The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Exim 4.94.2 с устранением 10 удалённо эксплуатируемых уязвимостей

04.05.2021 20:38

Опубликован выпуск почтового сервера Exim 4.94.2 с устранением 21 уязвимости (CVE-2020-28007-CVE-2020-28026, CVE-2021-27216), которые выявлены компанией Qualys и представлены под кодовым именем 21Nails. 10 проблем могут быть эксплуатированы удалённо (в том числе для выполнения кода с правами root), через манипуляции с SMTP-командами при взаимодействии с сервером.

Проблемам подвержены все версии Exim, история которых отслеживается в Git с 2004 года. Для 4 локальных уязвимостей и 3 удалённых проблем подготовлены рабочие прототипы эксплоитов. Эксплоиты для локальных уязвимостей (CVE-2020-28007, CVE-2020-28008, CVE-2020-28015, CVE-2020-28012) позволяют поднять свои привилегии до пользователя root. Две удалённые проблемы (CVE-2020-28020, CVE-2020-28018) позволяют без аутентификации выполнить код с правами пользователя exim (затем можно получить доступ root, эксплуатировав одну из локальных уязвимостей).

Уязвимость CVE-2020-28021 позволяет сразу удалённо выполнить код с правами root, но требует аутентифицированного доступа (пользователь должен установить аутентифицированный сеанс, после чего может эксплуатировать уязвимость через манипуляции с параметром AUTH в команде MAIL FROM). Проблема вызвана тем, что атакующий может добиться подстановки строки в заголовок spool-файла из-за записи значения authenticated_sender без должного экранирования спецсимволов (например, передав команду "MAIL FROM:<> AUTH=Raven+0AReyes").

Дополнительно отмечается, что ещё одна удалённая уязвимость CVE-2020-28017 пригодна для эксплуатации для выполнения кода с правами пользователя "exim" без аутентификации, но требует наличия более 25 ГБ памяти. Для остальных 13 уязвимостей потенциально также могут быть подготовлены эксплоиты, но работа в этом направлении пока не проводилась.

Разработчики Exim были уведомлены о проблемах ещё в октябре прошлого года и потратили более 6 месяцев на разработку исправлений. Всем администраторам рекомендовано срочно обновить Exim на своих почтовых серверах до версии 4.94.2 (напомним, что Exim используется примерно на 59% почтовых серверов). Все версии Exim до выпуска 4.94.2 объявлены устаревшими (obsolete). Публикация новой версии была скоординирована с дистрибутивами, которые одновременно опубликовали обновления пакетов: Ubuntu, Arch Linux, FreeBSD, Debian, SUSE и Fedora. RHEL и CentOS проблеме не подвержены, так как Exim не входит в их штатный репозиторий пакетов (в EPEL обновление пока отсутствует).

Удалённые уязвимости:

  • CVE-2020-28017: Целочисленное переполнение в функции receive_add_recipient();
  • CVE-2020-28020: Целочисленное переполнение в функции receive_msg();
  • CVE-2020-28023: Чтение из области вне выделенного буфера в функции smtp_setup_msg();
  • CVE-2020-28021: Подстановка новой строки в заголовок спул-файла;
  • CVE-2020-28022: Запись и чтение в области вне выделенного буфера в функции extract_option();
  • CVE-2020-28026: Усечение и подстановка строки в функции spool_read_header();
  • CVE-2020-28019: Сбой при сбросе указателя на функцию после возникновения ошибки BDAT;
  • CVE-2020-28024: Переполнения через нижнюю границу буфера в функции smtp_ungetc();
  • CVE-2020-28018: Обращение к буферу после его освобождения (use-after-free) в tls-openssl.c
  • CVE-2020-28025: Чтение из области вне выделенного буфера в функции pdkim_finish_bodyhash().

Локальные уязвимости:

  • CVE-2020-28007: Атака через символическую ссылку в каталоге с логом Exim;
  • CVE-2020-28008: Атаки на каталог со спулом;
  • CVE-2020-28014: Создание произвольного файла;
  • CVE-2021-27216: Удаление произвольного файла;
  • CVE-2020-28011: Переполнение буфера в функции queue_run();
  • CVE-2020-28010: Запись за границу буфера в функции main();
  • CVE-2020-28013: Переполнение буфера в функции parse_fix_phrase();
  • CVE-2020-28016: Запись за границу буфера в функции parse_fix_phrase();
  • CVE-2020-28015: Подстановка новой строки в заголовок спул-файла;
  • CVE-2020-28012: Отсутствие флага close-on-exec для привилегированного неименованного канала;
  • CVE-2020-28009: Целочисленное переполнение в функции get_stdinput().




  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Новая версия почтового сервера Exim 4.94
  3. OpenNews: Опубликован Exim 4.92.3 с устранением четвёртой за год критической уязвимости
  4. OpenNews: Раскрыты подробности критической уязвимости в Exim
  5. OpenNews: Обновление Exim 4.92.1 с устранением уязвимости
  6. OpenNews: Массовая атака на уязвимые почтовые серверы на основе Exim
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Короткая ссылка: https://opennet.ru/55079-exim
Ключевые слова: exim
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (123) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Fracta1L (ok), 21:51, 04/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –16 +/
    Сплошные сишные оверфлоу хахаха
     
     
  • 2.4, заминированный тапок (ok), 22:29, 04/05/2021 [^] [^^] [^^^] [ответить]  
  • +8 +/
    ну растовых зато нигде нет (потому что и раста самого нигде нет)
     
     
  • 3.8, Сейд (ok), 23:28, 04/05/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Есть: https://github.com/hyperfekt/secure-mta
     
     
  • 4.16, BrainFucker (ok), 04:47, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Hello world, даже readme никакого нет.

    UPD: заглянул в директорию src, лол, там весь код 35 строчек.  Ну почти идеальное ПО, нет места дырам!

     
     
  • 5.122, Аноним (-), 05:22, 07/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так не врут же - если программа не работает, то и хакнуть ее не получится. А на 34-й строчке хрустик заметил что языком п... - не мешки ворочать, вот и пропал запал.
     
  • 4.114, Аноним. (?), 19:22, 06/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Есть: https://github.com/hyperfekt/secure-mta

    Нет нету. Сферический конь в вакууме.

     
  • 3.28, trdm (ok), 06:56, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    У чувака явно подrustковые проблемы...
     
     
  • 4.31, Michael Shigorin (ok), 08:06, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Я вот всё-таки надеюсь, что когда-нибудь он перейдёт в старшую группу.
     
     
  • 5.33, rico (ok), 08:47, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Некоторые так и живут с недоразвитым мозгом.
     
     
  • 6.117, Аноним. (?), 19:44, 06/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Некоторые так и живут с недоразвитым мозгом.

    Для этого даже диагноз есть.

     
  • 5.34, Аноним (34), 09:13, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Можно забрать человека из детского сада, но детский сад из человека не всегда.
     
  • 5.120, Аноним (120), 02:41, 07/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ты-то уже 4-й десяток перейти не можешь, с твоей стороны странно ожидать подобного от других
     
  • 3.39, zzxc (?), 09:51, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Перечитайте Rust Book, от integer overflow (о чем там первые две строчки минимум) он не спасает.
     
     
  • 4.118, Аноним. (?), 19:46, 06/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Перечитайте Rust Book, от integer overflow (о чем там первые две строчки
    > минимум) он не спасает.

    Не только от этого. Учитывая современные стандарты c++ rust вообще ни от чего не спасёт.

     
  • 2.41, Анонин (?), 10:22, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Думаешь, на улучшенном языке было бы лучше?
     
  • 2.46, Аноним (46), 10:45, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а вот было бы написано на Расте, такого решета не случилось бы!
     
     
  • 3.123, Аноним (-), 05:25, 07/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это Exim, они марку держат. Так что пришлось бы и на русте unsafe везде налепить, обвесив UB-ом. Чуваки из Qualis видимо просто были первые кто вообще анализатор на этом запустил. Вот и нашли 20 багов.
     
  • 2.52, Аноним (52), 10:56, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Еще одна жертва маркетинга Раста.
     
     
  • 3.54, Аноним (54), 11:33, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Да это все та же.
     
  • 2.115, Аноним. (?), 19:23, 06/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Сплошные сишные оверфлоу хахаха

    Вообще-то нет.

    Сопли подотри и из подгузника выползи для начала.

     
  • 2.116, Аноним. (?), 19:35, 06/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Сплошные сишные оверфлоу хахаха

    Забей недорослик. Вы вообще до сих пор не научились с памятью работать. Одно балабольство.

    Вон на языке DebiRust тоже дыр нет. И тоже на нём ничего нет. И вообще языка нет.

     

  • 1.2, Павел (??), 22:01, 04/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +17 +/
    Postfix тоже на си, но там не находят каждый год дыры. Наверно все-таки дело в кривизне рук и правильной архитектуре ПО.
     
     
  • 2.3, пох. (?), 22:16, 04/05/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    ну если "правильная архитектура" это когда ПО просто ничего не умеет толком - то да.

    И да, world writable spool из-за панической боязни запутаться в собственных руках очень трудно назвать "правильной архитектурой".

    P.S. как там с open relay из коробки - все по прежнему, главное ведь не сломать совместимость с г-нецом мамонта?


     
     
  • 3.6, onanim (?), 22:45, 04/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > open relay из коробки

    аж пичот

     
  • 3.63, andy (??), 13:36, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > главное ведь не сломать совместимость с г-нецом мамонта

    О какой совместимости идет речь?

     
     
  • 4.68, пох. (?), 13:53, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    postconf mynetworks_style

    openrelay в _каждой_, с-ка, установке по умолчанию.
    Если только заботливые опакечиватели не позаботились перекрыть.

    Но чаще они это делают в другом месте, поэтому при попытке все же хоть что-то порелеить - васян получит в нагрузку и это тоже.

    Там еще и был занятный баг, для multihomed hosts делавший вообще 0.0.0.0 или около того. Не знаю, исправлен или до сих пор нет.

     
  • 3.124, Аноним (-), 05:27, 07/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > ну если "правильная архитектура" это когда ПО просто ничего не умеет толком - то да.

    В полном соответствии с попытками дедушки DJB осознать как вообще вулны появляются. Нет фичи - нет багов в ней - а раз вулны частный вид багов то и их тоже нет. Логично.

    А если фича не требовалась - то и проблем нет.

     
  • 2.27, Ann (??), 06:53, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Все верно. Но фанбоям раста ничео не докажешь. Это просто секта какая-то.
     
  • 2.42, SubGun (??), 10:23, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Потому что его никто не проверял. Он только админам локалхоста и нужен.
     
  • 2.45, Анонин (?), 10:37, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А твоя Максимальная на чем написана?
     
  • 2.47, Аноним (46), 10:47, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ... или постфик никому не нужен, вот и не находят
     
     
  • 3.58, Аноним (54), 12:17, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если верить недавней новости, треть серверов (у Exit оставшиеся две трети), что далеко не "никому".
     
     
  • 4.69, пох. (?), 13:54, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Если верить недавней новости, треть серверов (у Exit оставшиеся две трети),

    ну и зачем ты веришь явному бреду?

     
     
  • 5.94, fske (?), 20:42, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А ты думал твои дырявые эксченжи что-то решают? Ну тогда ты в который раз подверждаешь истину, что ты сказочной долбо..б
     
  • 2.91, vantoo (ok), 19:49, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Чем меньше функционала, тем меньше дыр.
     
     
  • 3.109, xm (ok), 10:44, 06/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет функционала - нет дыр. PROFIT!
     

  • 1.7, Аноним (7), 22:46, 04/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Этот Exim известное шерето, что называется "никогда не было и вот опять".
    Благо уже не первый год не имею в системе это недоразумение.
     
     
  • 2.10, Аноним (10), 00:09, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Держи в курсе
     
  • 2.48, Аноним (46), 10:48, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    а что у  тебя там сейчас, MS Exchange? )))
     
     
  • 3.70, BorichL (?), 13:54, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У него там gmail.com
     
     
  • 4.125, Аноним (-), 05:28, 07/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Его там еще не зобанили? :)
     
  • 3.72, Аноним (72), 14:06, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –6 +/
    > а что у  тебя там сейчас, MS Exchange? )))

    Для почты где mutt или clawsmail, если вы о клиентах.
    Я изначально искхожу из того, что если я чем-то пользуюсь, пользуюсь всё равно, то альтернативы не следует содержать в системе, особенно когда они частенько фигурируют в новостях про очередные уязвимости.
    Поэтому, если мне встречается дистрибутив с уже предустановленным Exim я его оттуда выпиливаю, потому что мне не нужно, если же его нету, то и ладно! ;)

     
     
  • 4.92, DIO (?), 20:12, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    мусье а ну как прийдете с продленки ознакомтесь в чем разница между MTA и MUA
     

  • 1.12, adsh (ok), 00:43, 05/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Самый удобный, конфигурируемый и гибкий МТА.

    А что касается других МТА: "нет здоровых людей, есть недообследованные пациенты".

    Главное, чтобы найденные проблемы вовремя исправляли.

    К этой версии идут патчи, позволяющий быстро обновить древние версии, с несовместимым опциями конфигурации: "Incorporate debian patches to turn taint failures into warnings".

     
     
  • 2.17, Аноним (17), 04:59, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Код exim'a не очень большой, библ нет, надеюсь, перепишут на Rust и большинство проблем уйдет.

    Другой вопрос, что часть проблем, про которые стараются не говорить - это НЕ проблемы с C, а проблемы с логикой, например выполение exec() без проверок на вход, конкатенация строк и прочее - т.е. никакой static analyzer их никогда не найдёт. Fuzzer, мб, и то не факт.

    // b.

     
     
  • 3.18, Аноним (17), 05:02, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пример, CVE-2020-28017:

    "The name of the log file in buffer is derived from file_path, which is
    derived from log_file_path, a format string defined at compile time (or
    re-defined by the configuration file). On Debian, log_file_path is
    "/var/log/exim4/%slog", and "%s" is converted to "main", "reject",
    "panic", or "debug" at run time (line 398).

    An attacker with the privileges of the "exim" user can create a symlink
    (or a hardlink) in the log directory, append arbitrary contents to an
    arbitrary file (to /etc/passwd, for example), and obtain full root
    privileges:"

    Код писали, мозгами не думали - C тут не причём.

    // b.

     
  • 3.36, пох. (?), 09:16, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Код exim'a не очень большой, библ нет, надеюсь, перепишут на Rust и большинство проблем уйдет.

    _начнут_переписывать_. Учитесь говорить о хрусте правильно.

    Разумеется, уйдет - будет очередной неработоспособный огрызок, делающий примерно ничего из нужного.
    Нет кода - нет проблем.

    Хотя, ничто не мешает притащить в очередной хрустовый хеловрот половину интернета зависимостями зависимостей.

     
  • 3.93, DIO (?), 20:13, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ага... только на бейсике только бдсм!
     
  • 2.20, СтраусТруп (?), 06:00, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вскрытие покажет
     
  • 2.32, Michael Shigorin (ok), 08:08, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А что касается других МТА: "нет здоровых людей,
    > есть недообследованные пациенты".

    Минимум один действительно здоровый точно есть :-)

    Ну и попытка отмазать легендарную барбекюшницу не засчитывается.

    PS: как бы там ни было, рад тебя видеть :-)

     
  • 2.35, пох. (?), 09:13, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –8 +/
    > Самый удобный, конфигурируемый и гибкий МТА.

    по первому пункту - э... вы правда пытались его конфигурировать дальше локалхоста?
    По-моему это трэш, превосходящий даже sendmail без m4. Потому что у того хотя бы отладчик есть, да и строки умещаются в экран.

    Но да, набор возможностей устарел даже по меркам экзима 2004го года.

    Правда, зато и "набор патчей" делающих поломанное обратно неполоманным не требуется (интересно, что в головах у авторов, что такой набор вообще нужен?)

     
     
  • 3.75, adsh (ok), 14:52, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Debug: exim -bhc <sender_ip> 2>debug.log
     
  • 3.100, Аноним (100), 22:49, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Пытались, и успешно. Там есть определенный порог вхождения, который надо преодолеть, вникнув в его терминологию и workflow, и документация написана из предположения, что читающий это все понимает, но в целом задокументировано все ничуть не хуже сендмейла, в чем-то даже лучше. В целом все очень гибко, чего не хватает, можно докостылить на перле.

    Но дырявость, конечно, удручает. Хотя в любом комбайне наверное так.

     
     
  • 4.102, pin (??), 00:10, 06/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В postfix не так.
     
     
  • 5.103, Аноним (100), 00:24, 06/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так постфикс не комбайн.
     
  • 5.110, xm (ok), 10:47, 06/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Потому что сам Postfix в сравнении с Exim умеет примерно ничего.
     
  • 2.57, Аноним (-), 12:08, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> Проблемам подвержены все версии Exim, история которых отслеживается в Git с 2004 года
    > А что касается других МТА: "нет здоровых людей, есть недообследованные пациенты".
    > Главное, чтобы найденные проблемы вовремя исправляли.

    .
    >> с 2004 года
    > вовремя исправляли

    МакЛауд, залогинься!

     
  • 2.61, Pahanivo (ok), 12:42, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > позволяет сразу удалённо выполнить код с правами root

    его под непривилигированным юзером не запустить?

     
     
  • 3.77, Moomintroll (ok), 15:01, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > его под непривилигированным юзером не запустить?

    Я запускаю.

    Правда нужно сделать пару телодвижений: CAP_NET_ADMIN, выпилить роутер userforward и, если нужны локальные мейлбоксы, создавать их вручную (по крону) с правами, позволяющими запись exim'у, предварительно переконфигурив транспорт local_delivery на работу под непривилегированным пользователем (mail).

     
     
  • 4.79, пох. (?), 15:13, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Правда нужно сделать пару телодвижений:

    выпилить нормальный юникс, и накостылякать подпорок.

    Вместо сброса привиллегий сразу после использования - навечно "net_admin" (вспомним, сколько дыр было в этом месте), вместо работы от конечного получателя - "мэйлбоксы по крону"...

    Нет, я согласен, в общем-то, что exim только таким способом и можно как-то запускать не в специальном отсаднике где ущерб тоже возможен, но ограничен почтой.

    Но ведь этим людям искренне не нравится exchange...

     
  • 2.128, suffix (ok), 17:35, 08/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Прочитал информацию эту в оригинале и если я не ошибаюсь то если exim-ом пользуюсь только я сам то вышеуказанные "уязвимости" мне нестрашны ?
     

  • 1.14, universite (ok), 01:43, 05/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Такого комплекта дыр у почтовика давно не было.
    Используйте sendmail!
     
     
  • 2.55, YetAnotherOnanym (ok), 11:52, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У него же страшный и ужасный sendmail.cf! Это ж надо прочитать "Sendmail Installation and Operation Guide", а это слишком сложно!
     
     
  • 3.66, пох. (?), 13:44, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот ты прочитал Тогда расскажи мне, как в сендмэйле банально проверить на вх... большой текст свёрнут, показать
     
     
  • 4.76, YetAnotherOnanym (ok), 15:00, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Смотря что считать костылями. Первое, что приходит на ум - найти (или, в крайнем случае, написать) прокладку, которая будет через милтер брать энвилопный адрес и проверять на валидность.
    А вторую задачу вообще не понял - если мы точно знаем, что адрес from инвалидный - дискард и всё. Или задача состоит в том, чтобы определить валидность?
     
     
  • 5.78, пох. (?), 15:07, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну то есть чудовищный набор костылей и подпорок, внешних по отношению к mta, да еще и milter-based - то есть стопудов неосиляемый, если только за тебя это уже кто-то не сделал (что маловероятно, ибо никому кроме сендмэйла не нужно, а те васяны от старости уже подохли) и весьма чреватый не то что дырками, а просто крэшами под нагрузкой (привет идиотии пихавших мультитредовый милтер в сендмэйл)

    Ну о чем, собственно, и речь. И да, что будем делать с dsn нетуда? Это ты никаким milter'ом не осилишь.

     
     
  • 6.85, YetAnotherOnanym (ok), 17:47, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не знаю насчёт чудовищности, но внешний по отношению к мта - это, имхо, правильно, ровно так же, как вне мта почта проверяется на спам и малварь. А насчёт крашей - когда у нас юзеры ловили вируса, который ставил спамагента, LA на машине со спамассассином мог подскочить до нескольких сотен, потом скрипт блочил IP абонента и LA опускался до нормы. Крашей не было, бэкскеттера тоже.
    Насчёт дсн - смотреть надо. По идее, мта, спамобойка и все, через кого письмо прошло, должны свои X-заголовки вставлять, по ним можно что-то решать.
     
     
  • 7.96, пох. (?), 22:19, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну действительно, ведь к мта задача обработки,с-ко, СЕССИИ - не имеет ни малейше... большой текст свёрнут, показать
     
     
  • 8.108, YetAnotherOnanym (ok), 09:53, 06/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Отработать сессию - это в данном случае ответить на rcpt to , а вот как прин... текст свёрнут, показать
     
  • 4.80, slepnoga (??), 15:15, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Мильтер.
    У тебя каша в бОшке.
    Postfix это рутер и  framework, exim комбайн с перловкой и кроном.
    В домильтерную эпоху тоже справлялся.
     
  • 4.111, xm (ok), 10:51, 06/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну ок, продаваны ironport не зря паркуют свой линкольн около пятиэтажной виллы в гейареа.

    Мы тут заканчиваем проект перевода большой коммерческой системы с Ironport на Exim с сохранением всех функций и автоматической конвертацией policies первого в ACL последнего.
    Могу сказать, что Exim легко покрывает функции Ironport по-крайней мере в том объёме, который используется заказчиком.
    В результате ребята будут экономить миллионы не рублей ежегодно.

     
     
  • 5.119, liggtspeed (?), 01:57, 07/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ага. И с каждым новым апдейтом экзима, правим конфиги. Потому как старые, вдруг резко перестают работать..
     
     
  • 6.126, xm (ok), 11:18, 07/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Учитесь писать их так, чтобы править ничего не требовалось.
     

  • 1.15, Аноним (15), 01:48, 05/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Над удобством postfix смеялись они. Потом появился OpenSMTPd — стали смеяться над его молодостью. Что там следующее по списку, «потом с тобой борются»?
     
     
  • 2.127, xm (ok), 15:27, 08/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ойц, ужо
    https://www.cvedetails.com/product/27750/Openbsd-Opensmtpd.html?vendor_id=97
     
     
  • 3.129, Аноним (15), 16:14, 10/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Угу. 2 RCE за семь лет, из них только одна в конфигурации по умолчанию. А в обсуждаемой новости сколько, и за какой это период, напомнить?
     

  • 1.19, Читатель сайта (?), 05:42, 05/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –16 +/
    Что вы спорите то? Как будто кто-то из вас сможет в 2021ом году собственный почтовик запустить так, чтобы от него кто-то почту смог получить, особенно на гмыле. Благо спамеры так постарались, что настроить все что надо чтобы доказать что твой почтовик - не верблюд, никаких вменяемых денег частнику не хватит. Да и организации средней руки тоже в копеечку станет. Проще на стороне заказать. Ещё 15 лет назад пробить все чёрные списки и настроить все полускрытые условия было сложнейшим квестом. Сейчас практически не решаемо, и совсем не решаемо без серьёзных денег. Нет, если вы с соседом договоритесь и поставите два почтовика - никто вам переписываться не запретит. Но сервера больших игроков вроде гугла будут вас игнорировать. Так что, это уюе так - софт для музея, увы...
     
     
  • 2.21, СтраусТруп (?), 06:01, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сможем и выполнить при этом docker-compose -d
     
     
  • 3.23, Плюсовик (?), 06:09, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Разве есть люди, которые выполняют на сервере docker-compose бла-бла?
     
  • 2.25, adsh (ok), 06:34, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да нет там особенных проблем с настройкой, если понимать, что и как работает. Просто Gmail - это вещь в себе, не всегда поддающаяся логике. Как и многие другие крупные провайдеры почты. Но они больше доставляют проблем своим же пользователям. Их сервис - это, как своего рода, наркотик. Соцсети - из той же области, просто в куда более широком смысле.
     
