Sendmail echt zo in-secure? - Linux en overige clients

donderdag 19 september 2002 17:26

Acties:

Topicstarter

Ik moet een server gaan installeren als webserver / databaseserver / mailserver. Nu wilde ik Sendmail gebruiken voor de mailserver (daar heb ik zelf de meeste ervaring mee), maar ik hoor overal verhalen dat sendmail nogal in-secure zou zijn en niet makkelijk te configureren.

Ik heb ook even postfix geprobeerd, maar die vind ik persoonlijker minder makkelijk te configureren dan sendmail.

Is sendmail echt zo onveilig, of valt dat wel mee?

donderdag 19 september 2002 17:31

Acties:

Mark

Latere versies van sendmail zijn gewoon veilig, echter hebben Postfix en Qmail een beter verleden (zijn ook vanaf scratch opnieuw geschreven). Zelf houd ik van de configuratie manier van Postfix (snap niet dat jij het dus minder makkelijk vind). De config van Postfix kun je ook nog lezen (en snappen) zonder een berg cryptische afkortingen te moeten kennen.

donderdag 19 september 2002 17:39

Acties:

jurri@n

Topicstarter

Mark schreef op 19 september 2002 @ 17:31:
Latere versies van sendmail zijn gewoon veilig, echter hebben Postfix en Qmail een beter verleden (zijn ook vanaf scratch opnieuw geschreven). Zelf houd ik van de configuratie manier van Postfix (snap niet dat jij het dus minder makkelijk vind). De config van Postfix kun je ook nog lezen (en snappen) zonder een berg cryptische afkortingen te moeten kennen.

Als je sendmail zelf comiled en gewoon een paar features toevoegd, genereerd hij zelf de configuratie. Daarna hoef je in 2 files maar iets op te geven:

- ene file zet je het domein waarvoor je mail wilt ontvangen
- andere file zet je de aliases, met daarachter het emailadres waarnaar het geforward moet, of de username van de persoon op de server die het moet ontvangen.

Bij postfix begrijp ik uit diverse howto's dat je daar al aparte files hebt voor het doorsturen naar een adres en het dumpen in een postvak van een lokale user.

postfix heeft wel de mogelijkheid aliases e.d. te lezen uit een MySQL-database, wat een handige feature is. Zelf doe ik het op mijn homeserver door ieder uur een cron-jubje te laten starten en nieuwe configuratie-files te laten schrijven.

donderdag 19 september 2002 17:43

Acties:

Wilke

Als je precies weet wat je doet is het best veilig, qmail is alleen een stuk nieuwer en ontworpen met beveiliging/correctheid als uitgangspunt (toen sendmail begon was dat nog volstrekt niet aan de orde). En dan idd die cryptische config-files...maar als jij daar al weg mee weet, why not?

donderdag 19 september 2002 17:46

Acties:

jurri@n

Topicstarter

oke, sendmail is dus redelijk veilig. Zijn er dan in de standaard-config nog zaken die ik beter direct aanpas?

donderdag 19 september 2002 18:00

Acties:

Whizzer

Flappie!

De tegenwoordige versies van Sendmail zorgen ervoor dat je standaard geen open relay bent, je kunt alleen relayen vanaf je localhost...

Wel vind ik het altijd prettig om in de sendmail.mc (waarvanuit je met m4 de sendmail.cf kunt maken) de volgende feature te zetten:

code:

FEATURE(`blacklist_recipients')dnl
FEATURE(dnsbl,`inputs.orbs.org')dnl
FEATURE(dnsbl,`outputs.orbs.org')dnl
FEATURE(dnsbl,`dul.maps.vix.com')dnl
FEATURE(dnsbl,`relays.mail-abuse.org')dnl
FEATURE(dnsbl,`rbl.maps.vix.com')dnl

Deze zorgt ervoor dat als er een mailserver connect naar jouw sendmail, deze kijkt of ie in een of andere blacklist staat en zo ja, dan krijgt de doos die de jouwe connect een digitale middelvinger...

Natuurlijk is het ook heel fijn om sendmail meteen te combineren met een virusscanner...

Ik ben geweldig.. en bescheiden! En dat siert me...

donderdag 19 september 2002 18:19

Acties:

Mark

jurri@n schreef op 19 september 2002 @ 17:39:
[...]

Als je sendmail zelf comiled en gewoon een paar features toevoegd, genereerd hij zelf de configuratie. Daarna hoef je in 2 files maar iets op te geven:

- ene file zet je het domein waarvoor je mail wilt ontvangen
- andere file zet je de aliases, met daarachter het emailadres waarnaar het geforward moet, of de username van de persoon op de server die het moet ontvangen.

