URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 56179
[ Назад ]

Исходное сообщение
"Почтовый сервер Sendmail удостоился 'A' рейтинга безопасност..."

Отправлено opennews , 24-Июн-09 20:31 
Компания Veracode присвоила (http://news.yahoo.com/s/prweb/20090624/bs_prweb/prweb2564164_1) почтовому серверу Sendmail (http://www.sendmail.org) высшую степень безопасности и защищенности операций. Veracode является производителем лидирующей на сегодняшний день платформы управления и анализа факторов риска. Чтобы получить данную оценку, Sendmail был протестирован на соответствие таким промышленным стандартам, как OWASP Top 10 и SANS-CWE Top 25.

Как сказал генеральный директор Veracode Matt Moynahan, предприятия все чаще внедряют открытые приложения в структуру своих бизнес процессов. При этом одним из основных вопросов выступает защищенность используемых решений. Система тестирования Veracode позволяет гарантировать легкий и быстрый поиск проблемных, с точки зрения безопасности, участков кода. К ним относятся как разного рода уязвимости, так и умышленно запрограммированные «лазейки» и вирусы. Без соответствующей проверки такой код остается незамеченным и компилируется в ис...

URL: http://news.yahoo.com/s/prweb/20090624/bs_prweb/prweb2564164_1
Новость: https://www.opennet.ru/opennews/art.shtml?num=22304


Содержание

Сообщения в этом обсуждении
"Почтовый сервер Sendmail удостоился 'A' рейтинга безопасност..."
Отправлено Аноним , 24-Июн-09 20:53 
Похоже на ситуацию, если бы подобного статуса удостоилась windows. Sendmail всегда славился дырами в плане безопасности.

"Почтовый сервер Sendmail удостоился 'A' рейтинга безопасност..."
Отправлено PereresusNeVlezaetBuggy , 24-Июн-09 23:26 
>Похоже на ситуацию, если бы подобного статуса удостоилась windows. Sendmail всегда славился
>дырами в плане безопасности.

Не всегда. Последние годы он очень надёжен и вылизан.

Что, впрочем, не отменяет прочих его недостатков :)


"Почтовый сервер Sendmail удостоился 'A' рейтинга безопасност..."
Отправлено vitek , 25-Июн-09 00:24 
угу.... а раньше он один только и работал нормально.

юзаю его (так исторически сложилось - сложный, не удобный, но...) - и не разу не пожалел.
а дырки?.... - ну дык везде, и поболе...


"Почтовый сервер Sendmail удостоился 'A' рейтинга безопасност..."
Отправлено Аноним , 24-Июн-09 20:54 
ссылки к новости доставляют
* Проблемы в Sendmail в списке 10 самых опасных уязвимостей в UNIX ПО
* Общий список уязвимостей в Sendmail: 166 записей

"Почтовый сервер Sendmail удостоился 'A' рейтинга безопасност..."
Отправлено гость , 25-Июн-09 15:50 
А на дату новостей не смотрели? Или думаете, что проект не дорабатывается со временем?

"Почтовый сервер Sendmail удостоился 'A' рейтинга безопасност..."
Отправлено хрен_вам , 24-Июн-09 20:59 
пользуюсь им в течении 12 лет на всех серверах, трафик правда, небольшой около 3000 писем в сутки!
рекомендую!

"Почтовый сервер Sendmail удостоился 'A' рейтинга..."
Отправлено anonymous , 24-Июн-09 21:02 
>пользуюсь им в течении 12 лет на всех серверах, трафик правда, небольшой
>около 3000 писем в сутки!
>рекомендую!

с удовольствием воспользуюсь рекомендацией и не стану менять хороший postfix на дырявое решето.


"Почтовый сервер Sendmail удостоился 'A' рейтинга..."
Отправлено хрен_вам , 24-Июн-09 21:12 
Дырявое, это если "дырки" не закрывать.
А т.к. их очень быстро закрывают, то, это -
процесс тестирования на "людях", косвенно говорящий,
о популярности sendmail-а.
Не падать духом, учиться никогда не поздно!

