Ändern der sendmail-Konfiguration

Informationen zum Erstellen der Konfigurationsdatei finden Sie unter So erstellen Sie eine neue sendmail.cf-Datei. Obwohl Sie weiterhin ältere Versionen von sendmail.cf-Dateien verwenden können, empfiehlt es sich, das neue Format zu verwenden.

Weitere Informationen finden Sie im Folgenden.

/etc/mail/cf/README enthält eine vollständige Beschreibung des Konfigurationsverfahrens.
http://www.sendmail.org stellt Online-Infrastruktur zur sendmail-Konfiguration bereit.
Einige weitere Informationen finden Sie unter Versionen der Konfigurationsdatei und sendmail-Konfigurationsdatei in Kapitel 14Mailservices (Referenz).
Informationen unter Zusätzliche und überarbeitete m4-Konfigurationsmakros ab Version 8.12 von sendmail sind ebenfalls zu empfehlen.

So erstellen Sie eine neue `sendmail.cf`-Datei

Das folgende Verfahren zeigt, wie eine neue Konfigurationsdatei erstellt wird.

Hinweis - /usr/lib/mail/cf/main-v7sun.mc ist jetzt /etc/mail/cf/cf/sendmail.mc.

Melden Sie sich als Superuser an oder nehmen Sie eine entsprechende Rolle an.
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.

Stoppen Sie sendmail.

# svcadm disable -t network/smtp:sendmail

Erstellen Sie eine Kopie der Konfigurationsdateien, die Sie ändern.
```
# cd /etc/mail/cf/cf
# cp sendmail.mc myhost.mc
```
myhost

Legen Sie einen neuen Namen für Ihre .mc-Datei fest.
Bearbeiten Sie die neuen Konfigurationsdateien (beispielsweise myhost.mc), falls nötig).
Fügen Sie beispielsweise die folgende Befehlszeile hinzu, um die Domainmaskierung zu ermöglichen.
```
# cat myhost.mc
..
MASQUERADE_AS(`host.domain')
```
host.domain

Verwenden Sie den gewünschten Hostnamen und den gewünschten Domainnamen.

In diesem Beispiel bewirkt MASQUERADE_AS, dass gesendete Mails gekennzeichnet werden, wodurch darauf hingewiesen wird, dass diese Mails ursprünglich von host.domain kommen (und nicht von $j).
Erstellen Sie die Konfigurationsdatei mithilfe von m4.
```
# /usr/ccs/bin/make myhost.cf
```
Prüfen Sie die neue Konfigurationsdatei, indem Sie die neue Datei mithilfe der Option -C angeben.
```
# /usr/lib/sendmail -C myhost.cf -v testaddr </dev/null
```
Während mithilfe dieses Befehls Nachrichten angezeigt werden, wird durch diesen Befehl auch eine Nachricht an testaddr gesendet. Nur ausgehende Mails können geprüft werden, ohne den sendmail -Service auf dem System neu zu starten. Bei Systemen, die noch keine Mails verwalten, verwenden Sie das vollständige Prüfverfahren, das unter So prüfen Sie die Mailkonfiguration beschrieben ist.

Installieren Sie die neue Konfiguration, nachdem Sie eine Kopie des Originals erstellt haben.

# cp /etc/mail/sendmail.cf /etc/mail/sendmail.cf.save
# cp myhost.cf /etc/mail/sendmail.cf

Starten Sie den sendmail-Service neu.
```
# svcadm enable network/smtp:sendmail
```

Einrichten eines virtuellen Hosts

Wenn Sie einem Host mehrere IP-Adressen zuweisen müssen, informieren Sie sich auf der Website unter http://www.sendmail.org/tips/virtualHosting. Auf dieser Website finden Sie eine vollständige Anleitung, wie mithilfe von sendmail ein virtueller Host eingerichtet werden kann. Führen Sie jedoch im Abschnitt "Sendmail-Konfiguration" nicht den nachstehend aufgeführten Schritt 3b aus:

# cd sendmail-VERSION/cf/cf
# ./Build mailserver.cf
# cp mailserver.cf /etc/mail/sendmail.cf

Führen Sie stattdessen für das Betriebssystem Solaris die folgenden Schritte aus:

# cd /etc/mail/cf/cf
# /usr/ccs/bin/make mailserver.cf
# cp mailserver.cf /etc/mail/sendmail.cf

mailserver: Verwenden Sie den Namen der .cf-Datei.

Unter Ändern der sendmail-Konfiguration sind dieselben drei Schritte als Teil des Erstellungsverfahrens aufgeführt.

Nachdem Sie die /etc/mail/sendmail.cf-Datei erstellt haben, können Sie mit den nächsten Schritten fortfahren, um eine virtuelle Benutzertabelle zu erstellen.

So konfigurieren Sie die automatische Neuerstellung einer Konfigurationsdatei

Wenn Sie eine eigene Kopie von sendmail.cf oder submit.cf erstellt haben, wird die Konfigurationsdatei während des Upgradeprozesses nicht ersetzt. Das folgende Verfahren zeigt, wie die Eigenschaften des sendmail-Services konfiguriert werden, damit die Datei sendmail.cf automatisch für Sie neu erstellt wird. Informationen zum automatischen Erstellen der Konfigurationsdatei submit.cf finden Sie im Beispiel 13-1. Sie können diese Verfahren kombinieren, wenn Sie beide Dateien erstellen müssen.

Melden Sie sich als Superuser an oder nehmen Sie eine entsprechende Rolle an.
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.

Legen Sie die sendmail-Eigenschaften fest.

# svccfg -s sendmail
svc:/network/smtp:sendmail> setprop config/path_to_sendmail_mc=/etc/mail/cf/cf/myhost.mc 
svc:/network/smtp:sendmail> quit

Aktualisieren Sie den sendmail-Service, und starten Sie ihn neu.
Der erste Befehl überträgt die Änderungen in den ausgeführten Schnappschuss. Der zweite Befehl startet den sendmail-Service mithilfe der neuen Optionen neu.
```
# svcadm refresh svc:/network/smtp:sendmail 
# svcadm restart svc:/network/smtp:sendmail
```

Beispiel 13-1 Einrichten der automatischen Neuerstellung der Datei submit.cf

Mit diesem Verfahren wird der sendmail-Service so konfiguriert, dass die Konfigurationsdatei submit.mc automatisch neu erstellt wird.

# svccfg -s sendmail-client:default
svc:/network/smtp:sendmail> setprop config/path_to_submit_mc=/etc/mail/cf/cf/submit-myhost.mc 
svc:/network/smtp:sendmail> exit
# svcadm refresh svc:/network/sendmail-client 
# svcadm restart svc:/network/sendmail-client

So verwenden Sie `sendmail` im offenen Modus

In der Version 10 von Solaris wurde der sendmail-Service geändert, sodass er standardmäßig im Modus "nur lokal" ausgeführt wird. Im Modus "nur lokal" werden nur Mails vom lokalen Host akzeptiert. Mails von anderen Systemen werden abgelehnt. Bei früheren Versionen von wurden alle von Remote-Systemen eingehenden Mails akzeptiert. Dies wurde als "offener Modus" bezeichnet. Um den offenen Modus zu verwenden, folgen Sie dem folgenden Verfahren.

Achtung - Das Ausführen von sendmail im Modus "nur lokal" ist viel sicherer als das Ausführen von sendmail im offenen Modus. Sie sollten die potenziellen Sicherheitsrisiken kennen, wenn Sie dieses Verfahren verwenden.

Melden Sie sich als Superuser an oder nehmen Sie eine entsprechende Rolle an.
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.

Legen Sie die sendmail-Eigenschaften fest.

# svccfg -s sendmail
svc:/network/smtp:sendmail> setprop config/local_only = false 
svc:/network/smtp:sendmail> quit

Aktualisieren Sie den sendmail-Service, und starten Sie ihn neu.

# svcadm refresh svc:/network/smtp:sendmail 
# svcadm restart svc:/network/smtp:sendmail

So richten Sie SMTP zur Verwendung von TLS ein

Ab Version Solaris 10 1/06 hat SMTP die Möglichkeit, TLS (Transport Layer Security) in Version 8.13 von sendmail zu verwenden. Dieser Service für SMTP-Server und -Clients sorgt für eine verschlüsselte und authentifizierter Kommunikation über das Internet und für die Abwehr von Lausch- und Hackerangriffen. Beachten Sie, dass dieser Service nicht standardmäßig aktiviert ist.

