The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

sendmail, qmail, exim


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

- BEST_PEOPLE (2:5077/15.22) ------------------------- BEST_PEOPLE (RU.LINUX) -
 From : Olli Artemjev                       2:5020/1354     09 Dec 00  01:21:06
 Subj : sendmail, qmail, exim
-------------------------------------------------------------------------------
 * Forwarded from area 'RU.LINUX'

    Hi, Alex !

On 24 Nov 2000 at 03:33, "AK", Alex Korchmar wrote:
 AK> использование патчей снимает твой qmail с пятисотдолларовой гарантии.
 OA> Допустим. Hо   меня  qmail радует  не только  "гарантией",    но еще и
 OA> модульностью. Впрочем последнее время я предпочитаю postfix - с
 AK> опять  это заклинание. Будь добр   - или не   повторяй, оно все  равно
 AK> действует не лучше  вырывания волоска из бороды,  или об'ясни, чем так
 AK> хороша эта "модульность"?
Вот я и дорвался до почты. =)

Hу давай я тебе пересскажу то что я вынес из qmail и postfix. Лучше конечно
читать в оригинале, но чтобы показать, что я в некоторой мере владею
вопросом - вот тебе достойные, на мой взгляд, аргументы и замечания:

1) Сама по себе модульность без концепции модуль модулю волк почти не
повысит безопасности системы.

2) Модульность в понимании postfix и qmail предполагает раскидывание задач
MTA по частям, что позволяет часть модулей разместить в chroot, оставив
других вне его. Это удобно и дает еще один уровень гарантий в случае
взлома. То есть в chroot теоретически можно поместить ту часть MTA которая
контактирует с внешним миром или с "опасной" частью внутреннего.

3) Концепция модулей позволяет легче отлаживать, отслеживать работу системы
с точки зрения отлова багов и дыр, позволяя переписать, в случае
необходимости, под ноль весь модуль, что гораздо проще, чем разбираться
со все MTA целиком, вспоминая эдак через пол года после последнего раза
какие изменения аргументов функции где и как аукнутся в полумегабайтном
исходнике.

4) Параноидальная система когда модуль модулю волк предполагает введение
дополнительных проверок на размеры и прочую корректность аргументов, что
само по себе лучше, к тому же такая система проверок наверняка проще
реализуется (и наверное стандартизуется, чем аналогичная работа внутри
целикового MTA).

5) Больше гибкость системы с точки зрения установки ограничений - когда
есть куча модулей - больше возможностей в ограничении одного не трогая
другого (тот же избирательный chroot например).

6) Разделение функций MTA на модули дает несколько разных стэков в
нескольких бинарях соответственно и, в том числе поэтому, уменьшается
возможность сделать переполнение стэка - пароноидальный модуль все еще раз
перепроверит и скорее всего в этом модуле на стадии разработки отловить
баги будет проще, чем в целиковом МТА.

Hаверное есть еще много аргументов которые я забыл или не знал, но уже этих
достаточно, чтобы понять, что модульность вещь полезная.

Hу что - удовлетворен? Я собственно про то, что qmail и postfix ставлю не
только на основании слухов, но и вполне разумных описаний. =)

 OA> модульность и аудит кода автором, который  еще и признынный специалист
 OA> в
 AK> аудит кода сендмэйла проделан, помимо  прочего, командой OpenBSD (и не
 AK> только) Конечно, аудитить   код   такого монстра  гораздо  тяжелее   и
о чем и спич, см. выше. 

 AK> результат ненадежнее, но вся беда в  том, что аудит  кучи того, чем на
 AK> самом деле нужно для нормальной  работы обвесить qmail вообще никто не
 AK> проводил (откуда и вылезла в свое время проблема с жопером).
А как-же кандидаты на штукарик грина. ?-)

 OA> Патчи  к  чему  угодно имеют те   же  самые минусы.   Из коробки qmail
 OA> _удобен_ отнюдь  не для всех случаев жизни.  Тем не  менее своя ниша у
 OA> него есть.
 AK> а для  многих - вовсе  непригоден. Что мы тебе  и пытались доказать. В
 AK> отличие   от  сендмэйла,  который при   всей   своей монструозности  -
 AK> _универсален_.  Своя ниша есть  - например,  внутриконторский почтовый
 AK> сервер. Я вот сейчас  пытаюсь убедить народ такой поставить  (понятное
 AK> дело,  входной и выходной релеи останутся  на сендмэйле  - то, что там
 AK> понаверчено,  лучше  вообще лишний раз  руками  не трогать.  А  вот на
 AK> машину, где крутится  avp и imap сервер,  и  где нет ни  форвардов, ни
 AK> виртуальных  адресов, а  есть  лишь  доставка конечному потребителю  -
 AK> вполне  пойдет. sendmail бы тоже  подошел, но к нему хорошего delivery
 AK> agent для imap'а нет.)
Да, ветошь штука универсальная и древняя по происхождению, но какая-то
гнилая. =) В общем я броневичок имени qmail уже устал защищать - пожалуй
забью я на эту дискуссию - не стоит qmail пихать везде, но и sendmail тоже
везде пихать не стоит, поскольку в некоторых местах эта корова при всей
универсальности своего дойла занимает слишком много места и заставляет
дергаться при поминании ее имени в заголовке писем bugtraq. =)

-- 
Bye.Olli.       mailto(remove "NOSPAM"): [email protected]
*: Продается F117 в аварийном состоянии. Самовывоз из Югославии. Мылить мне.

--- Gnus/5.0803 (Gnus v5.8.3) XEmacs/21.1 (Bryce Canyon)
 * Origin: Sunrise. (2:5020/1354.0)

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>



Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру