| |
| 2.2, Аноним (-), 21:07, 28/05/2014 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Перехожу на postfix надоело это все.
Гришь, там багов не бывает вовсе?
| | |
| |
| 3.4, uldus (ok), 21:21, 28/05/2014 [^] [^^] [^^^] [ответить]
| +5 +/– |
 За всю историю проекта серьёзных уязвимостей ещё не было. Несколько DoS, не больше. В Postfix очень строгие правила рецензирования кода и суровые обвязки для работы со строками. Венема на безопасности собаку съел. Например, он включён в зал славы Information Systems Security Association за свой вклад в компьютерную безопасность.
| | |
| |
| 4.13, Гость (?), 22:09, 28/05/2014 [^] [^^] [^^^] [ответить]
| –1 +/– | |
За всю историю проекта серьёзных уязвимостей ещё не было. Несколько DoS, не больше. В Postfix очень строгие правила рецензирования кода и суровые обвязки для работы со строками.
Наверное именно поэтому в базе NVD большая часть уязвимостей postfix с рейтингом High.
http://web.nvd.nist.gov/view/vuln/search-results?query=cpe:/a:postfix&search_
> Венема на безопасности собаку съел. Например, он включён в зал славы Information Systems Security Association за свой вклад в компьютерную безопасность.
Аппеляция к авторитету это не аргумент. Авторитеты тоже ошибаются, что и подверждает ссылка выше.
| | |
| |
| 5.14, uldus (ok), 22:20, 28/05/2014 [^] [^^] [^^^] [ответить]
| +5 +/– |
> Наверное именно поэтому в базе NVD большая часть уязвимостей postfix с рейтингом High.
> http://web.nvd.nist.gov/view/vuln/search-results?query=cpe:/a:postfix&search_
А теперь внимательно почитайте то, что перечисленно по вашей ссылке. Ещё можете глянуть базу secunia http://secunia.com/advisories/search/?search=postfix
Опасных уязвимостей там нет, какие-то баги в установочных скриптах, DoS, локальные проблемы с правами доступа и дыры в левых надстройках. CVE-2011-1720 - дыра в Cyrus, а не Postfix, для неё долго обещали создать эксплоит, но так и не создали.
Покажите конкретно опасную уязвимость, через которую возможен удалённый доступ или проведение представляющей угрозу атаки, а не просто исчерпание ресурсов или падение процесса. Просьба на левые web-интерфейсы для настройки Postfix и ошибки в дистрибутивных скриптах установки ссылки не присылать.
| | |
| |
| 6.15, uldus (ok), 23:04, 28/05/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Авторитеты тоже ошибаются, что и подверждает ссылка выше.
Есть способы на порядки уменьшить риск возникновения уязвимостей. Жестко формализованный процесс разработки, использование только безопасных функций-врапперов, обязательный отдельный аудит безопасности всех изменений и многоуровневая система дополнительной защиты и изоляции для минимизации вреда в случае если уязвимость всё же всплывёт.
Показателен в этом плане Chromium, несмотря на использование изначально проблемного WebKit, благодаря модели дополнительной изоляции, критических дыр, способных вылезти за пределы sandbox, там единицы. Еще лучше пример OpenSSH, там как и в Postfix критичных дыр ещё не было.
| | |
| |
| 7.21, rob pike (?), 00:16, 29/05/2014 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>Есть способы на порядки уменьшить риск возникновения уязвимостей. Жестко формализованный процесс разработки, использование только безопасных функций-врапперов, обязательный отдельный аудит безопасности всех изменений и многоуровневая система дополнительной защиты и изоляции для минимизации вреда в случае если уязвимость всё же всплывёт.
На какие только изощрения не готовы пойти люди, лишь бы на Haskell не писать.
| | |
|
| |
| 7.22, uldus (ok), 00:28, 29/05/2014 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> http://archives.neohapsis.com/archives/postfix/2008-08/0392....
Локальная уязвимость, проявляющаяся на системах, в которых
1. допускается создание hardlink-ов на чужие файлы (нужно создать hardlink на симлинки с правами root),
2. конфигурация предусматривает возможность добавления поступающей почты к файлам пользователя (обычные конфигурации с доставкой через внешние агенты, встроенный агент mbox и maildir не подвержены уязвимости, только левые агенты mbox)
3. криво настроены права доступа к директории со спулом.
Практическая ценность от такой уязвимости близка к нулю.
