Re: qmail or not qmail?
Hello!
On Sunday 31 January 2010 12:42:27 Artem Chuprina wrote:
> Alexey Pechnikov -> debian-russian@lists.debian.org @ Sun, 31 Jan 2010 12:00:56 +0300:
>
> >> Это он и так умеет. Ссылку на патчик, который обучит qmail, увидев
> >> эти переменные, сразу считать сессию авторизованной - и знать, кто
> >> пришел, и изменить свое и вызываемых далее программ в соответствии с
> >> этой информацией. Ага, вообще говоря, для разных авторизованных
> >> клиентов поведение должно быть разным...
>
> AP> qmail вызовет обработчик пришедшего письма, в котором проверяем
> AP> значения переменных окружения и делаем что нам требуется.
>
> То есть при этом qmail ведет, по сути, бессодержательный SMTP-диалог, а
> всю работу за него делают stunnel и тот обработчик.
Ровно то же можно сказать и касательно криптованной корреспонденции - всю
работу делает gnupg.
> Так эта... Никого не интересует безопасность тупого обработчика SMTP.
> Интересует безопасность почтовой системы в целом. Если бы qmail был
> этой почтовой системой, его безопасность имела бы практическую
> ценность. А так - нет, потому что почтовая система на его основе
> требует хмурой тучи костылей, в которых и вылезают те проблемы, от
> которых мы так счастливо избавились, воткнув qmail вместо exim. Причем
> в отличие от exim, где проблемы регулярно отлавливаются и фиксятся, в
> нашем случае мы будем в неведении об их наличии, пока их _у нас_ не
> проэксплойтят. Да и после этого, скорее всего, тоже - мы же убеждены,
> что у нас система безопасная, а немеряный поток писем туда-обратно она и
> так генерирует, разницы никакой. Просто в какой-то момент наши письма
> перестанут доходить куда бы то ни было, потому что с дырявого сервера их
> не принимают вообще...
Как мне помнится, в 2007-м году qmail был популярнее, нежели exim.
Только вот в эксзиме с тех пор заплата на заплате заплатой погоняют,
а в qmail за это время что-то ни одного найденного бага не вспомню.
А эксперименту я доверяю много больше, нежели маркетинговым фразам.
> Настоящая же проблема с безопасностью в том, чтобы сделать безопасной
> почтовую систему, которая таки да, умеет решать нужные задачи.
Исследование кода qmail и практика использования за более чем десять лет
доказывают, что это возможно, если сами не сломаем где-нибудь. А отсутствие
исследований и наполненный багтрекер exim доказывает, что с exim это еще
никому не удавалось. Имхо вы вместо фактов оперируете леденящими душу
предположениями об ужасах, вызванных патчами для qmail - интересно
почитать, но не практично. Найдете проблемы в патчах из netqmail - разберемся
и поправим, а прелести сферического exim в вакууме слишком абстрактны.
Best regards, Alexey Pechnikov.
http://pechnikov.tel/
Reply to: