LINUX.ORG.RU

Критическая «дырка» в sendmail


0

0

ISS X-Force обнаружила ошибку переполнения буффера в sendmail. Эта ошибка позволяет злоумышленнику получить "root"/superuser привилегии в системе с неисправленным sendmail. Все версии с 5.79 до 8.12.7 включительно, на всех платформах, с открытым исходным кодом и коммерческие, подвержены данной проблеме.

Advisory от RedHat: https://rhn.redhat.com/errata/RHSA-20...

>>> Подробности

★★★★★
Ответ на: комментарий от anonymous


> Специально для тебя: /usr/bin/qmail-smtpd /bin/checkpassword

Епь-те, ты для себя хотя бы разъясни, что сия связка означает.
И что за хрень /usr/bin/qmail-smtpd? Какой-нибудь вонючий rpm
наверное используешь?

anonymous
()

anonymous (*) (2003-03-05 14:32:20.151), млять! Все очень просто, на qmail наложен патч SMTP-AUTH, для этого в связке используется /bin/checkpassword, никакой это не rpm, в Slackware не использую сие творение, все собрано ручками и на путь совершенно не влиет. Кто-нибудь Может внятно ответить про SSL/TLS Qmail при помощи stunnel?

anonymous
()
Ответ на: комментарий от Krause


> почему tls в CGP, Sendmail, Domino, Exchane... (список можно продолжить) иде native, а в кумыле я дожен привинчивать ssl wrapper типа галимого stunnel?

Вот пень! Это ж фича. Все части системы разделены на
взаимозаменяемые блоки. Каждая выполняет свою роль с правами
отдельного юзера. Очень сложно в это въехать? Вместо галимого
stunnel можно использовать негалимый tcpserver-ssl, а если и он
кому-топокажется галимым, можно использовать my_own_super_pupper_ssl.

anonymous
()
Ответ на: комментарий от anonymous

anonymous (*) (2003-03-05 14:40:13.739),
>Вместо галимого
>stunnel можно использовать негалимый tcpserver-ssl

Спасибо за намек.

anonymous
()

Анонимусу (2003-03-05 14:29:16.411)
О! Выполз ГУРУ. Отлично.
"Я использую qmail без единого патча на всех рабочих серверах" Верю:)
Пусть уважаемый кратко опишет в какой конфигурации у него стоят эти сервера. Как у Вас идет роутинг почты, сколько у Вас хостится доменов, сколько у вас юзеров и тп.
Мне очень хочется услышать КАК Вы это сделали.

Кроме того пусть сэр ответит на вопрос о stunnel'е который был задан 2003-03-05 13:49:15.347

Кроме того я могу привести Вам пример своей конфигурации и услышать Ваше предложения от там как мне надо жить и юзать кумейл.

"99% народа, использующие qmail тоже не используют патчи"
Пример крупного ISP или корпорации с непатченным кумейлом. Ссылки на сайт djb априорно необъективны. Если 99% юзеров кумейла это stand-alone сервера с 50-100-2000 юзеров на каждом, то тогда я с Вами соглашусь. Но ТАКИЕ конфигурации мне не интересны.

Без этого все что Вы с таким упоением несете есть п$%деж, отсебятина и порожняк.

Krause
()

2 anonymous (*) (2003-03-05 14:40:13.739)
"Вот пень! Это ж фича. Все части системы разделены на
взаимозаменяемые блоки. Каждая выполняет свою роль с правами
отдельного юзера. Очень сложно в это въехать? Вместо галимого "

Блоки от разных вендоров собраные в самопальный винигрет? После этого ты еще утверждать будешь что такая система годится в продакшн?

Я все равно не понял, почему для криптовки протокола приложения нужен отдельный демон. Нахрен нужен врэппер с правами юзера, когда без него (и без врэппера и без юзера) ВООБЩЕ можно обойтись. Какого хрена, если нужно слать почту в одно место просто так, а в другое через ssl, пускать две РАЗНЫХ и прибитых друг к другу гвоздями аппликухи???

