Руководство системного администратора • третье издание { h h y с п п т п р



Pdf просмотр
страница58/82
Дата12.11.2016
Размер7.94 Mb.
Просмотров12834
Скачиваний0
ТипРуководство
1   ...   54   55   56   57   58   59   60   61   ...   82
636
Чость II. Робота в сетях
Обработка спама Борьба со с па м ом может оказаться трудными часто безрезультатным занятием. Ненужно тратить усилия напоим ку отдельных с па мер о в . Время, затраченное на анализ заголовков с па м аи прочие переживания это потерянное время. Да, это благородная борьба, но объем поступающего с па м а она вряд ли уменьшит. Постоянных с па мер о в можно нейтрализовать довольно быстро, вычислив их провайдера. Однако с па меры, работающие поп р и н ц и п у " напакостили удрали с пользу юту четную запись и ау зле провайдера только один раз, после чего избавляются от нее. Их поймать трудно. Если они рекламируют свой- узел, то ответственность можно возложить и ан его. Если же они объявляют номер телефона или почтовый адрес, то идентифицировать отправителя с па м а будет тяжело, нов полн е возможно. Впрочем, многие из таких" мобильных" с па мер о в могут оказаться вообще недосягаемыми для наказания. Всевозможные" черные" списки вне которой степени эффективны для блокировки с па м аи приводят куме н ь ш е ни ю числа серверов, поддерживающих открытую ретрансляцию. Быть помещенным в такой список значит подорвать свою деловую репутацию, поэтому многие провайдеры и организации внимательно следят заде й ст в и ям и своих пользователей. Наш главный совет, касающийся с па мата ковре гуля р но проводите профилактические мероприятия н публикуйте имеющиеся" черные" списки. Посоветуйте своим пользователям просто удалять полученный ими с па м . Многие со об ш е ни я содержат инструкции ото м , как получатели могут удалить себя из списка рассылки. Не попадайтесь на эту уловку. Если последовать такими нс тру к ц и и , то с па меры действительном о г у туда лить получателя из текущего списка, но при этом они немедленно внесут его внес коль код р у г их списков, причем сопроводят адреса н нотацией типа" Вот реальный клиент, который действительно читает наши сообщения. После этого, как вып они маете, ценность данного электронного адреса еще больше возрастет. Если вам все жен р а в и т с я вести борьбу со с па м ом, воспользуйтесь помощью, предлагаемой соответствующими- узлами, Впер в у ю очередь следует упомянуть узлы и abuse.net. На узле www.spamrecycle.com вас попросят направить им образец с па м а ; они перешлют его федеральным властям, которые могут предпринять какие- то законодательные меры. Этот- узел также публикует правила защиты от с па м а . Узел производит анализ с лама и использует результаты анализа для усовершенствования с па м - фильтров. Три других- узла, заслуживающих внимания это и w w w . c a u c e . o r g . Наперво ми з них содержатся наиболее полные базы данных серверов, поддерживающих открытую ретрансляцию. На втором предлагаются средства анализа заголовков поч то а ы х сообщений и определения действительного отправителя. Натрет ь ем приведена хорошая информация о законах, касающихся с па м а . Примеры спама Хотя мы не рекомендуем читателям заниматься анализом с па м аи ног да все же полезно знать, как это делается. Например, вас могут вызвать для объяснений в связисте м , что генеральный директор компании получил сообщение порнографического характера необходимо доказать, что оно не поступило от кого- то из служащих компании.
Глово 19- Электронной почто
637
Приведенные ниже примеры иллюстрируют, насколько тяжело определить действительного отправителя и насколько легко подделать заголовки сообщений. Сначала перечислим несколько ключевых моментов. Заголовки" образуют последовательную цепочку, начиная отв ер хне й части сообщения из а ка н ч ива я его нижней частью. Любые заголовки, расположенные ниже заголовка поддельные. Обращайте внимание на любой заголовок, в котором имена двух узлов нес о впадают Вероятно, почтовое сообщение было ретранслировано через первый узел ( узел, имя которого заключено вкруг л ы е скобки, является действительными сто ч ник ом со об ш е ни я ) . Заголовок, имеющий старую дату, вероятнее всего, подделан. Сетевая часть заголовка" должна согласоваться с последним заголовком" Домен заголовка" должен совпадать с доменом заголовка. Проверьте, нет ли в за юл о в ка х " R e c e i v e d " признаков того, что сообщение ретранслировано через посторонний узел. Убедитесь, что все перечисленные узлы действительно существуют в базе данных. В качестве первого примера возьмем сообщение, авторы которого предлагают будущим с па мерам купить компакт- диск, содержащий электронных адресов. Этот компакт- диск представляет определенный интерес гарантируется, что он нес одержит дублирующиеся адреса, атак же отравленные" адреса вероятно, те. где отправитель автоматически заносится води низ" черных" списков. С целью упрощения комментариев мы пронумеровали строки заголовков. Сами номера в письме отсутствуют @ k a y a k . m s k . r u Thu Nov 4 2 2 : 1 0 : 4 8 1999 2 : R e c e i v e d : f r o m g a i a . e s ( [ 1 9 5 . 5 5 . 1 6 6 . 6 6 ] ) b y x o r . c o m ( 8 . 9 . 3 / 8 . 9 . 3 ) w i t h ESMTP i o WAA26343 f o r < e v i @ x o r . e o m > ; T h u , 4 Nov 1999 2 2 : 1 0 : 4 2
- 0 7 0 0 (MST)
3 : F r o m : m r k t n e t 7 7 e k a y a k . m s k . r u
4 : R e c e i v e d : f r o m d e E a u i t b y g a i a . e s ( 8 . 8 . 8 + S u n / S M I - S V R 4 ) i d GAA03907; r r i , 5 Nov 1 9 9 9 0 6 : 3 1 : 1 0 - 0 1 0 0 (Etc/GMT)
5 : D a t e : F r i , 5 Nov 1999 0 6 : 3 1 : 1 0 - 0 1 0 0 (Etc/GMT)
6 : R e c e i v e d : f r o m l o g i n _ 0 l l 5 5 6 . w g u k a s . c o m ( m a i l . w g u k a s . c o m
[ 2 3 3 . 2 1 4 . 2 4 1 . 8 7 ] ) b y ( 8 . 8 . 5 / 8 . 7 . 3 ) w i t h SMTP i d XAA01510 f o r i r a k l i n 3 2 1 P t h a x g h k l o . u m . d e ; T h u , 4 N o v e m b e r 1 9 9 9 0 0 : 2 1 : 5 9 - 0 7 0 0
(EDT)
7 : T o : m r k t n e t 7 7 @ k a y a k . m s k . r u
8 : S u b j e c t : J u s t R e l e a s e d ! M i l l i o n s C D V o l . 6 A
9 : C o m m e n t s : A u t h e n t i c a t e d S e n d e r i s < u s e r l l 5 5 6 @ w g u k a s - c o m >
1 0 : M e s s a g e - I d : 0 2 2 0 2 1 0 8 7 2 2 6 4 8 5 9 7 4 5 6 @ s a _ g h k l o . u m . d e
/ * Несколько страниц маркетинговой информации * /
D o n o t r e p l y t o t h i s m e s s a g e -
T o b e r e m o v e d f r o m f u t u r e m a i l i n g s : m a i l t o : g r e g l 1 4 8@usa . n e t ? S u b j e c t — R e m o v e
638
Чость И Роботов сетях
