The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Безопасность и установка ограничений

   Корень / Администратору / Сетевые сервисы / Mail, почта / Безопасность и установка ограничений

----* Вариант конфигурации exim в непривилегированном режиме   Автор: Pavel Samsonov  [обсудить]
  Заметка написана с целью поделиться опытом о использовании почтового сервера exim в непривилегированном режиме. Мы используем Exim версии 4.69, операционную систему: Slackware Linux 13.0. В главе 51 "Обсуждение безопасности" спецификации Exim MTA обсуждаются варианты запуска exim в непривилегированном режиме.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Подключение виртуальной базы пользователей к Dovecot с CRAM-MD5 аутентификацией (доп. ссылка 1)   [комментарии]
  Для того чтобы не хранить базу виртуальных пользователей с открытыми паролями можно использовать в Dovecot механизм аутентификации CRAM-MD5.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Создание ограничений входящей и исходящей почты в Postfix для определенных пользователей (доп. ссылка 1)   Автор: Резников Алексей  [комментарии]
  Ситуация:есть Postfix выставленный в Интернет,который допустим выступает шлюзом для Exchange в LAN. Задача: разрешить отправку почты в Интернет и обратно только определенным пользователям. Выход: используем классы разрешений, Postfix restriction classes.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Настройка SASL аутентификации для Postfix   Автор: Астафьев Григорий  [комментарии]
  Статья о том как сделать sasl на postfix'е и убедиться в его работоспособности.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* popa3d + TLS/SSL (stunnel) на FreeBSD 5.4   Автор: Вотинцев Сергей А.  [комментарии]
  Установка stunnel:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Ограничение приема внешней почты в postfix. (доп. ссылка 1)   Автор: SHRDLU  [обсудить]
  Пример введения ограничений на прием внешней почты для определенных адресов. В конкретном примере, пользователь с адресом test@domain.com имеет право на прием и передачу сообщений только в пределах domain.com. Ни написать на другие адреса, ни принять почту с них он не может. Остальные пользователи спокойно пишут куда хотят и получают почту с любых адресов.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Запуск postfix в chroot окружении   [обсудить]
  1. В /var/spool/postfix создаем директории dev и etc.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Как запретить выполнение программ через .forward файл.   [обсудить]
 
Часто ограничив cgi скрипты пользователей и доcтуп по FTP, 
забывают про возможность запуска программ через "|script" опцию в .forward файле.
Запрещение выполнения скриптов через .forward в Postfix (для агента доставки local):
  allow_mail_to_commands = alias
  local_command_shell=/dev/null
Вообще запретить .forward, через изменение пути поиска:
  forward_path = $home/.forward
 
----* Как заставить postfix проверять наличие локального пользователя в системе на этапе соединения   [комментарии]
 
В main.cf добавьте строчку:
    local_recipient_maps = $alias_maps unix:passwd.byname
Без данной опции, postfix полностью принимает письмо для любого пользователя, 
даже для несуществующего, и лишь потом рассылает bounce сообщение.
С local_recipient_maps ошибка генерируется сразу на этапе RCPT TO:
 
----* Тестирование на открытый relaying   [обсудить]
 
telnet domen 25
HELO hostname
VRFY email_адрес
EXPN email_addr
MAIL FROM: email_адрес_от_кого
RCPT TO: email_адрес_кому
DATA
test
.
QUIT
 
----* Как заставить sendmail не отправлять все тело письма при ошибке   [комментарии]
 
В sendmail.cf добавить nobodyreturn, например:
    O PrivacyOptions=authwarnings, novrfy, noexpn, nobodyreturn
При использовании, M4: 
    define(`conf_PRIVACY_FLAGS', `authwarnings, noexpn, novrfy, nobodyreturn')
В Postfix:
    bounce_size_limit = 10000
 
----* какие ограничения нужно установить в sendmail.cf   [комментарии]
 
в sendmail.cf
O MaxRecipientsPerMessage=20
O MaxMessageSize=1000000
При использовании M4 макросов:
define('confMAX_RCPTS_PER_MESSAGE', '20')
define('confMAX_MESSAGE_SIZE', '1000000')
 
----* Какие ограничения для пользователей выставить в Postfix.   [комментарии]
 
# Ограничиваем размер сообщения в 1 Мб.
message_size_limit = 1024000
# Ограничичиваем число CC в одном письме.
smtpd_recipient_limit = 5
# Ограничиваем размер ящика 
mailbox_size_limit = 51200000
Если patch.mailbox:
# формат inbox-size-override: login макс_размер
default_mailbox_size = 5000
mailbox_size_map = hash:/etc/postfix/inbox-size-override
 
----* Как заблокировать проверку наличия аккаунта в системе через SMTP   [комментарии]
 
Проверку через "expn логин_пользователя" или "vrfy логин_пользователя",
можно заблокировать в sendmail:
В sendmail.cf добавить "O PrivacyOptions=authwarnings, noexpn, novrfy"
(можно использовать опции needexpnhelo, needvrfyhelo, которые требуют
 наличия предварительного HELO для выполнения EXPN или VRFY)
или m4 макросом 
define(`conf_PRIVACY_FLAGS', `authwarnings, noexpn, novrfy')
В Рostfix: disable_vrfy_command = yes
 

 Версия для печати




  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor