Даже если РОРЗ/IМАР-сервер не поддерживает ни один из вариантов безопасных протоколов (SPOP и IMAPS), можно применить Stunnel, который дает возможность создавать TCP-туннели, по которым данные пересылаются в зашифрованном виде.

     Stunnel предназначен для универсального туннелирования ТСР-соединений. Если Stunnel еще не установлен, можно загрузить его с сайта: http://www.stunnel.org (конечно, понадобится SSL-библиотека, к примеру OpenSSL). Co стороны сервера можно употреблять Stunnel, чтобы предоставлять сервисы SPOP и IMPAS пользователям.

Далее...

     Qmail была разработана как альтернатива Sendmail и представляется, наверное, самым защищенным МТА в мире Unix. Чего только стоит тот факт, что любому, кто найдет уязвимость в системе безопасности Qmail, полагается приз в 500$. Наверно такой уровень безопасности поясняется малым размером Qmail, но в основном это заслуга сокращения степени применения SUID (ведь необоснованное применение SUID - это центровая причина большинства уязвимостей Sendmail).

     Если будет решено применять Qmail и, кроме данного, будет нужен РОРЗ-сервер, лучшим выбором будет qmail-pop3d от разработчиков Qmail - он ставится по умолчанию, но не запускается.

     Установка Qmail - это изрядно сложный процесс, поэтому рекомендуется прочитать руководство «Жизнь с Qmail» («Life with Qmail») по адресу http://www.lifewithqmail.org. Конечно, каждый день изучать новый МТА - занятие не очень перспективное, но Qmail данного стоит. Тем более что Qmail существенно облегчает переход с Sendmail, обеспечивая поддержку forward-файлов, базы данных accesss, псевдонимов и даже TLS.

     Transport Layer Security.

     Протокол TLS основан на SSL, который предоставляет кодирование и целостность сообщения с помощью применения РКС. Конкретно к Sendmail (поддержка TLS появилась в версии 8.11), TLS предлагает:

     С помощью следующих опций можно конфигурировать сертификаты, используемые TLS, их можно добавить в файл generic-linux.mc:

Далее...

Sendmail имеет несколько опций, которые дают возможность хоть как-то защититься от DoS-атаки. Эти опции должны быть определены в файле sendmail.mc:

Sendmail представляется наиболее часто применяемым МТА в Интернете - он установлен на 40% почтовых серверов, он входит в состав всех дистрибутивов Linux и в большинстве случаев ставится по умолчанию. Однако у Sendmail не самая хорошая репутация в плане безопасности. Частично виной тому возраст Sendmail - Sendmail разрабатывался еще в те времена, когда о безопасности никто не задумывался. Не надо считать, что Sendmail «древнее» приложение - оно регулярно обновляется, просто трудно нарастить мясо, когда кости плохие - это я о безопасности, фундамент которой очень слаб.

     К тому же Sendmail достаточно сложно конфигурируется - разобраться в файле конфигурации изрядно сложно, а программы-конфигураторы, упрощающие этот процесс, напрочь забывают о безопасности. Следующая причина - это то, что Sendmail'y можно запускаться от имени root, что делает уязвимости в данной программе очень серьезными - в случае взлома Sendmail крекер получит права root. Запускать Sendmail в chroot-окружении также нет смысла, так как с правами root очень легко из него выбраться.

Далее...

Для защиты почтовых сервисов надо понимать, для чего применяется тот или иной субъект системы электронной почты.

     Агент передачи почты (Mail Transfer Agent, MTA) - программа, передающая почту с одной машины на другую. Наиболее известным МТА представляется, конечно, же Sendmail. MTA - это боец невидимого фронта - очень часто пользователь даже и не подозревает о его существовании. Для чтения и отправки e-mail пользователи используют Почтовый Пользовательский Агент (Mail User Agent, MUA). Примеры MUA: Mutt, Pine, Kmail, Evolution.

Далее...

Сервер имен выполняет две роли: разрешает запросы клиентов и выступает в роли авторитетного сервера для какой-то зоны. Представим, что у нас есть средняя компания. Имеется домен www.test.net. Целесообразно разделить функции серверов имен.

     Один сервер имен будет находиться во внутренней сети и разрешать запросы клиентов - это будет сервер для внутреннего употребления. Второй сервер будет авторитетным для зоны - он будет отвечать на запросы интернет-пользователей для этой зоны. Месторасположение данного сервера - нейтральная зона (DMZ).

Далее...