Re: qmail or not qmail?

[Alexey Pechnikov <pechnikov@mobigroup.ru>]

Hello!

On Tuesday 26 January 2010 06:54:17 you wrote:
> При этом их фиксят, а не замалчивают.

И все баги фиксит именно _создатель_ exim? Где от этого человека 
разбор всех багов exim?... Почему-то вы открытое ПО, которое документирует,
патчит и сопровождает комьюнити, целиком пытаетесь приписать конкретному 
человеку. В то время как после публикации исходников qmail или exim мы с
вами имеем ровно такие же возможности для их доработки. И я выбираю тот
проект, в котором в течении года вносится лишь около сотни строчек патчей
(включая их описание), а не тот, где такой объем добавляется за неделю.
И unix-like стиль работы qmail позволяет, при желании, выкинуть этот самый
pop-демон, если он вам не нравится, и интергировать с любой другой системой
по вашему выбору. 

> Хидеры - пока маловероятно, хотя некоторые уже вставляли содержимое
> документа в Subject

Вот DJB тоже пишет, что маловероятно, ровно такими же словами :-)
 
> У меня на почтовке локальных пользователей с шеллом - два. Я и рут.
> А вот удалённый рут - это несколько посерьёзней будет.

Я о том, что нельзя гарантировать, что даже в самом лучшем ПО нет ни одной 
уязвимости. И когда автор берется предоставить какие-то гарантии, это здорово, 
т.к.  вызывает интерес у многих экспертов и это ПО исследуется намного 
внимательнее, нежели любое другое. Попробуйте предложить 1000$ за уязвимость
в exim, если вы не согласны - готовы вы на это?
 
> Отправка почты _неограниченному_ списку получателей (спам-дыра) с
> перспективой упасть - таки про кумыл.

Извините, но такой уязвимости в списке закрываемых деб-девелоперами я не 
припоминаю. Мог не заметить, да, т.к. что мешает вашему юзеру вызвать
рассылку спама в цикле, указывая по одному адресату?.. У меня это все
проверяется до того, как данные для отправки будут переданы в почтовую 
систему (независимо от того, какая именно почтовая система используется - 
проверки были и тогда, когда я еще использовал exim).

> > А вот это интереснее. Но, как можно судить по текущей ветке рассылки и по
> > обсуждению "серых списков" некоторое время назад, тут далеко не все
> 
> Назовите RFC, которое нарушает грейлист.
> Точнее, по какому RFC почтовая система обязана принимать почту по
> первому требованию, не отпинывая по 4xx?

Вы обманываете получателя, делая вид, что не можете сейчас обработать эту почту.
В итоге вы его DOS-ите, заставляя тратить ресурсы на хранение и повторную 
пересылку. Т.е. вы пользуетесь недосказанностью стандарта, чтобы намеренно
причинять ущерб. 
 
> Э... Не путайте патчи, которые накладываются для безопасности и патчи,
> без которых система неюзабельна. Первые - необходимы, вторые - как раз
> костыли, ибо автор не чешется, а соответствует ли квалификация
> патчеписателя репутации djb - еще неизвестно.

Странный какой-то подход. Сколько систем вы знаете, выпущенных более 10 лет 
назад, которые сегодня могут быть использованы ровно в том же виде, без
выпущенных за прошедшее время обновлений, патчей, etc.? И в очередной раз
вы открытый код отказываетесь видеть в управлении комьюнити. И на этот раз
еще и комьюнити в безграмотности подозреваете, притом безосновательно - 
я интересовался, чьи же патчи закрывают баги qmail. А вы квалификацию всех
разработчиков exim проверили, или там априори идеальные разработчики сидят?..

Best regards, Alexey Pechnikov.
http://pechnikov.tel/