我在Gentoo上运行postfix作为邮件守护进程.在调查某些队列堆积时,我发现/usr/sbin / postqueue可由系统上的所有用户执行,它很乐意为所有用户输出当前邮件队列(带-q).
看起来这或多或少是设计的:postdrop和postqueue是set-gid二进制文件与group postdrop.
-rwx--s--x 1 root postdrop 15K Apr 10 23:49 postdrop -rwx--s--x 1 root postdrop 15K Apr 10 23:49 postqueue
它们也可以由其他人执行,后缀似乎需要(输出后缀检查):
postfix/postfix-script: warning: not set-gid or not owner+group+world executable: /usr/sbin/postqueue
我可能错过了一些内部工作,但据我所知,普通用户不应该访问队列,特别是因为在此配置中,所有地址和域都设置为虚拟(通过数据库).如果用户定期轮询后队列,他可以组装< from>,< to>的列表.地址对(postcat受限制,用户无法访问邮件的内容).
exim有一个名为queue_list_requires_admin的配置选项,但我找不到类似这样的内容用于postfix.是否可以使用postfix限制队列访问?