     
  • 3.83, пох. (?), 17:26, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Да нет там особенных проблем с настройкой, если понимать, что и как
    > работает. Просто Gmail - это вещь в себе, не всегда поддающаяся

    Ну, вообще-то немного и заплатить не забудь. А то проблем с настройкой нет, а почта твоя никем не принимается - потому что неположено васяну ее иметь личную. Вон к гуглю иди, от него примут.
    Ну либо заводи где-то (небесплатный, кстати) ip адрес из "приличного" диапазона, желательно не заляпанного предыдущим владельцем. Для начала. Удивительно, что местные горе-админы больших (якобы) почтовых систем это не понимают.

    > логике. Как и многие другие крупные провайдеры почты. Но они больше
    > доставляют проблем своим же пользователям.

    неее, чувак, они доставляют проблем ТВОИМ пользователям (имеющим нещастье быть еще и пользователями гугля)

    Причем ни один такой пользователь не сбежит к вменяемому почтовому сервису - он будет топотать ножками и требовать от тебя прогнуться под гуглевые правила. Все гугля удовлетворяют, один ты не хочешь, гад такой!

     
     
  • 4.84, adsh (ok), 17:45, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если настроить SPF/DKIM/DMARC и следить за пользователями - особых проблем с гуглом нет.

    А у его пользователей есть, например, он (временами?) воспринимает 5хх отлуп как 4хх и двое суток пытается доставить письмо на деревню дедушке - их юзер, с надеждой, ждёт :).

    Про идиотский веб интерфейс ихней почты - разговор отдельный.

     
  • 3.95, Аноним (100), 21:06, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Настраиваешь SPF, DKIM, DMARC и обратку. И не хостишь на помойках, подсети которых во всех блеклистах. И внезапно все работает.

    Проверять корректность конфигурации удобно на mail-tester.com.

     
     
  • 4.97, пох. (?), 22:22, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    да-да, заплати за воздух чтобы гугль был счастлив.

    Еще через пару лет твой совет будет звучать "и хостись в одобренном гуглем особом списке датацентров, с которых он еще соизволит изредка что-то принимать". И ничего, ты тоже счастливо побежишь в первых рядах. (а что, деньги-то дядины, вряд ли ты свой почтовый сервер держишь)

     
     
  • 5.101, Аноним (100), 22:55, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я сам себе дядя :)

    Помойка в смысле совсем помойка, с дешевого хецнера все отлично работает с первой попытки. Проблемы были только с мейл.ру, который как-то расширительно толкует spf. Я так и не понял, что им не нравится, ну и да ладно, пользователи мейл.ру должны страдать.

     
     
  • 6.104, пох. (?), 00:26, 06/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Помойка в смысле совсем помойка, с дешевого хецнера все отлично работает с первой попытки.

    Ну повезло тебе. А завтра не повезет (угадай, какой spam score имеют в гугле соседние с твоей помойки, на которых запущен тор-exit? Да, их там есть, не смотря на якобы-запрет в policy. Впрочем, там и куда поинтереснее есть, но те, полагаю, так не палятся.)

    > Проблемы были только с мейл.ру, который как-то расширительно толкует spf.

    может проблемы не в мэйлру а в твоем непонимании spf? У меня вот нет проблем с мэйлру (не считая мелочи что они добуквенно следуют стандарту, даже там где он откровенно бредов).

    > пользователи мейл.ру должны страдать.

    это ты не можешь им написать, а не они тебе. Так что (поскольку вряд ли твои письма имеют для человечества хоть какую-то ценность) страдаешь только ты сам - за свои же деньги.

    Ну и да, почем там воздух у дешевого хетзнера? А то я вот мечтаю куда-нибудь свалить от этой "дешевизны", с ее 30% любимому фюреру.

     
  • 6.130, Аноним (15), 16:22, 10/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Mail.Ru может ругаться на SPF, но на самом деле хочет DKIM. После появления _dmarc и dk2048-2021._domainkey в зоне, всё стало шоколадно. Ну, filter dkimsign, конечно, тоже подключил. ;-)
     
  • 5.112, xm (ok), 11:01, 06/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  да-да, заплати за воздух чтобы гугль был счастлив.

    Google это образец адекватности в сравнении с другими, например Microsoft.
    Эти мрази вообще придумали платную (!) сертификацию с тем, чтобы ваша почта точно доставлялась их клиентам. А иначе как получится, и попадание в спам это не самый худший вариант. Бывает что письмо принято и... бесследно исчезло в их недрах.

     
  • 2.37, пох. (?), 09:23, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Как будто кто-то из вас сможет в 2021ом году собственный почтовик запустить так, чтобы от него
    > кто-то почту смог получить, особенно на гмыле.

    ну я могу. Одна проблема только: мне не очень интересно рассылать спам пользователям гмыла (его-то они как раз и получат), а вы ведь не уточнили что чтобы получить могли _любую_ почту?

