Re: qmail or not qmail?

To: debian-russian@lists.debian.org
Subject: Re: qmail or not qmail?
From: Alexey Pechnikov <pechnikov@mobigroup.ru>
Date: Wed, 27 Jan 2010 21:50:40 +0300
Message-id: <201001272150.40929.pechnikov@mobigroup.ru>
Reply-to: pechnikov@sandy.ru
In-reply-to: <6ca7eeea1001270909t14ba7afbse519ce98e5e27201@mail.gmail.com>
References: <20100118231714.1ddca480@db> <201001271611.43203.pechnikov@mobigroup.ru> <6ca7eeea1001270909t14ba7afbse519ce98e5e27201@mail.gmail.com>

Hello!

On Wednesday 27 January 2010 20:09:00 Stanislav Vlasov wrote:
> 27 января 2010 г. 18:11 пользователь Alexey Pechnikov
> <pechnikov@mobigroup.ru> написал:
> >> > Единственный серьезный баг в qmail - на превышение 2 Гб хидера - вас
> >> > ровно так же не затрагивает. Причем есть путь обхода (ограничение
> >> > ресурсов), причем это уже прописано в дебиановском init-скрипте и для
> >> > нас с вами представляет не более чем теоретический интерес.
> >> При этом, эксплуатация бага возможна в случае, если ограничение
> >> ресурсов поставить больше, чем на 2Гб вообще, а не 2Гб на хидер.
> 
> > Больше 2Гб на письмо? Оно вам надо?.. Притом в дебиановской сборке, если
> > уж на то пошло, 4 Гб...
> 
> Больше 2Гб на _процесс_ открывает дырку.

По-мелкому, но обманываете - там unsigned int - 4 Гб.

> А Nxx мегабайт на письмо, да еще не факт, что не одновременно
> несколько - это хотят пользователи. Пока еще только хотят.

Попробуйте exim-ом такое письмо обработать, подозреваю, что проблемы
словите много раньше, чем достигнете 4 Гб размера письма. Что касается 
нескольких, то qmail письма в отдельных процессах обрабатывает, так
что лимит касается именно одного письма.

> >> Процитируйте. Или не приписывайте лишнего.
> 
> > Вы же утверждали, что даже ошибки exim нам даны свыше и мы обязаны их
> > смиренно принимать, не пытаясь заменить exim. А вот 1 ошибка qmail с
> > переполнением в заголовке вам спать почему-то не дает.
> 
> Процитируйте, где я вообще говорил про ексим.

Помню, у вас постфикс. Суть дела от этого не меняется, т.к. исходники
постфикса, насколько я понимаю, вы тоже не смотрели. Но почему-то
доверяете, что там нет багов...

> Про ошибки - мог не так выразиться, но тем не менее, данная ошибка
> вполне себе даёт удалённого рута, если правильно помню.

Не факт, что в других системах нет такой же ошибки. Но qmail очень
тщательно тестировали и тестируют, в т.ч. благодаря громкому заявлению
DJB о выплате денег за секьюрити баги.

> С 0 - не напишу. Не с нуля - не вижу патча, который позволил бы хотя
> бы проверить по списку RBL

Для этого патч не нужен. Используйте rblsmtpd.

> и про попадании не меньше чем в N - либо отопнуть, либо добавить хидер 
> с указанием. 

Насчет "не меньше чем в N" я не в курсе, обычно N==1.

> Или патча, который позволит
> проверить helo/from/to/ip внешними средствами и получить решение о
> приёме до посылки ответа на DATA.

Я уже писал:

Вот что касается патчей (по ссылке выше можете посмотреть и другие ресурсы):
http://www.ru.qmail.org/docs/lwq/lwq.html#patches

Например, выбираете пункт "5.12. Отклонение недействительных получателей во 
время SMTP-сессии" в оглавлении, узнаете, что список соответствующих патчей
доступен здесь: http://netdevice.com/qmail/rcptck/ и также вам предлагается
ссылка на рекомендуемый патч.

Добавлю, что ip можно проверять внешними средствами, как пример - уже
упоминавшийся rblsmtpd.

> > Если вы, конечно, не захотите прежде подумать - почему
> > мантейнер деб-пакета не делает этого.
> 
> Вероятные причины (судя по неполным аналогам из открытых багов):
> 1) добавил разрозненные патчи, покрывающие какую-то функциональность и
> успокоился.
> 2) не предлагали что-то похожее.

Ну что с вами сделать, чтобы вы перестали на кофейной гуще гадать :-)

Итак, почти весь софт от DJB мантейнит Gerrit Pape, к тому же он и сам 
разрабатывает очень интересные аналоги и другие утилиты (и в т.ч. он же
мантейнер dash). Когда-то он поднимал вопрос о том, что qmail в дебиане 
на правах золушки (примерно как тикль, кстати), и что это за дурацкая 
политика, требующая пренебрегать отличным public domain ПО. Пакеты
с qmail и netqmail он собрал и зааплодил на ftp-master, но до сих пор их
"маринуют". Подробнее см. здесь:
http://smarden.org/pape/Debian/sid.html

Так что причины - в бюрократии, увы.

> > Ой как все запущено... Апеллировать к тому, что в команде adduser может
> > проявиться баг именно при установке qmail - это бред собачий. И на любом
> > дебиан-хосте нижеприведенная команда работает как ей и полагается:
> > adduser --system --no-create-home --quiet --home $home --gid $gid --uid $uid
> > --gecos \'$gecos\' $name >/dev/null 2>&1
> 
> Ой как всё запущено... То есть допустить, что юзер с uid 64010 в
> системе может уже быть вы не в состоянии?

Опять вы в чем-то непотребном мантейнера подозреваете :-) Позвольте мне
все же отослать вас к preinst скрипту, вместо того, чтобы его целиком здесь
приводить. Есть там такая проверка, не волнуйтесь.

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

Reply to:

Follow-Ups:
- Re: qmail or not qmail?
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: qmail or not qmail?
  - From: Stanislav Vlasov <stanislav.v.v@gmail.com>

References:
- очень хочется squirrelsh
  - From: Denis Feklushkin <denis.feklushkin@gmail.com>
- Re: qmail or not qmail?
  - From: Alexey Pechnikov <pechnikov@mobigroup.ru>
- Re: qmail or not qmail?
  - From: Stanislav Vlasov <stanislav.v.v@gmail.com>

Prev by Date: Re: очень хочется squirrelsh
Next by Date: Re: уже совсем не хочется squirrelsh
Previous by thread: Re: qmail or not qmail?
Next by thread: Re: qmail or not qmail?
Index(es):
- Date
- Thread