URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 16417
[ Назад ]

Исходное сообщение
"OpenNews: Вышел Sendmail 8.13.7 с устранением новой проблемы безопасности."

Отправлено opennews , 15-Июн-06 08:26 
Прошло всего несколько месяцев с момента обнаружения прошлой критической уязвимости (http://www.opennet.me/opennews/art.shtml?num=7188) в sendmail, как обнаружена новая проблема.


На этот раз ошибка (http://www.sendmail.com/security/advisories/SA-200605-01.txt...) связана с возникновением бесконечной рекурсии при парсинге некорректных MIME заголовков, что может быть использовано злоумышленником для организации DoS атаки.


В связи с этим выпущен внеплановый релиз Sendmail 8.13.7 (http://sendmail.org/releases/8.13.7.html), в котором принудительно ограничена степень рекурсивного вызова функции mime8to7 (ограничение задается через константу MAXMIMENESTING).

URL: http://sendmail.org/releases/8.13.7.html
Новость: http://www.opennet.me/opennews/art.shtml?num=7721


Содержание

Сообщения в этом обсуждении
"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасности."
Отправлено don_oles , 15-Июн-06 08:26 
За то время пока админы обновляли версии сендмейла уже б несколько раз смигрировали на постфикс. Серьёзно, ребята, без всяких религиозных войн: поставьте постфикс и через месяц сами будете агитировать за него упрямцев, которые "хорошо знают сендмейл и он у них работает".

"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасно..."
Отправлено lizard , 15-Июн-06 10:23 
Лень просто перелазить :)

"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасности."
Отправлено MixUp , 15-Июн-06 08:33 
Что правда, то правда.

"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасности."
Отправлено Аноним , 15-Июн-06 08:46 
но коментс....
Кесарю кесарево....

"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасности."
Отправлено Legiar , 15-Июн-06 08:50 
Нда-а-а. В свое время я конечно тоже довольно долго использовал сендмыл...
И я конечно понимаю, что больший процент почтовых серверов стоит под ним, но...
Как для почтовика - ему надо очень много костылей чтобы он нормально работал...
Да и проблемы безопасности - уж очень много, много у него проблем с безопастностью...

А постфикс все-таки рулит.


"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасно..."
Отправлено CrazyF , 15-Июн-06 09:37 
>Как для почтовика - ему надо очень много костылей чтобы он нормально работал...

Озвучьте костыли!

>Да и проблемы безопасности - уж очень много, много у него проблем с безопастностью...

Ой проблем много!!!! 3  минуты на обновление 3-х серверов+считаные секунды на рестарт

>А постфикс все-таки рулит.

Куда он рулит? Как на лоре? В биореактор?


"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасно..."
Отправлено smb , 16-Июн-06 00:19 
Про костыли, например, вот тут почитайте....http://leaf.dragonflybsd.org/mailarchive/users/2006-06/msg00......

Постфикс - действительно неплохая вещь..Если вы не понимаете архитектуры программ с разделением прав между независимыми по функциям частями и вынесением их в отдельные процессы - то это не значит, что монолит с кодом, которому 15+ лет, крут ;)

А про проблемы - вы CVE, например, принципиально не читаете, или как?


"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасности."
Отправлено Alex , 15-Июн-06 08:53 
Каждому свое.

"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасности."
Отправлено Аноним , 15-Июн-06 09:19 
Подождите, подождите... практика показывает что чем больше и интенсивней начинают использовать некогда мало известый программный продукт - тем больше и чаще в нем находят различные баги и ошибки. Еще увидите он догонит и возможно перегонит сэндмаил. Если программу не используют и вследствии этого там не находят ошибки - это не значит что их там нет.

"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасности."
Отправлено CrazyF , 15-Июн-06 09:34 
Как использовал Sendmail так и использую. Никаких критических проблем с безопасностью нет, т.к. дыры находят, а эксплойты даже не успевают сделать.
И причём здесь постфикс? Модно? Да Пофигу на модность, или у кого-то из здесь присутвующих уже 3 года как постфикс не обновлялся?

"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасно..."
Отправлено uldus , 15-Июн-06 10:42 
>Как использовал Sendmail так и использую. Никаких критических проблем с безопасностью нет,
>т.к. дыры находят, а эксплойты даже не успевают сделать.
>И причём здесь постфикс? Модно? Да Пофигу на модность, или у кого-то
>из здесь присутвующих уже 3 года как постфикс не обновлялся?