En wat als je snel iets moet aanpassen in je config (dus niet in je domains of in je virtuser table) ? Zaken als smart relaying en dergelijke ? Als ik dat in postfix wil doen dan snap ik ook wat alles is, bij sendmail moet ik eerst een boel cryptisch afkortingen opzoeken.

Bij postfix begrijp ik uit diverse howto's dat je daar al aparte files hebt voor het doorsturen naar een adres en het dumpen in een postvak van een lokale user.

Dit doe je beide in je virtual user table.

postfix heeft wel de mogelijkheid aliases e.d. te lezen uit een MySQL-database, wat een handige feature is. Zelf doe ik het op mijn homeserver door ieder uur een cron-jubje te laten starten en nieuwe configuratie-files te laten schrijven.

Tjsah, ik draai nu al een hele tijd met courier+postfix+mysql en ik vind het heerlijk werken. Dan heb ik meteen practisch geen lokale users meer.

donderdag 19 september 2002 19:06

Acties:

jurri@n

Topicstarter

Whizzer schreef op 19 september 2002 @ 18:00:
De tegenwoordige versies van Sendmail zorgen ervoor dat je standaard geen open relay bent, je kunt alleen relayen vanaf je localhost...

Wel vind ik het altijd prettig om in de sendmail.mc (waarvanuit je met m4 de sendmail.cf kunt maken) de volgende feature te zetten:
code:
1
2
3
4
5
6
FEATURE(`blacklist_recipients')dnl
FEATURE(dnsbl,`inputs.orbs.org')dnl
FEATURE(dnsbl,`outputs.orbs.org')dnl
FEATURE(dnsbl,`dul.maps.vix.com')dnl
FEATURE(dnsbl,`relays.mail-abuse.org')dnl
FEATURE(dnsbl,`rbl.maps.vix.com')dnl
Deze zorgt ervoor dat als er een mailserver connect naar jouw sendmail, deze kijkt of ie in een of andere blacklist staat en zo ja, dan krijgt de doos die de jouwe connect een digitale middelvinger...

Natuurlijk is het ook heel fijn om sendmail meteen te combineren met een virusscanner...

Thanks voor die blacklist-feature. Die kende ik nog niet! En ik zat inderdaad ook al te denken aan een virusscanner. Heb al een demo gevonden van Panda. Heb goede ervaringen met Panda als desktop-scanner en onder Netware. Denk dat ik de demoversie voor sendmail eens ga proberen.

donderdag 19 september 2002 21:23

Acties:

egeltje

BOfH: BSD Operator from Hell

Ik draai al een tijdje PostPix, juist omdat ik redelijk geschuffeld werd van SendMail configuratiefiles (maar dat is slechts een mening). De config van PostFix vond ik bijzonder goed gedocumenteerd en het draait als een zonnetje (PostFix + Qpopper). MySQL is het volgende stapje.
De enige reden dat ik vroeger wel eens een mailtje van SendMail kreeg, was omdat het standaard bij m'n OS zat (FreeBSD). Wat mij betreft gooien ze die default er uit.

Als ik nu zou moeten kiezen weet ik niet of ik voor PostFix of Qmail zou gaan, maar ik draai nu PostFix naar volle tevredenheid.

Iedereen wil terug naar de natuur, maar niemand wil lopen...

donderdag 19 september 2002 21:29

Acties:

_JGC_

Sendmail heb ik vroeger ook gebruikt, als n00b die een servertje opzet, heb je alleen gehoord van Sendmail, en vraag je je af waarom Exim eruitgeflikkerd wordt als je Sendmail installeert

Damn, wat heb ik een nachtmerries gehad met Sendmail. Ik weet nog wel dat ik het gecombineerd had met Cyrus IMAP (Sendmail 8.9.3 that is), vervolgens komt er een nieuwe versie van Sendmail in Debian en vern*kt ie gewoon mn hele Cyrus config (die daarna niet weer aan de praat te krijgen was)

Als ik een nieuwe mailserver zou installeren, zou ik zeker Qmail, Courier, Exim en Postfix overwegen. Qmail ben ik nu bekend mee, Courier is grotendeels hetzelfde, Exim en postfix zijn nieuw voor me.

donderdag 19 september 2002 22:17

Acties:

Lethalis

Ik gebruikte Sendmail vroeger alleen om mails te verzenden via de provider (smart host) .. en dat was toendertijd een regelrechte ramp

Toen moest ik nog ontdekken wat ipchains is *is ook al 2 jaar geleden*

Ask yourself if you are happy and then you cease to be.