Im folgenden Verfahren werden Beispieldaten verwendet, um zu veranschaulichen, wie Zertifikate eingerichtet werden, die sendmail ermöglichen, TLS zu verwenden. Weitere Informationen finden Sie unter Unterstützung für die Ausführung von SMTP mit TLS in Version 8.13 von sendmail.

Melden Sie sich als Superuser an oder nehmen Sie eine entsprechende Rolle an.
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.

Stoppen Sie sendmail.

# svcadm disable -t network/smtp:sendmail

Richten Sie die Zertifikate ein, die sendmail ermöglichen, TLS zu verwenden.
1. Führen Sie Folgendes aus:
```
# cd /etc/mail
# mkdir -p certs/CA
# cd certs/CA
# mkdir certs crl newcerts private
# echo "01" > serial
# cp /dev/null index.txt
# cp /etc/sfw/openssl/openssl.cnf .
```
2. Verwenden Sie den von Ihnen bevorzugten Texteditor, um den dir-Wert in der Datei openssl.cnf von /etc/sfw/openssl in /etc/mail/certs/CA zu ändern.
3. Verwenden Sie das openssl-Befehlszeilentool, um TLS zu implementieren.
  Bitte beachten Sie, dass durch die folgende Befehlszeile interaktiver Text erstellt wird.
```
# openssl req -new -x509 -keyout private/cakey.pem -out cacert.pem -days 365 \ -config openssl.cnf
Generating a 1024 bit RSA private key
.....................................++++++
.....................................++++++
writing new private key to 'private/cakey.pem'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []:US
State or Province Name (full name) []:California
Locality Name (eg, city) []:Menlo Park
Organization Name (eg, company) [Unconfigured OpenSSL Installation]:Sun Microsystems
Organizational Unit Name (eg, section) []:Solaris
Common Name (eg, YOUR name) []:somehost.somedomain.example.com
Email Address []:someuser@example.com
```
  req
  
  Dieser Befehl erstellt und verarbeitet Zertifikatanforderungen.
  
  -new
  
  Diese req-Option erstellt eine neue Zertifikatanforderung.
  
  -x509
  
  Diese req-Option erstellt ein selbstsigniertes Zertifikat.
  
  -keyout private/cakey.pem
  
  Diese req-Option ermöglicht Ihnen, private/cakey.pem als Dateiname für den neu erstellten privaten Schlüssel zuzuweisen.
  
  -out cacert.pem
  
  Diese req-Option ermöglicht Ihnen, cacert.pem als Ihre Ausgabedatei zuzuweisen.
  
  -days 365
  
  Diese req-Option ermöglicht Ihnen, das Zertifikat für 365 Tage zu zertifizieren. Der Standardwert ist 30.
  
  -config openssl.cnf
  
  Diese req-Option ermöglicht Ihnen, openssl.cnf als Konfigurationsdatei anzugeben.
  
  Beachten Sie, dass Sie bei Verwendung dieses Befehls Folgendes angeben müssen:
  - Name des Landes, beispielsweise USA
  - Name des Staates oder Bundeslands, beispielsweise Kalifornien
  - Name des Ortes, beispielsweise Menlo Park
  - Name des Unternehmens, beispielsweise Oracle Corporation
  - Name der Organisationseinheit, beispielsweise Solaris
  - Allgemeiner Name: Dies ist der voll qualifizierte Hostname des Rechners. Weitere Informationen finden Sie auf der Manpage check-hostname(1M).
  - Email Address, beispielsweise someuser@example.com

(Optional) Wenn Sie eine neue sichere Verbindung benötigen, erstellen Sie ein neues Zertifikat und signieren es über die Zertifizierungsstelle.

Erstellen Sie ein neues Zertifikat.

# cd /etc/mail/certs/CA
# openssl req -nodes -new -x509 -keyout newreq.pem -out newreq.pem -days 365 \ -config openssl.cnf
Generating a 1024 bit RSA private key
..............++++++
..............++++++
writing new private key to 'newreq.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []:US
State or Province Name (full name) []:California
Locality Name (eg, city) []:Menlo Park
Organization Name (eg, company) [Unconfigured OpenSSL Installation]:Sun Microsystems
Organizational Unit Name (eg, section) []:Solaris
Common Name (eg, YOUR name) []:somehost.somedomain.example.com
Email Address []:someuser@example.com

Die Verwendung dieses Befehls erfordert, dass Sie dieselben Informationen wie in Schritt 3c bereitstellen.

Beachten Sie, dass sich das Zertifikat und der private Schlüssel in diesem Beispiel in der Datei newreq.pem befinden.

Signieren Sie das neue Zertifikat über die Zertifizierungsstelle.

# cd /etc/mail/certs/CA
# openssl x509 -x509toreq -in newreq.pem -signkey newreq.pem -out tmp.pem
Getting request Private Key
Generating certificate request
# openssl ca -config openssl.cnf -policy policy_anything -out newcert.pem -infiles tmp.pem
Using configuration from openssl.cnf
Enter pass phrase for /etc/mail/certs/CA/private/cakey.pem:
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Jun 23 18:44:38 2005 GMT
            Not After : Jun 23 18:44:38 2006 GMT
        Subject:
            countryName               = US
            stateOrProvinceName       = California
            localityName              = Menlo Park
            organizationName          = Sun Microsystems
            organizationalUnitName    = Solaris
            commonName                = somehost.somedomain.example.com
            emailAddress              = someuser@example.com
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                93:D4:1F:C3:36:50:C5:97:D7:5E:01:E4:E3:4B:5D:0B:1F:96:9C:E2
            X509v3 Authority Key Identifier: 
                keyid:99:47:F7:17:CF:52:2A:74:A2:C0:13:38:20:6B:F1:B3:89:84:CC:68
                DirName:/C=US/ST=California/L=Menlo Park/O=Sun Microsystems/OU=Solaris/\
                CN=someuser@example.com/emailAddress=someuser@example.com
                serial:00

Certificate is to be certified until Jun 23 18:44:38 2006 GMT (365 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
# rm -f tmp.pem

In diesem Beispiel enthält die Datei newreq.pem das unsignierte Zertifikat und den privaten Schlüssel. Die Datei newcert.pem enthält das signierte Zertifikat.

x509 utility: Zeigt Zertifikatinformationen an, konvertiert Zertifikate in verschiedene Formulare und signiert Zertifikatanforderungen.
ca application: Wird bei Anforderungen zum Signieren von Zertifikaten in vielfältigen Formularen und zum Erstellen von Zertifikat-Rücknahmelisten (Certificate Revocation Lists, CRL) verwendet.

Aktivieren Sie sendmail, um die Zertifikate zu verwenden, indem Sie die folgenden Zeilen in die .mc-Datei einfügen:

define(`confCACERT_PATH', `/etc/mail/certs')dnl define(`confCACERT', `/etc/mail/certs/CAcert.pem')dnl define(`confSERVER_CERT', `/etc/mail/certs/MYcert.pem')dnl define(`confSERVER_KEY', `/etc/mail/certs/MYkey.pem')dnl define(`confCLIENT_CERT', `/etc/mail/certs/MYcert.pem')dnl define(`confCLIENT_KEY', `/etc/mail/certs/MYkey.pem')dnl

Weitere Informationen finden Sie unter Konfigurationsdateioptionen zum Ausführen von SMTP mit TLS.

Erstellen Sie die Datei sendmail.cf im /etc/mail-Verzeichnis neu, und installieren Sie sie.
Eine ausführliche Anleitung finden Sie unter Ändern der sendmail-Konfiguration.
Erstellen Sie symbolische Verknüpfungen, die von den Dateien, die Sie mit openssl erstellt haben, auf die Dateien verweisen, die Sie in der .mc-Datei definiert haben.
```
# cd /etc/mail/certs
# ln -s CA/cacert.pem CAcert.pem
# ln -s CA/newcert.pem MYcert.pem
# ln -s CA/newreq.pem MYkey.pem
```
Verweigern Sie Gruppen und anderen Benutzern die Leseberechtigung für MYkey.pem, um die Sicherheit zu erhöhen.
```
# chmod go-r MYkey.pem
```
Verwenden Sie eine symbolische Verknüpfung, um CA-Zertifikate in dem Verzeichnis zu installieren, das confCACERT_PATH zugewiesen ist.
```
# C=CAcert.pem
# ln -s $C `openssl x509 -noout -hash < $C`.0
```
Um für eine sichere Übermittlung von Mails durch andere Hosts zu sorgen, installieren Sie die entsprechenden Hostzertifikate.
1. Kopieren Sie die Datei, die durch die Option confCACERT des anderen Hosts definiert wurde, in /etc/mail/certs/host.domain.cert.pem.
  Ersetzen Sie host.domain durch den voll qualifizierten Hostnamen des anderen Hosts.
2. Verwenden Sie eine symbolische Verknüpfung, um CA-Zertifikate in dem Verzeichnis zu installieren, das confCACERT_PATH zugewiesen ist.
```
# C=host.domain.cert.pem
# ln -s $C `openssl x509 -noout -hash < $C`.0
```
  Ersetzen Sie host.domain durch den voll qualifizierten Hostnamen des anderen Hosts.
Starten Sie sendmail neu.
```
# svcadm enable network/smtp:sendmail
```

