ファイルモード

ファイルによっては、アクセスを制御する保護モードがあります。この節では、 sendmail.cf ファイルから制御できるモードについて説明します。使用するモードは、必要な機能とセキュリティレベルによって異なります。

setuid

デフォルトではユーザーのホームディレクトリに書き込むプログラムに配信できるように、sendmail プログラムはユーザー ID を 0 にして (setuid を root に設定して) 実行されます。sendmail がメールプログラムを実行する準備ができると、sendmail はユーザー ID が 0 であるかどうかを調べ、0 であれば、ユーザー ID とグループ ID を、構成ファイルにある u オプションと g オプションで設定されている値にリセットします。ユーザー ID とグループ ID はともに 1 (daemon) に設定されます。メールプログラムに S フラグを設定することにより、これらの値を無効にできます (信頼性があり、root で呼び出す必要のあるメールプログラムの場合)。ただし、メール処理はメールを送信するユーザーではなく root が担当します。

一時ファイルモード

OF オプションは、sendmail が使用するすべての一時ファイルのモードを設定します。デフォルト値の 0600 はセキュリティの高いメールに使用され、0644 ではアクセス権が緩和されます。この 0644 モードを使用すると、(待ち行列を処理する際でも) sendmail を root として実行する必要はありません。ユーザーは、待ち行列にあるメールを読み取ることができます。

自分の別名データベースを書き込み可能にすべきか

1 つの方法は、別名データベース (/etc/mail/aliases) をモード 666 にすることです。この方法を使用すると、ユーザーは任意のリストを修正できます。ただし、ユーザーが編集できるファイルに別名を書き込んで、/etc/mail/aliases からそのファイルを参照することにより、ユーザーが変更できるような別名に制限を加える場合には、次のように指定します。

alias-name::include:/filename