Книга: Linux глазами хакера

Листинг 8.2. Файл /etc/mail/access

Листинг 8.2. Файл /etc/mail/access

# Check the /usr/share/doc/sendmail/README.cf file for a description
# of the format of this file, (search for access_db in that file)
# The /usr/share/doc/sendmail/README.cf is part of the sendmail-doc
# package.
#
# Смотрите файл /usr/share/doc/sendmail/README.cf для получения
# информации по формату файла (ищите слово access_db в этом файле)
#
# by default we allow relaying from localhost...
# По умолчанию мы разрешаем рассылку только с локального хоста
localhost.localdomain RELAY
localhost             RELAY
127.0.0.1             RELAY

В этом файле можно оставить разрешение для рассылки почты только с компьютеров внутренней сети или самого сервера. Для этого файл должен содержать следующие записи:

localhost       RELAY
your_domain.com RELAY

Все остальные не смогут выполнять рассылку писем. Такой метод хорош только в том случае, когда серверы и компьютеры защищены. Если хакер проник в сеть, то он уже сможет разослать любой спам от имени пользователя сети. От этого никуда не деться. Если есть хоть какое-то разрешение, то им можно воспользоваться, и ваша задача сделать так, чтобы это было по крайней мере очень сложно.

Запрет рассылки не всегда может быть реализован, поэтому приходится использовать другие методы, например, заставить пользователей проверять почту по протоколу POP до отправки писем. Для осуществления этого метода можно воспользоваться сервисом pop-before-smtp (http://popsmtp.sourceforge.net), который проверяет журнал сообщений /var/log/maillog, и если в нем найдена удачная авторизация за определенный период, то отправка почты разрешена.

Единственный, но существенный недостаток этого способа заключается в том, что если на пути следования письма стоит анонимный прокси-сервер или маскирующий сетевой экран, то пакеты будут приходить с другим IP-адресом. Это значит, что все пользователи, которые подключены через тот же proxy/Firewall, также автоматически считаются авторизованными. Таким образом, поиск по IP-адресу записей в журнале не может дать 100 % защиты.

Наиболее предпочтительным является метод, при котором используется SMTP-авторизация (SMTP AUTH), которая описана в RFC 2554. В сервисе sendmail поддержка этого расширения существует еще с версии 8.10.

Если вы решили использовать SMTP AUTH, то убедитесь, что почтовые клиенты пользователей имеют возможность авторизации на сервере и при этом настроены на ее использование.

Оглавление книги


Генерация: 0.056. Запросов К БД/Cache: 2 / 0
поделиться
Вверх Вниз