> http://permalink.gmane.org/gmane.mail.postfix.announce/115
Это ошибка в в коде поддержки Milter от sendmail, который редко где используется. Проблема проявляется при очень специфичном стечении настроек и приводит к повреждению файла в очереди - это даже не уязвимость, так как повреждается только файл с письмом атакующего :-)
| | |
|
|
|
| 4.28, Аноним (-), 09:21, 29/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
Postfix-у помогает ещё и конвеерная обработка посредством кучки отдельных программок в лучших традициях юниксвея. Даже если и удастся кривым письмом одну из этих программок сломать, то шансов пробраться куда-то "совсем не туда" становится значительно меньше.
| | |
|
|
| 2.5, vlikhachev (ok), 21:38, 28/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
 А слабо на postfix сделать паузу на 15 секунд перед обработкой каждого письма?
В экзиме - элементарно делается...
| | |
| |
| |
| 4.20, SubGun (ok), 00:01, 29/05/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > В postfix тоже элементарно. Только зачем?
Ну так расскажите, как?
А заодно было бы интересно послушать процесс организации доставки в Postfix в зависимости от наличия пользователя на одном из серверов.
| | |
| |
| 5.25, Аноним (-), 07:53, 29/05/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
Exim'цик SubGun: А ещё можно из буханки хлеба сделать троллейбус!
Postfix'оиды: .... но зачем?!?
И в этом весь экзим, в нем есть всё кроме мала-мальски приемлемого почтового сервера.
| | |
| 5.27, oops (ok), 08:19, 29/05/2014 [^] [^^] [^^^] [ответить]
| –2 +/– |
 В sendmail делается с помощью greetpause, насколько я помню.
А что в postfix нельзя, кто нибудь ответит?
Как раз думаю, что ставить на некоторые новые серверы, postfix или exim. Вот так postfix получает минус, если в нем нельзя сделать такую элементарную штуку.
| | |
| |
| |
| |
| |
| 9.45, Аноним (-), 09:01, 30/05/2014 [^] [^^] [^^^] [ответить] | +/– | Предотвратить атаки на сервер путём превращения его в Неуловимого Джо Нет польз... текст свёрнут, показать | | |
|
|
|
|
|
| 4.29, Аноним (-), 09:35, 29/05/2014 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Только зачем?
Чтоб пользователям жизнь мёдом не казалась. А то ишь чего захотели -- быстрой пересылки электронных писем!
| | |
| |
| 5.37, robux (ok), 20:45, 29/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
 Имеется в виду неавторизованный приём (от серверов) - защита от спамеров.
А от авторизованных - ясен пень без задержки и прочих "радостей жизни".
| | |
| |
| 6.46, Аноним (-), 09:13, 30/05/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> защита от спамеров
Ну ты же понимаешь (надеюсь), что ждать будет не сам спамер/спамбот, а используемый им сервер? Спамер за считанные секунды/минуты отошлёт 100500 писем, а серверу потом это несколько часов разгребать.
И да, такой "антиспам" — неплохая возможность за DDoS-ить сервер путём забивания портов. Вместо того, чтобы по-быстрому всё обработать и закрыть соединение, сервер занимает порт и тупо ждёт.
| | |
| |
| 7.55, XoRe (ok), 16:59, 02/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
 >> защита от спамеров
> Ну ты же понимаешь (надеюсь), что ждать будет не сам спамер/спамбот, а
> используемый им сервер?
Некоторые спам-программы ломятся на сам почтовый сервер напрямую.
У них логика проста.
- connect
- send 100500 emails
- disconnect.
Они не ждут приветствия от сервера.
Ожидание в N секунд позволяет игнорировать такие спам письма.
> Вместо того, чтобы по-быстрому всё обработать и закрыть соединение, сервер
> занимает порт и тупо ждёт.
Обработка спам писем может быть очень дорогой по ресурсам, когда стоит фильтр письма по содержимому, особенно если разом приезжает 100500 писем за соединение.
| | |
|
|
|
| 4.40, Anonymous1 (?), 01:49, 30/05/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> В postfix тоже элементарно. Только зачем?
А чтобы без нарушений RFC сбросить с хвоста спамеров для почтовика некрупной организации (для 150-300 почтовых ящиков, например). Естественно, не для mail.ru или аналогичного сервиса. Но спам уходит прочь, а реальные пользователи этого практически не замечают. Особо одаренные и 30 секунд задержки ставят...
| | |
|
|
| |
| |
| |
| |
| 6.19, SubGun (ok), 23:57, 28/05/2014 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> К уязвимости. По сути eval и есть...
Вы не могли бы свои мысли предоставлять в более понятной форме? Потому что фиг поймет о чем вы говорите.
| | |
|
|
|
|
| 2.31, PnDx (ok), 10:24, 29/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
 Ага, на приёме postfix+dovecot >> epic win [/sarcasm]
postfix неуязвим, потому как сам он туп, как дрова. Сюрпризы вылезают в схемах postfix+dkim, postfix+ldap etc. Но сам posfix всегда белый и пушистый, а что у вас дуршлаг в итоге - так это всё кривые милтеры виноваты (а где прямые-то взять?).
И да, при маршрутизации письма postfix не использует кастомных переменных by design. Видели, как этот вопрос в openldap решают? В postfix ровно так же. Берегите свой моск.
| | |
| 2.48, Hety (??), 10:39, 30/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
Когда включаешь что-то, на чем написано Experimental... ну ты понял.
| | |
| 2.52, www2 (??), 22:20, 01/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
Нашли баг в какой-то экспериментальной опции, которая везде отключена по умолчанию, а включить штатно дают только в полутора дистрибутивах. А вони-то, вони!
| | |
|
| |
| 2.35, DeadLoco (ok), 19:17, 29/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
 Этот метод действенный, но совершенно избыточный. Я около полугода собирал статистику по количеству срабатываний примерно полусотни критериев, и убедился, что для 99.99% надежности распознавания спама достаточно трех проверок:
1. наличия реверсной записи в ДНС (любой, не обязательно соответствия с HELO)
2. отсутствия домена в собственном черном списке (коротком, до 100 строк)
3. проверки спамассасином с байес-фильтром, обученным на письмах, пойманных на №1 и №2
Ну и, разумеется, фидбек от хуманоидов, которые вручную обозначают фальш-позитивы и фальш-негативы.
| | |
| |
| 3.41, Anonymous1 (?), 01:53, 30/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Этот метод действенный, но совершенно избыточный. Я около полугода собирал статистику по
> количеству срабатываний примерно полусотни критериев, и убедился, что для 99.99% надежности
> распознавания спама достаточно трех проверок:
> 1. наличия реверсной записи в ДНС (любой, не обязательно соответствия с HELO)
> 2. отсутствия домена в собственном черном списке (коротком, до 100 строк)
> 3. проверки спамассасином с байес-фильтром, обученным на письмах, пойманных на №1
> и №2
> Ну и, разумеется, фидбек от хуманоидов, которые вручную обозначают фальш-позитивы и фальш-негативы.
Реверсная запись в ДНС, к сожалению, у многих провайдеров автоматически создается, и связана обычно с IP адресом, иногда даже динамическим... Было бы здорово, если б этого не было.
| | |
| |
| 4.47, DeadLoco (ok), 09:46, 30/05/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Реверсная запись в ДНС, к сожалению, у многих провайдеров автоматически создается, и
> связана обычно с IP адресом, иногда даже динамическим...
Именно поэтому вторым пунктом идет блеклист, в котором перечислены специфические для провайдерских динсетей регекспы:
^.*\d+[-\.]\d+[-\.]\d+.*
^.*dynamic.*
^.*static.*
^.*broadband.*
^.*cable.*
^.*pppoe.*
^.*pool[-\.].*
И так далее.
В паре эти две проверки режут 95% спама. Оставшихся 5% добивает СА.
| | |
| |
| 5.53, www2 (??), 22:23, 01/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
> динсетей регекспы:
> ^.*\d+[-\.]\d+[-\.]\d+.*
> ^.*dynamic.*
> ^.*static.*
> ^.*broadband.*
> ^.*cable.*
> ^.*pppoe.*
> ^.*pool[-\.].*
> И так далее.
> В паре эти две проверки режут 95% спама. Оставшихся 5% добивает СА.
Да-да, нужно побольше блеклистов. Блеклисты - панацея, они никогда полезные письма не блокируют.
| | |
| |
| 6.54, DeadLoco (ok), 00:10, 02/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Да-да, нужно побольше блеклистов.
Один блеклист. Свой. Регулярно обновляемый скриптом на основании логов.
Впрочем, при желании можно было бы обойтись и без этого блеклиста, но нагрузка на байес стала бы на два порядка выше.
Раз уж есть абсолютно явные и несомненные источники спама - глупо не воспользоваться ими для конструктивных целей.
| | |
|
|
|
|
|
| 1.34, Аноним (-), 15:04, 29/05/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
А прочитать новость вдумчиво слабо? Или главное развести флейм у кого крепче и длиннее?
Сказано прямым текстом:
Проблема проявляется только в ветке Exim 4.82 при сборке с опцией EXPERIMENTAL_DMARC, которая не применяется умолчанию.
Трудно понять что это ЭКСПЕРИМЕНТАЛЬНАЯ опция и в ней необязательно, но могут быть как ошибки так и проблемы и дыры.
| | |
| 1.39, ALex_hha (ok), 01:11, 30/05/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 это как и ситуация с proftpd. За плюшки приходится платить :( К сожалению postfix в плане гибкости - бревно
| | |
| |
| 2.44, Аноним (-), 07:40, 30/05/2014 [^] [^^] [^^^] [ответить]
| +/– | |
>> это как и ситуация с proftpd
Всегда можно поставить Pure-FTPd
| | |
|
|