Krause
()

sendmail+uucp

2 green, McMCC & Саныч

За советы, спасибо, но SMART_HOST я определял и раньше, а
описанные инструкции с комментированием строк и -DNSRCH
не повлияли на sendmail -- письма все равно кладутся в
директорию /var/spool/mqueue и не покидают ее, пока
не появится ppp connection.

anonymous
()
Ответ на: комментарий от Krause


> Блоки от разных вендоров собраные в самопальный винигрет?

Да, это фича - использовать блоки в том числе и от разных
вендоров. Где криминал. Ах, это непривычно? Ну дык знай, что
пидор, написавший sendmail тоже не писал лично openssl. Пойди и
выбрось его поделие.

> Я все равно не понял, почему для криптовки протокола приложения нужен отдельный демон

Да потому, что понималка у тебя еще не отрасла. Ей невдомек,
что криптование может относиться к протоколу соединения/передачи
данных, а не к протоколу конкретного сервися/приложения.

anonymous
()
Ответ на: комментарий от Krause


> кратко опишет в какой конфигурации

Не опишет. Спрашивай конкретные вопросы.

> который был задан 2003-03-05 13:49:15.347

отвечено.

> я могу привести Вам пример своей конфигурации

приводи.

> Пример крупного ISP или корпорации с непатченным кумейлом. Ссылки на сайт djb априорно необъективны.

Интересно почему?

> Если 99% юзеров кумейла это stand-alone сервера с 50-100-2000 юзеров на каждом, то тогда я с Вами соглашусь.

Да, я думаю это так. Точно такое же соотношение для
пользователей/крупных провайдеров и у других MTA, за
исключением CGP. Не хочешь же ты сказать, что юзверей больше,
чем провайдеров? ;)

anonymous
()

Уж извиняюсь что так поздно, но по поводу вторичного MX в начале беседы для тех кто недопонял.
Qmail не работает со вторичным MX означает что если письмо лежит в spool'е qmail для удалённого хоста qmail взяв из DNS MX записи для хоста (10-ю, 20-ю, n-ю) будет долбиться ТОЛЬКО в самую первую из них. И если первичный MX для этого домена не будет отвечать то qmail ни за что в жизни никогда это письмо не отправит.
И вообще я работал с ним год в связке qmail-LDAP и он меня так заебал... Сам по себе в поставке похож на какой-то недоконструктор - что бы поставить для вот своих конкретных целей надо положить пару патчей, потом ещё поковырять исходники что бы всё это собралось ну а потом "а сейчас мы со всей этой хернёй попытаемся взлететь" (с).
Кроме того в процессе работы было выяснено что qmail вообще, повторяю вообще ни в какую не принимает письма от некторых серверов на которых стоит Exchange. Ну тут уж ладно, могу допустить что или Микрософт как обычно пытаются применить какой-то сугубо свой SMTP, или патчи поверх qmail непрошли для него даром, вобщем ладно, хрен с ним. Но держать хость qmail с кучей доменов и юзеров и вторичник на sendmail который ничего не делает, а только роутит то что по непонятным причинам не приянл qmail в этот же qmail это было выше моих сил.
Вобщем как уже выше излагалось qmail без third party патчей ублюдский обрубок. А с third party патчами можно начинать опасаться за его вменяемость.
Смерть ублюдскому софту.
Поставил postfix и не обломался. Для моих целей (виртуальный почтовый хостинг многих доменов и юзеров) подходит вполне.

anonymous
()

>За советы, спасибо, но SMART_HOST я определял и раньше, а описанные инструкции с комментированием строк и -DNSRCH не повлияли на sendmail -- письма все равно кладутся в директорию /var/spool/mqueue и не покидают ее, пока не появится ppp connection.

MAILER(uucp) в конфиге есть ?