    А поскольку в моей личной почте нет "корпоративного дизайна рассылок"(c) - гмыл выкидывает ее в помойку, поскольку "что-то не очень похоже на почту" - в смысле, на тот мусор, который он считает почтой.

    А спам гуглоюзерам рассылается прекрасно - чаще нас банит мэйлрушечка, они там немного т-пые, и ниасиливают белые списки даже со стопиццотой попытки.

     
     
  • 3.49, onanim (?), 10:52, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    вот кстати да, на мейлру мои письма чаще не доходят, чем на гмейл.
    но мейлру хотя бы пишет в ответ на недоставленное письмо код ошибки и ссылку на разбан, несколько раз пользовался - всегда разбанивали. а к гмейлу вообще никак не достучаться, техподдержка и какие-либо контакты в принципе отсутствуют.

    и поддерживаю других ораторов: чукча-читатель воистину девляпс и не умеет настраивать почту.

     
     
  • 4.62, пох. (?), 13:32, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > но мейлру хотя бы пишет в ответ на недоставленное письмо код ошибки и ссылку на разбан

    это на одно. А на десяток тысяч уже не пишет. Каждый раз вручную общаться с поддержкой тоже изрядно надоедает.

    > и поддерживаю других ораторов: чукча-читатель воистину девляпс и не умеет настраивать почту.

    возможно наоборот - он умеет настраивать почту, он не умеет подмахивать гуглю. Что с умением "настраивать почту" ничего общего не имеет.

    И да, как у тебя, к примеру, с умением настроить список рассылки, сохраняющий адрес отправителя (т.е. не требующий лишних телодвижений для не гадить в список личными ответами) ?

    Вот спам рассылать - никаких умений не надо. Можно просто скачать бесплатно-без-смс, кстати.


      

     
  • 2.40, ззззззз (?), 09:59, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А что там такого надо настраивать, что стоит жутких невменяемых денег???
    20 лет работаю в этой сфере и не знал про такой Клондайк!!!!
     
     
  • 3.44, Онаним (?), 10:33, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Ды вот да, сюрпрайз.
    Не, просто современные девляпсы плохо вообще себе представляют, как мыло работает.
    Это ж не собственные логи собственного докера в собственный эластик говнять.
     
     
  • 4.51, ззззззз (?), 10:54, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну чел точно знает где копать! проговорился :)
     
  • 2.43, Онаним (?), 10:32, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Бро, ты гонишь.
    Никаких особо денег, кроме как на инфраструктуру, не требуется.
    (ещё требуется на поддержку клиентов, если ты xSP - наш случай, в кровавом энтерпрайзе - вменяемый постмастер)
    Гугл не игнорирует.
    Что-то мы делаем не так.
    Да, девляпсам наверное не справиться - не их среда, инфраструктуры-как-кот нет.
     
     
  • 3.67, пох. (?), 13:46, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Гугл не игнорирует.
    > Что-то мы делаем не так.

    попробуйте не рассылать спам. Хотя бы пару месяцев. А, ну да, вы ж не можете.

     
     
  • 4.73, Онаним (?), 14:19, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Наверное наоборот, надо попробовать порассылать :D
     
     
  • 5.74, пох. (?), 14:38, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не надо сказочек. Просто удали нахер все рассылки "дорогой обожаемый пользователь, мы снова повысили ценник на нашу нахер тебе ненужную услугу триперпей, без которой хрен тебе а не интернет!"

    Да, это спам, внезапно. Как и прочие "нереальные пердолжения". Пользователь нихрена о подобной милости не просит. Наличие кнопки "отписаться" ничего не меняет, у любого спаммера есть такая, а у некоторых даже и работают (чего на тебя ресурс переводить, если ты это все равно настолько нечитатель, что не ленишься нажать "отписаться" - надо прислать что-нибудь из другого профиля)


    А вот когда ты это удалишь - расскажи мне, как хорошо доставляется твое личное письмо плейнтекстом без "корпоративного дизайна" - с релея, выпавшего из статистики, обеспечиваемой тем вот мусором.

    Потом заходи, про рассылки поговорим - не про мусорные, а про нормальные maillists.

     
     
  • 6.86, Онаним (?), 19:15, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да не, ты тоже гонишь.
    Наш собственный трафик на этих релеях составляет менее 0.001%
     
     
  • 7.87, Онаним (?), 19:19, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Менее 0.01%, сорян. Он в масштабе 0.001-0.003%
     
  • 7.98, пох. (?), 22:35, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, значит клиенты за тебя стараются, набивают гуглю статистику "корпоративным дизайном".
    У меня вот мой собственный траффик уже пять лет составляет 100%, поскольку услуга почтового сервиса в наши дни никому не нужна (если только ты не гугль), а больше на этом хосте ничего давным-давно и нет, и прохождение его весьма и весьма ненадежно. Ну очень ведь похоже на спам! Просто завались вот спама в плейнтексте приходит! Я целый один раз такой видел. От нигерийского кос...тыпонял. Ну его можно понять, он в 80м году полетел, кажется.