У меня на каком-то сервере висит postfix с 1999 года и обновлять его я не собираюсь, так как дыр и существенных ошибок не находили, возложенные функции выполняет в полном объеме.

И не надо заводить канитель "дыры есть во всем" - дыры по несколько раз в год находят только в дырявых программах, авторы которых совершенно не заботятся о безопасности.


"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасно..."
Отправлено KonstantinK , 15-Июн-06 10:43 
> И причём здесь постфикс? Модно? Да Пофигу на модность, или у кого-то из здесь присутвующих уже 3 года как постфикс не обновлялся?

Ты не поверишь... я знаю места где не обновлялся (ибо не было security-bugs на этот период) - последнее в 1.1.11 кажется что-то было про сканирование врутренних ресурсов....


"я тоже когда-то писал sendmail._cf_"
Отправлено Michael Shigorin , 16-Июн-06 01:16 
Не три -- два (кажется, это был dist-upgrade).  Не нервничайте, не потому, что модно. :-)

"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасности."
Отправлено mail , 15-Июн-06 09:54 
народ очень надо, как ограничить коннект в сендмайле с одного адреса?
гугль по этому поводу пишет много, но все лишнее..

"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасно..."
Отправлено universite , 15-Июн-06 12:02 
/etc/mail/access

<IP>    REJECT  

и не будет принимать почту с указанного IP.


"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасно..."
Отправлено Di_ , 15-Июн-06 12:03 
ratecontrol    Enable simple ruleset to do connection rate control
        checking.  This requires entries in access_db of the form

            ClientRate:IP.ADD.RE.SS        LIMIT

        The RHS specifies the maximum number of connections
        (an integer number) over the time interval defined
        by ConnectionRateWindowSize, where 0 means unlimited.

        Take the following example:

            ClientRate:10.1.2.3        4
            ClientRate:127.0.0.1        0
            ClientRate:            10

        10.1.2.3 can only make up to 4 connections, the
        general limit it 10, and 127.0.0.1 can make an unlimited
        number of connections per ConnectionRateWindowSize.

http://www.sendmail.org/doc/sendmail-current/cf/README


"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасности."
Отправлено alex , 15-Июн-06 10:00 
Почему сразу Постфикс.. есть маса замечательных вещей, например Exim... и производительный и с безопастностью у него все ок, и стоит на куче серверов с высокой нагрузкой... на опеннете была новость, что NetBSD вообще уже отказался от сендмейл, а это больше чем просто надпись на форуме как на заборе "сендмейл сакс"

"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасно..."
Отправлено rwd0 , 15-Июн-06 10:20 
>Почему сразу Постфикс.. есть маса замечательных вещей, например Exim... и производительный и
>с безопастностью у него все ок, и стоит на куче серверов
>с высокой нагрузкой... на опеннете была новость, что NetBSD вообще уже
>отказался от сендмейл, а это больше чем просто надпись на форуме
>как на заборе "сендмейл сакс"


А ещё есть courier-mta


"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасно..."
Отправлено uranoscopus , 15-Июн-06 10:31 
> на опеннете была новость, что NetBSD вообще уже отказался от сендмейл, а это больше чем
> просто надпись на форуме как на заборе "сендмейл сакс"

Ага, была. Там в треде человек с незаштампованными мозгами рекомендовал почитать:
http://www.dore.ru/perl/nntp.pl?f=1&gid=21&mid=123138


"'open relay из коробки' -- не-а"
Отправлено Michael Shigorin , 16-Июн-06 01:23 
Я у человека переспрашивал -- он не уточнил (возможно, не видел вопроса).  По крайней мере в ALT он ни разу не open relay из коробки (не помню -- вообще порт не слушает, что ли, если не сказать service postfix restart или руками разрешить), да и по крайней мере штатная документация утверждает, что поставить его в такой вид крайне сложно. (мне однажды удалось, но это был титанический труд -- потребовалась специфическая конфигурация DNS, MX, туннелей, файрвола и решение руководства расковырять дырочку в последнем на мир временно :)

PS: я не утверждаю, что Корчмарь рассказал сказку, просто не видел этому подтверждений.


"'open relay из коробки' -- не-а"
Отправлено deskpot , 16-Июн-06 13:53 
> Я у человека переспрашивал -- он не уточнил (возможно, не видел вопроса).

не видел. =(

> По крайней мере в ALT он ни разу не open relay из коробки

ни разу. да и во FreeBSD ports с недавних пор тоже нет. потому, что дистростроители позаботились о пользователях.

но тот же Винема, подложивший такую свинку, мог подложить и еще что-то -- при таком-то подходе к делу. и не нравится именно это.

> да и по крайней мере штатная документация утверждает, что поставить его в такой вид крайне сложно

скомпилированный и установленный из .tar.gz с postfix.org -- таки он в таком виде. =) так что если:

1. в твоей сети есть что-то, для чего ты не хочешь принимать почту;
2. по ряду причин postfix определил mynetworks неправильно (Винема говорил, что в случае, если машина под управлением не Linux, а чего-то еще -- с этим бывают проблемы и он не хочет это чинить).

это чревато проблемами. =(


"'open relay из коробки' -- не-а"
Отправлено gvy , 16-Июн-06 19:55 
>> По крайней мере в ALT он ни разу не open relay из коробки
>ни разу. да и во FreeBSD ports с недавних пор тоже нет.
>потому, что дистростроители позаботились о пользователях.
С недавних?!  И _это_ опять-таки называется "серверная ОС"? %-((

>но тот же Винема, подложивший такую свинку, мог подложить и еще что-то
>-- при таком-то подходе к делу. и не нравится именно это.
Повторюсь -- нинаю.  Священной сборку апача из тарбола как-то ни разу не считал, правда ;-) [поздновато поспел, а когда собираю -- то в rpm]

У меня персонально к Wietse только одна на сей день претензия -- это то, что при отвале BL мы отфутболиваем почту вместо того, чтобы была педаль в конфиге.  Да, патчик есть, но без шансов.  И кто-то из знающего люду говорил, что это бага Венемы :-(

>скомпилированный и установленный из .tar.gz с postfix.org -- таки он в таком
>виде. =) так что если:
>1. в твоей сети есть что-то, для чего ты не хочешь принимать
>почту;
В смысле "что-то"?  Будьте добры, поясните (туплю сегодня)...

>2. по ряду причин postfix определил mynetworks неправильно (Винема говорил, что в
>случае, если машина под управлением не Linux, а чего-то еще --
>с этим бывают проблемы и он не хочет это чинить).
>это чревато проблемами. =(
Ну mynetworks как-то на автомат отдавать -- фантазии в голову не приходило.


"'open relay из коробки' -- не-а"
Отправлено deskpot , 21-Июн-06 14:38 
>>> По крайней мере в ALT он ни разу не open relay из коробки
>>ни разу. да и во FreeBSD ports с недавних пор тоже нет.
>>потому, что дистростроители позаботились о пользователях.
>С недавних?!  И _это_ опять-таки называется "серверная ОС"? %-((

просто у этой ``серверной ОС'' MTA уже в комплекте есть -- и на postfix до поры до времени не обращали внимания, надеясь на вменяемость дефолтной установки.

проблема даже не в том, что проблема есть, а в том, что она не задокументирована -- наоборот, бытует мнение, что postfix из коробки безопасен до безобразия.

>>скомпилированный и установленный из .tar.gz с postfix.org -- таки он в таком
>>виде. =) так что если:
>>1. в твоей сети есть что-то, для чего ты не хочешь принимать
>>почту;
>В смысле "что-то"?  Будьте добры, поясните (туплю сегодня)...

в смысле, если у меня сервер на collocation. а рядом в той же стойке и в той же подсетке стоит collocation кого-нибудь еще -- и этот кто-то рассылает спам. будет хорошо, если твоя машина открыта для релея его почты только на том основании, что он в той же подсетке? =)

еще раз -- мы говорим про default, про то, что должно покрывать потребности большинства юзеров или, по крайней мере, быть secure by default. тут он абсолютно ублюдочный -- ни то и ни другое.

>>2. по ряду причин postfix определил mynetworks неправильно (Винема говорил, что в
>>случае, если машина под управлением не Linux, а чего-то еще --
>>с этим бывают проблемы и он не хочет это чинить).
>>это чревато проблемами. =(
>Ну mynetworks как-то на автомат отдавать -- фантазии в голову не приходило.

так если вы не поняли -- соль именно в этом, что дефотно mynetworks != localhost, а подвластно автоопределению -- который лишь в ряде случаев дает допустимый результат (еще раз про trusted сеть + банальный ошибки в нем).


"'open relay из коробки' -- не-а"
Отправлено gvy , 26-Июн-06 10:39 
>>С недавних?!  И _это_ опять-таки называется "серверная ОС"? %-((
>просто у этой ``серверной ОС'' MTA уже в комплекте есть -- и
>на postfix до поры до времени не обращали внимания, надеясь на
>вменяемость дефолтной установки.
Значит, коммиттера на мыло.

>проблема даже не в том, что проблема есть, а в том, что
>она не задокументирована
Странное ощущение.  Хоть ставь где-то из тарбола, чтобы своими глазами убедиться.

>-- наоборот, бытует мнение, что postfix из коробки безопасен до безобразия.
Ну вот во мне оно (на основании уж какой есть практики) и продолжает бытовать... правда, я ж и ядра не компиляю. ;-)

>>>1. в твоей сети есть что-то, для чего ты не хочешь принимать
>>>почту;
>>В смысле "что-то"?  Будьте добры, поясните (туплю сегодня)...
>в смысле, если у меня сервер на collocation. а рядом в той
>же стойке и в той же подсетке стоит collocation кого-нибудь еще
>-- и этот кто-то рассылает спам. будет хорошо, если твоя машина
>открыта для релея его почты только на том основании, что он
>в той же подсетке? =)
А откуда подсетка берётся?  Если правильно понял, то там некий автоугадав mynetworks, который на линуксе работает, а на фре -- при удачной фазе луны?  Опять же -- хоть лезь смотреть, что он берёт за кофейную гущу =/

(в любом разе это всё не отменяет ни того, что машинку на colo выставлять, не пересмотрев носом как минимум конфигурацию файрвола и того, что в сухом остатке из него высунуто -- ...; хотя действительно, не зная о конкретной проблеме...)

>еще раз -- мы говорим про default, про то, что должно покрывать
>потребности большинства юзеров или, по крайней мере, быть secure by default.
И это тоже, действительно, не отменяется.

(вообще у меня к postfix и Венеме есть одна, но другая претензия -- поведение при отвале BL)

>тут он абсолютно ублюдочный -- ни то и ни другое.
На линуксе данный MTA ни разу не ублюдочный, в отличие от того же sm.
У меня почему-то возникает ощущение, что "ублюдочное!!!" орут чаще всего пользователи странных малораспространённых платформ, когда чувствуют неполноценность таковых при попытке засунуть куда-то не туда вместо того, чтобы использовать более подходящий софт... (это же касается и попыток всунуть линукс вместо windows или наоборот совсем уж неподходящим образом -- именно как платформу)

>>Ну mynetworks как-то на автомат отдавать -- фантазии в голову не приходило.
>так если вы не поняли -- соль именно в этом, что дефотно
>mynetworks != localhost, а подвластно автоопределению -- который лишь в ряде
>случаев дает допустимый результат
Ещё раз -- строя _любой_ MTA в трезвом уме и здравой памяти, _я_ уж как-нить напрягусь сходить и перепроверить, чем регулируется релеинг и что там explicitly нарисовано.

При том, что админ и почтмастер из меня откровенно так себе (хотя sendmail.cf кроил без m4, про который тогда ещё не знал ;).


"exim эээ... :-("
Отправлено Michael Shigorin , 16-Июн-06 01:19 
exim -- хороший, судя по словам нашего майнтейнера (достаточно давно его знаю, чтобы в этом вопросе вполне доверять).  Но по факту более дырявый, чем postfix -- в нём за последние пару лет пару (IIRC) неприятных штук нашли.  Огорчило, поскольку "на всякий случай" думал поприсматриваться.

"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасности."
Отправлено uranoscopus , 15-Июн-06 10:24 
Много-много лет на одном из моих серверов стоит sendmail 8.11. И никаких проблем. Естественно, патчу при необходимости. Пересборка занимает несколько минут.

"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасности."
Отправлено uranoscopus , 15-Июн-06 10:37 
Последнее время угнетает обилие новообращенных юниксоидов, которые принципиально не хотят думать своей головой. Вот у таких и рулит postfix или CG. А как возникает необходимость решить нестандартную задачу, так разводят ручками.
Но нет худа без добра. Чем больше таких типов, тем выше мой доход.

"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасно..."
Отправлено uldus , 15-Июн-06 10:46 
>Последнее время угнетает обилие новообращенных юниксоидов, которые принципиально не хотят думать своей
>головой. Вот у таких и рулит postfix или CG. А как
>возникает необходимость решить нестандартную задачу, так разводят ручками.
>Но нет худа без добра. Чем больше таких типов, тем выше мой
>доход.

Да будет вам извество, что postfix как раз и создали, когда накопился критический объем требований, которые не мог обеспечить sendmail. Это уже потом sendmail оброс хаками типа milter. Если вы знайте как решать нестандартные задачи в sendmail, но не знайте как это делать в postfix, это не дает вам право утверждать, что в postfix они не реализуемы.


"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасно..."
Отправлено chroot , 15-Июн-06 12:34 
а, ну-ну :)))))))))))
за такими спецыалистами потом только успевай переделывать.

"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасности."
Отправлено Terteron , 15-Июн-06 10:56 
Зря народ сендмейл недолюбливает, похоже на фобию :-)
Особенно в этом преуспели молодые ксойды.
За 10 лет работы с sendmail -ом никаких проблем не было.
Точнее сказать, не допускал проблем, раз в год ставил
секурити патчи, если такие были, и всё, плюс, прикручивание
всяких вкусностей в конфиг.


"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасно..."
Отправлено rwd0 , 15-Июн-06 11:07 
>Зря народ сендмейл недолюбливает, похоже на фобию :-)
>Особенно в этом преуспели молодые ксойды.
>За 10 лет работы с sendmail -ом никаких проблем не было.
>Точнее сказать, не допускал проблем, раз в год ставил
>секурити патчи, если такие были, и всё, плюс, прикручивание
>всяких вкусностей в конфиг.


Похоже на ремонт старой советской шестёрки :) Вот Exim + system-filter рулит.


"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасно..."
Отправлено Terteron , 15-Июн-06 11:20 
No comments!

"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасно..."
Отправлено rwd0 , 15-Июн-06 11:41 
>No comments!


Ну давайте теперь мериться вкусностями которые можно "прикрутить" к sendmailу и которые предоставляет Exim + System-filter?


"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасности."
Отправлено Petroff , 15-Июн-06 11:37 
Довольно долго жил с сендмейлом (чтоб не соврать года 4), потом для експеремента поставил постфикс - понравилось, пожил года полтора, потом надоело, поставил екзим - тоже понравилось ). Тут думаю что последнее настроил, и с чем потр*#ся, то в потом и нравится и ни на что другое несмотриш. Но это мое ИМХО.. Щяс мелкие задачи (типа почтовик на роутере в офисе) выполняет сендмыл, на серваках посерьезней оправдывает себя постфикс, на серваках именно под мыло стоит екзим. Ни с чем проблем невозникает.

"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасно..."
Отправлено lizard , 15-Июн-06 11:44 
Счас попробуй qmail

"счас?!"
Отправлено Michael Shigorin , 16-Июн-06 01:25 
Рекомендую ntpd, Вы лет на десять со "счас" промахнулись. :)

"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасности."
Отправлено nagoHaK , 15-Июн-06 12:24 
юзаю 2 года qmail+vpopmail+sa+clamav+courier работает как часики. Когда была задача поставить почтовик попробывал разобраться с sendmail, охренел от его конфигов и сразу пошел на qmail.

"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасно..."
Отправлено Terteron , 15-Июн-06 12:31 
Вот, где собака порылась! :-)

"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасно..."
Отправлено lizard , 15-Июн-06 12:38 
>Вот, где собака порылась! :-)

Конфиги и сендмейла и правда страшные, как Божий гнев. Тут не поспоришь.


"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасно..."
Отправлено echo , 16-Июн-06 10:46 
> попробывал разобраться с sendmail, охренел от его конфигов и сразу пошел на qmail.

ниасилил :-)


"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасности."
Отправлено aleks , 15-Июн-06 13:51 
А у меня sendmail прошлой ночью таки задосили...
Все в этой жизни бывает первый раз.

"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасности."
Отправлено angelweb , 15-Июн-06 18:00 
Вот все Вы тут кричите про разные почтовики ...

А работает(ал) кто-нибудь с почтовиком который осблуживает более 4000 пользователей ?

Все Ваши "домашние" офисы не равняются на большие конторы ))

Вот какой почтовик выдержит (пример плиз) такой напруг ?

Не знаешь - не говори - Имхо.


"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасно..."
Отправлено universite , 15-Июн-06 18:10 
>Вот все Вы тут кричите про разные почтовики ...
>
>А работает(ал) кто-нибудь с почтовиком который осблуживает более 4000 пользователей ?
>
>Все Ваши "домашние" офисы не равняются на большие конторы ))
>
>Вот какой почтовик выдержит (пример плиз) такой напруг ?
>Не знаешь - не говори - Имхо.

А куда он денется?
Только поиграться с настройками для такой нагрузки.


"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасно..."
Отправлено cadmi , 15-Июн-06 20:47 
ну у меня. не sendmail. и что, собственно?

"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасно..."
Отправлено Michael Shigorin , 16-Июн-06 01:30 
> А работает(ал) кто-нибудь с почтовиком который осблуживает более 4000 пользователей ?
Всё та же штатная альтовская сборка и провайдерские релеи гоняет.  Двоих по крайней мере знаю.  У нас, к счастью, больше двух сотен лдапных аккаунтов не водится :-)

> Вот какой почтовик выдержит (пример плиз) такой напруг ?
С чахлого тазика увалить всего несколькими тысячами сообщений вроде бы грамотно, но без фанатизма настроенный сендмайл опять же на ещё одном знакомом ISP однажды получилось совершенно ненароком... :-(

На тазике, кстати, несколько сотен человек подписчиков нескольких рассылок.  postfix скорее незаметно в нагрузке.


"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасно..."
Отправлено KonstantinK , 16-Июн-06 08:51 
> А работает(ал) кто-нибудь с почтовиком который осблуживает более 4000 пользователей ?

Более 7 тыс. пользователей (до сих пор postfix-1.1.13 + openldap + courier-imap)
Щас мигрируется на postfix2

Но это не те нагрузки...
Если б ты сказал про тыс. 40, а 4 - обыкновенная контора....


"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасности."
Отправлено anonymous , 15-Июн-06 19:30 
Забавно слышать столько разных доводов в пользу или против sendmail, но ... никто пока не высказал что-нибудь вроде "long-term investment protection" или ряда других вещей, критичных для крупного интерпрайза.

Разумный руководитель IT-подразделения в крупном интерпрайзе с 5000-10000 человек персонала даже не будет смотреть в сторону некоммерческих решений, себе дороже выйдет. Посмотрят в сторону CGP или Exchange, а может быть и (что очень разумно, с точки зрения того же MS) связку CGP + Exchange.


"'коммерческие', хех"
Отправлено Michael Shigorin , 16-Июн-06 01:38 
> Разумный руководитель IT-подразделения в крупном интерпрайзе с 5000-10000 человек
> персонала даже не будет смотреть в сторону некоммерческих решений, себе дороже выйдет.
Крайне заинтересованно жду пояснения.

> Посмотрят в сторону CGP или Exchange, а может быть и (что очень разумно, с точки зрения
> того же MS) связку CGP + Exchange.
Точка зрения MS всегда отличалась некоторым углом по отношению к тому, чего хотят юзеры, а уж тем более админы и IT-манагеры.  У них подход не "подстраиваться под людей", как у "некоммерческих", а "подстраивать под себя".  Прогибать, понимаете?

> никто пока не высказал что-нибудь вроде "long-term investment protection"
Пузыри дуть не надо, пожалуйста.  Как и вообще глупости повторять.  Инвестиции -- они инвестициям рознь, бывает в людей, бывает -- в воздух.

Почему многие представители ИТ-руководящих покупают Exchange -- понятно (как и то, почему многие курят траву или играют в игрушки).  Почему некоторые это делают вполне сознательно (в отличие от большинства) и потом таки используют по назначению -- тоже понятно (есть живые примеры на глазах).

А вот в свете недавних поливаний тем же Корчмарём дырявого CGP (и особенно того, что информация о деталях или вообще была недоступна) -- становится совсем интересно, чем же именно он годится "в связку" с Exchange.  Ведь не фронтэндом, правильно?


"'коммерческие', хех"
Отправлено anonymous , 16-Июн-06 11:55 
>> Разумный руководитель IT-подразделения в крупном интерпрайзе с 5000-10000 человек
>> персонала даже не будет смотреть в сторону некоммерческих решений, себе дороже выйдет.
>Крайне заинтересованно жду пояснения.
Почему при организации роутинга крупной сети никто даже и не предлагает Zebra/Quagga ?
Почему при организации шифрованных туннелей для 500 споков никто не предлагает сделать это на Linux/FreeBSD их средствами ?
Продолжать можно долго ...

>> Посмотрят в сторону CGP или Exchange, а может быть и (что очень разумно, с точки зрения
>> того же MS) связку CGP + Exchange.
>Точка зрения MS всегда отличалась некоторым углом по отношению к тому, чего
>хотят юзеры, а уж тем более админы и IT-манагеры.  У
>них подход не "подстраиваться под людей", как у "некоммерческих", а "подстраивать
>под себя".  Прогибать, понимаете?
Уже давно не могу понять. Раньше, когда был молодым, - понимал. :) Поймите, любая крупная коммерческая структура по-умолчанию прогибает рынок/людей/клиентов под себя, это норма ведения бизнеса. Только кто-то делает это завуалированно, а кто-то более явно. Ничего не меняется. И не стоит воспринимать это так категорично.

>> никто пока не высказал что-нибудь вроде "long-term investment protection"
>Пузыри дуть не надо, пожалуйста.  Как и вообще глупости повторять.  
no comments.


"'коммерческие', хех"
Отправлено gvy , 16-Июн-06 20:16 
>>Крайне заинтересованно жду пояснения.
>Почему при организации роутинга крупной сети никто даже и не предлагает Zebra/Quagga?
Зуб дадите, что "не предлагает"?  Вы уже перебрали все предложения по миру, разобрали все ящики, которые предлагают совать в стойки вместо кошачьих, и взволнованно вещаете теперь?

Не верю.

>Почему при организации шифрованных туннелей для 500 споков никто не предлагает сделать
>это на Linux/FreeBSD их средствами ?
Для 500 чего?

Тут вот недалеко всеукраинская сеть представительств конторки такой повтыкана в кошку, а с той стороны -- именно линуксы (в основном на MIPS ;) и изредка осталась фря в ПК.  В кошках я даже не чайник, только со слов представляю, какие места там сделаны действительно труднозаменимыми generic x86, а не "всего лишь" более вылизанными и удобными, чем самопал. (в т.ч. в плане заменяемости, стандартизации etc)

>>Точка зрения MS всегда отличалась некоторым углом по отношению к тому, чего
>>хотят юзеры, а уж тем более админы и IT-манагеры.  У них подход не
>>"подстраиваться под людей", как у "некоммерческих", а "подстраивать
>>под себя".  Прогибать, понимаете?
>Уже давно не могу понять. Раньше, когда был молодым, - понимал. :)
:)

>Поймите, любая крупная коммерческая структура по-умолчанию прогибает
>рынок/людей/клиентов под себя, это норма ведения бизнеса.
Когда-то нормой жизни были грабежи на дорогах.  Сейчас они тоже есть, но вроде как поменьше (если гайцов не считать :).

>Только кто-то делает это завуалированно, а кто-то более
>явно. Ничего не меняется. И не стоит воспринимать это так категорично.
Ну почему -- я вот как-то пока вполне нормально воспринимаю не то чтобы категорично, но скорее "вы кого-нить другого прогибайте".

>>> никто пока не высказал что-нибудь вроде "long-term investment protection"
>>Пузыри дуть не надо, пожалуйста.  Как и вообще глупости повторять.  
>no comments.
Ну сами перечитайте.  Маркетоидами с янкигрупами сразу потянуло.  Рад, если ошибся.


"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасно..."
Отправлено Alexxx , 16-Июн-06 11:45 
РАЗУМНЫЙ руководитель в стороны Exchange не посмотрит. Хотя в свете последних инициатив M$  жадный может и посмотрит чтобы откат получить.:)
Перелазили ИМЕННО с exchange, т.к. последний как раз полностью не удволетворял требованиям интерпрайза. После 5 лет вынужденной эксплуатации этого г. в нём столько критичных дырок повидал, а некоторые И СЕЙЧАС не закрыты. И даже пропатченные версии валятся на "специально оформленных письмах". В итоге связка postfix+(куча всего) работает на той же машинке, что и раньше ex намного быстрее.
Postfix, sendmail, qmail, exim, замечу для вас, это не решения, это программы на основе которых и делаются решения. Если вам нужно коммерческое решение, то есть компании, которые по вашим тех. требованиям могут установить его и обеспечить поддержку нужного вам качества. Но в основе его может лежать exim, qmail, postfix и пр., но при этом решение будет коммерческим.
  

"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасно..."
Отправлено нетупойкрасноглазыйанонимнесплю , 17-Июн-06 23:27 
аминь

"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасно..."
Отправлено ALEXIS , 24-Июн-06 22:48 
>Забавно слышать столько разных доводов в пользу или против sendmail, но ...
>никто пока не высказал что-нибудь вроде "long-term investment protection" или ряда
>других вещей, критичных для крупного интерпрайза.
>Разумный руководитель IT-подразделения в крупном интерпрайзе с 5000-10000 человек персонала >даже не будет смотреть в сторону некоммерческих решений, себе дороже выйдет. Посмотрят в
>сторону CGP или Exchange, а может быть и (что очень разумно,
>с точки зрения того же MS) связку CGP + Exchange.

Для крупного предприятия Exchange не есть единым (есть Lotus) и уж тем более разумным решением. Как с точки зрения безопасности и надежности так и с точки зрения стоимости владения. Простая прикидка стоимости (WIN SERVER LIC + CAL*USERS + EXCHANGE SERVER LIC + CAL*USERS) при количестве пользователей в несколько тысяч делает финансовую эфективность данного решения весьма сомнительной (без учета возможности получения приличного отката). По своему опыту могу сказать, что в таком варианте чаще всего выбирается использование opensource сотфта с привлечением компании-исполнителя, способноого разработать, внедрить и обеспечить поддержку почтового решения.



"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасности."
Отправлено GR , 16-Июн-06 00:18 
+  к предыдущему автору,  нельзя котегорияно утверждать что  сендмаил  это бе....     или постфикс...  (всегда правда: не важно что, главное кем)  хотите секюрности   вот пожалуйста  кумайл,  надо  маштабируемость сендмаил  постфикс, екзим  не юзал,  постфикс-ексченж вообще  шикарно,   промелькнула ссылка на топик про постфикс...  полная чушь..  ну и что из того  что в дефолте релей  открыт ?в сендмайле  он тоже был открыт и что ? бред какой то если честно, что мешает   поменять эту строчку ? имхо лень старичков которым  трудно на новое переходить... к слову об молодых админах   напомню что  15 лет назад особых альтернатив то и не было, а вот  факт  что молодые  выбирают  вместо сендмайла постфикс и тп  говорит как раз в пользу последнего  и уж  ни как не может служить показателем уровня квалификации.... также нельзя   находясь в России  утверждать что вот приимущества данного продукта  что он может  выдеержать 100000    юзеров ,  ибо   сильно подовляющему  большинству такое  нафиг не надо,в таких  компаниях сидит спец админ и  фактически рулит только  почтовиком,не решая  вопросов  как этот  почтовик  уживется со всем остальным и к какой инфе полчит взломщик  в случаи удачи, да  и потеря   парочки  гигов трафика   из за  спамеров  в таких компаниях не кретично... так что им можно и сендмаил постоянно мониторить...  а вот  когда надо чтоб  поставил и вспомнил о нем хатябы через пол года а не на следующий день.... думаю сенд тут как раз не подходит...когда на плечах и телефония и вэб и парочка рутеров и   скул  и  200    слабограмотных  юзеров  на хп  и ченить все  это надо постоянно и  закупками заниматься ...времени  возится с ним не остается  просто... так что если уж  и аргументировать   что либо то более реально... я вот не магу  для себя решить что лутше , меня  и то и то радует     еще и кумаил... и предпочтения  зависят  от настроения и того что последним ставил....  к слову о некомерчиских решений  тут  от политики  компании сильно зависит, кто то вкалдывает в подготовку спецов, кто то в  по,самые мудрые и туда и  туда

"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасно..."
Отправлено odip , 16-Июн-06 07:42 
>+  к предыдущему автору,  нельзя котегорияно утверждать что  сендмаил
> это бе....     или постфикс...  (всегда
>правда: не важно что, главное кем)  хотите секюрности  

offtopic: то ли безграмотность, то ли так быстро писал что опечатки не успел разглядеть


"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасности."
Отправлено GR , 16-Июн-06 10:45 
быстро писал , а  исправить  нельзя..

"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасности."
Отправлено doom , 04-Июл-06 15:37 
По поводу сендмыла: какогото хера после обновления до 8,13,7 престал нормально работать антивирь avmilter. я его уже и пересобирал, и свежий выкачивал - не пойму где лажа.

При отправке почты - с виндовоза, вываливается ошибка. почта не уходит


"Вышел Sendmail 8.13.7 с устранением новой проблемы безопасно..."
Отправлено ALEXIS , 17-Июл-06 17:55 
>По поводу сендмыла: какогото хера после обновления до 8,13,7 престал нормально работать
>антивирь avmilter. я его уже и пересобирал, и свежий выкачивал -
>не пойму где лажа.
>
>При отправке почты - с виндовоза, вываливается ошибка. почта не уходит
Проверь конфиг сендмейла, при обновлении версии (особенно с кривыми настройками чего-то типа up2date) иногда конфиг может заменяться на дефолтный, я когда-то так часа 2 не мог разобраться в чем причина.... :(