qmail i spółka (pop3, enzlm) w wydaniu PLD ?

Robert R. Wal rrw w hell.pl
Śro, 4 Wrz 2002, 10:17:00 CEST 

On 02.09.04 Grzegorz Mlonek pressed the following keys:

> On Tue, 3 Sep 2002 16:37:31 +0200
> Tomek Orzechowski <orzech w pld.org.pl> wrote:
> 
> > >> Jedyną zaletą jest wydajmość.
> > >> 
> > >i bezpieczeństowo :-)
> > 
> > Chodzi Ci o security by obscurity?
> 
> jak go złamiesz to DJB da Ci nagrodę
> o ile wiem od 3 czy 4 lat nikomu się to nie udało
> 
> przynajmniej tak jest na www.qmail.org :-)
> 
> http://cr.yp.to/qmail/guarantee.html

Jedną z tajemnic bezpieczeństwa qmaila jest fakt, że brakuje mu mnóstwa
ficzerów. Na stronach qmaila jest sporo paczy dokładających te ficzery
(niektóre podstawowe, jak TLS czy SMTP AUTH), a te pacze które są
zaliczyły już kilka eksplojtowalnych dziur.

DJB zawsze odpowiadał, że to nie w jego kodzie są te dziury, ale
odmawiał implementacji tych ficzerów samemu.

> warto też nadmienić, że gdyby był taki kiepski
> nie miałby takich referencji (www.qmail.org/top.html)
> 
> choć przyznam że zabezbpieczenie qmail-a od strony
> relayingu itp. jest b. słabe bez dodatkowych mechanizmów.

,,Czysty'' qmail nie ma zbyt wielu real world zastosowań, bo np pozwala
tylko na ,,open relay or no relay''[2].

Poza tym qmail obsługuje tylko te RFC, które podobają się DJB, ignorując
te, które mu się nie podobają[1].

No i łamie podstawową zasadę ,,be strict as possible when sending and
liberal as possible when receiving''.

Dobre programy w internecie nie zajmują się pokazywaniem ,,kto ma
większego'', tylko powinny skupiają się o interoperability, a qmail bez
zastanowienia odbija wszystkie połączenia, które używają czystego LF
jako line termination.

Te i parę innych cech kwalifikują dla mnie qmaila w sam raz na serwer
intranetowy bez dostępu do Internetu.

Robert

PS. Nie są to zarzuty wyssane z palca, czy wyczytane z niusuf. Używałem
qmaila na wielu serwerach komercyjnych przez kilka lat i w końcu z niego
zrezygnowałem, kiedy konkurencja odpowiednio dojrzała. Teraz polecam
postfiksa, exima czy zmailera.

[1] np. czysty qmail nigdy nie wysyła poczty na secondary MX
[2] tylko dostarcza pocztę do obsługiwanych przez siebie domen i od
 wyznaczonych wcześniej adresów IP, brak mechanizmów SMTP AUTH,
 pop-b4-smtp, ip+smtpsender czy podobnych.

-- 
Bastard Operator From 149.156.96.35

Więcej informacji o liście dyskusyjnej pld-users-pl