Должен быть перед MAILER(smtp)

Включи режим отладки и посмотри как обрабатываются header

Саныч

anonymous
()
Ответ на: комментарий от anonymous

anonymous (*) (2003-03-05 15:50:11.484)
>Исправь:
>/var/qmail/bin/qmail-smtpd your.mail.domain /bin/checkpassword >/bin/true

Спасибо, я вкурсе:)

anonymous
()
Ответ на: комментарий от anonymous


> будет долбиться ТОЛЬКО в самую первую из них.

Вот ответ автора qmail:
There is no legitimate reason for a primary MX to persistently
drop connections. SMTP clients are not required to try secondary MX hosts.
(http://www.ornl.gov/cts/archives/mailing-lists/qmail/1997/11/msg00238.html)

> вообще, повторяю вообще ни в какую не принимает письма от некторых серверов на которых стоит Exchange.

И с какой ошибкой вылетает это непринятие? Ты пробовал
разобраться? Я почти уверен, что сраный эксчендж совершал все
мыслимые и немыслимые нарушения стандартов.

> только роутит то что по непонятным причинам не приянл qmail

Ну и нахрен держать таких админов, которые не могут понять,
что у них происходит с почтой? qmail часто называют zero-administration-effort service. Он годами крутится
автономно. Нужно сделать что-то ужасное, чтобы нарушить его
работу. Например, распилить диск пополам...

anonymous
()
Ответ на: комментарий от anonymous


2anonymous (*) (2003-03-05 16:12:54.191)

И все-таки ты юзаешь какой-то rpm. В стандартной поставке нет
/usr/bin/qmail-smtpd. Там все лежит в /var/qmail.

anonymous
()

>Вот ответ автора qmail: >There is no legitimate reason for a primary MX to persistently >drop connections. SMTP clients are not required to try secondary MX >hosts.

Да уж, построим интернет по DJB. Нам не нужны вторичные MX! Да пошёл он сам на хрен, кто он такой? Издатель RFC???

>И с какой ошибкой вылетает это непринятие?

Нет никаких ошибок. Нет никаких записей по этому поводу в логе вообще. Как будто нет никаких Exchange. Причём от каких-то Echange почта идёт, а от каких-то вообще ничего. А открывать 25 порт в debug на центральном MX и сидеть и смотреть когда же в него стукнется Exchange И что он ему передаст, а всех клиентов попросить "обождать" мне вообще не катит. Лучше дать такому софту первичное ускорение в сторону /dev/null

anonymous
()
Ответ на: комментарий от anonymous


> Нет никаких записей по этому поводу в логе вообще

И что у тебя за лог там? IP клиентов он хотя бы пишет?
Как ты запускаk qmail-smtpd? Бррр... с ума можно сойти с такими
админами.... Ну вот что это за чушь: "А открывать 25 порт в
debug на центральном MX "? Кого, куда открывать... Есть сервис,
есть лог. В лог должны писаться IP клиентов, время соединения,
статус с которым клиент вышел из соединения.

anonymous
()

>Вот ответ автора qmail: >There is no legitimate reason for a primary MX to persistently >drop connections. SMTP clients are not required to try secondary MX >hosts.

А ты случайно не помнишь, почему OpenBSD team послала на хер

глубокоуважаемого DJB ?

И выкинула из портов все его психоделические поделки, в том числе

и qmail.

Саныч

anonymous
()
Ответ на: комментарий от Shadow


> ублюдство - всё лежит в /var

Сказал кто? Упырь недоразвитый, который ulimit 3 года освоить
не мог. Шел бы ты дальше онанировать.

anonymous
()
Ответ на: комментарий от anonymous

anonymous (*) (2003-03-05 16:17:06.737), специально для тех кто в танке:
ln -sf /usr/bin /var/qmail/bin
Так тебе легче будет? Мля... да хоть rpm, тебе то что? Я кажется задал конкретный вопрос, на который ты помоему нифига не знаешь ответа!
Отстань!

anonymous
()

2anonymous (*) (2003-03-05 15:31:41.885)
"Да, это фича - использовать блоки в том числе и от разных
вендоров. Где криминал" Где гарантия того что блоки разных вендоров между собой совместмы настолько, что система будет надежна и работоспособа? Гарантия, которая проверена на личном опыте Васи Пупкина? Если для обеспечения одного сервиса нужно задействовать пять аппликух ИМХО вероятность сбоя выше в винигрете, а не системе от одного вендора целиком.
"Ну дык знай, что
пидор, написавший sendmail тоже не писал лично openssl"
Опа.. Мы говорим про MTA, причем тут openssl? Так вот кумыл не может без врэппера работать работать ни openssl ни с чем другим. Это факт. Сендмыл может, хотя речь идет не только о нем. А если мы скажем про CGP то ему этот openssl вообще ни в дуду.

"Ей невдомек,
что криптование может относиться к протоколу соединения/передачи
данных, а не к протоколу конкретного сервися/приложения. "
Угу, SSL к какому уровню относится? А SMTP? Неужели к транспортному?
У тебя ssl шифрует все, включая заголовки tcp и udp пакетов? Как ipsec? Может ты это с VPN путаешь? Так давай мух отдельно котлет отдельно. К какому уровню относится smtps, https, pop3s etc..?


2anonymous (*) (2003-03-05 15:40:38.559)

"Не опишет" почему? Ты крут. У тебя крутая система на кумейле. Стесняться тебе нечего вроде...

"приводи." В кратце - несколько почтовых машин в разных локейшнах. У всех юзеров на всех хостах адреса строго типа user@domain.com
т.е. для внутреннего роутинга каждый сервер должен точно знать какой юзер на каком хосте живет. Для этого нужно либо вести алайасы для всех юзеров на каждом хосте, или гонять всю почту через один хост или иметь распределенную DS которой бы обращались все сервера. Кумейл могет без патчей работать например с LDAP? Или это не задача MTA определять на каком хосте живет ресипиент?

"Интересно почему? " Потому что это сайт вендора:) Дык зайди на www.microsoft.com и узнай какой самый великий почтовик всех времен и народов:)) И как его много:))

"Да, я думаю это так. Точно такое же соотношение для
пользователей/крупных провайдеров и у других MTA, за
исключением CGP"
А что такого особенного в CGP по сравнению с кумейлом? :)
Система - один домен - один сервер - куча юзеров не показательна для крупных и распределнных почтовых систем корпораций и крупных isp. Это никак не 1%
Так где примеры то? :))

Krause
()
Ответ на: комментарий от anonymous


> А ты случайно не помнишь, почему OpenBSD team послала на хер
глубокоуважаемого DJB ?

Спрашиваешь... конечно знаю. Я даже знаю почему DJB послал
нахер OpenBSD (не тим, а ОС) ;) Много лет он сидел на OpenBSD,
а тут в одночасье взял и перевел весь свой парк машин на
FreeBSD. Потому что OBSD превратилась в отстой, маргинальную ОС.

anonymous
()
Ответ на: комментарий от anonymous

anonymous (*) (2003-03-05 16:37:54.077), опять ты?
Вообще-то я слова плохого не проронил в ту или иную сторону, если ты внимательно читал, меня лишь интересовал один единственный вопрос.

anonymous
()

>Потому что OBSD превратилась в отстой, маргинальную ОС.

А что такое маргинальная ОС ?

Типа, что ее пользуют панки, скинхеды, бомжи и алкоголики ?

Adobe Systems одна из них :)

Саныч

anonymous
()

>И что у тебя за лог там? IP клиентов он хотя бы пишет?