Строка была доб а а пена программой в процессе локальной доставки. Домен существует, а узел kayak.msk.ru — нет. Строка содержит достоверный заголовок. Это единственная заголовок, которому можно доверять, поскольку он доб а а пе н на нашем собственному зле Строка это заголовок, добавленный программой где- тов пути, поскольку оригинал сообщения не имел его. Строка содержит достоверный заголовок" от ничего не подозревающего узла gaia.es. сыгравшего роль козла отпущения. На этому зле выполняется программа. которая по умолчанию поддерживает ретрансляцию в такой конфигурации ее поставляет компания. Строка это поддельный заголовок" Он находится ниже заголовка, следовательно, был создан дот ого, как первый экземпляр программы получил сообщение. Кроме того, формат заголовка неверен, а адрес не имеет обратной записи в D N S . Строка заголовок" Тот а к же поддельная. Адреса получателей были только на конверте. Строка, по идее, идентифицирует истинного отправителя, что иногда является ключом кр аз гад к е источника сообщения. В данном случае подразумевается, что сообщение отправлено изд оме на, нота кого томен ан е существует. Эта строка в действительности была добавлена пользовательским почтовым агентом напер сон аль ном компьютере и . следовательно. может быть поддельной. Строка говорит ото м . что компьютер, отправивший сообщение, имеет адрес. ноу этой строки неправильный формат отсутствуют угловые скобки, значит, она тоже поддельная. Невозможно сказать, откуда пришло это сообщение. Оно было ретранслировано через узел gaia.es. очевидно без разрешения. Этот узел еще не попал в " черный" список сервера, ном о же т вскоре там оказаться. Пользователь, возможно, действительно является с па мер ом, ном о же т быть и обычным пользователем, имевшим неосторожность пожаловаться на полученный с па мВ о втором случае пользователя следует рассматривать как жертву, так как в скором будущем он получит сотни, а то и тысячи сердитых посланий от пользователей стребован и ему дали т ь их ил списка рассылки. Тело со об ш е ни я призывает получателей летать заказ потел е фону или факсу. Типичный случай вся информация, касающаяся того, как связаться со с па мер ом и купить предлагаемый им продукт, приведена в телес о общения. Заметьте, что адрес в заголовке" такой же, как ив заголовке" То. Вероятно, оба они поддельные. Вдруг ом сообщении, полученном нами через неделю, нам предлагали разбогатеть, для чего требовалось послать по факсу чек надо л л аров дон о я б р я , так как после этой даты цена на товар подскочит до долларов. Возникает вопрос являются лифа кси миль н ы е копии чека законным платежным средством Илим о же т быть, злоумышленникам нужно лишь получить номер нашего текущего счета в банке и нашу подпись, чтобы потом самим напечатать фальшивые чеки От аки х предложениях следует сразу же сообщать в полицию a i l .com Thu Nov I I 1 0 : 3 1 : 4 1 1999 2 : R e c e i v e d : f r o m s a t u r n . g i o b a I c o n . c o m ( s a c u r n . g l o b a l c o n . c o m
[ 2 0 9 . 5 . 9 9 . 8 ] ) b y x o r . c o m { 8 . 9 . 3 / 8 . 9 . 3 } w i t h ESMTP i d KAA15479;
T h u , 11 Nov 1 9 9 9 1 0 : 3 1 : 3 0 - 0 7 0 0 (MST)
Глова 19. Электронной почта
6 3 9

3: Received: from Hamilton ([168.191.61.20]) by8aturn.globalcon.com
(Poet.Office MTA v3.1.2 release (P0205-101c) ID# 0-358BlU1500L100S0i with SMTP id AAA148; Thu, 11 Nov 1999 12:33:24 -0500 4: Date: Thu, 11 Nov 1999 02:39:57 +0000 5: Subject: Free Information On "Debt й
6: Message-Id:
7: From: F,Pepper@pmail.net
8: To: benfranklinGonehundred.net Строка содержит достоверный заголовок. Строка также правдоподобна, но команда, выполненная изд оме на на узлы) и s a i u r n . g l o b a I c o n . c o m (209.5.99.8), показала, что эти два узла не имеют никакого отношения друг к другу. Адрес находится в коммутируемой сети, причем где- тов Европе, судя по формату отображения времени. Адрес принадлежит канадской компании, находящейся в Онтарио. Очевидно, сервер o m поддерживает открытую ретрансляцию. На нем работает не программа, ат ран спорт н ы й агент версии его можно получить на узле. В строке, добавленной пользовательским агентом отправителя, говорится ото м , что текущее время примерно часа ночи. Лишь через несколько часов это сообщение было принято компьютером на узле s a t u r n . g l o b a l c o n . c o m . Возможно, список получателей был слишком длинным, поэтому процесс пересылки занял так много времени. Или, что вероятнее, сообщение было составлено заранее напер сон аль ном компьютере с па мера и только потом, спустя пару часов, было отправлено в I n t e r n e t . Судя по формату отображения времени если только это не подделка, разница составляет часовых поясов это как разр аз ниц а между часовыми поясами Европы ив ост очного побережья США. В строке сетевая часть заголовка" должна быть полностью определенными мене м домена, ан елок аль н ы миме нем. Узел hamilton, возможно, неправильно сконфигурирован, поскольку неполное имя появляется также в строке. Часть заголовка" слева от символа '<§>' обычно состоит из цифр, нов данном случае она содержит наугад взятые буквы. Это указывает на то, что строкам о же т быть поддельной. Строка явно подделана. Действительный адрес получателя присутствует только на конверте сообщения ибо ль ш е нигде в заголовках. Это сообщение действительном о гл об ы т ь получено от пользователя
F . P e p p e r @ p m a i l . n e t . Доменному имени соответствует реальный
I P - адреса программа сообщает ото м . что узел p m a i l . n e t принадлежит компании Среди примерно двадцати экземпляров с па мс о обще ни й , которые мы проверили при подготовке данного раздела, только это сообщение содержит достаточно информации для того, чтобы можно было составить обоснованную жалобу в адреском пьют ера, который указан в базе данных для- адреса, приведенного в строке заголовка. Никогда ненужно посылать жалобу непосредственно с па меру или в домен с па мера это программа, выполняющая синтаксический анализ заголовков почтовых сообщений и определяющая, какие строки реальные, какие могут быть подделаны, а какие безусловно подделаны. Программа выдает пользователю, который присылает пример с па м а по электронной почте или на- узел, пошаговое описание заголовков и разъясняет, какие компоненты подтверждаются, а какие нет. На этом узле можно

Чость II. Робота в сетях
легко составить жалобу нас па мВ жалобу следует включить всю относящуюся к делу информацию, которая была собрана путем синтаксического анализа заголовков. Мы запустили программу Сор для анализа нашего первого с па мс о об ш е ни я , в котором нам пытались продать компакт- диск со списком адресов. Программа обнаружила, что заголовок' сад ре сом подлинный, но домен фиктивный. Затем программа определила, что узел gaia.es ие имеет- адреса, окот о ром говорится в письме, и что действительный виновник, возможно, находится на узле. Ясно, что анализ с пом о шью программы оказался намного лучше, чем наши заняло н всего несколько секунд. Ниже приведен небольшой фрагмент из результатов анализа относительно свежего с па м а . Анализ выполнен программой maill.es.net with smtp (Exim 1.81 &2) id 12oBHL-Q00494-00; Sat,
6 May 2C0C 13:34:23 -0700
Possible spammer: 14 8.81.119.2
"nsiookup cskwam.mil.pl" (checking ip) [show] ip not found; cskwam.mil.pl discarded as fake,
"dig cskwam.mil.pl mx" (digging for Mail exchanger) [show] "nsiookup cskwam.mil.pl" (checking ip) [show] cskwam.mil.pl not 148.81.119.2, discarded as fake,
"nsiookup sunl.cskwam.mil.pl" (checking ip) [show] ip = 148.81.119.2
Taking name f r o m I P . . .
"nsiookup 148.81.119.2" (getting name) [show] 148.81.119.2 - sunl.cskwam.mil.pi
"nsiookup sunl.cskwam.mil.pl" (checking ip) [show] ip =• 148-81.119.2
"nsiookup 2,119.81.148.rbl.maps.vix.com." (checking ip) [show] noc found
"nsiookup 2.119.81.148.relays.orbs.org." (checking ip) [show] xp =
127.0.0.2 blocked by ORBS
Chain test:maill.es.net -? maill.es.net
Chain verified maill.es.net maill.es.net
148.81.119.2 has already been sent, to ORBS
Received line accepted Каждое слово является ссылкой наст рани ц упр о граммы. Там показана команда, которая была выполнена, и ее результат.
19.11. Безопасность и программа sendmaii Сна чалом взрыв оп од об ног о роста сети программы наподобие, принимающие произвольные входные данные и направляющие их локальным пользователям, в файлы или винтер прет ат о рыком ан д , стали излюбленной мишенью для хакеров. В настоящее время программа, наряду со службой и даже протоколом. начала обзаводиться встроенными средствами аутентификации и шифрования, позволяющими решать основные проблемы безопасности. Недавнее послабление американских федеральных законов, касающихся экспорта систем шифрования, позволило оснастить программу собственными механизмами шифрования. Версии и более поздние поддерживают систему- аутентификации и S S L (Secure S o c k e t s Layer — протокол защищенных соке тов. Протокол в sendmaii называется Security — безопасность транспортного уровня) и реализован
Глово 19- Электронной почто
641
в виде дополнения к протоколу Ему соответствуют шесть новых конфигурационных параметров, связанных с файлами сертификатов и ключей. В этом параграфе мы рассмотрим эволюцию модели безопасности программы. В конце кратко описан протокол. Безопасность программы постоянно усиливалась, и теперь программа, прежде чем довериться содержимому, скажем, файлов или, тщательно проверяет права доступа кн им. Как правило, подобные меры предосторожности действительно необходимы, но иногда все же требуется их ослабить. С этой целью в программе появилась опция. название которой" не обвиняй) подсказывает системным администраторам, что после изменения опции все действия программы станут небезопасными. У опции много возможных значений. По умолчанию она равна. Полный список значений можно найти в файле. Владельцы файлов Программа различает грех специальных пользователей e r , T r u s t e d U s e r и R u n A s U s e r . По умолчанию все агенты доставки работают от имени пользователя. если не заданы специальные флаги. При наличии в файле записи или" именно эта запись будет соответствовать пользователю . В противном случае пользователю будут сопоставлены значения и G I D , равные, что эквивалентно учетной записи. Мы рекомендуем применять учетную запись" Добавьте ее в файл со звездочкой в поле пароля, с пустым полем идентификатора команд, с пустым полем начального каталога игру п пой. Этой учетной записи нед о л ж н ы принадлежать никакие файлы. Пользователь может владеть файлами баз данных и псевдонимов. Ему разрешается запускать демон и перестраивать файл. Этот пользователь нес о ответствует классу программы, который определяет, кто имеет правом е н ять заголовок" сообщений. Пользователю соответствует значение которое присваивается программе приоткрыт и и соке та, подключенного к порту 25. Привилегированные порты, номера которых меньшем о г у тот кр ы в ать с я только суперпользователем, следовательно, программа первоначально работает от имени пользователя. Тем нем е нее после завершения указанной операции программам о же т взять себе другое значение Это уменьшает вероятность возможных угроз безопасности, если программа запускается обманным путем. По умолчанию, однако, программа продолжает выполняться от имени пользователя. Если потребуется поменять установку для учетной *аписи
R u n A s U s e r , придется многое изменить. Пользователю принадлежит очередь почтовых сообщений, он может читать все включаемые файлы и файлы баз данных, осуществлять запись в журнальные файлы, запускать
Средство TRUSTED USERS обычно применяется л ля поддержки программ, работающих со списками рассылки. Например, если используется программа M a j o r d o m o . нужно добави гь пользователя " m a j o r d o m " в класс TRUSTED USERS. ПО умолчанию членами этого класса являются стандартные пользователи daemon и root.
642
Часть II Роботов сетях
программы и т.д. Может уйти несколько часов напои с к всех файлов и каталогов, владелец которых должен быть изменен. Права доступа Сточки зрения безопасности программы важное значение имеют права доступа копре деленным файлами каталогам. Установки, приведенные в табл, считаются безопасными.
Тоблицо 19.16. Атрибуты каталогов прогроммы sendmaii Каталог Владелец Режим Но э но ч е ни е / содержимое Очередь почтовых сообщений
/„ /var. /var/spool root
755 Компоненты путеного имени каталога mqueuc
/etc/mall/*
T r u s t e d U s e r
644
Таблииы. конфигурационный файл, файлы псевдонимов
/etc/mail
T r u s t e d U s e r
755 Родительский каталог для разных файлов
/etc root
755 Путь к каталогу mail Программа не будет читать файлы со слаб ленными правами доступа например, файлы, доступные для записи группе или остальным пользователям, атак же файлы, находящиеся в каталогах, которые доступны для записи группе или остальным пользователям) Такая предосторожность вызвана тем, что многие операционные системы позволяют пользователям отдавать свои файлы в " чужие руки" с помощью команды во снов ном это относится кси стемам, производным от System V)*. В частности, программа очень тщательно проверяет полное путевое имя любого файла псевдонимов и файла. Это сказывается на управлении списками рассылки программы. Если список рассылки находится, например, в каталоге, все путевое имя должно быть надежным ни один компоненте гоне должен иметь право записи для группы. Это усложняет владельцу списка работу с файлом псевдонимов Чтобы проверить текущее положение дел, запустите команду Флаг заставляет программу про н ни п шали з и ров ать базу данных псевдонимов ивы дать предупрежлекгие, если права доступа не подходят. Программа не читает файле с ли значение счетчика ссылок на него превышаете дин и ц у , а путь к каталогу небезопасен права доступа ослаблены. Отключить многие ограничения надо ступ к файлам можно с помощью опции. За годы своего существования команда chown вызвала массу проблем, связанных с безопасностью. Мы считаем ее ошибкой разработчиков. Отключите данную команду, если это разрешено во пера ц ионной системе.
Глово 19- Электронной почто
643
Безопасная пересылка почты в файлы и программы Мы рекомендуем применять в качестве агента программной доставки утилиту smrsh, а не /bin/sh, и назначить агентом локальной доставки утилиту mail.local, а не /bin/mail. О них рассказывалось в параграфе 19.8. Обе программы входят в дистрибутив sendmail. Для их активизации необходимо добавить в файл команды
FEATURE <* smrsh', 'лу ть_к_программе smrsh')
FEATURE (' local_lmtp', " путь_к_програьше_1па±1.1 оса 1 ' >
Если путевые имена не указаны, по умолчанию принимаются следующие установки /usr/libexec/smrsh и /usr/libexec/mail.local. По умолчанию программа smrsh запускает только программы, находящиеся в каталоге /usr/adm/sm.bin". Она игнорирует заданные пользователями путевые имена и пытается искать запрашиваемые команды в собственном каталоге. Она также блокирует некоторые метасимволы интерпретатора команд, в частности '<' — оператор переадресации входного потока. В ката- логе sm.bin допускается наличие символических ссылок, поэтому создавать копии программ не потребуется.
Приведем несколько примеров команд вместе с возможными интерпре- тациями программы smrsh
vacation eric выполняемся /usr/adm/sm.bin/vacation eric
cat /•tc/paeewd отклоняется, программы cat нет в каталоге sm.bin
vacation eric < /etc/paasvrd отклоняется, оператор < не разрешен
О п ц и я S a f e F i l e E n v i r o n m e n t программы sendmail контролирует, куда можно записывать сообщения, если в файле aliases или .forward задано перенаправление почты в файл. Эта опция заставляет программу выполнить системный вызов chroot, вследствие чего корневым каталогом файлоной системы станет не /, a /safe или любой другой заданный в опции каталог.
Например, если в файле псевдонимов задается перенаправление почты в файл
/etc/passwd, то на самом деле сообщения будут записываться н файл
/safe/etc/passwd.
О п ц и я S a f e F i l e E n v i r o n m e n t зашишает файлы устройств, каталоги и другие специальные файлы, позволяя записывать почту только в обычные файлы. Это полезно не только в плане улучшения безопасности, но и с точки зрения борьбы с пользовательскими ошибками. В некоторых системах значение этой о п ц и и задают равным /home, что открывает доступ к начальным каталогам пользователей, но оставляет системные ф а й л ы вне досягаемости.
Агенты доставки тоже могут запускаться в среде с измененным корневым каталогом. В настоящий момент соответствующая опция содержится в настрой- ках агента, но в скором времени "перекочует" в ф а й л конфигурации т 4 .
Опции конфиденциальности
В программе sendmail имеются опции конфиденциальности, которые определяют:
• какие сведения о системе можно узнать из внешнего мира при помощи протокола SMTP;
• Не помещайте в каталог sm.bin программы наподобие procmail, которые способны запускать интерпретатор команд. Лучше назначьте программу procmail локальным агентом доставки.
644
Чосгь II Роботов сетях
что требуется от узла на противоположном конце соединения могут ли пользователи просматривать или обрабатывать очередь почтовых сообщений. В табл. 19.17 приведены текущие значения опций конфиденциальности. Самая актуальная информация содержится в каталоге /sendmail/conf.c дистрибутива.
Тоблицо 19.17. Зночения переменной P r i v a c y O p t i o n s
Зночение __ Интерпретация
public Проверка конфиденциальности/безопасности не производится needmailhelo Требуется команда HELO (идентифицирует удаленный узел) поехрп Не допускается команда EXPN novrfy Не допускается команда VRFY needexpnhelo Не допускается раскрытие адреса (команда EXPN) без команды
HELO needvrfyhelo Не допускается проверка адреса (команда VRFY) без команды
HELO noverb
1 Не допускается "многословный" режим команды EXPN restriccrnailg Только пользователи группы, которой принадлежит каталог mqueiie, могут просматривать очередь сообщений restrictqrun Только владелец каталога mqueoe может обрабатывать очередь сообщений noetrn
2 Не допускается асинхронная обработка очереди authwarnings К сообщениям добавляется заголовок "Authentication-Warning" (это установка по умолчанию) noreceipts Запрещает выдачу кодов состояния доставки nobodyreturn При выдаче кода состояния доставки не возвращается тело сообшения goaway Отменяются все статусные запросы (EXPN, VRJFY и т.д.)
1
В этом режиме команда EXPN отслеживает переадресацию в файле .forward и позволяет получить дополнительную информацию о местонахождении пользовательской почты. Необходимо включать опцию n o v e r b или, еще лучше, поехрп на любом компьютере, имеющем выход во внешний мир.
2
ETRN — это команда протокола ESMTP, которая используется узлами с коммутируемым доступом. Оиа запрашивает обработку очереди только для сообщений данного узла. Мы рекомендуем сделать в файле "консервативные" установки" define("confPR1VACY_OPTIONS•, *"goaway, authwarnings, restrictmailq, restrictqrun'') По умолчанию установлена лишь опция a u t h w a r n i n g s . Обратите внимание на удвоенные кавычки некоторые версии препроцессора т требуют этого для предотвращения интерпретации запятых в списке значений Запуск программы sendmaii при помощи команды chroot Те, кто беспокоится о влиянии программы sendmaii на файловую систему, могут запускать ее с помощью команды chroot в специальном корневом каталоге вроде /jail (тюрьма. Создайте в этом каталоге минимальную
Глово 19- Электронной почто



Поделитесь с Вашими друзьями:
1   ...   54   55   56   57   58   59   60   61   ...   82


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал