Компания Veracode присвоила (http://news.yahoo.com/s/prweb/20090624/bs_prweb/prweb2564164_1) почтовому серверу Sendmail (http://www.sendmail.org) высшую степень безопасности и защищенности операций. Veracode является производителем лидирующей на сегодняшний день платформы управления и анализа факторов риска. Чтобы получить данную оценку, Sendmail был протестирован на соответствие таким промышленным стандартам, как OWASP Top 10 и SANS-CWE Top 25.Как сказал генеральный директор Veracode Matt Moynahan, предприятия все чаще внедряют открытые приложения в структуру своих бизнес процессов. При этом одним из основных вопросов выступает защищенность используемых решений. Система тестирования Veracode позволяет гарантировать легкий и быстрый поиск проблемных, с точки зрения безопасности, участков кода. К ним относятся как разного рода уязвимости, так и умышленно запрограммированные «лазейки» и вирусы. Без соответствующей проверки такой код остается незамеченным и компилируется в ис...
URL: http://news.yahoo.com/s/prweb/20090624/bs_prweb/prweb2564164_1
Новость: http://www.opennet.me/opennews/art.shtml?num=22304
Похоже на ситуацию, если бы подобного статуса удостоилась windows. Sendmail всегда славился дырами в плане безопасности.
>Похоже на ситуацию, если бы подобного статуса удостоилась windows. Sendmail всегда славился
>дырами в плане безопасности.Не всегда. Последние годы он очень надёжен и вылизан.
Что, впрочем, не отменяет прочих его недостатков :)
угу.... а раньше он один только и работал нормально.юзаю его (так исторически сложилось - сложный, не удобный, но...) - и не разу не пожалел.
а дырки?.... - ну дык везде, и поболе...
ссылки к новости доставляют
* Проблемы в Sendmail в списке 10 самых опасных уязвимостей в UNIX ПО
* Общий список уязвимостей в Sendmail: 166 записей
А на дату новостей не смотрели? Или думаете, что проект не дорабатывается со временем?
пользуюсь им в течении 12 лет на всех серверах, трафик правда, небольшой около 3000 писем в сутки!
рекомендую!
>пользуюсь им в течении 12 лет на всех серверах, трафик правда, небольшой
>около 3000 писем в сутки!
>рекомендую!с удовольствием воспользуюсь рекомендацией и не стану менять хороший postfix на дырявое решето.
Дырявое, это если "дырки" не закрывать.
А т.к. их очень быстро закрывают, то, это -
процесс тестирования на "людях", косвенно говорящий,
о популярности sendmail-а.
Не падать духом, учиться никогда не поздно!
Интересно как тестировали почтовый сервер по заточенному под веб OWASP 10...
>Интересно как тестировали почтовый сервер по заточенному под веб OWASP 10...
>тоже улыбнулся
Ссылки к новости:
2. OpenNews: Уязвимость приводящая к удаленному запуску кода в sendmail
3. OpenNews: Sendmail исключен из базовой системы NetBSD
4. OpenNews: Вышел Sendmail 8.13.7 с устранением новой проблемы безопасности
5. OpenNews: Проблемы в Sendmail в списке 10 самых опасных уязвимостей в UNIX ПО
6. Общий список уязвимостей в Sendmail: 166 записей)))))))
Sendmail уже давно 8.14 - пора просыпаться )))
Ссылки по теме реально жесть :)
Насчёт дырявого решета - безопасность и так очевидна, потверждению никто не удивляется из нас. Но вся она бессмыслена, из-за новостей здесь вроде "В этой программе найдена уязвимость! Чтобы воспользоваться ей удалённо, наберите вот это, заменив название сервера на нужное. В новой версии программы всё исправлено".
А мне нравится: немного юмора и самоиронии в жизни унылых :-P пользователей унылого сендмыла.
>А мне нравится: немного юмора и самоиронии в жизни унылых :-P пользователей
>унылого сендмыла.Ну вот и юзайте свой CGP, он веб-мордный и нарядный. Конечно, если вы доверяете больше своим теориям (вы код-то Sendmail когда последний раз внимательно изучали?), чем результатам практической работы более-менее уважаемой фирмы, не говоря об опыте неискушённых простых смертных, то умолкаю.
>Ну вот и юзайте свой CGP, он веб-мордный и нарядный. Конечно, если
>вы доверяете больше своим теориям (вы код-то Sendmail когда последний раз
>внимательно изучали?),А Вы? Попробуйте изложить словами логику работы, например, sendall() или флагов адреса согласно alias.c. Только, пожалуйста, без нецензурщины. Далее подсчитайте количество людей на планете, которые это всё реально понимают.
>чем результатам практической работы более-менее уважаемой фирмы, не говоря
>об опыте неискушённых простых смертных, то умолкаю.О какой фирме-то речь? Карманном детище Альмана?
2008-05-03 Sendmail 8.14.3 is available.
Дата на официальном сайте. С тех пор не обновляется - либо он настолько стабилен и безопасен, либо им никто уже не занимается. А так действительно раньше было много дырок, возможно как самый пользуемый. Теперь с ним пролем нет, за исключением трудности его настройки из-за m4 :). Работает на машинах проблем не знаю. Его бы и дальше развивали бы.
>2008-05-03 Sendmail 8.14.3 is available.
>Дата на официальном сайте. С тех пор не обновляется - либо он
>настолько стабилен и безопасен, либо им никто уже не занимается. А
>так действительно раньше было много дырок, возможно как самый пользуемый. Теперь
>с ним пролем нет, за исключением трудности его настройки из-за m4
>:). Работает на машинах проблем не знаю. Его бы и дальше
>развивали бы.Может приведешь пример из реальной жизни MTA чего нельзя сделать с помощью sendmail?
IMHO поэтому и не развивается... т.к. за 20+ лет дальше некуда...
>Может приведешь пример из реальной жизни MTA чего нельзя сделать с помощью
>sendmail?
>IMHO поэтому и не развивается... т.к. за 20+ лет дальше некуда...Без холивара, давно сменил этот "недоделанный" sendmail на exim. Теперь "кручу-верчу" правила как хочу.
Вы спрашиваете чего нельзя сделать с помощью sendmail? Легко! Нельзя задать точку назначения другой очереди. Точнее задать можно, но это не срабатывает, он не "сплитает" очередь внутри директории назначения. Вроде бы не такой уж существенный недостаток на первый взгляд, однако при большом объеме пересылки(50000 файлов в директории), скорость листинга директории достигает 2-3 секунд, а скорость парсинга содержимого файлов в такой директории и того больше, вот вам и тормоза.
>Может приведешь пример из реальной жизни MTA чего нельзя сделать с помощью
>sendmail?Например:
1. Равномерная раздача одного письма на несколько получателей одновременно. То, что сейчас есть (нарезка на "конверты" по K получателей) только кривая затычка.
2. На штатном .mc - фильтрация отдельных получателей в домене (не завёрнутом в virtuser). Можно только со своими рулесетами.
3. Многоуровневая логика форварда (как в qmail - получение письма на a-b-c-d проверяет последовательно ~a/.forward-b-c-d, ~a/.forward-b-c-DEFAULT, ~a/.forward-b-DEFAULT, ~/a.forward-DEFAULT).
4. Поддержка VERP и аналогичных подходовДалее, что можно сделать, но нафиг не надо, ибо у других проще в разы, если не в десятки раз:
1. Сложные правила контроля приёма с выбором порядка отработки правил
2. Лукапы в базах данных
3. Просто приём почты (exim с кучей привешенного перла легче, чем sendmail с отработкой только рулесетов)>IMHO поэтому и не развивается... т.к. за 20+ лет дальше некуда...
Потому что уже не в состоянии. Внутри там такое, что работать с ним невозможно.
http://www.xmailserver.orgперешел по одной причине - надоело дружить поперы и сендмайлеры. и всякие через-одноместо виртюзертаблы.
юзаю последние 4 года.жду появления на борту имап-а.
>http://www.xmailserver.org
>
>перешел по одной причине - надоело дружить поперы и сендмайлеры. и всякие
>через-одноместо виртюзертаблы.
>юзаю последние 4 года.
>
>жду появления на борту имап-а.postfix+dovecot. C dovecot SASL и его же deliver.