Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление Exim 4.94.2 с устранением 10 удалённо эксплуатируемых уязвимостей"	+/–
Сообщение от opennews (ok), 04-Май-21, 21:51
Опубликован выпуск почтового сервера Exim 4.99.2 с устранением 21 уязвимости (CVE-2020-28007-CVE-2020-28026, CVE-2021-27216), которые выявлены компанией  Qualys и представлены под кодовым именем  21Nails. 10 проблем могут быть эксплуатированы удалённо (в том числе для выполнения кода с правами root), через манипуляции с SMTP-командами при взаимодействии с сервером или отправку специально оформленных почтовых сообщений... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55079
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Fracta1L (ok), 04-Май-21, 21:51	–16 +/–
Сплошные сишные оверфлоу хахаха
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #41, #46, #52, #115, #116

2. Сообщение от Павел (??), 04-Май-21, 22:01	+17 +/–
Postfix тоже на си, но там не находят каждый год дыры. Наверно все-таки дело в кривизне рук и правильной архитектуре ПО.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #27, #42, #45, #47, #91

3. Сообщение от пох. (?), 04-Май-21, 22:16	–3 +/–
ну если "правильная архитектура" это когда ПО просто ничего не умеет толком - то да. И да, world writable spool из-за панической боязни запутаться в собственных руках очень трудно назвать "правильной архитектурой". P.S. как там с open relay из коробки - все по прежнему, главное ведь не сломать совместимость с г-нецом мамонта?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #6, #63, #124

4. Сообщение от заминированный тапок (ok), 04-Май-21, 22:29	+8 +/–
ну растовых зато нигде нет (потому что и раста самого нигде нет)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #8, #28, #39

6. Сообщение от onanim (?), 04-Май-21, 22:45	+2 +/–
> open relay из коробки аж пичот
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

7. Сообщение от Аноним (7), 04-Май-21, 22:46	–3 +/–
Этот Exim известное шерето, что называется "никогда не было и вот опять". Благо уже не первый год не имею в системе это недоразумение.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #48

8. Сообщение от Сейд (ok), 04-Май-21, 23:28	–2 +/–
Есть: https://github.com/hyperfekt/secure-mta
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #16, #114

10. Сообщение от Аноним (10), 05-Май-21, 00:09	+3 +/–
Держи в курсе
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

12. Сообщение от adsh (ok), 05-Май-21, 00:43	+2 +/–
Самый удобный, конфигурируемый и гибкий МТА. А что касается других МТА: "нет здоровых людей, есть недообследованные пациенты". Главное, чтобы найденные проблемы вовремя исправляли. К этой версии идут патчи, позволяющий быстро обновить древние версии, с несовместимым опциями конфигурации: "Incorporate debian patches to turn taint failures into warnings".
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #20, #32, #35, #57, #61, #128

14. Сообщение от universite (ok), 05-Май-21, 01:43	+/–
Такого комплекта дыр у почтовика давно не было. Используйте sendmail!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #55

15. Сообщение от Аноним (15), 05-Май-21, 01:48	–1 +/–
Над удобством postfix смеялись они. Потом появился OpenSMTPd — стали смеяться над его молодостью. Что там следующее по списку, «потом с тобой борются»?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #127

16. Сообщение от BrainFucker (ok), 05-Май-21, 04:47	+8 +/–
Hello world, даже readme никакого нет. UPD: заглянул в директорию src, лол, там весь код 35 строчек.  Ну почти идеальное ПО, нет места дырам!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #122

17. Сообщение от Аноним (17), 05-Май-21, 04:59	–4 +/–
Код exim'a не очень большой, библ нет, надеюсь, перепишут на Rust и большинство проблем уйдет. Другой вопрос, что часть проблем, про которые стараются не говорить - это НЕ проблемы с C, а проблемы с логикой, например выполение exec() без проверок на вход, конкатенация строк и прочее - т.е. никакой static analyzer их никогда не найдёт. Fuzzer, мб, и то не факт. // b.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #18, #36, #93

18. Сообщение от Аноним (17), 05-Май-21, 05:02	+1 +/–
Пример, CVE-2020-28017: "The name of the log file in buffer is derived from file_path, which is derived from log_file_path, a format string defined at compile time (or re-defined by the configuration file). On Debian, log_file_path is "/var/log/exim4/%slog", and "%s" is converted to "main", "reject", "panic", or "debug" at run time (line 398). An attacker with the privileges of the "exim" user can create a symlink (or a hardlink) in the log directory, append arbitrary contents to an arbitrary file (to /etc/passwd, for example), and obtain full root privileges:" Код писали, мозгами не думали - C тут не причём. // b.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