"Почтовый сервер Sendmail удостоился 'A' рейтинга безопасност..."
Отправлено Наблюдатель , 24-Июн-09 21:05 
Интересно как тестировали почтовый сервер по заточенному под веб  OWASP 10...

"Почтовый сервер Sendmail удостоился 'A' рейтинга безопасност..."
Отправлено Hetzer , 25-Июн-09 04:58 
>Интересно как тестировали почтовый сервер по заточенному под веб  OWASP 10...
>

тоже улыбнулся


"Почтовый сервер Sendmail удостоился 'A' рейтинга безопасност..."
Отправлено Аноним , 24-Июн-09 21:22 
Ссылки к новости:
   2. OpenNews: Уязвимость приводящая к удаленному запуску кода в sendmail
   3. OpenNews: Sendmail исключен из базовой системы NetBSD
   4. OpenNews: Вышел Sendmail 8.13.7 с устранением новой проблемы безопасности
   5. OpenNews: Проблемы в Sendmail в списке 10 самых опасных уязвимостей в UNIX ПО
   6. Общий список уязвимостей в Sendmail: 166 записей

)))))))


"Почтовый сервер Sendmail удостоился 'A' рейтинга безопасност..."
Отправлено Умник , 24-Июн-09 22:07 
Sendmail уже давно 8.14 - пора просыпаться )))

"Почтовый сервер Sendmail удостоился 'A' рейтинга безопасност..."
Отправлено FSA , 24-Июн-09 23:14 
Ссылки по теме реально жесть :)

"Почтовый сервер Sendmail удостоился 'A' рейтинга безопасност..."
Отправлено Zenitur , 24-Июн-09 23:54 
Насчёт дырявого решета - безопасность и так очевидна, потверждению никто не удивляется из нас. Но вся она бессмыслена, из-за новостей здесь вроде "В этой программе найдена уязвимость! Чтобы воспользоваться ей удалённо, наберите вот это, заменив название сервера на нужное. В новой версии программы всё исправлено".

"Sendmail это 5"
Отправлено Andrey Mitrofanov , 25-Июн-09 09:07 
А мне нравится: немного юмора и самоиронии в жизни унылых :-P пользователей унылого сендмыла.

"Sendmail это 5"
Отправлено PereresusNeVlezaetBuggy , 25-Июн-09 09:16 
>А мне нравится: немного юмора и самоиронии в жизни унылых :-P пользователей
>унылого сендмыла.

Ну вот и юзайте свой CGP, он веб-мордный и нарядный. Конечно, если вы доверяете больше своим теориям (вы код-то Sendmail когда последний раз внимательно изучали?), чем результатам практической работы более-менее уважаемой фирмы, не говоря об опыте неискушённых простых смертных, то умолкаю.


"Sendmail это 5"
Отправлено netch , 25-Июн-09 16:26 
>Ну вот и юзайте свой CGP, он веб-мордный и нарядный. Конечно, если
>вы доверяете больше своим теориям (вы код-то Sendmail когда последний раз
>внимательно изучали?),

А Вы? Попробуйте изложить словами логику работы, например, sendall() или флагов адреса согласно alias.c. Только, пожалуйста, без нецензурщины. Далее подсчитайте количество людей на планете, которые это всё реально понимают.

>чем результатам практической работы более-менее уважаемой фирмы, не говоря
>об опыте неискушённых простых смертных, то умолкаю.

О какой фирме-то речь? Карманном детище Альмана?


"Почтовый сервер Sendmail удостоился 'A' рейтинга безопасност..."
Отправлено chuvy , 25-Июн-09 12:53 
2008-05-03 Sendmail 8.14.3 is available.
Дата на официальном сайте. С тех пор не обновляется - либо он настолько стабилен и безопасен, либо им никто уже не занимается. А так действительно раньше было много дырок, возможно как самый пользуемый. Теперь с ним пролем нет, за исключением трудности его настройки из-за m4 :). Работает на машинах проблем не знаю. Его бы и дальше развивали бы.

"Почтовый сервер Sendmail удостоился 'A' рейтинга безопасност..."
Отправлено alexr , 25-Июн-09 13:56 
>2008-05-03 Sendmail 8.14.3 is available.
>Дата на официальном сайте. С тех пор не обновляется - либо он
>настолько стабилен и безопасен, либо им никто уже не занимается. А
>так действительно раньше было много дырок, возможно как самый пользуемый. Теперь
>с ним пролем нет, за исключением трудности его настройки из-за m4
>:). Работает на машинах проблем не знаю. Его бы и дальше
>развивали бы.

Может приведешь пример из реальной жизни MTA чего нельзя сделать с помощью sendmail?
IMHO поэтому и не развивается... т.к. за 20+ лет дальше некуда...


"Почтовый сервер Sendmail удостоился 'A' рейтинга безопасност..."
Отправлено DarkHost , 25-Июн-09 16:15 
>Может приведешь пример из реальной жизни MTA чего нельзя сделать с помощью
>sendmail?
>IMHO поэтому и не развивается... т.к. за 20+ лет дальше некуда...

Без холивара, давно сменил этот "недоделанный" sendmail на exim. Теперь "кручу-верчу" правила как хочу.
Вы спрашиваете чего нельзя сделать с помощью sendmail? Легко! Нельзя задать точку назначения другой очереди. Точнее задать можно, но это не срабатывает, он не "сплитает" очередь внутри директории назначения. Вроде бы не такой уж существенный недостаток на первый взгляд, однако при большом объеме пересылки(50000 файлов в директории), скорость листинга директории достигает 2-3 секунд, а скорость парсинга содержимого файлов в такой директории и того больше, вот вам и тормоза.


"Почтовый сервер Sendmail удостоился 'A' рейтинга безопасност..."
Отправлено netch , 25-Июн-09 16:24 
>Может приведешь пример из реальной жизни MTA чего нельзя сделать с помощью
>sendmail?

Например:
1. Равномерная раздача одного письма на несколько получателей одновременно. То, что сейчас есть (нарезка на "конверты" по K получателей) только кривая затычка.
2. На штатном .mc - фильтрация отдельных получателей в домене (не завёрнутом в virtuser). Можно только со своими рулесетами.
3. Многоуровневая логика форварда (как в qmail - получение письма на a-b-c-d проверяет последовательно ~a/.forward-b-c-d, ~a/.forward-b-c-DEFAULT, ~a/.forward-b-DEFAULT, ~/a.forward-DEFAULT).
4. Поддержка VERP и аналогичных подходов

Далее, что можно сделать, но нафиг не надо, ибо у других проще в разы, если не в десятки раз:
1. Сложные правила контроля приёма с выбором порядка отработки правил
2. Лукапы в базах данных
3. Просто приём почты (exim с кучей привешенного перла легче, чем sendmail с отработкой только рулесетов)

>IMHO поэтому и не развивается... т.к. за 20+ лет дальше некуда...

Потому что уже не в состоянии. Внутри там такое, что работать с ним невозможно.


"Почтовый сервер Sendmail удостоился 'A' рейтинга безопасност..."
Отправлено luzerz , 25-Июн-09 22:49 
http://www.xmailserver.org

перешел по одной причине - надоело дружить поперы и сендмайлеры. и всякие через-одноместо виртюзертаблы.
юзаю последние 4 года.

жду появления на борту имап-а.


"Почтовый сервер Sendmail удостоился 'A' рейтинга безопасност..."
Отправлено mr_gfd , 26-Июн-09 19:48 
>http://www.xmailserver.org
>
>перешел по одной причине - надоело дружить поперы и сендмайлеры. и всякие
>через-одноместо виртюзертаблы.
>юзаю последние 4 года.
>
>жду появления на борту имап-а.

postfix+dovecot. C dovecot SASL и его же deliver.