5.7. Sendmailの保護

Sendmail はメール転送エージェント(MTA)は SMTP (Simple Mail Transport Protocol) を使用し、他のMTAと電子メールクライアント、又はデリバリエージェント間で 電子メッセージの送信を行ないます。 トラフィックを暗号化できるMTAも数多くありますが、暗号化できないMTAも多いため、 公共ネットワーク上での電子メール送信は安全性が低い コミュニケーション手段だと言えます。

電子メールの仕組みに関する詳細と一般構成の設定に関する概要は Red Hat Enterprise Linux リファレンスガイド の章、Email をご参照下さい。 この章は Red Hat Enterprise Linux リファレンスガイドで説明されている /etc/mail/sendmail.mc と running the m4コマンドを編集して有効な /etc/mail/sendmail.cf作成する基本知識があることを前堤に説明されています。

Sendmail サーバーの導入を予定している場合は、次にあげる問題に対応して下さい。

5.7.1. サービス停止攻撃の制限

電子メールの本質的な問題もあり、断固とした攻撃者は比較的簡単にサーバーをパンクすることができ、 その結果サービス停止が発生します。制限を加えた次のディレクティブを/etc/mail/sendmail.mcに設定することにより、このようなアタックの 効力が制限されます。

5.7.2. NFS と Sendmail

メールスプールディレクトリ/var/spool/mail/をNFS共有ボリュームに格納しないでください。

NFSはユーザーやグループIDを管理しないため、 複数ユーザーが同一UIDを保有することができます。 そのため、同一UIDを持つ外のユーザーのメールを受信したり、読んだりすることができます。

5.7.3. メール専用ユーザー

ローカルユーザーによるSendmailサーバーの違法使用を防ぐには 電子メールプログラムを使用して、メールユーザーのアクセスをSendmailサーバーに 限定するのが最良の方法です。 メールサーバー上のシェルアカウントは許可しないで下さい。/etc/passwdファイルの全ユーザーシェル(ルートユーザー の除外は可能)は /sbin/nologinに設定して下さい。