19. Сообщение от Читатель сайта (?), 05-Май-21, 05:42	–16 +/–
Что вы спорите то? Как будто кто-то из вас сможет в 2021ом году собственный почтовик запустить так, чтобы от него кто-то почту смог получить, особенно на гмыле. Благо спамеры так постарались, что настроить все что надо чтобы доказать что твой почтовик - не верблюд, никаких вменяемых денег частнику не хватит. Да и организации средней руки тоже в копеечку станет. Проще на стороне заказать. Ещё 15 лет назад пробить все чёрные списки и настроить все полускрытые условия было сложнейшим квестом. Сейчас практически не решаемо, и совсем не решаемо без серьёзных денег. Нет, если вы с соседом договоритесь и поставите два почтовика - никто вам переписываться не запретит. Но сервера больших игроков вроде гугла будут вас игнорировать. Так что, это уюе так - софт для музея, увы...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21, #25, #37, #40, #43, #60, #71, #106, #107

20. Сообщение от СтраусТруп (?), 05-Май-21, 06:00	+1 +/–
Вскрытие покажет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

21. Сообщение от СтраусТруп (?), 05-Май-21, 06:01	+/–
Сможем и выполнить при этом docker-compose -d
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #23

23. Сообщение от Плюсовик (?), 05-Май-21, 06:09	–2 +/–
Разве есть люди, которые выполняют на сервере docker-compose бла-бла?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

25. Сообщение от adsh (ok), 05-Май-21, 06:34	+2 +/–
Да нет там особенных проблем с настройкой, если понимать, что и как работает. Просто Gmail - это вещь в себе, не всегда поддающаяся логике. Как и многие другие крупные провайдеры почты. Но они больше доставляют проблем своим же пользователям. Их сервис - это, как своего рода, наркотик. Соцсети - из той же области, просто в куда более широком смысле.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #83, #95

27. Сообщение от Ann (??), 05-Май-21, 06:53	–2 +/–
Все верно. Но фанбоям раста ничео не докажешь. Это просто секта какая-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

28. Сообщение от trdm (ok), 05-Май-21, 06:56	+4 +/–
У чувака явно подrustковые проблемы...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #31

29. Сообщение от Аноним (29), 05-Май-21, 07:21	–1 +/–
В каких дистрах он стоит по умолчанию?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30, #38

30. Сообщение от Бот (?), 05-Май-21, 07:41	–1 +/–
Даже если нету, будет поставлен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

31. Сообщение от Michael Shigorin (ok), 05-Май-21, 08:06	–2 +/–
Я вот всё-таки надеюсь, что когда-нибудь он перейдёт в старшую группу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #33, #34, #120

32. Сообщение от Michael Shigorin (ok), 05-Май-21, 08:08	–1 +/–
> А что касается других МТА: "нет здоровых людей, > есть недообследованные пациенты". Минимум один действительно здоровый точно есть :-) Ну и попытка отмазать легендарную барбекюшницу не засчитывается. PS: как бы там ни было, рад тебя видеть :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

33. Сообщение от rico (ok), 05-Май-21, 08:47	–1 +/–
Некоторые так и живут с недоразвитым мозгом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #117

34. Сообщение от Аноним (34), 05-Май-21, 09:13	+/–
Можно забрать человека из детского сада, но детский сад из человека не всегда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

35. Сообщение от пох. (?), 05-Май-21, 09:13	–8 +/–
> Самый удобный, конфигурируемый и гибкий МТА. по первому пункту - э... вы правда пытались его конфигурировать дальше локалхоста? По-моему это трэш, превосходящий даже sendmail без m4. Потому что у того хотя бы отладчик есть, да и строки умещаются в экран. Но да, набор возможностей устарел даже по меркам экзима 2004го года. Правда, зато и "набор патчей" делающих поломанное обратно неполоманным не требуется (интересно, что в головах у авторов, что такой набор вообще нужен?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #75, #100

36. Сообщение от пох. (?), 05-Май-21, 09:16	–2 +/–
> Код exim'a не очень большой, библ нет, надеюсь, перепишут на Rust и большинство проблем уйдет. _начнут_переписывать_. Учитесь говорить о хрусте правильно. Разумеется, уйдет - будет очередной неработоспособный огрызок, делающий примерно ничего из нужного. Нет кода - нет проблем. Хотя, ничто не мешает притащить в очередной хрустовый хеловрот половину интернета зависимостями зависимостей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

37. Сообщение от пох. (?), 05-Май-21, 09:23	–1 +/–
> Как будто кто-то из вас сможет в 2021ом году собственный почтовик запустить так, чтобы от него > кто-то почту смог получить, особенно на гмыле. ну я могу. Одна проблема только: мне не очень интересно рассылать спам пользователям гмыла (его-то они как раз и получат), а вы ведь не уточнили что чтобы получить могли _любую_ почту? А поскольку в моей личной почте нет "корпоративного дизайна рассылок"(c) - гмыл выкидывает ее в помойку, поскольку "что-то не очень похоже на почту" - в смысле, на тот мусор, который он считает почтой. А спам гуглоюзерам рассылается прекрасно - чаще нас банит мэйлрушечка, они там немного т-пые, и ниасиливают белые списки даже со стопиццотой попытки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #49

38. Сообщение от пох. (?), 05-Май-21, 09:25	+1 +/–
Спите спокойно, в вашей б-жественной бубунточке нет никакого mta "по умолчанию". Вообще. Ну, действительно, зачем вам миллиард писем от юзера www-data что у него в кроне давно рассыпалась какая-то хрень - вы ж все равно их не прочитаете, пока диск не лопнет. Проще сразу сэкономить ресурсы и ничего не отправлять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

39. Сообщение от zzxc (?), 05-Май-21, 09:51	–1 +/–
Перечитайте Rust Book, от integer overflow (о чем там первые две строчки минимум) он не спасает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #118

40. Сообщение от ззззззз (?), 05-Май-21, 09:59	+3 +/–
А что там такого надо настраивать, что стоит жутких невменяемых денег??? 20 лет работаю в этой сфере и не знал про такой Клондайк!!!!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #44

41. Сообщение от Анонин (?), 05-Май-21, 10:22	+/–
Думаешь, на улучшенном языке было бы лучше?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

42. Сообщение от SubGun (??), 05-Май-21, 10:23	–4 +/–
Потому что его никто не проверял. Он только админам локалхоста и нужен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

43. Сообщение от Онаним (?), 05-Май-21, 10:32	+1 +/–
Бро, ты гонишь. Никаких особо денег, кроме как на инфраструктуру, не требуется. (ещё требуется на поддержку клиентов, если ты xSP - наш случай, в кровавом энтерпрайзе - вменяемый постмастер) Гугл не игнорирует. Что-то мы делаем не так. Да, девляпсам наверное не справиться - не их среда, инфраструктуры-как-кот нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #67

44. Сообщение от Онаним (?), 05-Май-21, 10:33	+5 +/–
Ды вот да, сюрпрайз. Не, просто современные девляпсы плохо вообще себе представляют, как мыло работает. Это ж не собственные логи собственного докера в собственный эластик говнять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #51

45. Сообщение от Анонин (?), 05-Май-21, 10:37	+/–
А твоя Максимальная на чем написана?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

46. Сообщение от Аноним (46), 05-Май-21, 10:45	–1 +/–
а вот было бы написано на Расте, такого решета не случилось бы!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #123

47. Сообщение от Аноним (46), 05-Май-21, 10:47	–1 +/–
... или постфик никому не нужен, вот и не находят
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #58

48. Сообщение от Аноним (46), 05-Май-21, 10:48	+/–
а что у  тебя там сейчас, MS Exchange? )))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #70, #72

49. Сообщение от onanim (?), 05-Май-21, 10:52	–2 +/–
вот кстати да, на мейлру мои письма чаще не доходят, чем на гмейл. но мейлру хотя бы пишет в ответ на недоставленное письмо код ошибки и ссылку на разбан, несколько раз пользовался - всегда разбанивали. а к гмейлу вообще никак не достучаться, техподдержка и какие-либо контакты в принципе отсутствуют. и поддерживаю других ораторов: чукча-читатель воистину девляпс и не умеет настраивать почту.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #62

50. Сообщение от Аноним (50), 05-Май-21, 10:54	+/–
Debian как всегда не обновил
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #53

51. Сообщение от ззззззз (?), 05-Май-21, 10:54	+/–
Ну чел точно знает где копать! проговорился :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

52. Сообщение от Аноним (52), 05-Май-21, 10:56	+/–
Еще одна жертва маркетинга Раста.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #54

53. Сообщение от Аноним (52), 05-Май-21, 10:57	+/–
Дебиан он особо-то и не нужен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #56

54. Сообщение от Аноним (54), 05-Май-21, 11:33	+3 +/–
Да это все та же.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

55. Сообщение от YetAnotherOnanym (ok), 05-Май-21, 11:52	+1 +/–
У него же страшный и ужасный sendmail.cf! Это ж надо прочитать "Sendmail Installation and Operation Guide", а это слишком сложно!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #66

56. Сообщение от Аноним (56), 05-Май-21, 11:57	+/–
Автора дебиана застрелили. Rip теперь им управляют те же макаки что и exim.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

57. Сообщение от Аноним (-), 05-Май-21, 12:08	+/–
>> Проблемам подвержены все версии Exim, история которых отслеживается в Git с 2004 года > А что касается других МТА: "нет здоровых людей, есть недообследованные пациенты". > Главное, чтобы найденные проблемы вовремя исправляли. . >> с 2004 года > вовремя исправляли МакЛауд, залогинься!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

58. Сообщение от Аноним (54), 05-Май-21, 12:17	+2 +/–
Если верить недавней новости, треть серверов (у Exit оставшиеся две трети), что далеко не "никому".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #69

59. Сообщение от Аноним (60), 05-Май-21, 12:39	+/–
10! Карл, 10! Удаленных!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #64, #81

60. Сообщение от Аноним (60), 05-Май-21, 12:41	+1 +/–
Руки поправь. Всё отлично доходит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

61. Сообщение от Pahanivo (ok), 05-Май-21, 12:42	+/–
> позволяет сразу удалённо выполнить код с правами root его под непривилигированным юзером не запустить?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #77

62. Сообщение от пох. (?), 05-Май-21, 13:32	+/–
> но мейлру хотя бы пишет в ответ на недоставленное письмо код ошибки и ссылку на разбан это на одно. А на десяток тысяч уже не пишет. Каждый раз вручную общаться с поддержкой тоже изрядно надоедает. > и поддерживаю других ораторов: чукча-читатель воистину девляпс и не умеет настраивать почту. возможно наоборот - он умеет настраивать почту, он не умеет подмахивать гуглю. Что с умением "настраивать почту" ничего общего не имеет. И да, как у тебя, к примеру, с умением настроить список рассылки, сохраняющий адрес отправителя (т.е. не требующий лишних телодвижений для не гадить в список личными ответами) ? Вот спам рассылать - никаких умений не надо. Можно просто скачать бесплатно-без-смс, кстати.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

63. Сообщение от andy (??), 05-Май-21, 13:36	–1 +/–
> главное ведь не сломать совместимость с г-нецом мамонта О какой совместимости идет речь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #68

64. Сообщение от Аноним (50), 05-Май-21, 13:39	+/–
Тебе жалко?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

65. Сообщение от lockywolf (ok), 05-Май-21, 13:41	–1 +/–
Зачем, если есть qmail? Netqmail, конечно.
Ответить | Правка | Наверх | Cообщить модератору

66. Сообщение от пох. (?), 05-Май-21, 13:44	+/–
Ну вот ты прочитал? Тогда расскажи мне, как в сендмэйле банально проверить на входящем релее наличие адреса пользователя в ldap без костылей и подпорок? Нет, доставлять будет не этот сендмэйл, но реджект надо отправить на нем, чтобы не слать потом писем на ни в чем не виноватых постмастеров поддельных from. Хммм... хотя, предположим на минуточку, что локальная доставка - тоже sendmail. По какой-то причине до нас все же долетело письмо с невалидным from (не разрешененный spf источник и валидный указатель в dkms с reject/notify на другой совсем адрес). Как НЕ отправлять непрошенных dsn/отправлять только нужное и куда положено? Я понимаю, что в 2004м году редкий боевой п-с додумался бы до первого, и тем более никто не мог подумать о втором. Но сейчас-то что делать? P.S. всеми любимый поцфикс, afair, до сих пор первое только костылями, пригодными только для локалхоста, а второе вообще никак? Ну ок, продаваны ironport не зря паркуют свой линкольн около пятиэтажной виллы в гейареа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #76, #80, #111

67. Сообщение от пох. (?), 05-Май-21, 13:46	+/–
> Гугл не игнорирует. > Что-то мы делаем не так. попробуйте не рассылать спам. Хотя бы пару месяцев. А, ну да, вы ж не можете.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #73, #90

68. Сообщение от пох. (?), 05-Май-21, 13:53	–3 +/–
postconf mynetworks_style openrelay в _каждой_, с-ка, установке по умолчанию. Если только заботливые опакечиватели не позаботились перекрыть. Но чаще они это делают в другом месте, поэтому при попытке все же хоть что-то порелеить - васян получит в нагрузку и это тоже. Там еще и был занятный баг, для multihomed hosts делавший вообще 0.0.0.0 или около того. Не знаю, исправлен или до сих пор нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

69. Сообщение от пох. (?), 05-Май-21, 13:54	–3 +/–
> Если верить недавней новости, треть серверов (у Exit оставшиеся две трети), ну и зачем ты веришь явному бреду?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #94

70. Сообщение от BorichL (?), 05-Май-21, 13:54	+1 +/–
У него там gmail.com
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #125

71. Сообщение от BorichL (?), 05-Май-21, 14:01	+/–
Ой, как дорого жить! А я то дурак и не знал, когда настраивал, что не смогу настроить. Вот до сих пор не понимаю, как же я смог! Сам то пробовал настраивать, или тёплое креслице придавило начальствующий моск и это сисадмин нашептал?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #88

72. Сообщение от Аноним (72), 05-Май-21, 14:06	–6 +/–
> а что у  тебя там сейчас, MS Exchange? ))) Для почты где mutt или clawsmail, если вы о клиентах. Я изначально искхожу из того, что если я чем-то пользуюсь, пользуюсь всё равно, то альтернативы не следует содержать в системе, особенно когда они частенько фигурируют в новостях про очередные уязвимости. Поэтому, если мне встречается дистрибутив с уже предустановленным Exim я его оттуда выпиливаю, потому что мне не нужно, если же его нету, то и ладно! ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #92

73. Сообщение от Онаним (?), 05-Май-21, 14:19	+/–
Наверное наоборот, надо попробовать порассылать :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #74

74. Сообщение от пох. (?), 05-Май-21, 14:38	+/–
Не надо сказочек. Просто удали нахер все рассылки "дорогой обожаемый пользователь, мы снова повысили ценник на нашу нахер тебе ненужную услугу триперпей, без которой хрен тебе а не интернет!" Да, это спам, внезапно. Как и прочие "нереальные пердолжения". Пользователь нихрена о подобной милости не просит. Наличие кнопки "отписаться" ничего не меняет, у любого спаммера есть такая, а у некоторых даже и работают (чего на тебя ресурс переводить, если ты это все равно настолько нечитатель, что не ленишься нажать "отписаться" - надо прислать что-нибудь из другого профиля) А вот когда ты это удалишь - расскажи мне, как хорошо доставляется твое личное письмо плейнтекстом без "корпоративного дизайна" - с релея, выпавшего из статистики, обеспечиваемой тем вот мусором. Потом заходи, про рассылки поговорим - не про мусорные, а про нормальные maillists.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #86

75. Сообщение от adsh (ok), 05-Май-21, 14:52	+1 +/–
Debug: exim -bhc <sender_ip> 2>debug.log
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

76. Сообщение от YetAnotherOnanym (ok), 05-Май-21, 15:00	+/–
Смотря что считать костылями. Первое, что приходит на ум - найти (или, в крайнем случае, написать) прокладку, которая будет через милтер брать энвилопный адрес и проверять на валидность. А вторую задачу вообще не понял - если мы точно знаем, что адрес from инвалидный - дискард и всё. Или задача состоит в том, чтобы определить валидность?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #78

77. Сообщение от Moomintroll (ok), 05-Май-21, 15:01	–1 +/–
> его под непривилигированным юзером не запустить? Я запускаю. Правда нужно сделать пару телодвижений: CAP_NET_ADMIN, выпилить роутер userforward и, если нужны локальные мейлбоксы, создавать их вручную (по крону) с правами, позволяющими запись exim'у, предварительно переконфигурив транспорт local_delivery на работу под непривилегированным пользователем (mail).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #79

78. Сообщение от пох. (?), 05-Май-21, 15:07	+/–
Ну то есть чудовищный набор костылей и подпорок, внешних по отношению к mta, да еще и milter-based - то есть стопудов неосиляемый, если только за тебя это уже кто-то не сделал (что маловероятно, ибо никому кроме сендмэйла не нужно, а те васяны от старости уже подохли) и весьма чреватый не то что дырками, а просто крэшами под нагрузкой (привет идиотии пихавших мультитредовый милтер в сендмэйл) Ну о чем, собственно, и речь. И да, что будем делать с dsn нетуда? Это ты никаким milter'ом не осилишь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #85

79. Сообщение от пох. (?), 05-Май-21, 15:13	–4 +/–
> Правда нужно сделать пару телодвижений: выпилить нормальный юникс, и накостылякать подпорок. Вместо сброса привиллегий сразу после использования - навечно "net_admin" (вспомним, сколько дыр было в этом месте), вместо работы от конечного получателя - "мэйлбоксы по крону"... Нет, я согласен, в общем-то, что exim только таким способом и можно как-то запускать не в специальном отсаднике где ущерб тоже возможен, но ограничен почтой. Но ведь этим людям искренне не нравится exchange...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

80. Сообщение от slepnoga (??), 05-Май-21, 15:15	–2 +/–
Мильтер. У тебя каша в бОшке. Postfix это рутер и  framework, exim комбайн с перловкой и кроном. В домильтерную эпоху тоже справлялся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

81. Сообщение от adsh (ok), 05-Май-21, 16:38	+/–
Они были, когда о них никто и не знал. А теперь их уже нет :).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #121

83. Сообщение от пох. (?), 05-Май-21, 17:26	–1 +/–
> Да нет там особенных проблем с настройкой, если понимать, что и как > работает. Просто Gmail - это вещь в себе, не всегда поддающаяся Ну, вообще-то немного и заплатить не забудь. А то проблем с настройкой нет, а почта твоя никем не принимается - потому что неположено васяну ее иметь личную. Вон к гуглю иди, от него примут. Ну либо заводи где-то (небесплатный, кстати) ip адрес из "приличного" диапазона, желательно не заляпанного предыдущим владельцем. Для начала. Удивительно, что местные горе-админы больших (якобы) почтовых систем это не понимают. > логике. Как и многие другие крупные провайдеры почты. Но они больше > доставляют проблем своим же пользователям. неее, чувак, они доставляют проблем ТВОИМ пользователям (имеющим нещастье быть еще и пользователями гугля) Причем ни один такой пользователь не сбежит к вменяемому почтовому сервису - он будет топотать ножками и требовать от тебя прогнуться под гуглевые правила. Все гугля удовлетворяют, один ты не хочешь, гад такой!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #84

84. Сообщение от adsh (ok), 05-Май-21, 17:45	+2 +/–
Если настроить SPF/DKIM/DMARC и следить за пользователями - особых проблем с гуглом нет. А у его пользователей есть, например, он (временами?) воспринимает 5хх отлуп как 4хх и двое суток пытается доставить письмо на деревню дедушке - их юзер, с надеждой, ждёт :). Про идиотский веб интерфейс ихней почты - разговор отдельный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83

85. Сообщение от YetAnotherOnanym (ok), 05-Май-21, 17:47	+/–
Не знаю насчёт чудовищности, но внешний по отношению к мта - это, имхо, правильно, ровно так же, как вне мта почта проверяется на спам и малварь. А насчёт крашей - когда у нас юзеры ловили вируса, который ставил спамагента, LA на машине со спамассассином мог подскочить до нескольких сотен, потом скрипт блочил IP абонента и LA опускался до нормы. Крашей не было, бэкскеттера тоже. Насчёт дсн - смотреть надо. По идее, мта, спамобойка и все, через кого письмо прошло, должны свои X-заголовки вставлять, по ним можно что-то решать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #96

86. Сообщение от Онаним (?), 05-Май-21, 19:15	+/–
Да не, ты тоже гонишь. Наш собственный трафик на этих релеях составляет менее 0.001%
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #87, #98

87. Сообщение от Онаним (?), 05-Май-21, 19:19	+/–
Менее 0.01%, сорян. Он в масштабе 0.001-0.003%
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

88. Сообщение от Онаним (?), 05-Май-21, 19:21	+/–
Не, я наверное даже рискнул бы его поддержать - мне клиенты "заказать на аутсорс" тоже нужны :D Хотя конечно почта сама по себе - давно уже просто приложение к другим услугам, она ещё в плюсе, но там очень скромный плюс чтобы её самостоятельной услугой делать, мы не гугл.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #89

89. Сообщение от Онаним (?), 05-Май-21, 19:22	+/–
(не, есть ребята, которые берут почту only для своих доменов, но их от общего числа клиентов по почте не сильно заметно, по числу ящиков чуть поболее, но тоже так это себе)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #99

90. Сообщение от Онаним (?), 05-Май-21, 19:25	+/–
(у нас спам другого характера. на билбордах например)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

91. Сообщение от vantoo (ok), 05-Май-21, 19:49	+/–
Чем меньше функционала, тем меньше дыр.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #109

92. Сообщение от DIO (?), 05-Май-21, 20:12	+5 +/–
мусье а ну как прийдете с продленки ознакомтесь в чем разница между MTA и MUA
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

93. Сообщение от DIO (?), 05-Май-21, 20:13	+/–
ага... только на бейсике только бдсм!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

94. Сообщение от fske (?), 05-Май-21, 20:42	+/–
А ты думал твои дырявые эксченжи что-то решают? Ну тогда ты в который раз подверждаешь истину, что ты сказочной долбо..б
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

95. Сообщение от Аноним (100), 05-Май-21, 21:06	+2 +/–
Настраиваешь SPF, DKIM, DMARC и обратку. И не хостишь на помойках, подсети которых во всех блеклистах. И внезапно все работает. Проверять корректность конфигурации удобно на mail-tester.com.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #97

96. Сообщение от пох. (?), 05-Май-21, 22:19	+1 +/–
Ну действительно, ведь к мта задача обработки,с-ко, СЕССИИ - не имеет ни малейшего отношения. Давайте при открытом tcp соединении вызовем стосорок нескучных интерфейсов (из fork&exec mta причем!) и пусть весь мир подождет. > По идее, мта, спамобойка и все, через кого письмо прошло, должны свои X-заголовки вставлять причем тут заголовки? Это опять обработка сессии. Только на конечном релее получателя. Доставить письмо не получается - надо сообщить об этом отправителю (на этот раз - отправителю, а не промежуточному mta, он тут непричем). Ой, нет, не надо - тут фейковый from, и отправитель прицельно просит не сообщать ему о каждой рассылке с его подделанных адресов. Ну устарел немножко сендмэйл, устарел, с 2004го года мир изменился. А боевой п-с растерял боевой задор, поди и не стоит на парней у него уже, поэтому поправить уже ничего не может. Пенсия, дача, рыбалка. И его mta тоже уже пора на покой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #108

97. Сообщение от пох. (?), 05-Май-21, 22:22	+/–
да-да, заплати за воздух чтобы гугль был счастлив. Еще через пару лет твой совет будет звучать "и хостись в одобренном гуглем особом списке датацентров, с которых он еще соизволит изредка что-то принимать". И ничего, ты тоже счастливо побежишь в первых рядах. (а что, деньги-то дядины, вряд ли ты свой почтовый сервер держишь)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95 Ответы: #101, #112

98. Сообщение от пох. (?), 05-Май-21, 22:35	+/–
Ну, значит клиенты за тебя стараются, набивают гуглю статистику "корпоративным дизайном". У меня вот мой собственный траффик уже пять лет составляет 100%, поскольку услуга почтового сервиса в наши дни никому не нужна (если только ты не гугль), а больше на этом хосте ничего давным-давно и нет, и прохождение его весьма и весьма ненадежно. Ну очень ведь похоже на спам! Просто завались вот спама в плейнтексте приходит! Я целый один раз такой видел. От нигерийского кос...тыпонял. Ну его можно понять, он в 80м году полетел, кажется. Вот с корпоративного эксченджа, со всеми положенными побрякушками и мигающей гифкой в подписи, согласно корпоративным стандартам - все доходит, тем же адресатам. Без всяких бесполезных dkim, замечу. Которые как раз у каждого спамера сегодня есть, они-то напрямую рассылают, им-то он ничем не мешает. А, ну да, ну да - зато у корпоративного домена есть волшебный google-site-verification. При том что, разумеется, там никто и никогда даже не мыслил пользоваться гуглевой почтой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

99. Сообщение от пох. (?), 05-Май-21, 22:37	+/–
небось, те самые жлобы, не желающие хоститься на "правильных" ip-адресах с точки зрения гугля.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

100. Сообщение от Аноним (100), 05-Май-21, 22:49	+2 +/–
Пытались, и успешно. Там есть определенный порог вхождения, который надо преодолеть, вникнув в его терминологию и workflow, и документация написана из предположения, что читающий это все понимает, но в целом задокументировано все ничуть не хуже сендмейла, в чем-то даже лучше. В целом все очень гибко, чего не хватает, можно докостылить на перле. Но дырявость, конечно, удручает. Хотя в любом комбайне наверное так.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #102

101. Сообщение от Аноним (100), 05-Май-21, 22:55	+1 +/–
Я сам себе дядя :) Помойка в смысле совсем помойка, с дешевого хецнера все отлично работает с первой попытки. Проблемы были только с мейл.ру, который как-то расширительно толкует spf. Я так и не понял, что им не нравится, ну и да ладно, пользователи мейл.ру должны страдать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97 Ответы: #104, #130

102. Сообщение от pin (??), 06-Май-21, 00:10	+/–
В postfix не так.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100 Ответы: #103, #110

103. Сообщение от Аноним (100), 06-Май-21, 00:24	+/–
Так постфикс не комбайн.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102

104. Сообщение от пох. (?), 06-Май-21, 00:26	+/–
> Помойка в смысле совсем помойка, с дешевого хецнера все отлично работает с первой попытки. Ну повезло тебе. А завтра не повезет (угадай, какой spam score имеют в гугле соседние с твоей помойки, на которых запущен тор-exit? Да, их там есть, не смотря на якобы-запрет в policy. Впрочем, там и куда поинтереснее есть, но те, полагаю, так не палятся.) > Проблемы были только с мейл.ру, который как-то расширительно толкует spf. может проблемы не в мэйлру а в твоем непонимании spf? У меня вот нет проблем с мэйлру (не считая мелочи что они добуквенно следуют стандарту, даже там где он откровенно бредов). > пользователи мейл.ру должны страдать. это ты не можешь им написать, а не они тебе. Так что (поскольку вряд ли твои письма имеют для человечества хоть какую-то ценность) страдаешь только ты сам - за свои же деньги. Ну и да, почем там воздух у дешевого хетзнера? А то я вот мечтаю куда-нибудь свалить от этой "дешевизны", с ее 30% любимому фюреру.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101

105. Сообщение от Аноним (105), 06-Май-21, 02:30	+1 +/–
как обновиться в CentOS 6?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #113, #131

106. Сообщение от Тот самый (?), 06-Май-21, 02:31	+2 +/–
>Как будто кто-то из вас сможет в 2021ом году собственный почтовик запустить так, чтобы от него кто-то почту смог получить, особенно на гмыле. В чем проблема-то? С 2000 г. живет мой личный домен <моя_фамилия>.com Крутится там персональный почтовый сервер для моей семьи на 5 почтовых ящиков. Сначала он работал на Qmail, а последние 10 лет на Exim. Не имею ни каких проблем с отправкой писем в любые адреса, в том числе на Gmail - всегда все доходит. Настроены все доп. протоколы: SPF, DKIM, DMARC, MTA-STS, SRS. Благо Exim легко все это позволяет. Реальный IP адрес - корпоративный МТС. Может проблема, как обычно, в прокладке?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

107. Сообщение от а (?), 06-Май-21, 09:07	+1 +/–
а в чем проблема? Вот отправил письмо со своего сервера на гмейл - пришло без проблем. Никому не платил, даже сертификат ссл самоподписанный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

108. Сообщение от YetAnotherOnanym (ok), 06-Май-21, 09:53	+/–
Отработать сессию - это (в данном случае) ответить на "rcpt to:", а вот как принять решение о том, что ответить - это уже решает mta, и тут полностью всё в руках его автора - реализовать все необходимые алгоритмы в самом mta, или сделать возможность делегировать этот вопрос стороннему ПО по усмотрению админа (например, у кого-то имена привязяны к какому-нибудь радиусу или таках+ - их поддержку тоже в мта запихивать?). Насчёт бэкскеттера потом, щас працюваты треба.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96

109. Сообщение от xm (ok), 06-Май-21, 10:44	+1 +/–
Нет функционала - нет дыр. PROFIT!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

110. Сообщение от xm (ok), 06-Май-21, 10:47	+2 +/–
Потому что сам Postfix в сравнении с Exim умеет примерно ничего.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102

111. Сообщение от xm (ok), 06-Май-21, 10:51	+1 +/–
> Ну ок, продаваны ironport не зря паркуют свой линкольн около пятиэтажной виллы в гейареа. Мы тут заканчиваем проект перевода большой коммерческой системы с Ironport на Exim с сохранением всех функций и автоматической конвертацией policies первого в ACL последнего. Могу сказать, что Exim легко покрывает функции Ironport по-крайней мере в том объёме, который используется заказчиком. В результате ребята будут экономить миллионы не рублей ежегодно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #119

