5.7. Sendmailの保護

Sendmail はメール転送エージェント(MTA)は SMTP (Simple Mail Transport Protocol) を使用し、他のMTAと電子メールクライアント、又はデリバリエージェント間で 電子メッセージの送信を行ないます。 トラフィックを暗号化できるMTAも数多くありますが、暗号化できないMTAも多いため、 公共ネットワーク上での電子メール送信は安全性が低い コミュニケーション手段だと言えます。

電子メールの仕組みに関する詳細と一般構成の設定に関する概要は Red Hat Enterprise Linux リファレンスガイド の章、Email をご参照下さい。 この章は Red Hat Enterprise Linux リファレンスガイドで説明されている /etc/mail/sendmail.mc と running the m4コマンドを編集して有効な /etc/mail/sendmail.cf作成する基本知識があることを前堤に説明されています。

Sendmail サーバーの導入を予定している場合は、次にあげる問題に対応して下さい。

5.7.1. サービス停止攻撃を制限

電子メールの本質的な問題もあり、断固とした攻撃者は比較的簡単にサーバーをパンクすることができ、その結果サービス停止を発生させます。/etc/mail/sendmail.mc内の次のディレクティブで制限を設定することにより、このようなアタックの効力が制限されます。

5.7.2. NFS と Sendmail

メールスプールディレクトリ/var/spool/mail/をNFS共有ボリュームに格納しないでください。

NFSv2 と NFSv3 はユーザーとグループのIDを管理しないため、複数ユーザーが同一UID を保有することができ、そのため、そのユーザー同士は互いのメールを受信したり、読んだりすることができます。Kerberos を使用する NFSv4 では、SECRPC_GSSカーネルモジュールが UID ベースの認証を使用しない為、上記の状況は発生しません。

5.7.3. メール専用ユーザー

ローカルユーザーによるSendmailサーバーの違法使用を防ぐには 電子メールプログラムを使用して、メールユーザーのアクセスをSendmailサーバーに 限定するのが最良の方法です。 メールサーバー上のシェルアカウントは許可しないで下さい。/etc/passwdファイルの全ユーザーシェル(ルートユーザー の除外は可能)は /sbin/nologinに設定して下さい。