Всё, всё, слава богу отписал своё, щас мне уже не интересно что там вообще в лог пишется, стоит postfix с web интерфейсом на заведение доменов/пользователей (вот кстати ещё одна беда qmail'а, завёл новый домен как local - обязательно надо перезапустить весь qmail, а то хрен он будет считать его local) и работает уже месяца два, я даже на хост тот не заходил шеллом уже недели три.

anonymous
()

sendmail+uucp

2 Саныч

MAILER(uucp) в конфиге есть ? конечно есть

Должен быть перед MAILER(smtp) А у меня наоборот. На http://www.sendmail.org/m4/mailers.html написано: warning: you must specify MAILER(`smtp') before MAILER(`uucp').

Включи режим отладки и посмотри как обрабатываются header Включал. Мало что там понял, но видел строку host_dns_lookup(mail.ru): fail или что-то в этом роде.

Сейчас нет возможности изучить подробнее.

anonymous
()
Ответ на: комментарий от Krause


> Где гарантия того что блоки разных вендоров между собой совместмы настолько, что система будет надежна и работоспособа?

Млин, ну кто бы задавал такие вопросы, но только не юзеры сендмэйла. Ты хоть на заголовок топика посмотри, любитель
монолитных систем от одного не-скажу-какого вендора ;)

> ИМХО вероятность сбоя выше в винигрете

Опять за свое. ИМХО-ХУЙХО... а ты тыкни меня носом в баг-трек и
покажи хоть одну проблему с 1997-го года.

> кумыл не может без врэппера работать работать ни openssl

Еще раз, если не дошло про модульность. Я тебе больше скажу,
он даже не знает, что такое tcp/ip ;))) И даже про будущее
могу погадать ;) В две тысячи каком-то году, когда все
начнут использовать ipv6, мне непотребуется пересобирать
qmail ;))

> Угу, SSL к какому уровню относится? А SMTP? Неужели к транспортному?

А ты еще раз перечитай абзай выше про tcp/ip.



anonymous
()
Ответ на: комментарий от Krause


> для внутреннего роутинга каждый сервер должен точно знать какой юзер на каком хосте живет.

И что за проблема? Все решаемо стандартными средствами qmail.
Дай более детальный пример, типа "есть юзеры u1, u2. Надо сделать то-то и то-то".

> А что такого особенного в CGP по сравнению с кумейлом? :)

В том, сколько стОит CGP ;)

anonymous
()
Ответ на: комментарий от anonymous


> А что такое маргинальная ОС ?

Ну что-что... ублюдочная оська, активно теряющая или уже
растерявшая свой рынок/нишу, превращающаяся в атавизм.

> Adobe Systems одна из них :)

Ну и что такое Adobe? Я тебе могу показать гораздо более жирные
конторы, у которых в интернет смотрит сервер под вынью. Ну и
что? У богатых свои привычки.

anonymous
()
Ответ на: комментарий от anonymous


> слава богу отписал своё

Да не "слава богу". а тест на админа ты не прошел. И уж
наверное никогда не пройдешь.

anonymous
()

>Включи режим отладки и посмотри как обрабатываются header Включал. Мало что там понял, но видел строку host_dns_lookup(mail.ru): fail или что-то в этом роде.

все правильно, я перепутал. MAILER(smtp) первый.

http://linux-ve.net/MyLDP/MINI-HOWTO-ru/Sendmail+UUCP.html

Саныч

anonymous
()

анонимусу(2003-03-05 16:49:18.827) Ты контуженный? Я тебе задал вполне конкретные вопросы. Ты хоть на один ответил? Что за мудацкая привычка, не приводя никаких аргументов, орать "сам мудак" ?

"Млин, ну кто бы задавал такие вопросы, но только не юзеры сендмэйла." Бл%... Хрен с ним с сендмейлом. Давай сравним с CGP. Да хоть с лотусом. Мне пох... Все одно из кумейла, как из говна, конфету не сделаешь.

"а ты тыкни меня носом в баг-трек и покажи хоть одну проблему с 1997-го года" Объясни мне тождественность багтрека и функциональности. Ты мне вроде хотел доказать, что голый кумейл столь же функционален как другие МТА.

"А ты еще раз перечитай абзай выше про tcp/ip. " Еще раз. Для тех кто в танке. К какому уровню протоколов относится Smtps? Не smtp (ftp, http etc) внутри тоннеля ipsec, fwz, итп, а SMTPS???? Команда STARTTLS в smtp диалоге?

Еще раз. Убедительно прошу: 1. Ответить на вопрос о больших ISP И корпорациях, пользующик qmail 2. Указать как заменить MTA+DS непатченным кумейлом. 3. Рассказать о том что на кумейле наваял ты в своей конторе. 4. Перестать произносить магические заклинания, а приводить факты.

Krause
()

Microsoft hotmail.com использует Qmail;)

anonymous
()

telnet mx1.hotmail.com 25
Trying 65.54.166.99...
Connected to mx1.hotmail.com.
Escape character is '^]'.
220 mc9-f10.bay6.hotmail.com Microsoft ESMTP MAIL Service, Version: 5.0.2195.5600 ready at Wed, 5 Mar 2003 06:25:10 -0800

Вот мы и выяснили что на самом деле написал DJB...

anonymous
()

> А что такого особенного в CGP по сравнению с кумейлом? :)
В том, сколько стОит CGP ;)

30 000 аккаунтов $2500.
http://www.zenon.net/services/additional/0435.html

ИМХО это не дорого:) не дороже той железяки на котором все это будет стоять:))

"И что за проблема? Все решаемо стандартными средствами qmail.
Дай более детальный пример, типа "есть юзеры u1, u2. Надо сделать то-то и то-то". "

u1 - u1@domain.com живет на server1
u2 - u2@domain.com живет на server2

У обоих адреса ДОЛЖНЫ быть user@domain.com

u1 пишет с сервера server1 письмо для u2 по адресу u2@domain.com
Оно должно придти cooтветственно на c server1 на server2 к юзеру u2

И наоборотю u2 по адресу u1@domain.com должен попасть к u1 на server1

Всего серверов предположим больше 5-7.

Krause
()

>Да не "слава богу". а тест на админа ты не прошел. И уж >наверное никогда не пройдешь.

А я и не админ в твоём понимании этого слова. И никогда не стремлюсь им быть. А ты наверное как раз самый что ни на есть админ - толстый, пивной, в грязном свитере, к тебе прибегает директор твоего предприятия и говорит что не может отправить спонсору отчёт в Microsoft .doc формате на 5 метров, а ты ему "ламер красноглазый, файлы надо слать по ftp, а микрософт ворд масдай. Ты пока чаю попей, а я qmail настрою и всё заработает через пару часов".

anonymous
()

>Ну что-что... ублюдочная оська, активно теряющая или уже растерявшая свой рынок/нишу, превращающаяся в атавизм.

Ну не знаю. Сам небось под лялихом сидишь ? OBSD 3.2 хоть видел ?

Если эти панки будут делать вещи типа OpenSSH, nonexec stack

on x86, pf+AltQ, то думаю свою нишу она не потеряет очень долго.

Саныч

anonymous
()

Ну sendmail как всегда отличился - если sendmail team не поумнеет, таких дырочек можно ещё штук 10 ожидать. В течение ближайших 15 лет ;) Я по дефолту рекомендую postfix, у него защищённость не ниже чем у qmail, зато нормальный стиль построения, хорошие возможности и неплохая перспектива.

Kasper: кроме sendmail с UUCP нормально работают exim, smail, zmailer. И то, zmailer уже немного теряет (AFAIR) штатных старых возможностей. Уже postfix работает на тяп-ляп.

На дому sendmail без DNS при UUCP держать можно, но действительно требуется ряд нетривиальных действий. Начать с

DirectSubmissionModifiers=CC u

(это если 8.12). Естественно, nocanonify; accept_unresolvable_domains, если есть локальный SMTP; еще что-то было (ой не помню навскидку).

Проверка получателей для cyrus'а штатно отсутствует, но если кто умеет писать рулесеты - для него это меньше минуты. Попросите cyrus'овцев положить соотв. кусок в контрибы.

McMCC: ты-то должен был увидеть, если давно пользуешь sendmail, что до локального мэйлера эта проверка не доходит, он вообще не запускается на проверки, а только на доставки.

netch
()
Ответ на: комментарий от Krause


> Хрен с ним с сендмейлом. Давай сравним с CGP.

Э, нет, дорогой. Сравнение шло исключительно с sendmail.

> Объясни мне тождественность багтрека и функциональности.

Вопрос твой был про работоспособность в условиях "модули от
разных вендоров". Функциональность - это другая тема. Ее как
раз и обеспечивают _работоспособные_ модули ;)

Smtps - не единственный способ достижения цели. Есть например sasl (rfc2222). В любом случае к qmail прикручивается любой
вариант. Это и есть громадное примущество его модульной архитектуры.

> Ответить на вопрос о больших ISP И корпорациях, пользующик qmail
http://www.em.ca/~bruceg/qmail-sites.html

> Указать как заменить MTA+DS непатченным кумейлом

Что такое DS? Я тебя просил привести более конкретный пример
без воды в описании.

anonymous
()
Ответ на: комментарий от Krause


==============
u1 - u1@domain.com живет на server1
u2 - u2@domain.com живет на server2

У обоих адреса ДОЛЖНЫ быть user@domain.com
==============

server1# echo "domain.com" >/var/qmail/control/defaulthost
server2# echo "domain.com" >/var/qmail/control/defaulthost

Далее есть варианты. Можно задействовать виртуальный домен
domain.com:

echo 'domain.com:domaincom' > /var/qmail/control/virtuals

и засетапить .qmail-u1, .qmail-u2 и т.д. у юзера domaincom.

Я использую vmailmgr и прописываю там forward для юзеров конкретного домена, почта к которым уходит на другой сервер.

Думаю, что есть и другие варианты.

anonymous
()

Иди нахуй каждому юзерскому процессу из тысячи юзеров руками в самопальных врапперах в линуксе ulimit ставить. Про это я и писал тогда, что нет никаких средств глобально зарезать юзеров от local DoS'а.
Ну, разве что login вызывать уже с ulimit - как в старых *BSD.

Shadow ★★★★★
()
Ответ на: комментарий от anonymous


> OBSD 3.2 хоть видел ?
А ты его libc видел?

> Если эти панки будут делать вещи типа OpenSSH, nonexec stack
Отрубить руки твоим панкам. Лучше бы они ничего не делали.
Openssh у меян уже много лет в черном списке сервисов, от
которых необходимо избавиться при первой же возможности.
Почему? Да потому что он возглавляет счписок пакетов, которые
приходится чаще всего обновлять из-за дыр в безопасности.
А я, как правильно заметил тот ананимус, ленивый админ в
грязном свитере с пивом ;) Я не хочу иметь дело с софтом,
имеющим дыры. У избавляюсь от него всеми силами.

> on x86, pf+AltQ

Люликс с iptables+iproute2 имел его pf+AltQ еще три года назад
и далеко не только на x86.

anonymous
()
Ответ на: комментарий от Shadow


> каждому юзерскому процессу из тысячи юзеров руками в самопальных врапперах в линуксе ulimit ставить.

От це ж манки говорящий ;( Три года угрохал, чтоб ему
объяснить, думал, что уже научил. Однако слона на велосипеде
кататься оказалось научить проще... Ну да хрен с тобой. Будем
считать, что не обучаем.

anonymous
()
Ответ на: комментарий от anonymous


> Вот мы и выяснили что на самом деле написал DJB...

Ничего вы не выснили.

echo 'Microsoft Eating_Your_Mail Service ready ' > /var/qmail/control/smtpgreeting

$ telnet host 25

220 Microsoft Eating_Your_Mail Service ready

;)

anonymous
()

2 anonymous (*) (2003-03-05 17:57:38.99)
"server1# echo "domain.com" >/var/qmail/control/defaulthost "
Этот номер не пройдет. Письмо от u1@domain.com для u2@domain.com server1 попытается принять локально и выйдет User Unknown :(

"Я использую vmailmgr и прописываю там forward для юзеров конкретного домена, почта к которым уходит на другой сервер"
Правильно. То есть на КАЖДОМ их хостов должна быть некая база в которой указано ГДЕ и НА КАКОМ хосте сидит КАЖДЫЙ юзер организации. Посчитай pls в скольких местах и на скольких серверах тебе придется прописывать этого самого юзера. Такая схема имеет право на жизнь? Безусловно. Только гиморно это. Очень гиморно, если серверов с десяток, а юзеров под тыщу и их постоянно надо заводить-убивать.

Если уж ты настаиваешь на сендмыле - OK. Даже там все делается красивше.
LDAPROUTE_DOMAIN(`domain.com')
В лдаповской базе у
u1 два атрибута
maillocaladdress u1@domain.com
mailroutingaddress u1@server1

u2
maillocaladress u2@domain.com
mailroutingaddress u2@server2

Все.
Хочешь все сервера будут тюкаться в лдап на одном хосте, хочешь растащи реплику по всем почтовикам.
Юзер заводится ОДИН раз на ОДНОМ сервере (любом). После репликации ВСЕ сервера знают на каком из хостов мейлбокс данного юзера. Никаких форвардов, алайасов и виртуальных доменов.
Может конечно этот путь не для слабых духом, но ты уж звиняй:))

"> Ответить на вопрос о больших ISP И корпорациях, пользующик qmail
http://www.em.ca/~bruceg/qmail-sites.html
"
И эт все? :)) К тому же список устарел:))

:/>telnet postman.ripe.net 25
Trying 193.0.0.199...
Connected to postman.ripe.net.
Escape character is '^]'.
220 postman.ripe.net ESMTP Postfix
quit
221 Bye
Connection closed by foreign host.

internic.net

>telnet pechora.icann.org 25
Trying 192.0.34.35...
Connected to pechora.icann.org.
Escape character is '^]'.
he220 pechora.icann.org ESMTP Sendmail 8.11.6/8.11.6; Wed, 5 Mar 2003 07:30:37 -0800

fsmail.net 100,000 mailboxes and growing

@relay1:/>telnet mx.freeserve.ttys.com 25
Trying 80.239.199.132...
Connected to mx.freeserve.ttys.com.
Escape character is '^]'.
220 fep05-svc.ttys.com ESMTP server (InterMail vM.5.01.03.13 201-253-122-118-113-20010918) ready Wed, 5 Mar 2003 16:36:03 +0100
quit
221 fep05-svc.ttys.com ESMTP server closing connection
Connection closed by foreign host

"Smtps - не единственный способ достижения цели. Есть например sasl (rfc2222). В любом случае к qmail прикручивается любой
"
Так как прикрутить туда smtps ? Патч очередной прибить или тока Wrappers ? :))

"Ее как раз и обеспечивают _работоспособные_ модули ;) "
Ага, то есть без 3d party модулей кумыл "безопасен" но уже не фунционален. Или это тоже фича? :) Конструктор сделай сам типа?


2anonymous (*) (2003-03-05 18:36:23.015)

"Ничего вы не выснили. "
Посмотри на хедер любого письма с хотмейла. Там действительно MS...


Krause
()
Ответ на: комментарий от anonymous

Под обвязкой я понимаю то с помощью чего с одной стороны файлы будут ложиться на ftp, а с другой разгребаться с ремотного ftp по разным направлениям. (ну и распознаваться естественно сперва, по каким направлениям кого слать).

green ★★★★★
() автор топика

а дату в конце проставь текущщую если не затруднит при greeting...

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.