SMTP安全手册—Sendmail服务器安全（4）

5、限制可以审核邮件队列内容的人员

通常情况下，任何人都可以使用"mailq"命令来查看邮件队列的内容。为了限制可以审核邮件队列内容的人员，只需要在"/etc/sendmail.cf"文件中指定"restrictmailq"选项即可。在这种情况下，sendmail只允许与这个队列所在目录的组属主相同的用户可以查看它的内容。这将允许权限为0700的邮件队列目录被完全保护起来，而我们限定的合法用户仍然可以看到它的内容。

编辑"sendmail.cf"文件(vi /etc/sendmail.cf)并更改下面一行：

O PrivacyOptions=authwarnings,noexpn,novrfy

改为：

O PrivacyOptions=authwarnings,noexpn,novrfy,restrictmailq

现在我们更改邮件队列目录的权限使它被完全保护起来：

[root@deep]# chmod 0700 /var/spool/mqueue

注意：我们已经在sendmail.cf中的"PrivacyOptions="行中添加了"noexpn"和"novrfy"选项，现在在这一行中我们接着添加"restrictmailq"选项。

任何一个没有特权的用户如果试图查看邮件队列的内容会收到下面的信息：

[user@deep]$ /usr/bin/mailq

You are not permitted to see the queue