME)，它也提供強(qiáng)大而豐富的 Notes 郵件。Domino 按照多用途 Inter 郵件擴(kuò)充和 Notes 格式，通過(guò)簡(jiǎn)單郵件傳輸協(xié)議和 Notes 郵件路由郵件。Domino 服務(wù)器既可作為 Inter 郵件服務(wù)器（使用簡(jiǎn)單郵件傳輸協(xié)議 (SMTP)、多用途 Inter 郵件擴(kuò)充 (MIME)、郵局協(xié)議版本 3 (POP3) 和因特網(wǎng)消息訪問(wèn)協(xié)議 (IMAP)），又可以作為 Notes 郵件服務(wù)器。您的組織可以使用 Domino 處理 Inter 消息（使用 Inter 標(biāo)準(zhǔn)）、Notes 路由和 Notes RTF 文本，也可以處理二者的混合體。Domino Router 和客戶機(jī)郵件軟件根據(jù)收件人的慣用選項(xiàng)來(lái)優(yōu)化消息格式，但是如果需要在原始 Domino 格式（多用途 Inter 郵件擴(kuò)充 (MIME) 和 Notes RTF 文本）之間進(jìn)行轉(zhuǎn)換，Domino 會(huì)自動(dòng)進(jìn)行轉(zhuǎn)換。Domino 提供強(qiáng)大的工具來(lái)監(jiān)控郵件、控制非請(qǐng)求性的商業(yè)電子郵件 (UCE) 以及防止其他的誤用。可使用郵件遷移工具和消息傳送代理將郵件從其他系統(tǒng)遷移到強(qiáng)大而支持多種協(xié)議的 Domino 郵件服務(wù)器系統(tǒng)。Domino 郵件系統(tǒng)有三個(gè)基本組件：Domino 郵件服務(wù)器、Domino 郵件文件和郵件客戶機(jī)。Domino 系統(tǒng)中的每個(gè)郵件用戶在 Domino 郵件服務(wù)器上都有一個(gè)郵件文件。可以在其他服務(wù)器上創(chuàng)建一個(gè)郵件文件的復(fù)本，以便當(dāng)主服務(wù)器不可用時(shí)進(jìn)行失效轉(zhuǎn)移。用戶使用客戶機(jī)（例如：Lotus Notes）創(chuàng)建郵件消息，并通過(guò) Domino 郵件服務(wù)器發(fā)送郵件。Domino 郵件服務(wù)器將消息路由至收件人。收件人所以客戶機(jī)閱讀消息。30 / 123第 2 章. 設(shè)置 Notes 路由在“Domino 目錄”中創(chuàng)建文檔設(shè)置 Notes 路由。因?yàn)?Domino 自動(dòng)在同一 Notes 命名網(wǎng)絡(luò)域中的服務(wù)器間路由郵件，所以不需要?jiǎng)?chuàng)建“連接”文檔設(shè)置同一 Notes 命名網(wǎng)絡(luò)域中的服務(wù)器間的路由。但是，如果服務(wù)器不在同一 Notes 命名網(wǎng)絡(luò)域中，則必須在 “Domino 目錄”中創(chuàng)建文檔指定如何在 Notes 郵件系統(tǒng)中路由郵件。如何為 Notes 路由創(chuàng)建連接依賴于：? 兩個(gè)服務(wù)器的位置：同一 Notes 命名網(wǎng)絡(luò)、同一 Notes 網(wǎng)絡(luò)域、相鄰 Notes 網(wǎng)絡(luò)域、非相鄰 Notes 網(wǎng)絡(luò)域? 兩個(gè)服務(wù)器要求的連接類型：LAN、Notes 直接連接、網(wǎng)絡(luò)撥號(hào)或中繼服務(wù)器此外，如何路由郵件（即：從一個(gè)服務(wù)器雙向、僅到一個(gè)服務(wù)器、僅從一個(gè)服務(wù)器）決定需要?jiǎng)?chuàng)建的“連接”文檔數(shù)。大多數(shù)情況下，需要雙向路由郵件：，因此應(yīng)為每個(gè)連接創(chuàng)建兩個(gè)“連接”文檔。如果已經(jīng)設(shè)置了復(fù)制，則可能已創(chuàng)建了數(shù)個(gè)需要的“連接”文檔?？梢詾閺?fù)制和路由使用同一個(gè)“連接”文檔，或?yàn)槊總€(gè)任務(wù)分別創(chuàng)建“連接”文檔。下面表格描述了典型連接類型和設(shè)置它們需要的文檔。31 / 123服務(wù)器位置 要?jiǎng)?chuàng)建連接的文檔在同一 Notes 網(wǎng)絡(luò)域的不同 Notes 命名網(wǎng)絡(luò)中兩個(gè)“連接”文檔確保兩個(gè)方向的郵件路由。在相鄰 Notes 網(wǎng)絡(luò)域中 兩個(gè)“連接”文檔，每個(gè) Notes 網(wǎng)絡(luò)域中一個(gè)，確保兩個(gè)方向的郵件路由。一個(gè)“相鄰網(wǎng)絡(luò)域”文檔 （如果需要限制的話）在非相鄰 Notes 網(wǎng)絡(luò)域中 兩個(gè)“連接”文檔，連接到“相鄰 Notes 網(wǎng)絡(luò)域”的每個(gè) Notes 網(wǎng)絡(luò)域一個(gè)。兩個(gè)“非相鄰網(wǎng)絡(luò)域”文檔，每個(gè)非相鄰的 Notes 網(wǎng)絡(luò)域一個(gè)，將中間網(wǎng)絡(luò)域連接到第一個(gè)和第三個(gè)網(wǎng)絡(luò)域。到使用外部網(wǎng)絡(luò)域的網(wǎng)關(guān) 一個(gè)“外部網(wǎng)絡(luò)域”文檔指定非郵件消息系統(tǒng)（Fax 或 Pagers）的外部網(wǎng)絡(luò)域。到一臺(tái)啟用了 SMTP 的服務(wù)器一個(gè)“外部 SMTP 網(wǎng)絡(luò)域 ”文檔確定發(fā)送郵件到 Inter 的位置（如果在所有的服務(wù)器都沒(méi)有 SMTP 路由）。一個(gè)“SMTP 連接”文檔指定啟用了 SMTP 的服務(wù)器。第 3 章. 設(shè)置 SMTP 路由. 啟用到本地 Inter 網(wǎng)絡(luò)域外部的 SMTP 路由： 1. 確保已準(zhǔn)備好發(fā)送郵件到 Inter 的系統(tǒng)。 2. 確保已經(jīng)配置了服務(wù)器