🍪 Można ciasteczko?

Ta strona chce wykorzystywać pliki cookie do analizowania ruchu oraz mierzenia skuteczności i personalizacji reklam zgodnie z polityką prywatności. Zgadzasz się?

PORADNIKI

8 min. czytania

Co to jest Sendmail? Jak używać?

Synchronizacja maili

Fot. Storyset / MM

Mateusz Mazurek

Mateusz Mazurek

Przedsiębiorca internetowy. Wydawca i autor blogów. Od ponad 18 lat wymagający klient dziesiątek różnych firm hostingowych.

O mnie Kontakt

Sendmail – co to jest? Jak działa? Historia, architektura, działanie, konfiguracja, bezpieczeństwo i wdrożenie

Spis treści
Serwer

Ten artykuł analizuje Sendmail jako agenta transferu poczty (MTA), skupiając się na jego historii, architekturze, konfiguracji, bezpieczeństwie i praktycznych zastosowaniach w nowoczesnej infrastrukturze pocztowej.

Sendmail, stworzony w 1981 r. przez Erica Allmana jako następca delivermail, pozostaje jednym z najstarszych i najbardziej wpływowych MTA w historii internetu. Mimo spadku udziału rynkowego z ok. 80% w latach 90. do ok. 4% w ostatnich latach, nadal bywa wybierany w środowiskach korporacyjnych i systemach uniksowych, szczególnie tam, gdzie wymagany jest złożony routing poczty i niestandardowe integracje. Artykuł syntetyzuje dokumentację techniczną i dobre praktyki, aby pokazać aktualną rolę Sendmail, jego mechanizmy działania, aspekty bezpieczeństwa oraz strategie wdrożeniowe.

Historyczny rozwój i ewolucja Sendmail

Historia Sendmail jest ściśle związana z rozwojem internetu i dojrzewaniem poczty e-mail jako kluczowej usługi. Eric Allman (UC Berkeley) rozwinął delivermail dla ARPANET, a następnie przepisał rozwiązanie, tworząc Sendmail, który sprostał rosnącej złożoności routingu pomiędzy różnymi systemami i domenami.

Włączenie Sendmail do BSD na początku lat 80. wyniosło go do roli de facto standardu w środowiskach akademickich i komercyjnych. Standaryzacja SMTP (1982) ugruntowała interoperacyjność, a elastyczność konfiguracji Sendmail umożliwiła obsługę wielodomenowości oraz skomplikowanych reguł trasowania.

Aby lepiej uchwycić kluczowe kamienie milowe, warto zestawić najważniejsze wydarzenia:

  • 1981 – powstanie Sendmail – przepisanie delivermail i dodanie elastycznego routingu;
  • lata 80. – integracja z BSD – szybka adopcja w środowiskach akademickich i komercyjnych;
  • 1982 – standaryzacja SMTP – fundament interoperacyjności serwer‑serwer;
  • lata 90. – dominacja rynkowa – obsługa większości ruchu e-mail na świecie;
  • 1998 – Sendmail, Inc. – komercyjne wsparcie i rozszerzenia.

Architektura Sendmail ewoluowała pod wpływem wymagań bezpieczeństwa i skalowania. Początkowo monolityczna konstrukcja upraszczała kontrolę, ale sprzyjała złożoności i ryzyku błędów. Alternatywy, jak Postfix (modułowy) czy Exim, wprowadziły wieloprocesową separację zadań, poprawiając bezpieczeństwo i wydajność. Komercyjne wsparcie (Sendmail, Inc.) miało adresować potrzebę szybszych poprawek i stabilizacji.

Podstawowa architektura i mechanizmy działania

Sendmail działa jako MTA – odbiera, przetwarza, trasuje i dostarcza wiadomości między serwerami. Różni się od pozostałych elementów łańcucha pocztowego, które współtworzą kompletną infrastrukturę.

Aby szybko odróżnić role, poniżej zestawienie podstawowych komponentów systemu pocztowego:

  • MTA (Mail Transfer Agent) – transfer między serwerami, implementacja SMTP;
  • MSA (Mail Submission Agent) – przyjmowanie poczty od klientów (587/465) z uwierzytelnianiem;
  • MDA (Mail Delivery Agent) – końcowe dostarczenie do skrzynki użytkownika.

Dla przejrzystości, tak wygląda typowy przepływ wiadomości przez Sendmail krok po kroku:

  1. Klient (np. Outlook/Thunderbird/webmail) łączy się z serwerem jako MSA na porcie 587 lub 465 i uwierzytelnia się.
  2. Sendmail analizuje adres odbiorcy, wyodrębnia domenę i sprawdza rekordy MX w DNS.
  3. Na podstawie priorytetu MX nawiązuje połączenie SMTP na porcie 25 z serwerem docelowym.
  4. W razie chwilowych błędów umieszcza wiadomość w kolejce (/var/spool/mqueue) i ponawia próby przez skonfigurowany okres.
  5. Po dostarczeniu zapisuje zdarzenie w logach i usuwa wiadomość z kolejki.

Mechanizm kolejkowania odpowiada za odporność na awarie sieci: Sendmail ponawia doręczenia w interwałach (np. co ~30 minut) do czasu sukcesu lub wygaśnięcia TTL (np. ~5 dni). Zachowaniem systemu steruje konfiguracja w /etc/mail/sendmail.cf, generowana z pliku /etc/mail/sendmail.mc (makra M4), co upraszcza administrację przy zachowaniu elastyczności.

Sendmail może działać jako serwer lokalnego dostarczania, relay do innych serwerów, brama dla zewnętrznych domen oraz obsługiwać wirtualne domeny, dzięki czemu jedna instancja zarządza pocztą wielu organizacji. Ta wszechstronność sprawia, że Sendmail pozostaje cenny w złożonych środowiskach korporacyjnych.

Ramy konfiguracji i procedury wdrożenia

Konfiguracja Sendmail bywa wymagająca, ale spójna praca na makrach M4 znacząco poprawia czytelność i utrzymywalność.

Najważniejsze pliki i mapy konfiguracyjne, które warto znać:

  • /etc/mail/sendmail.mc – główny plik makr M4, z którego generowany jest sendmail.cf;
  • /etc/mail/sendmail.cf – plik runtime czytany przez usługę (nie edytować ręcznie);
  • /etc/mail/access – kontrola relaya/połączeń (kompilowany do access.db przez makemap);
  • /etc/mail/virtusertable – mapowanie adresów wirtualnych (kompilowany do virtusertable.db);
  • /etc/mail/local-host-names – lista domen hostowanych przez serwer;
  • /etc/mail/auth – poświadczenia do relaya/autoryzacji (kompilowane do baz hash).

Instalację realizuje się przez menedżer pakietów (np. apt-get install sendmail lub yum install sendmail). Tam, gdzie dostępny, kreator sendmailconfig pomaga w wyborze trybu pracy i uruchomieniu nasłuchiwania. W przeciwnym wypadku edytuje się sendmail.mc i generuje sendmail.cf poleceniem m4, po czym restartuje usługę.

W scenariuszu relay‑only (częsty na hostingach www) ustawia się makro SMART_HOST w sendmail.mc, wskazując serwer zewnętrzny. Taki układ zamienia Sendmail w „cienkiego klienta” – lokalnie przyjmuje pocztę i przekazuje ją dalej, bez pełnego utrzymywania skrzynek.

Gdy dostawca wymaga uwierzytelniania, tworzy się plik poświadczeń (np. w /etc/mail/auth/), kompiluje go makemap i włącza odpowiednie FEATURE()/define() w sendmail.mc aktywujące SMTP AUTH i wskazujące mechanizmy (LOGIN/PLAIN/CRAM‑MD5 itd.). W trybie pełnego serwera należy skonfigurować DAEMON_OPTIONS w sendmail.mc tak, by nasłuchiwać na interfejsie publicznym oraz zdefiniować obsługiwane domeny w local-host-names i rekordy MX w DNS.

Mechanizmy bezpieczeństwa i protokoły uwierzytelniania

Bezpieczeństwo jest kluczowe – Sendmail działa na styku sieci wewnętrznych i internetu, a uwierzytelnianie i szyfrowanie minimalizują ryzyka nadużyć.

Aby porównać mechanizmy SMTP AUTH obsługiwane przez Sendmail (via SASL), oto skrócone zestawienie:

  • PLAIN/LOGIN – proste metody przekazujące dane w formie łatwej do odkodowania; używaj wyłącznie w połączeniu z TLS;
  • CRAM‑MD5/DIGEST‑MD5 – mechanizmy challenge‑response ograniczające ujawnianie haseł;
  • GSSAPI/EXTERNAL – integracja z zewnętrzną infrastrukturą (np. Kerberos, certyfikaty) dla silnej tożsamości.

TLS (Transport Layer Security) powinien być wymagany dla wszystkich prób uwierzytelnienia na portach 25/587/465. W sendmail.mc wskazuje się ścieżki do certyfikatów oraz politykę (np. confTLS_SRV_OPTIONSconfTLS_REQUIRE), aby egzekwować szyfrowanie i poprawną weryfikację łańcucha.

SPF, DKIM i DMARC uzupełniają ochronę przed spoofingiem i poprawiają dostarczalność: SPF w DNS wskazuje autoryzowane IP nadawcze, DKIM podpisuje wiadomości kluczem domeny, a DMARC definiuje politykę i raportowanie w razie niezgodności SPF/DKIM.

Mapa /etc/mail/access (po kompilacji do access.db) pozwala precyzyjnie kontrolować relaying (RELAY/REJECT/OK) oraz blokować niepożądane źródła. Domyślnie relay jest ograniczony do klientów lokalnych i użytkowników uwierzytelnionych.

Integracja z PHP i aplikacjami webowymi

Aplikacje (szczególnie w PHP) często potrzebują lokalnej wysyłki bez utrzymywania pełnego serwera pocztowego. Funkcja mail() korzysta zazwyczaj z /usr/sbin/sendmail, a konfiguracja może być doprecyzowana parametrem sendmail_path w php.ini.

Aby zwiększyć skuteczność dostarczania z aplikacji PHP, warto pamiętać o następujących zasadach:

  • From i parametr -f – ustawiaj jednoznaczny nadawca From zgodny z domeną obsługiwaną przez serwer i przekazuj -f do Sendmail;
  • SPF/DKIM/DMARC – utrzymuj poprawne rekordy DNS i podpisy, aby zminimalizować ryzyko spamu;
  • limity wysyłki – respektuj ograniczenia dostawcy (np. 500 e‑maili/godz.) i stosuj throttling/kolejkowanie.

W systemach Windows można użyć narzędzi dostarczanych z XAMPP lub wskazać zewnętrzny serwer SMTP w php.ini do celów deweloperskich i testowych.

Analiza porównawcza alternatywnych MTA

Pozycja Sendmail najlepiej ujawnia się na tle alternatyw – zwłaszcza Postfix i Exim. Poniższa tabela syntetyzuje kluczowe różnice architektoniczne i operacyjne:

MTAArchitekturaWydajność (przykładowe)KonfiguracjaBezpieczeństwo
Sendmailmonolityczna~6 000/h przed strojeniem; po tuningu do ~15 000/hmakra M4 → sendmail.cf (złożona)historycznie wiele poprawek; wymaga dużej dyscypliny konfiguracji
Postfixmodułowa (wieloprocesowa)~11 000/h przed strojeniem; po tuningu ~15 000/h+pliki main.cf/master.cf (klucz=wartość)projektowany „security-first”, mniejsza powierzchnia ataku
Eximzbliżona do monolitu, bardzo elastyczne reguływysoka, zależna od reguł i środowiskarozbudowane reguły routingu i przetwarzaniadojrzały, szeroka obsługa RFC

Migracje do Postfix często motywuje łatwiejsza administracja, większa izolacja procesów oraz lepsza percepcja bezpieczeństwa. Sendmail jednak nadal błyszczy w środowiskach wymagających niestandardowego, mocno spersonalizowanego routingu.

Administracja operacyjna i rozwiązywanie problemów

Codzienna praca to nadzór nad kolejką, analiza zwrotek, logów i utrzymanie polityk uwierzytelniania/relaya. Przydatne są podstawowe polecenia:

  • mailq – podgląd kolejki: identyfikatory, rozmiary, czas, nadawca/odbiorca;
  • sendmail -q – natychmiastowe przetwarzanie kolejki;
  • sendmail -bd -q5m – uruchomienie demona i przetwarzanie kolejki co 5 minut.

Wyczyść lub przeorganizuj kolejkę tylko świadomie – ręcznie w /var/spool/mqueue lub z pomocą qtool.pl (narzędzie z dystrybucji źródłowej). Analiza pozycji „deferred” pomaga wykrywać problemy z DNS, łącznością lub ograniczeniami po stronie serwerów docelowych.

Najczęstsze komunikaty błędów i co zwykle oznaczają:

  • 550 User unknown – odbiorca nie istnieje na serwerze docelowym;
  • 550 Host unknown – problem z rozwiązywaniem nazw DNS (brak A/MX);
  • 451 timeout – przekroczenie czasu (sieć/przeciążenie/serwer docelowy);
  • 554 Local configuration error – błąd tożsamości hosta/domeny lub pętla routingu.

Kontrola relaya wymaga stałej uwagi: reguluj dostęp przez access.db, ograniczaj relaying do uwierzytelnionych/mynetów, monitoruj logi pod kątem nietypowych wzorców i nadużyć. Warto włączyć DNSBL/greylisting i filtry milter (np. amavisd‑milter) dla spamu i malware.

Praktyczne scenariusze wdrożeń

Poniżej przedstawiono typowe modele użycia Sendmail w różnych skalach:

  • hosting relay‑only – lokalny MTA przekazuje pocztę wychodzącą do zewnętrznego SMTP (SMART_HOST), egzekwując TLS i ewentualne AUTH;
  • brama/submission – przyjmowanie poczty od użytkowników i aplikacji wewnętrznych z SMTP AUTH, następnie relay na zewnątrz;
  • wirtualne domeny (virtusertable) – jedna instancja obsługuje wiele domen, mapując adresy na właściwe skrzynki/cele;
  • duże wolumeny – strojenie kolejek i równoległości, kontrola limitów adresatów i „rozgrzewanie” domen nadawczych.

Jeśli łącza konsumenckie blokują port 25, używaj portu 587 (submission) z uwierzytelnianiem i często z relayingiem przez dostawcę internetu.

Wzmacnianie bezpieczeństwa i dobre praktyki

Aby twardo zabezpieczyć Sendmail, wdrażaj niżej wymienione zasady jako standard operacyjny:

  • wymuszaj TLS – włącz TLS na 25/587/465 i wymagaj szyfrowania dla AUTH (np. confTLS_REQUIRE, poprawna konfiguracja certyfikatów);
  • bezpieczne AUTH – dopuszczaj PLAIN/LOGIN wyłącznie przez TLS, preferuj CRAM‑MD5/DIGEST‑MD5 lub integracje GSSAPI/EXTERNAL, jeśli to możliwe;
  • kontrola relaya – egzekwuj polityki przez access.db, ograniczając relay do mynetów i użytkowników uwierzytelnionych;
  • filtry antyspam/antymalware – DNSBL, greylisting oraz skan treści (np. amavisd/ClamAV via milter) bez modyfikacji kodu Sendmail;
  • SPF/DKIM/DMARC – utrzymuj aktualne rekordy DNS i klucze, monitoruj raporty DMARC i koryguj politykę.

Współczesne znaczenie i perspektywy

Sendmail dziś to dojrzały system „legacy”, wciąż ceniony w środowiskach ze złożonym routingiem i specyficznymi integracjami. Tam, gdzie stabilna instalacja działa niezawodnie, koszt migracji bywa wyższy niż utrzymanie. W nowych projektach częściej wybiera się Postfix lub wyspecjalizowane usługi zewnętrzne, jednak na systemach uniksowych lokalny MTA nadal bywa potrzebny do powiadomień systemowych i poczty aplikacyjnej.

Rosnące wymagania bezpieczeństwa (TLS, silne AUTH, SPF/DKIM/DMARC, filtracja) determinują bieżące praktyki. Regularne aktualizacje i audyty konfiguracji są niezbędne, aby utrzymać wysoką dostarczalność i odporność całego łańcucha pocztowego.