    Вот с корпоративного эксченджа, со всеми положенными побрякушками и мигающей гифкой в подписи, согласно корпоративным стандартам - все доходит, тем же адресатам. Без всяких бесполезных dkim, замечу. Которые как раз у каждого спамера сегодня есть, они-то напрямую рассылают, им-то он ничем не мешает.

    А, ну да, ну да - зато у корпоративного домена есть волшебный google-site-verification. При том что, разумеется, там никто и никогда даже не мыслил пользоваться гуглевой почтой.

     
  • 4.90, Онаним (?), 19:25, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    (у нас спам другого характера. на билбордах например)
     
  • 2.60, Аноним (60), 12:41, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Руки поправь. Всё отлично доходит.
     
  • 2.71, BorichL (?), 14:01, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ой, как дорого жить! А я то дурак и не знал, когда настраивал, что не смогу настроить. Вот до сих пор не понимаю, как же я смог! Сам то пробовал настраивать, или тёплое креслице придавило начальствующий моск и это сисадмин нашептал?
     
     
  • 3.88, Онаним (?), 19:21, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не, я наверное даже рискнул бы его поддержать - мне клиенты "заказать на аутсорс" тоже нужны :D
    Хотя конечно почта сама по себе - давно уже просто приложение к другим услугам, она ещё в плюсе, но там очень скромный плюс чтобы её самостоятельной услугой делать, мы не гугл.
     
     
  • 4.89, Онаним (?), 19:22, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    (не, есть ребята, которые берут почту only для своих доменов, но их от общего числа клиентов по почте не сильно заметно, по числу ящиков чуть поболее, но тоже так это себе)
     
     
  • 5.99, пох. (?), 22:37, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    небось, те самые жлобы, не желающие хоститься на "правильных" ip-адресах с точки зрения гугля.

     
  • 2.106, Тот самый (?), 02:31, 06/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Как будто кто-то из вас сможет в 2021ом году собственный почтовик запустить так, чтобы от него кто-то почту смог получить, особенно на гмыле.

    В чем проблема-то?

    С 2000 г. живет мой личный домен <моя_фамилия>.com Крутится там персональный почтовый сервер для моей семьи на 5 почтовых ящиков. Сначала он работал на Qmail, а последние 10 лет на Exim. Не имею ни каких проблем с отправкой писем в любые адреса, в том числе на Gmail - всегда все доходит. Настроены все доп. протоколы: SPF, DKIM, DMARC, MTA-STS, SRS. Благо Exim легко все это позволяет. Реальный IP адрес - корпоративный МТС.

    Может проблема, как обычно, в прокладке?

     
  • 2.107, а (?), 09:07, 06/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а в чем проблема? Вот отправил письмо со своего сервера на гмейл - пришло без проблем. Никому не платил, даже сертификат ссл самоподписанный.
     

  • 1.29, Аноним (29), 07:21, 05/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    В каких дистрах он стоит по умолчанию?
     
     
  • 2.30, Бот (?), 07:41, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Даже если нету, будет поставлен.
     
  • 2.38, пох. (?), 09:25, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Спите спокойно, в вашей б-жественной бубунточке нет никакого mta "по умолчанию". Вообще.

    Ну, действительно, зачем вам миллиард писем от юзера www-data что у него в кроне давно рассыпалась какая-то хрень - вы ж все равно их не прочитаете, пока диск не лопнет.

    Проще сразу сэкономить ресурсы и ничего не отправлять.

     

  • 1.50, Аноним (50), 10:54, 05/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Debian как всегда не обновил
     
     
  • 2.53, Аноним (52), 10:57, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Дебиан он особо-то и не нужен.
     
     
  • 3.56, Аноним (56), 11:57, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Автора дебиана застрелили. Rip теперь им управляют те же макаки что и exim.
     

  • 1.59, Аноним (60), 12:39, 05/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    10! Карл, 10! Удаленных!
     
     
  • 2.64, Аноним (50), 13:39, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе жалко?
     
  • 2.81, adsh (ok), 16:38, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Они были, когда о них никто и не знал. А теперь их уже нет :).
     
     
  • 3.121, Аноним (121), 04:31, 07/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Из минисоты наверно
     

  • 1.65, lockywolf (ok), 13:41, 05/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Зачем, если есть qmail? Netqmail, конечно.
     
  • 1.105, Аноним (105), 02:30, 06/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    как обновиться в CentOS 6?
     
     
  • 2.113, Тот самый (?), 13:26, 06/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >как обновиться в CentOS 6?

    В 2021 году выставлять в интернет CentOS-6 можно только при условии, что ты сам собираешь и обновляешь критические пакеты (openssl, openssh и т.п.). В этом случае обновить exim до версии 4.94.2 не составит труда. В противном случае необходимо срочно менять дистр на актуально поддерживаемый!

     
  • 2.131, Аноним (15), 16:27, 10/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    apt-get install lenny
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру