Änderungen in Version 8.13 von sendmail

Änderungen in Version 8.13 von `sendmail`

Unter den vielen neuen Funktionen der neuen Version von sendmail ist die Option FallBackSmartHost die wichtigste Neuerung. Aufgrund dieser neuen Option sind die Dateien main.cf und subsidiary.cf nicht mehr erforderlich. Die Datei main.cf kam in Umgebungen zum Einsatz, die MX-Datensätze unterstützen. Die Datei subsidiary.cf wurde in Umgebungen ohne einen vollständig einsatzbereiten DNS verwendet. In solchen Umgebungen wurde ein Smart-Host anstelle von MX-Datensätzen eingesetzt. Mit der Option FallBackSmartHost ist nun eine einheitliche Konfiguration möglich. Diese Option verhält sich wie ein MX-Datensatz der letzten möglichen Vorrangstufe für alle Umgebungen. Aktivieren Sie diese Option, um einen gut verbundenen Host zu gewährleisten, der als Backup oder Failover für alle fehlgeschlagenen MX-Datensätze dient, und um sicherzustellen, dass die Mails an die Clients übermittelt werden.

Weitere Informationen zu Version 8.13 finden Sie in den folgenden Abschnitten:

Zusätzliche Befehlszeilenoptionen in Version 8.13 von sendmail
Zusätzliche und überarbeitete Konfigurationsdateioptionen in Version 8.13 von sendmail
Zusätzliche und überarbeitete FEATURE()-Deklarationen in Version 8.13 von sendmail

Ab Solaris 10 1/06 kann SMTP zudem mit TLS (Transport Layer Security) ausgeführt werden. Weitere Informationen finden Sie in der nachstehenden Beschreibung.

Unterstützung für die Ausführung von SMTP mit TLS in Version 8.13 von `sendmail`

Die Kommunikation zwischen SMTP-Servern und -Clients wird normalerweise auf keiner Seite kontrolliert oder als vertrauenswürdig betrachtet. Dieser Mangel an Sicherheit erlaubt Dritten, die Kommunikation zwischen einem Server und einem Client zu überwachen oder sogar zu ändern. Ab Solaris 10 1/06 kann SMTP die TLS (Transport Layer Security) in Version 8.13 von sendmail verwenden, um dieses Problem zu beheben. Dieser erweiterte Service für SMTP-Server und -Clients bietet Folgendes:

Private, authentifizierte Kommunikation über das Internet
Schutz vor Lauschern und Angreifern

Hinweis - Die Implementierung von TLS basiert auf dem SSL-Protokoll (Secure Sockets Layer).

STARTTLS ist das SMTP-Schlüsselwort, das eine sichere SMTP-Verbindung mithilfe von TLS initiiert. Diese sichere Verbindung kann zwischen zwei Servern oder zwischen einem Server und einem Client hergestellt werden. Eine sichere Verbindung wird wie folgt definiert:

Die E-Mail-Quelladresse und die Zieladresse sind verschlüsselt.
Der Inhalt der E-Mail ist verschlüsselt.

Sobald der Client den Befehl STARTTLS ausgibt, antwortet der Server wie folgt:

220 Ready to start TLS
501 Syntax error (no parameters allowed)
454 TLS not available due to temporary reason

Die Antwort 220 erfordert, dass der Client die TLS-Aushandlung startet. Die Antwort 501 weist darauf hin, dass der Client den Befehl STARTTLS falsch ausgegeben hat. STARTTLS wird ohne Parameter ausgegeben. Die Antwort 454 erfordert, dass der Client Regellistenwerte anwendet, um zu bestimmen, ob die Verbindung akzeptiert oder aufrechterhalten werden soll.

Beachten Sie, dass zur Aufrechterhaltung der SMTP-Infrastruktur des Internets öffentlich genutzte Server keine TLS-Aushandlung anfordern dürfen. Ein privat verwendeter Server kann jedoch den Client auffordern, eine TLS-Aushandlung durchzuführen. In solchen Fällen gibt der Server die folgende Antwort zurück:

530 Must issue a STARTTLS command first

Die Antwort 530 weist den Client an, den Befehl STARTTLS auszugeben, um eine Verbindung herzustellen.

Der Server oder Client kann eine Verbindung ablehnen, wenn der Grad der Authentifizierung und Vertraulichkeit nicht ausreicht. Da die meisten SMTP-Verbindungen nicht gesichert sind, ist es möglich, dass Server und Client eine nicht gesicherte Verbindung aufrechterhalten. Ob eine Verbindung aufrechterhalten oder abgelehnt wird, hängt von der Konfiguration des Servers und des Clients ab.

Die Unterstützung für die Ausführung von SMTP mit TLS ist nicht standardmäßig aktiviert. TLS wird aktiviert, wenn der SMTP-Client den Befehl STARTTLS ausgibt. Damit der SMTP-Client diesen Befehl ausgeben kann, müssen Sie die Zertifikate einrichten, die sendmail ermöglichen, TLS zu verwenden. Lesen Sie dazu So richten Sie SMTP zur Verwendung von TLS ein. Beachten Sie, dass dieses Verfahren das Definieren neuer Konfigurationsdateioptionen und das Neuerstellen Ihrer sendmail.cf-Datei umfasst.

Konfigurationsdateioptionen zum Ausführen von SMTP mit TLS

In der folgenden Tabelle werden die Konfigurationsdateioptionen beschrieben, die verwendet werden, um SMTP mit TLS auszuführen. Wenn Sie eine dieser Optionen deklarieren, verwenden Sie eine der folgenden Syntaxen:

O OptionName= argument # für die Konfigurationsdatei
-O OptionName= argument # for the command line
define(`m4Name', argument) # für die m4-Konfiguration

Tabelle 14-13 Konfigurationsdateioptionen zum Ausführen von SMTP mit TLS

Option	Beschreibung
`CACertFile`	`m4`-Name: `confCACERT` Argument: `filename` Standardwert: nicht definiert Kennzeichnet die Datei, die ein CA-Zertifikat enthält.
`CACertPath`	`m4`-Name: `confCACERT_PATH` Argument: `path` Standardwert: nicht definiert Kennzeichnet den Pfad zu dem Verzeichnis, das Zertifikate von CAs enthält.
`ClientCertFile`	`m4`-Name: `confCLIENT_CERT` Argument: `filename` Standardwert: nicht definiert Kennzeichnet die Datei, die das Zertifikat des Clients enthält. Beachten Sie, dass dieses Zertifikat verwendet wird, wenn `sendmail` als Client fungiert.
`ClientKeyFile`	`m4`-Name: `confCLIENT_KEY` Argument: `filename` Standardwert: nicht definiert Kennzeichnet die Datei, die den privaten Schlüssel enthält, der zum Clientzertifikat gehört.
`CRLFile`	`m4`-Name: `confCRL` Argument: `filename` Standardwert: nicht definiert Kennzeichnet die Datei, die den Zertifikat-Rücknahmestatus enthält, der für die X.509v3-Authentifizierung verwendet wird.
`DHParameters`	`m4`-Name: `confDH_PARAMETERS` Argument: `filename` Standardwert: nicht definiert Kennzeichnet die Datei, die die Diffie-Hellman-Parameter (DH) enthält.
`RandFile`	`m4`-Name: `confRAND_FILE` Argument: `file:filename` oder `egd:UNIX socket` Standardwert: nicht definiert Verwendet das `file:`-Präfix, um die Datei zu kennzeichnen, die Zufallsdaten enthält, oder verwendet das `egd:`-Präfix, um den UNIX-Socket zu kennzeichen. Beachten Sie, dass diese Option nicht festgelegt werden muss, da das Betriebssystem Solaris den Zufallszahlengenerator unterstützt. Weitere Informationen finden Sie auf der Manpage `random`(7D).
`ServerCertFile`	`m4`-Name: `confSERVER_CERT` Argument: `filename` Standardwert: nicht definiert Kennzeichnet die Datei, die das Zertifikat des Servers enthält. Dieses Zertifikat wird verwendet, wenn `sendmail` als Server fungiert.
`Timeout.starttls`	`m4`-Name: `confTO_STARTTLS` Argument: `amount of time` Standardwert: `1h` Legt fest, wie lange der SMTP-Client auf die Antwort auf den Befehl `STARTTLS` wartet.
`TLSSrvOptions`	`m4`-Name: `confTLS_SRV_OPTIONS` Argument: `V` Standardwert: nicht definiert Legt fest, ob der Server ein Zertifikat vom Client verlangt. Wenn diese Option auf `V` gesetzt ist, wird keine Clientverifizierung durchgeführt.

Damit sendmail die SMTP-seitige Verwendung von TLS unterstützt, müssen folgende Optionen definiert sein:

CACertPath
CACertFile
ServerCertFile
ClientKeyFile

Andere Optionen sind nicht erforderlich.

Makros zum Ausführen von SMTP mit TLS

In der folgenden Tabelle werden die Makros beschrieben, die vom Befehl STARTTLS verwendet werden.

Tabelle 14-14 Makros zum Ausführen von SMTP mit TLS

Makro	Beschreibung
`${cert_issuer}`	Enthält den DN (Distinguished Name) der Zertifizierungsstelle (Certification Authority, CA), die das Zertifikat ausstellt.
`${cert_subject}`	Enthält den DN des Zertifikats, das als cert subject bezeichnet wird.
`${cn_issuer}`	Enthält den allgemeinen Namen (Common Name, CN) der Zertifizierungsstelle (CA), die das Zertifikat ausstellt (cert issuer).
`${cn_subject}`	Enthält den CN des Zertifikats, das als cert subject bezeichnet wird.
`${tls_version}`	Enthält die Version von TLS, die für die Verbindung verwendet wird.
`${cipher}`	Enthält eine Reihe von kryptografischen Algorithmen (cipher suite), die für die Verbindung verwendet werden.
`${cipher_bits}`	Enthält die Schlüssellänge des symmetrischen Verschlüsselungsalgorithmus (in Bits), der für die Verbindung verwendet wird.
`${verify}`	Enthält das Ergebnis der Verifizierung des vorgewiesenen Zertifikats. Folgende Werte sind möglich: `OK` – Die Verifizierung wurde erfolgreich durchgeführt. `NO` – Es wurde kein Zertifikat vorgewiesen. `NOT` – Es wurde kein Zertifikat angefordert. `FAIL` – Das vorgewiesene Zertifikat konnte nicht verifiziert werden. `NONE` – `STARTTLS` wurde nicht ausgeführt. `TEMP` – Ein zeitweiliger Fehler ist aufgetreten. `PROTOCOL` – Ein SMTP-Fehler ist aufgetreten. `SOFTWARE` – `STARTTLS`-Handshake ist fehlgeschlagen.
`${server_name}`	Enthält den Namen des Servers mit der aktuellen ausgehenden SMTP-Verbindung.
`${server_addr}`	Enthält die Adresse des Servers mit der aktuellen ausgehenden SMTP-Verbindung.

Regellisten zum Ausführen von SMTP mit TLS

In der folgenden Tabelle werden Regellisten beschrieben, die bestimmen, ob eine SMTP-Verbindung, die TLS verwendet, akzeptiert, gehalten oder abgelehnt wird.

Tabelle 14-15 Regellisten zum Ausführen von SMTP mit TLS

Regelliste	Beschreibung
`tls_server`	Wenn `sendmail` als Client fungiert, verwendet sendmail diese Regelliste, um zu festzustellen, ob der Server derzeit von TLS unterstützt wird.
`tls_client`	Wenn `sendmail` als Server fungiert, verwendet sendmail diese Regelliste, um zu festzustellen, ob der Client derzeit von TLS unterstützt wird.
`tls_rcpt`	Diese Regelliste erfordert eine Verifizierung des MTA des Empfängers. Diese empfängerbezogene Beschränkung macht Angriffe wie beispielsweise DNS-Spoofing unmöglich.
`TLS_connection`	Mit dieser Regelliste wird die Anforderung geprüft, die von RHS der Zugangs-Map für die Parameter der aktuellen TLS-Verbindung festgelegt wird.
`try_tls`	`sendmail` verwendet diese Regelliste, um die Ausführbarkeit von `STARTTLS` festzustellen, wenn eine Verbindung mit einem anderen MTA hergestellt wird. Wenn MTA den Befehl `STARTTLS` nicht richtig implementieren kann, wird `STARTTLS` nicht verwendet.

