Доступен почтовый сервер Exim 4.83 с устранением уязвимости Печать
22.07.14 18:15

Вышел релиз почтового сервера Exim 4.83, в котором представлена серия улучшений и исправлений, в том числе устранена уязвимость (CVE-2014-2972). В соответствии с данными, полученными в результате автоматизированного опроса более чем двух миллионов почтовых серверов, Exim используется на 48.85% почтовых серверов, доля Postfix составляет 26.70%, Microsoft Exchange - 7.17%, Sendmail - 10.10%.

Уязвимость CVE-2014-2972 вызвана особенностями обработки аргументов перед их использованием в математических функциях сравнения (, >), что позволяло организовать атаку, в результате которой злоумышленник мог получить доступ к операциям с файлами на сервере с правами пользователя exim. Для проявления уязвимости необходимо возникновение условий выполнения операций поиска с использованием вышеотмеченных математических выражений над специально оформленным контентом, возвращаемым подконтрольным злоумышленнику сервером.

Основные новшества:

  • В разряд штатных возможностей переведена поддержка SMTP-расширения PRDR (Per-Recipient Data Responses), применяемого для учёта отдельных SMTP-ответов для каждого получателя письма (без PRDR используется один код ответа для письма в целом, без разделения статуса передачи сообщения разным получателям);
  • В разряд штатных возможностей переведена поддержка механизма OCSP stapling, позволяющего выполнять проверку статуса TLS/SSL-сертификатов на OCSP-серверах и оперативно реагировать на факты отзыва сертификатов;
  • Экспериментальная поддержка расширения DSN (Delivery Status Notifications, RFC 3461), позволяющего отправителю сообщения проконтролировать успешность доставки письма на уровне MTA;
  • Экспериментальная поддержка протокола Proxy, при работе через прокси позволяющего передавать IP и имя оригинального хоста в специальном заголовке;
  • Поддержка новых операций listextract, utf8clean, md5, sha1;
  • Новая опция "verify=header_names_ascii" с реализацией режима принудительного переформатирования заголовков (исключаются не-ASCII символы в заголовках);
  • Новая опция командной строки "-oMm" для указания message-id оригинального сообщения (например, из-за которого отправляется bounce-сообщение);
  • Поддержка DNS-запросов TLSA;
  • Поддержка DNSSEC для исходящих соединений;
  • Различные улучшения в поддержке TLS, LDAP и DMARC.
  1. Главная ссылка к новости (https://lists.exim.org/lurker/message/20...)
  2. OpenNews: В почтовом сервере Exim 4.82.1 устранена критическая уязвимость
  3. OpenNews: Доступен почтовый сервер Exim 4.82
  4. OpenNews: В Сети зафиксированы факты активной эксплуатации уязвимой конфигурации связки Exim и Dovecot
  5. OpenNews: В почтовом сервере Exim 4.80.1 устранена критическая уязвимость
  6. OpenNews: Критическая уязвимость в почтовом сервере Exim
Тип: Программы
Ключевые слова: exim, mail, mta, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
Реклама
id=adv>
  1.1, Freddy Hardest, 23:48, 22/07/2014 [ответить] [смотреть все] –7 +/
Подскажите пожалуйста, какой самый лучший SMTP сервер для массовых почтовых расс... весь текст скрыт [показать]
 
+2 +/
sendmail ;)
 
2.10, asavah, 01:04, 23/07/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +8 +/ рассыльщеги-спаммеры должны гореть в специально обородуванном котле в аду.

та пох что вы там поставите, нормально настроенный и обученный(bayes) amavis режет почти всю хрень, что вы рассылаете, фильтры gmail-а тоже не лыком шиты, ну а пользователи mail.ru by ФСБ и прочих бесплатных мылопомоек должны страдать по определению.

 2.13, бедный буратино, 04:00, 23/07/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +/ конечно, https://opensmtpd.org/
 
  3.14, Аноним, 04:03, 23/07/2014 [^] [ответить] [смотреть все]     [к модератору]  –1 +/
 
  4.39, Аноним, 14:05, 23/07/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Так все правильно, спамеры должны страдать ... весь текст скрыт [показать]
 
2.19, Аноним, 09:14, 23/07/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/ 2.28, Аноним, 10:17, 23/07/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/ 2.30, Freddy Hardest, 10:53, 23/07/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  –1 +/ а ктонить пробовал PowerMTA??
вот когда ко мне приходит спам из-за бугра, в исходника письма отмечен там почти всегда только PowerMTA
 
  3.43, DeadLoco, 03:23, 24/07/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
С нетерпением жду, когда же ты напишешь, как ты попробовал PowerMTA и в каком ты восторге от этой удивительной программы, которую можно купить недорого по такому-то адресу.
 
  4.44, Freddy Hardest, 08:23, 24/07/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
а у меня давно есть, с торрента скачал с ключом: Port25.PowerMTA.4.0r8.win.x86
но я в ней не разбирался, но вот почему то забугорные спамеры ее любят
 
1.2, al, 00:12, 23/07/2014 [ответить] [смотреть все]  –2 +/ Париться придется с любым, как с настройками так и со сторонними примочками типа spf/dkim которые так любят yandex/mail.ru и иже с ними, и без которых массово скормить им рассылку ну практически нереально. Можно заюзать сторонных рассыльщиков типа мейлчимпа. Сам юзаю постфикс
  1.3, Аноним, 00:13, 23/07/2014 [ответить] [смотреть все]  –1 +/
Все еще не передумали об целесообразности Postfix или sSMTP ... весь текст скрыт [показать]
  1.4, Аноним, 00:19, 23/07/2014 [ответить] [смотреть все]  +2 +/ 
    3.11, asavah, 01:12, 23/07/2014 [^] [ответить] [смотреть все]    [к модератору]  +1 +/
> Ваша Всё курит, два раза.
>> Exim - 48.85%
>> Postfix - 26.70%,
>> Microsoft Exchange - 7.17%,
>> Sendmail - 10.10%.
> .

павлин не кудахтай, ибо миллионы мух тоже могут ошибаться ))

ну а если серьёзно:
для стандартных вещей рулит postfix, он проще в настройке/поддержке
для более продвинутых вещей, фич и кастомных хотелок рулит exim, на его макросах можно свою OS написать )
ессно оба не без тараканов.

ну а exchange после захода солнца и упоминать нельзя.

 
  4.16, bOOster, 06:24, 23/07/2014 [^] [ответить] [смотреть все]     [к модератору]  –6 +/
Да и в нетривиальных сложных решениях Postfix, по причине модульности Ну а Exim... весь текст скрыт [показать]
 
  5.17, SubGun, 08:26, 23/07/2014 [^] [ответить] [смотреть все]    [к модератору]  –1 +/
Ниасилил Exim?
 
  6.20, bOOster, 09:45, 23/07/2014 [^] [ответить] [смотреть все]     [к модератору]  –4 +/
Ты Postfix осиль и поменяй очередь обработки почты Потом и поговорим ... весь текст скрыт [показать]
 
  7.29, SubGun, 10:43, 23/07/2014 [^] [ответить] [смотреть все]    [к модератору]  –2 +/
Зачем мне осиливать "деревяшку", которая даже не умеет релеить почту в зависимости от наличия пользователя на том или ином сервере? И это в наше-то время.
В свое время мне очень нужна была эта функциональность. Оказалось, что проще 3000 пользователей на exim перевести, чем реализовать это на postfix. Сам по себе postfix неплох: надежен, быстр. Но уж слишком "деревянный".
Справедливости ради, к Exim у меня тоже куча нареканий. Например, несмотря на заявленное перечисление сокетов в различных операторах(av_scanner,spamd), практического использования у этого нет. То есть как бы должна быть балансировка, но на деле - пшик. Хочется - реализовывай с помощью конфига.
 
3.15, Аноним, 04:55, 23/07/2014 [^] [ответить] [смотреть все]     [к модератору]  –3 +/
вероятно в postfix проще сменить описание и версию используемого сервера, чем в ... весь текст скрыт [показать]
 
  4.21, Moomintroll, 09:49, 23/07/2014 [^] [ответить] [смотреть все]    [к модератору]  +1 +/
> вероятно в postfix проще сменить описание и версию используемого сервера, чем в Exim.
> P.S. у меня так и вовсе представляется "Noname for DOS version 0.0.1" =)

В exim это правда сложно? А я не знал… У меня exim прикидывается Exchange'м:

smtp_banner = $smtp_active_hostname Microsoft ESMTP MAIL Service ready at $tod_full

 
    6.27, PnDx, 10:16, 23/07/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
Ну так порть в пользу sendmail'а:
smtp_banner = "$primary_hostname ESMTP XXX relay; $tod_full (MSD)"

ehlo всё равно как следует не подделать, так что только для совсем тупых сканеров.

 
1.8, pavlinux, 00:42, 23/07/2014 [ответить] [смотреть все]  –4 +/
telnet mail server ru 220 mail server ru Microsoft ESMTP MAIL Service ready a... весь текст скрыт [показать]
  1.25, Moomintroll, 10:03, 23/07/2014 [ответить] [смотреть все]    [к модератору]  +2 +/ > Новая опция "verify=header_names_ascii" с реализацией режима принудительного переформатирования заголовков (исключаются не-ASCII символы в заголовках);

Не переформатирование, а отлуп письма:

TL/04 Add verify = header_names_ascii check to reject email with non-ASCII
      characters in header names, implemented as a verify condition.
      Contributed by Michael Fischer v. Mollard.

  1.26, Moomintroll, 10:06, 23/07/2014 [ответить] [смотреть все]    [к модератору]  +3 +/ > Поддержка новых операций listextract, utf8clean, md5, sha1;

А это вообще шедевр перевода!

JH/22 Expansion operators ${md5:string} and ${sha1:string} can now
      operate on certificate variables to give certificate fingerprints
      Also new ${sha256:cert_variable}.

  1.31, SubGun, 10:55, 23/07/2014 [ответить] [смотреть все]    [к модератору]  –1 +/ Столько всякой фигни запилили. Лучше бы доделали балансировку ldap,sql,вирус и спам серверов. Кроме того, все никак не могут сделать нормальное восстановление утраченной связи с exchange без чистки очереди и перезапуска exchange.
 
  2.37, Andrey Mitrofanov, 13:13, 23/07/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +1 +/
> Кроме того, все никак не могут сделать нормальное восстановление утраченной связи
> с exchange без чистки очереди и перезапуска exchange.

Да! Поддерживаю!! Уже давно пора переписать это д";№%ый иксчендж. За патч без Майкросовта и шиндошса - бонусные балы. >/<

 
2.41, Аноним, 20:36, 23/07/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/ 
1.32, ALex_hha, 11:36, 23/07/2014 [ответить] [смотреть все]    [к модератору]  +1 +/ > Да и в нетривиальных/сложных решениях Postfix, по причине модульности.

бу га га, сложные и не тривиальные задачи на postfix? :D Или прием письма это уже не тривиальная задача, а то может быть мы о разном говорим?

> Ну а Exim - середнячек, что-то нетривиальное на нем - это "кактусовая ферма". Грызть не перегрызть.

мдяя, это из оперы - "Не использовал, но осуждаю"

> Ты Postfix осиль и поменяй очередь обработки почты. Потом и поговорим.

может я что то пропустил, но какое имеет отношение очередь к функционалу МТА?

P.S.
могу дать тебе пару тривиальных задач, которые на postfix ты не решишь

 
    3.35, ALex_hha, 13:09, 23/07/2014 [^] [ответить] [смотреть все]    [к модератору]  +1 +/
> Приведите примеры, пожалуйста, любопытно.

да пожалуйста. Самая что ни на есть тривиальнейшая задача - rate limit.

Покажите мне как на posfix реализовать следующую схему

1. Ограничить отправку писем для Данный адрес e-mail защищен от спам-ботов, Вам необходимо включить Javascript для его просмотра. на домен example1.net 200 писем в час или 100 Мб в час, при этом на другие домены ограничения 300 Мб в день

2. Не принимать письмо, если не было ptr записи, ip находится в 2х определенных RBL и SPF вернул soft fail или fail

 
1.34, dkg, 12:43, 23/07/2014 [ответить] [смотреть все]    [к модератору]  –1 +/ iredmail рулит !!!
  1.40, Штунц, 16:56, 23/07/2014 [ответить] [смотреть все]    [к модератору]  –1 +/ Кто-нибудь имел дело с OpenChange (open-source клоном MS Exchange)?
http://www.openchange.org/
 
  2.42, Templar3d, 20:52, 23/07/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  –1 +/
Пробовал. Там админка никакая, поэтому прикручивал  OpenChange админку от iredmail. Но в бесплатной версии админка урезана. Поэтому перешел на Zimbra и счастлив. Для больных на голову аутлуком прикрутил к Зимбре z-push. Все синхронизируется(почта/календарь/люди/задачи/и тд). Но больных я пытаюсь обходить.
 

Ваш комментарий  

Read more http://www.opennet.ru/opennews/art.shtml?num=40250