Beispiel 13-2 Received: Mail-Header

Es folgt ein Beispiel des Empfangs eines Mail-Headers (Received:) für die sichere Übermittlung von Mails mit TLS.

Received: from his.example.com ([IPv6:2001:db8:3c4d:15::1a2f:1a2b])
        by her.example.com (8.13.4+Sun/8.13.4) with ESMTP id j2TNUB8i242496
        (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=OK)
        for <janepc@her.example.com>; Tue, 29 Mar 2005 15:30:11 -0800 (PST)
Received: from her.example.com (her.city.example.com [192.168.0.0])
        by his.example.com (8.13.4+Sun/8.13.4) with ESMTP id j2TNU7cl571102
        version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=OK)
        for <janepc@her.example.com>; Tue, 29 Mar 2005 15:30:07 -0800 (PST)

Der Wert für verify ist OK, d. h., die Authentifizierung war erfolgreich. Weitere Informationen finden Sie unter Makros zum Ausführen von SMTP mit TLS.

Siehe auch

Folgende OpenSSL Manpages:

So verwalten Sie die Mailübermittlung mithilfe einer alternativen Konfiguration von `sendmail.cf`

Um die Übertragung von ein- und ausgehenden Mails zu vereinfachen, werden bei der neuen Standardkonfiguration von sendmail ein Dämon und ein Client-Warteschlangen-Betriebsprogramm verwendet. Durch das Client-Warteschlangen-Betriebsprogramm müssen Mails an den Dämon auf dem lokalen SMTP-Port weitergeleitet werden. Wenn der Dämon den SMTP-Port nicht überwacht, bleiben die Mails in der Warteschlange. Um dieses Problem zu vermeiden, führen Sie die folgende Aufgabe aus. Weitere Informationen zum Dämon, zum Client-Warteschlangen-Betriebsprogramm und zu den Gründen, warum Sie eventuell diese alternative Konfiguration verwenden müssen, finden Sie unter submit.cf-Konfigurationsdatei der Version 8.12 von sendmail.

Mit diesem Verfahren wird sichergestellt, dass Ihr Dämon nur Verbindungen vom lokalen Host akzeptiert.

Melden Sie sich als Superuser an oder nehmen Sie eine entsprechende Rolle an.
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
Stoppen Sie den sendmail-Client-Service.
```
# svcadm disable -t sendmail-client
```
Erstellen Sie eine Kopie der Konfigurationsdatei, die Sie ändern.
```
# cd /etc/mail/cf/cf
# cp submit.mc submit-myhost.mc
```
myhost

Legen Sie einen neuen Namen für Ihre .mc-Datei fest.
Bearbeiten Sie die neue Konfigurationsdatei (beispielsweise submit- myhost.mc).
Ändern Sie die IP-Adresse des empfangenden Hosts in der msp-Definition.
```
# grep msp submit-myhost.mc
FEATURE(`msp', `[#.#.#.#]')dnl
```
Erstellen Sie die Konfigurationsdatei mithilfe von m4.
```
# /usr/ccs/bin/make submit-myhost.cf
```

Installieren Sie die neue Konfiguration, nachdem Sie eine Kopie des Originals erstellt haben.

# cp /etc/mail/submit.cf /etc/mail/submit.cf.save
# cp submit-myhost.cf /etc/mail/submit.cf

Starten Sie den sendmail-Client-Service neu.
```
# svcadm enable sendmail-client
```

Navigationslinks �berspringen
Druckansicht beenden
	Systemverwaltungshandbuch: Netzwerkdienste