Weitere Informationen finden Sie unter http://www.sendmail.org/m4/starttls.html.

Sicherheitsüberlegungen zum Ausführen von SMTP mit TLS

SMTP ist ein Standard-Mailprotokoll, das Mailer definiert, die über das Internet ausgeführt werden, es ist jedoch kein Mechanismus zwischen Endgeräten. Aufgrund dieser Protokollbeschränkung gilt die Gewährleistung der TLS-Sicherheit auf Basis von SMTP für keine Mail-Benutzeragenten. Mail-Benutzeragenten dienen als Schnittstelle zwischen Benutzern und einem Mail Transfer Agent wie beispielsweise sendmail .

Mails können auch über mehrere Server weitergeleitet werden. Zur Gewährleistung einer umfassenden SMTP-Sicherheit muss TLS in der gesamten Kette der SMTP-Verbindungen unterstützt werden.

Außerdem muss der Grad der ausgehandelten Authentifizierung und Vertraulichkeit zwischen jedem Serverpaar oder zwischen einem Client und einem Server berücksichtigt werden. Weitere Informationen finden Sie unter Authentifizierungsservices in Systemverwaltungshandbuch: Sicherheitsservices.

Zusätzliche Befehlszeilenoptionen in Version 8.13 von `sendmail`

In der folgenden Tabelle werden zusätzliche Befehlszeilenoptionen beschrieben, die in Version 8.13 von sendmail zur Verfügung stehen. Weitere Befehlszeilenoptionen sind auf der Manpage sendmail(1M) beschrieben.

Tabelle 14-16 Befehlszeilenoptionen in Version 8.13 von sendmail

Option	Beschreibung
`-D` `logfile`	Sendet eine Fehlersuchausgabe an die angegebene `logfile`, anstatt diese Informationen in die Standardausgabe einzubeziehen.
`-q[!]Qsubstr`	Legt die Verarbeitung von Jobs fest, die unter Quarantäne gestellt sind und die Unterzeichenfolge `substr` aufweisen (eine Unterzeichenfolge der Quarantäneursache `reason`). Weitere Informationen finden Sie in der Beschreibung der Option `-Qreason`. Wenn ! hinzugefügt wird, werden mit dieser Option die unter Quarantäne gestellten Jobs verarbeitet, die die Unterzeichenfolge (`substr`) nicht aufweisen.
`-Qreason`	Stellt ein normales Warteschlangenelement mit dieser Ursache (`reason`) unter Quarantäne. Wenn keine Ursache (`reason`) angegeben ist, wird die Quarantäne des unter Quarantäne gestellte Warteschlangenelements aufgehoben. Diese Option kann zusammen mit der Option `-q[!]Qsubstr` verwendet werden. `substr` ist ein Teil (bzw. Unterzeichenfolge) von `reason`.

Zusätzliche und überarbeitete Konfigurationsdateioptionen in Version 8.13 von `sendmail`

In der folgenden Tabelle werden die zusätzlichen und überarbeiteten Konfigurationsdateioptionen beschrieben. Wenn Sie eine dieser Optionen deklarieren, verwenden Sie eine der folgenden Syntaxen:

O OptionName=argument          # for the configuration file
-O OptionName=argument         # for the command line
define(`m4Name',argument)     # for m4 configuration

Tabelle 14-17 Konfigurationsdateioptionen in Version 8.13 von sendmail

Option	Beschreibung
`ConnectionRateWindowSize`	`m4`-Name: `confCONNECTION_RATE_WINDOW_SIZE` Argument: `Zahl` Standardwert: `60` Legt die Anzahl von Sekunden für die Haltezeit von eingehenden Verbindungen fest.
`FallBackSmartHost`	`m4`-Name: `confFALLBACK_SMARTHOST` Argument: `hostname` Verwenden Sie diese Option, um einen gut verbundenen Host zu gewährleisten, der als Backup oder Failover für alle fehlgeschlagenen MX-Datensätze dient, und um sicherzustellen, dass die Mails an die Clients übermittelt werden.
`InputMailFilters`	`m4`-Name: `confINPUT_MAIL_FILTERS` Argument: `filename` Listet die Eingangsmailfilter für den `sendmail`-Dämon auf.
`PidFile`	`m4`Name: `confPID_FILE` Argument: `filename` Standardwert: `/var/run/sendmail.pid` Der Dateiname wird wie in früheren Versionen durch ein Makro erweitert, bevor er geöffnet wird. In Version 8.13 wird zudem die Verknüpfung der Datei aufgehoben, wenn `sendmail` vorhanden ist.
`QueueSortOrder`	`m4`-Name: `confQUEUE_SORT_ORDER` Hinzugefügtes Argument: `none` In Version 8.13 wird `none` verwendet, um anzugeben, das keine Sortierreihenfolge verwendet wird.
`RejectLogInterval`	`m4`-Name: `confREJECT_LOG_INTERVAL` Argument: `period-of-time` Standardwert: `3h` (drei Stunden) Wenn eine Dämonverbindung aufgrund der angegebenen Dauer (`period-of-time`) abgelehnt wird, werden die betreffenden Informationen protokolliert.
`SuperSafe`	`m4`-Name: `confSAFE_QUEUE` Kurzname: `s` Hinzugefügtes Argument: `postmilter` Standardwert: `true` Wenn `postmilter` gesetzt ist, setzt `sendmail` die Synchronisierung der Warteschlangendatei aus, bis alle `milters` signalisiert haben, dass die Nachricht akzeptiert wurde. Um dieses Argument zu verwenden, muss `sendmail` als SMTP-Server ausgeführt werden. Anderenfalls funktioniert `postmilter` in gleicher Weise wie das Argument `true`.

Zusätzliche und überarbeitete `FEATURE()`-Deklarationen in Version 8.13 von `sendmail`

In der folgenden Tabelle werden die zusätzlichen und überarbeiteten FEATURE()-Deklarationen beschrieben. Dieses m4-Makro verwendet die folgende Syntax:

FEATURE(`name', `argument')

Tabelle 14-18 FEATURE()-Deklarationen in Version 8.13 von sendmail

Name von `FEATURE()`	Beschreibung
`conncontrol`	Wird in Verbindung mit der `access_db`-Regelliste verwendet, um die Anzahl der eingehenden SMTP-Verbindungen zu prüfen. Weitere Informationen finden Sie in der Datei `/etc/mail/cf/README`.
`greet_pause`	Fügt die `greet_pause`-Regelliste hinzu, die Open-Proxy- and SMTP-Slamming-Schutz ermöglicht. Weitere Informationen finden Sie in der Datei `/etc/mail/cf/README` .
`local_lmtp`	Das Standardargument ist weiterhin `mail.local`, der LMTP-fähige Mailer in dieser Solaris-Version. Wird in Version 8.13 jedoch ein anderer LMTP-fähiger Mailer verwendet, kann dessen Pfadname als zweiter Parameter angegeben werden, und die Argumente, die an den zweiten Parameter weitergegeben werden, können im dritten Parameter angegeben werden. Beispiel: FEATURE(`local_lmtp', `/usr/local/bin/lmtp', `lmtp')
`mtamark`	Bietet experimentelle Unterstützung für "Marking Mail Transfer Agents in Reverse DNS with TXT RRs" (MTAMark) . Weitere Informationen finden Sie in der Datei `/etc/mail/cf/README` .
`ratecontrol`	Arbeitet in Verbindung mit der `access_db`-Regelliste, um Verbindungsraten für Hosts zu steuern. Weitere Informationen finden Sie in der Datei `/etc/mail/cf/README` .
`use_client_ptr`	Wenn dieses `FEATURE()` aktiviert ist, setzt die Regelliste `check_relay` ihr erstes Argument mit diesem Argument, `$&{client_ptr}` , außer Kraft.

Navigationslinks �berspringen
Druckansicht beenden
	Systemverwaltungshandbuch: Netzwerkdienste

Unterstützung für die Ausführung von SMTP mit TLS in Version 8.13 von sendmail