Я бы хотел полностью отключить AUTH на sendmail моего домашнего сервера в Fedora 21, главным образом потому, что постоянные сообщения fail2ban раздражают из-за постоянных грубых попыток CRAM-MD5 заставить мой сервер служить ретранслятором. Отключение AUTH удаляет всю эту категорию атак. Я хотел бы, чтобы единственной авторизацией для ретрансляции был файл /etc/mail/access
, и что мой sendmail даже не принимал команды AUTH.
Когда я подключаю SMTP-соединение или когда я использую telnet для проверки моего sendmail, после EHLO он отвечает:
250-<hostname> Hello [<remote host>], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE
250-DSN
250-AUTH GSSAPI DIGEST-MD5 CRAM-MD5
250-DELIVERBY
250 HELP
Мой конфиг sendmail имеет следующие закомментированные строки:
dnl TRUST_AUTH_MECH(`EXTERNAL DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
dnl define(`confAUTH_MECHANISMS', `EXTERNAL GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
Мне интересно, если просто настроить
TRUST_AUTH_MECH(`')dnl Empty list to disable auth
define(`confAUTH_MECHANISMS', `')dnl Empty list to disable auth
достаточно. Мне также интересно, будут ли неожиданные побочные эффекты, такие как невозможность отправки почты на сервер с использованием AUTH. Я пытался найти информацию об этом, но я нашел только людей, которые хотят AUTH, но не могут заставить его работать, и у клиентов проблемы с AUTH. Я не хочу предполагать, что пустой список делает то, что я хочу, и никакая документация, которую я нашел, явно не говорит о том, как полностью отключить AUTH.
Изменить: я мог бы отключить уведомление по электронной почте fail2ban (хотя я считаю это полезным) или увеличить время моего бана (хорошая идея для AUTH, так как никакое законное соединение не будет использовать его на моем сервере). Я все еще хочу отключить AUTH. Я думаю, что я более безопасен, если я сделаю это. Если отключить, будущие ошибки в этой области не будут моими дырами в безопасности.