112. Сообщение от xm (ok), 06-Май-21, 11:01	+1 +/–
>  да-да, заплати за воздух чтобы гугль был счастлив. Google это образец адекватности в сравнении с другими, например Microsoft. Эти мрази вообще придумали платную (!) сертификацию с тем, чтобы ваша почта точно доставлялась их клиентам. А иначе как получится, и попадание в спам это не самый худший вариант. Бывает что письмо принято и... бесследно исчезло в их недрах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

113. Сообщение от Тот самый (?), 06-Май-21, 13:26	+2 +/–
>как обновиться в CentOS 6? В 2021 году выставлять в интернет CentOS-6 можно только при условии, что ты сам собираешь и обновляешь критические пакеты (openssl, openssh и т.п.). В этом случае обновить exim до версии 4.94.2 не составит труда. В противном случае необходимо срочно менять дистр на актуально поддерживаемый!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105

114. Сообщение от Аноним. (?), 06-Май-21, 19:22	+/–
> Есть: https://github.com/hyperfekt/secure-mta Нет нету. Сферический конь в вакууме.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

115. Сообщение от Аноним. (?), 06-Май-21, 19:23	+/–
> Сплошные сишные оверфлоу хахаха Вообще-то нет. Сопли подотри и из подгузника выползи для начала.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

116. Сообщение от Аноним. (?), 06-Май-21, 19:35	+/–
> Сплошные сишные оверфлоу хахаха Забей недорослик. Вы вообще до сих пор не научились с памятью работать. Одно балабольство. Вон на языке DebiRust тоже дыр нет. И тоже на нём ничего нет. И вообще языка нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

117. Сообщение от Аноним. (?), 06-Май-21, 19:44	+/–
> Некоторые так и живут с недоразвитым мозгом. Для этого даже диагноз есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

118. Сообщение от Аноним. (?), 06-Май-21, 19:46	+/–
> Перечитайте Rust Book, от integer overflow (о чем там первые две строчки > минимум) он не спасает. Не только от этого. Учитывая современные стандарты c++ rust вообще ни от чего не спасёт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

119. Сообщение от liggtspeed (?), 07-Май-21, 01:57	+/–
Ага. И с каждым новым апдейтом экзима, правим конфиги. Потому как старые, вдруг резко перестают работать..
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111 Ответы: #126

120. Сообщение от Аноним (120), 07-Май-21, 02:41	+/–
ты-то уже 4-й десяток перейти не можешь, с твоей стороны странно ожидать подобного от других
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

121. Сообщение от Аноним (121), 07-Май-21, 04:31	+/–
Из минисоты наверно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81

122. Сообщение от Аноним (-), 07-Май-21, 05:22	+/–
Так не врут же - если программа не работает, то и хакнуть ее не получится. А на 34-й строчке хрустик заметил что языком п... - не мешки ворочать, вот и пропал запал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

123. Сообщение от Аноним (-), 07-Май-21, 05:25	+/–
Это Exim, они марку держат. Так что пришлось бы и на русте unsafe везде налепить, обвесив UB-ом. Чуваки из Qualis видимо просто были первые кто вообще анализатор на этом запустил. Вот и нашли 20 багов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

124. Сообщение от Аноним (-), 07-Май-21, 05:27	+/–
> ну если "правильная архитектура" это когда ПО просто ничего не умеет толком - то да. В полном соответствии с попытками дедушки DJB осознать как вообще вулны появляются. Нет фичи - нет багов в ней - а раз вулны частный вид багов то и их тоже нет. Логично. А если фича не требовалась - то и проблем нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

125. Сообщение от Аноним (-), 07-Май-21, 05:28	+/–
Его там еще не зобанили? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

126. Сообщение от xm (ok), 07-Май-21, 11:18	+/–
Учитесь писать их так, чтобы править ничего не требовалось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119

127. Сообщение от xm (ok), 08-Май-21, 15:27	+/–
ойц, ужо https://www.cvedetails.com/product/27750/Openbsd-Opensmtpd.h...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #129

128. Сообщение от suffix (ok), 08-Май-21, 17:35	+/–
Прочитал информацию эту в оригинале и если я не ошибаюсь то если exim-ом пользуюсь только я сам то вышеуказанные "уязвимости" мне нестрашны ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

129. Сообщение от Аноним (15), 10-Май-21, 16:14	+/–
Угу. 2 RCE за семь лет, из них только одна в конфигурации по умолчанию. А в обсуждаемой новости сколько, и за какой это период, напомнить?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127

130. Сообщение от Аноним (15), 10-Май-21, 16:22	+/–
Mail.Ru может ругаться на SPF, но на самом деле хочет DKIM. После появления _dmarc и dk2048-2021._domainkey в зоне, всё стало шоколадно. Ну, filter dkimsign, конечно, тоже подключил. ;-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101

131. Сообщение от Аноним (15), 10-Май-21, 16:27	+/–
apt-get install lenny
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема