LINUX.ORG.RU

Еще одна дырка в sendmail?


0

0

Судя по посту в Full Disclosure mailing list, найдена еще одна уязвимость в sendmail, включая и версию 8.12.9. Производитель подтвердил наличие проблемы (патч по ссылке).

Существует возможность того, что уязвимостью можно воспользоваться в том числе и с удаленной машины.

>>> Подробности

★★★★★

Ответ на: комментарий от anonymous

> И с квотами проблем нет с ответом об переполнение ящика?
Проблем нет

> И работать с mx записями будет так как положено,
Процитируй, _как_ положено, и приведи несоответствие

> а не так как захотел главный разработчик не дырявого софта?
И дырки покажи заодно.

> И правила обработки писем есть в зависимости от хидеров,
Да, любые правила и написанные на любом языке.

> и юзер сам управлять ими может?
Да, есть вебморда для этого.

> И встроенные списки рассылок и привязка их к юзерам?
qmail с рождения имеет встроенную очень мощную поддержку
списков рассылки для каждого юзера.

> А вот сколько твоя быстрая связка будет раскладывать одно
письмо на всех юзеров в одном почтовом домене с юзерской
базой из 2000 юзеров?

Почти столько же, сколько потребовалось ОС бы для копирования
одного файла 2000 раз.

> А если доменов больше и юзеров больше?
Значит во столько же раз больше.

> А если юзера у тебя во внешнем aaa?
Они и есть во внешнем ;)

> Вот ведь клиенты глупые свой почтовый домен захотели и причем администрировать его хотят через веб интерфейс

Очень даже неглупые клиенты. И интерфейс для них предусмотрен.

> Тоже может?
Да!

> Сколько времени делать будешь?
3 года уже работает, причем из коробки ;)

> Квоту на весь домен поставить сможешь?
Смогу.

> клиент со своим оутлоком пользуется не твоим диалапом и орет что у него почта не отправляется, Не умеет такое?

Умеет через smtp-auth либо pop-before-smtp либо через
контроль почтового домена отправителя. Как душе угодно.

anonymous
()

>Сейчас прибежит тот чувак, кторый молется на sendmail из-за якобы
>коробочного UUCP, и будет всех убеждать, что обновлять
>MTA раз в два месяца - нормальное явление.

Я какраз тот самый чувак, который молюсь на сендмаил лет так 7,
и не только из-за коробочного UUCP. Убеждать не собираюсь,
посчитай когда вышла версия 8.11.6 и сколько было под него
патчей? А теперь засунь свои 2-а месяца в свой зад и заткнись,
нормальные люди с версии на версию не прыгают, если их
полностью устраивает предыдущая и отработанная временем...

anonymous
()

4anonymous (*) (2003-09-19 01:22:30.052077):
Я там чуть выше уже писал, но специально для вас, дражайший, повторю про MX'ы. Нормальные MTA при _временных_ трудностях на первом MX'e идут дальше по списку MX'ов. qmail этого не делает.

Бернштейну ни RFC, ни здравый смысл не указ.

//Losiki

anonymous
()
Ответ на: комментарий от anonymous


> Бернштейну ни RFC, ни здравый смысл не указ.

Цитату, сестра, цитату! Из RFC конечно...

anonymous
()

а что про exim ничего не сказали ?
А ведь это сендмыл с "человеческим лицом" :-)
и квоты и поддержки всяких виртуальных доменов, работа только с одним
системным аккаунтом, встроенная поддержка разных SQL БД, встроенная поддержка LDAP и много всего ...
В общем после ближайшего с ним знакомства кумыл и сендмыл кажутся какими то уродцами.

не зря на нем mail.ru работает !

anonymous
()

4anonymous (*) (2003-09-19 02:59:06.533657):
Т.е. с тем, что эти действия противоречат как минимум _здравому смыслу_, ты согласен?

Открывай RFC2505, дражайший, и ищи в районе SMTP return codes, 4xx.

//Losiki

anonymous
()

4xx
       is a Transient Negative Completion reply (Temporary Error) and
       results in the mail transfer being put back on queue again and a
       new attempt being made later.

тода какже qmail поступает?

anonymous
()
Ответ на: комментарий от anonymous

>Квоту на весь домен поставить сможешь?]

Расслабься, CGP4.x этого тоже не может. Это было в 3.x, сошлись на том, что было реализовано криво и из четверки вынесли (до лучших времен, надеюсь, а не навсегда). Я сам реализовывал это через обработку логов. Костыль, но что делать - нада!

>Cкажите лучше чего такого не умеет сgp как кто то писал вверху, что так жизнено необходимо?

ТРАФФИК СЧИТАТЬ. Мне, как провайдеру важно выкатывать счета клиентам за траффик. За _весь_ траффик, который они нагенерят. А то какой-нить деятель поставить себе рассылку каку-нить и начнет через нее варез раздавать. Мне - реальный убыток, а статистика по письмам (и по траффику) есть только на _входящую_ почту.

ОТЛУПЛЯТЬ СРАЗУ ПИСЬМА В ПЕРЕПОЛНЕННЫЕ ЯЩИКИ. Сейчас он письмо в overquoted ящик принимает и только потом откидывает отправителю сообщение что, мол, в переполненный ящик письмо не доставлено. Хочу чтобы сразу отсекал.

Ну и дальше продолжать можно. Говорю, хотелки специфичные, не всем нужные, "но осадок-то остался". Мне-то приходится все это костылями подпирать :(

VA
()
Ответ на: комментарий от anonymous

> тода какже qmail поступает?

Я вот тоже добиваюсь, чтоб он привел точную цитату из RFC,
которую qmail нарушает. А он только задницей крутит.

anonymous
()

anonymous (*) (2003-09-19 01:22:30.052077)

Да ты гений ;))

anonymous
()

ТРАФФИК СЧИТАТЬ. Мне, как провайдеру важно выкатывать счета клиентам за траффик. За _весь_ траффик, который они нагенерят. А то какой-нить деятель поставить себе рассылку каку-нить и начнет через нее варез раздавать. Мне - реальный убыток, а статистика по письмам (и по траффику) есть только на _входящую_ почту.

Ну это ты уже вообще, зачем почтовым сервером трафик считать? вынеси почтовые серверы на отдельные интерфейсы на роутере, если уж трафик разделять надо, для удобства и считай трафик на роутере.

ОТЛУПЛЯТЬ СРАЗУ ПИСЬМА В ПЕРЕПОЛНЕННЫЕ ЯЩИКИ. Сейчас он письмо в overquoted ящик принимает и только потом откидывает отправителю сообщение что, мол, в переполненный ящик письмо не доставлено. Хочу чтобы сразу отсекал.

А вот такая фигня есть, согласен.

anonymous
()

anonymous (*) (2003-09-19 10:31:20.234997):
Ви хочите мине заплатить за зачитывание вам RFC вслух? Таки я не против.

4anonymous (*) (2003-09-19 10:05:26.490093):
А теперь переводим взгляд ниже и читаем:

However, 4xx Temporary Errors may have unexpected interaction with
MX-records. If the receiving domain has several MX records and the
lowest preference MX-host refuses to receive mail with a "451"
Response Code, the sending host may choose to - and often will - use
the next host on the MX list.

С одной стороны таки да, may choose. С другой often will и банальнейший здравый смысл. Вот и получается, что qmail куда больше напоминает пресловутого сферического коня в вакууме, чем реально годится для работы.

Кстати, qmail всё также молча жрёт любых юзеров и письма для них? Вот вам ещё один повод для подумать.

//Losiki

anonymous
()

Вышел Squid 2.5-Stable4

Для общего развития, предлагаю посмотреть на продукты

http://www.sendmail.com

Это тоже sendmail :)

Sun-ch
()

to Losiki

от;%:ись, http://www-dt.e-technik.uni-dortmund.de/~ma/qmail-bugs.html

3.2. RFC-2821 (SMTP) violation (Mail Routing)

Formerly documented in RFC-974.

In 2002, after a [German] problem report in de.comm.software.mailserver, I found out that qmail would never try any other MX than the first it connects to, even if that MX does not reply with a 220 greeting. When the server replies with e. g. a 554 greeting, qmail disconnects and later retries the same server again, ignoring the fact that 554 is a permanent error.

qmail is supposed to retry all listed MX servers in order of preference until the mail delivery succeeds:

RFC-2821, markup not present in original version: "5. Address Resolution and Mail Handling
[...]
When the lookup succeeds, the mapping can result in a list of alternative delivery addresses rather than a single address, because of multiple MX records, multi-homing, or both. To provide reliable mail transmission, the SMTP client MUST be able to try (and retry) each of the relevant addresses in this list in order, until a delivery attempt succeeds. [...]"

Fix: use this patch. (
http://www-dt.e-technik.uni-dortmund.de/~ma/qmail/patch-qmail-1.03-rfc2821.diff)


Workaround: use /var/qmail/control/smtproutes and explicitly route mail to a backup MX.

anonymous
()

4anonymous (*) (2003-09-19 11:34:25.149208):
Аххаха, знатно посмешил, долбоёбушко.

Кто ж спорит, что патчами можно довести qmail до состояния полной неузнаваемости? Только как при этом быть с его супер-пупер секьюрностью?

Впрочем есть один патч, который пропатчит гарантированно. Состоит он из команд wget, rm, tar, configure и make.

В качестве домашнего задания, мистер недоучка, у тебя висит:
а) найти патч, после которого qmail перестанет принимать почту для несуществующих юзеров.
б) побороть его поведение, при котором он _сначала_ засасывает письмо, а потом говорит message too big.
в) доказать, что после исправления всех трёх багов его секюрность и стабильность осталась на прежнем уровне.

Дерзай, мой юный падаван.

//Losiki

anonymous
()

4anonymous (*) (2003-09-19 11:34:25.149208):
Кстати, если ты вот этот
anonymous (*) (2003-09-19 02:59:06.533657)
и этот
anonymous (*) (2003-09-19 10:31:20.234997)

то найдя патч и описание проблемы(не с моих слов, заметь), ты тем самым расписался в неумении и нежелании читать и чтить стандарты.

С чем тебя и поздравляю, мой дорогой друг.

//Losiki

anonymous
()

извините, но это кажется описано в документе посвященном bugs&shortcomings, в чем же проблема анонимуса? он указал на то что всеми давно обсуждалось

anonymous
()

Лосики и анонимус(ы) что вы ругаетесь? там же черным по белому написано

This document is NOT here to throw mud at somebody else, but it is there to collect qmail problems and let YOU decide if you want to install this software or rather go for some other mail software.

не нравится - не ставь, что ж доказывать друг другу что использовать нужно софт другого....

anonymous
()

> б) побороть его поведение, при котором он _сначала_ засасывает письмо, а потом говорит message too big.

А там где-то кто-то про CGP почти то же самое говорил... Про квоты только. ТАк как ?
(только не следует думать, что я за qmail ратую, я про cgp интересуюсь и хочу чужими руками его со связкой sendmail + cyrus-imap сравнить...)

AS ★★★★★
()

4anonymous (*) (2003-09-19 12:54:12.958755):
Меня совсем не трогает, в каких позах патчит qmail мой оппонент.
Затрахало другое. При обсуждении любых МТА вылезает такое вот чудо, которое не в курсе особенностей того, что оно пользует. И на _обоснованные_ возражения имеет смелость утверждать, что я вру и "виляю". Так вот пусть умывается.

//Losiki

anonymous
()

Да, qmail дерьмо изрядное. Любимец спаммеров - принимает почту на любой эккакаунт

anonymous
()

Losiki
да, признаю себя ослом.
полез в то что не знал. для моих целей он подходит, больше его возможностей мне не требуется.
остальные пусть по себе выбирают

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.