Критическая «дырка» в sendmail

ув. г-н Анонимус!

Описываемые вами тяготы чего-то жутко напоминают железную дорогу, в части каналов коей нередко бывает слышно радио во всей его силе :)))

Тут, конечно, самое простое и эффективное - UUCP.

А если допустим (в Linux-е) положить где-нить в chroot-овом дереве модуль кернельный, заинсмодить его, а модуль кернельный может быть не драйвером звуковухи а нашим малость зловредным кодом ;)

А откуда в чруте insmod , modprobe и прочая ? Разве что ты в этот чрут весь /sbin выведешь , ну да грош цена такому чруту ..

>Объясняем.... Например идет сообщение длиной в 5-ть мегов, и тут обрыв
>на последних байтах...
>
>Аааааа!!!!! Вот где собака-то порылась! А я все никак диагноз
>товарищу поставить не мог. Думал - сложный случай ;))))
>Это клиника полная.

Дохтор, у тебя видимо глюки, нормальные предолжения диагнозами мерещутся... Пить надо меньше....

>но юзеры всеравно используют почту, им вломы использовать что то кроме
>OE
>
>Не менее смешное объяснение для админа с якобы семилетним стажем. Это
>ж в какой деревне сие безобразие происходит?
>Неужто в столице? Я бы помер от стыда.

Ну так сдохни, ты малыш много чего не знаешь и не видел еще в своей
жизни....


P.S. Начались беспочвенные наезды мудаков, которые прикрылись ананистами
и толком возразить не могут....ню ню....

Вот мое решение найденное 6 лет назад: vi /etc/sendmail.cf ищешь строку "name server", без кавычек. комментируешь следующую за ней строку. Повторяешь пока таких строк больше нет. Затем если используется submit.cf, ту же процедуру проделываешь с ним. Затем перезапускаешь sendmail.

Этого мало, оно все равно лезет все резолвить

где собака зарыта!!! -- а не порылась =(( уважать нужно родной язык =(( а то скоро все будем говорить как торговка с вокзала =(((

Ты понимаешь что говорит торговка с вокзала? Я понимаю. А значит язык свою функцию выполнил ;) Даже если его и исковеркали, главное что информация дошла ;)

уважать нужно =)) родной язык =)) и не уподобляться торговке =)) стыдно все равно =))

уважать нужно =)) родной язык =)) и не уподобляться торговке =)) стыдно все равно =))

2green >Вот мое решение найденное 6 лет назад: vi /etc/sendmail.cf ищешь строку "name server"

man 3 resolver

O ResolverOptions= -DNSSRCH ?

Саныч

юниксоиды срутся... цирк. Вы че, без религии и крестовых походов жить не можете?

anonymous (*) (2003-03-04 18:13:09.77)

Не влезай, убьют :)

>Т.к. подавляющее большинство таких корреспондентов -- автоматы
>рассылки, то подобные письма будут долго мозолить глаза
>(да и спул забить могут, было бы желание).

Ага. Один мой товарищ, уходя в отпуск робота накрепил. Мол, если к нему
в мыльницу чего грохнется, так, чтоб ответ писал, типа
- Миня щаз нет. Я в атпуску. Кагда вирнусь, атвечу абязатильно....
Ну вы знаете, как это делается. Но он забыл отключить форвард к себе почты от root. Пока он был в "атпуску" нород сильно переживал, что с почтой день отодня все тормознее.... Просто шоу попугаев! Это было лет пять назад, но я до сиз пор ржу :))))

Хотите мое мнение?

1. кумейл рулез сендмаил сакс

НО

2. кумеил сакс сендмаил рулез

хотя...

3. все из вышеперечисленного - херня редкостная


Абсолютно Непротиворечивый Анонимус

Непомогало ;)

> сэндмэйл говно, набор глюков, никогда его не юзал и не буду

Точно. Солженицина не читал, но осуждаю, потому как знаю, что антисоветчина. Я плакал. ;)

> Без приделавыния кучи 3d party патчей qmail просто не функционален.

до кучи - не может TLS.

да ладно вам спорить... комуто по необходимости нужен сэндмэйл, таки пусть пользуют, только регулярно апдэйтятся и читают bugtraq. когото устраивает кумыл, потому что поставил и забыл, и нету нестандартных ситуёвин и ууцп.... еслиб я чего то не смог сделать в кумыле - я бы взял постфикс, если и там облом - то взял бы сэндмэйл... но к радости моей, а может и к несчастью у меня всё достаточно стандартно и мне хватает кумыла БЕЗ патчей, единственное - ДрВеб к нему прикручен.

ЗЫ сендмэйл снес 4 года назад, о чём не жалею

... т.е. из вышесказанного делается вывод, что сендмейл+УУЦП, созданные на заре ентырнета для древних хреновых линий, в наше время годятся опять таки только для древних хреновых линий или на случай ядреной бомбежки :).
Для "нормальных условий" лучше использовать почтовики посовременней.
ЧТД!

зы УУЦП я не юзал но помойму к кумейлу его тоже можно прицепить

"Древних" линий? Да нет. Вполне современные - спутниковые. Только один конец канала принимается за Полярным кругом. А там солнечная интерференция. Пропадание каналов от десятка минут до нескольких часов.

Уж больно рафинированные эти протоколы верхнего уровня, типа SMTP. Живут только в идеальных условиях. Но спамеры и вирусописатели вернут все на круги своя - сервера будут принимать почту только от доверенных машин и передавать их по эстафете, как прежде, когда почта ходила только по UUCP :))

А могет ли qmail smtp-auth без патчей ?

>по первому вопросу с квотами, я тебе ничем не смогу помочь, не пользую я
>цируса давно, как я говорил, у меня все свое, но думаю, что это решаемо,
>можно написать враппер, который будет вызываться перед запуском
>локального мейлера и дропать письма, я такую хрень делал очень давно, в
>начале на перле, а потом на C, обычный stats на ящик пользователя и >возврат
>ошибки, они описаны в sendmail/sysexits.h, вообщем, прога в несколько >строчек....

Плохо. Откуда оно будет знать, где живет ящик пользователя?
Какую квоту я на этот ящик навесил? А если я дисков намонтирую?
Да еще, прости хосподи, на каждом по восемь партишенов.
Не, все это не то...
У меня exim, например, в зависимости от машины-коллектора
и имени пользователя получает хоумдир и квоту из постгреса.
А там уже я могу либо стандартными средствами exim'а,
либо свое скриптичество сваять, причем не грязными хаками,
а через легальные внешние перловые модули.

>Обычный реврайт адресов или virtualtable....
А здесь главная проблема -- синхронизация баз данных
пользователей и настройки доступа к ней. В sendmail эта
задача решается имхо отвратительно -- сплошная работа
топором, напильником и рубанком. И переносить на другую
машину такого франкенштейна -- меня увольте.

>Но нафига вообще
>что то прибавлять к адресу? Страный у вас антивирус....
Ну, это я не стал ковырять milter -- шибко он какой-то корявенький
был на тот момент. Сделал, как (кажися) Dr.WEB прописал, а у него
именно так все и было. Так что этот пункт можно не считать.

А вообще-то я не ищу помощи -- видишь ли, я всего лишь хотел
указать тебе, что не все так хорошо в sendmail'е, как это
может показаться даже откровенно забивая болт на обсуждаемые
злесь секьюрные проблемы (гы, как это делал в свое время я).


Shadow,
> А какой exim использовал и чего тебе в нём не хватило?
exim 3.33. Не хватает двух довольно хитрых вещей.
1) Если на дублирующий mx приходит письмо на двух (и более) пользователей, я дергаю базу на предмет выяснения их
коллекторов. Так вот, если при драйвере smtp не поставить
опцию "max_rcpt = 1", то переменная, от которой зависит
селект ($local_part) не инициализируется, и предупреждений,
блин, об этом не выводится, хотя могло бы. Я где-то неделю убил
на выяснение этой фичи. А при наличии "max_rcpt = 1" письмо
до коллектора доходит два раза -- по разу на каждого реципиента.
Типа вилка такая. Без max_rcpt -- не работает. С max_rcpt --
внутренний трафик возрастает. Возрастание трафика -- это,
конечно, не страшно для 100 мбитов, но для модема
(а меня есть такой) -- смерти подобно.
2) Нет накопителей. На примере: вот хочу я отвинчивать
письма на один ящик от всего домена spamer.ru,
кроме одного-единственного адреса user1@spamer.ru.
Посмотрел -- для user1@spamer.ru запрета нет, потом иду смотреть
разрешение для домена -- оба-на! spamer.ru? spamer.ru,
до свиданья. Нельзя вот так вот, чтобы проверил -- есть точное
попадание -- и сразу вышел из проверки с положительным результатом.

Ну, примерно как это описано для sendmail'а вот здесь:
http://www.linux.org.ru/books/sendmail-firewall.html

>5 минут, включая скачивание 8.12.8, конфигурирование и >компилирование, тоже на сервере под нагрузкой. Кто >меньше? > >anonymous (*) (2003-03-04 12:52:45.408)

Время засечь не успел... секунд 30-40... На втором сервере... :-) Первый-то, где восемь, dual PII, а второй - dual Xeon 2.8 ;-)

>Уже от этой печки начинаются такие пляски с граблями, хотя бы в связке с cyrus-imap... > >Kasper (*) (2003-03-04 14:19:18.274)

А можно подробнее про грабли ? Единственные, какие знаю, это реджекты от цируса обрабатываются после приема сендмайлом.

> 1) Работа с квотами в cyrus-imap. > 2) Несуществующие юзеры.

Ну, да... Хотя со вторым проблему решить можно.

> антивирусы. Если добавлять к адресу суффикс типа: > user@domain.ru.ANTIVIRUS, то приходится разрешать >прием почты

А вот это уже проблемы антивирусописателей. Пусть учатся нужные комментарии в X-тра-ля-ля: добавлять, а не куда попало.

А могет ли qmail smtp-auth без патчей ?
anonymous (*) (2003-03-04 20:08:57.983)

А могет ли postfix smtp-auth без патчей ?

2Kasper:
>Плохо. Откуда оно будет знать, где живет ящик пользователя?
>Какую квоту я на этот ящик навесил? А если я дисков намонтирую?
>Да еще, прости хосподи, на каждом по восемь партишенов.
>Не, все это не то...

Видимо ты ничего не понял из моего ответа....жаль... Еще
раз повторю, это не задача sendmail'а или вообще какого-либо
MTA, это задача мейлера(!!!), я тебе не зря про враппер говорил,
как его напишешь, так он у тебя и работать будет, sendmail
умеет передавать локальному мейлеру все необходимые для
этого данные, но если локальный мейлер такой ублюдочный,
то ничего не остается, как перед ним запускать враппер...

>У меня exim, например, в зависимости от машины-коллектора
>и имени пользователя получает хоумдир и квоту из постгреса.
>А там уже я могу либо стандартными средствами exim'а,
>либо свое скриптичество сваять, причем не грязными хаками,
>а через легальные внешние перловые модули.

У меня аналогично, но связано не с exim, а с sendmail'ом, то что
ты описал, это не функции MTA, всеми хоумдирами, ящиками, квотами
заведут мейлер, это хоть теперь понятно стало? Может мы еще
функции забора почты клиентом на MTA повесим?

>А вообще-то я не ищу помощи -- видишь ли, я всего лишь хотел
>указать тебе, что не все так хорошо в sendmail'е, как это
>может показаться даже откровенно забивая болт на обсуждаемые
>злесь секьюрные проблемы (гы, как это делал в свое время я).

Да пока что я не увидел ничего неправильного в использовании
sendmail'а, я лишь только узрел, что у тебя искаженные понятия
о функциональности МТА, ты постоянно перекладывашь функции
локального мейлера на sendmail, с начало определись, что и
как должно работать, а уж только потом указывай мне,
что не хорошего есть в сендмаил.....

> А могет ли postfix smtp-auth без патчей ?

CRAM-MD5 DIGEST-MD5 LOGIN PLAIN NTLM

Никаких патчей, через cyrus_sasl, ессессно.

2Kasper:
"накопители" точно уже есть в 4.xx без проблем, а вот с первой проблемой ковыряться надо - никогда такого не делал. По-любому, если сорцы поправить - это дело получаса максимум. Именно этим я и не вкурил qmail - после exim'a - который как апач, по сорцам всё чётко и ясно - я в qmail вообще ничего не смог понять.
Да, я не программер и не собираюсь им становиться.

> Никаких патчей, через cyrus_sasl, ессессно.

Дык эта... qmail через mailfront тоже без патчей.

Про UUCP еще раз. Я честно говоря даже не видел ни разу это чудо и не знаю, каким образом OE с ним работает напрямую ;)
А вопрос такой: почему нельзя поднять на принимающем конце
сервис, который периодически через ppp c максимальным сжатием
будет делать
wget -r ftp://remote.server/my_mail_domain/
и будет складывать все это локальный mail-spool ?

>Да пока что я не увидел ничего неправильного в использовании
>sendmail'а, я лишь только узрел, что у тебя искаженные понятия
>о функциональности МТА, ты постоянно перекладывашь функции
>локального мейлера на sendmail, с начало определись, что и
>как должно работать, а уж только потом указывай мне,
>что не хорошего есть в сендмаил.....

Искаженные или нет -- не знаю. По-моему, МТА должен дотащить
письмо от другого МТА до самого мейл{дира|бокса} юзера.
Если же он (как считаешь ты) дотащит письмо только до себя,
а потом подрывает мейлер, которому он и сливает сообщение в СТДИН,
то, повторяю, возникают проблемы синхронизации. МТА должен знать,
какие пользователи живые, а какие -- нет? По-моему, должен.
МТА должен уметь спросить (у мейлера, у шмейлера,
хоть у черта с рогами), не превысил ли юзер квоту? По-моему, должен.
Причем делать это он должен до стадии "DATA" smtp-диалога, до того,
как письмо нагрузило мой интернет-трафик. Как это реализуется в
сендмейл? Через самописные врапперы? А если у меня пользователи --
половина в мейлбоксах, половина в мейлдирах, еще у половины
сообщения хранятся прямо в базе? (На самом деле такое я пока не
видел, но почему бы и нет?)

Exim это решает влет. Если у sendmail'а только один
встроенный локальный мейлер (для системных пользователей. Впрочем,
может быть, уже что-то изменилось?), то у exim'а -- вагон унд телега.
Хочешь -- используй стандартные средства хранения сообщений,
с полным контролем над ними (mailbox, maildir), хочешь -- запускай
самописанный мейлер. Гибко? Очень. По крайней мере гибче, чем
у sendmail'а.

>Может мы еще функции забора почты клиентом на MTA повесим?

Ирония тут неуместна. Очень неплохо было бы иметь такое
решение из коробки -- поставил пакет, и вот тебе МТА, МДА,
да еще с человеческой веб-мордой впридачу. Надо нестандартную
схему -- пожалуйста, вот тебе гибкий файл конфигурации, ковыряй
его до посинения. (Говорят, такое умеет CGP, но он платный,
зараза.) А пока -- такой вот конструктор "сделай сам".



>"накопители" точно уже есть в 4.xx без проблем, а вот с первой проблемой
>ковыряться надо - никогда такого не делал. По-любому, если сорцы поправить
>- это дело получаса максимум. Именно этим я и не вкурил qmail - после
>exim'a - который как апач, по сорцам всё чётко и ясно - я в qmail вообще
>ничего не смог понять.
Да, меня 4.x тоже впечатлил, хотя я глубоко в него не копал.
(Особенно понравилось то, что он умеет работать с Ораклом.
Хотя я и не знаю ни одного МДА, который бы умел встрять в эту связку.
Может courier сподобится?) Что же касается правки сорцов,
то это -- не на полчаса, поверь мне. Нужно будет учесть столько
всего, не говоря уже о том, что каждое обновление exim'а будет
связано с большим геморроем.

С патчами кумэйла все ясно - функциональность и модульность. А вот есть другой подход - постфикс! Новая версия каждые 15 минут ! Сначала жмаем клавиш, затем думаем ... не каждая версия совместима с предыдущей ... права доступа к файлам с версиями также меняются ... Круто ?

Я приведу одну цитату моего диалога с автором книги Securing & Optimizing Linux: Thanks for the correction but we no longer support qmail because it has some many problem related to security and people have to patch it so much to be able to have something that work fine on security view. it's beter to go with exim or postfix now.

Сам же я ничего плохого о qmail сказать не могу, разьве что все мои попытки прикрутить SSL/TLS поддержку при помощи stunnel не увенчались успехом.

А почему в майл спул? ;) А может в ньюс спул? А может юзерам по хомам раскладывать? А обвязку кто писать будет? IP - опять же оверхед лишний.

http://www.security.nnov.ru/files/linx86_sendmail.c

2All

Чего усираться по поводу недостатков sendmail ?

Есть промышленное решение именно на движке Sendmail 8.12

Смотрим: http://www.sendmail.com

Sendmail has implemented mail systems that deliver high volume mail, ranging from thousands to millions of messages per hour.

Все сервисы в одном стакане. Уровень цен как на МС Exchange.

Работает на солярке, RH AS, Suse SLES.

Что qmail, postfix, exim могут держать нагрузку в миллионы писем в час

и на их основе уже есть решения такого же уровня интеграции ?

Саныч

>МТА должен знать, какие пользователи живые, а какие -- нет?

Могу тебя уверить, что не должен. Знаешь почему? Потому-что,
сервер может принимать сообщения для разных доменов и потом
пересылать их внутрь системы, т.е. быть хабом, если он будет
чекать юзеров с других серверов, которые могут сидеть на диалапе,
то что тогда будет? Пойми наконец, sendmail по умолчанию проверяет
только локального юзера и то, если указан флаг в параметрах для
локального мейлера, он это делает только для forward, если тебя это не
устраивает, есть рулесеты, ты легко манипулируя ими можешь сделать
чек на этапе "rctp to:" со своей базой, где у тебя лежит список юзеров....

>По-моему, должен. МТА должен уметь спросить (у мейлера, у шмейлера,
>хоть у черта с рогами), не превысил ли юзер квоту? По-моему, должен.

Тебе нарисовать структурную схему, как работают MTA? Специально для
тебя повторяю, МТА похрену все квоты, оно взяло сообщение и пытается передать его мейлеру, шмейлеру, хоть черту с рогами, но если ты сам
лично с помощью рулесетов сделаешь правило, которое обращалось бы
на этапе приема сообщения к нужной программе с чеком на квоту, то
тогда бы, только тогда бы ты получил желаемый результат....

Вывод напрашивается простой, ты не умешь пользоваться рулесетами
сендмейла и считаешь, что сендмейл ограничен...ню ню....

>Если у sendmail'а только один встроенный локальный мейлер (для системных
>пользователей. Впрочем, может быть, уже что-то изменилось?), то у exim'а
>-- вагон унд телега.

Никто не мешает прикрутить тебе эти мейлеры к сендмейлу...

> we no longer support qmail because it has some many problem related to security

Любопытная фраза. Особенно "some many" ;) И такие люди пишут
учебники по секьюрити? Впрочем, что удивляться...

> все мои попытки прикрутить SSL/TLS поддержку при помощи stunnel не увенчались успехом.

Была хорошая китайская поговорка на этот счет про пытаться и делать ;) Не вижу ни единой причины, почему оно не должно работать через stunnel.

> А почему в майл спул? ;) А может в ньюс спул?

Да хоть в /dev/null. Хозяин - барин.

> А обвязку кто писать будет?

Переведи, что ты понимаешь под обвязкой в данном случае.
Я в матерном не силен.

> IP - опять же оверхед лишний.

Бля, мозги в твоей голове тоже оверхед. Дык сделай лоботомию и облегчись.

Ну дык кто еще может пролепетать что-нить в защиту uucp?
Я прав или неправ, что MCMCC и иже с ним - обычное дремучее ламерье?

Хей, green, твой сервак, на котором LOR почелился опять не
шевелится. Какие на этот раз будут оправдания?

>Я прав или неправ, что MCMCC и иже с ним - обычное дремучее ламерье?

Очень аргументированый вывод очередного ананиста, оно конечно понятно,
проще сидеть и тяфкать из-за угла и обзывать ламерами всех подряд,
может взглянешь на себя поближе?

Анонимусу (2003-03-05 12:52:29.251)
"Ну дык кто еще может пролепетать что-нить в защиту uucp?
Я прав или неправ, что MCMCC и иже с ним - обычное дремучее ламерье?"
Дык uucp изначально не причем-с :)) Тут говорят, что кумыл - гнилой эрзац, не приспособленный без грубой доработки напильником в продакшн.
Кондовая тупая поделка. Типа самоката:) Только для особо одаренных с прямыми руками, ногами и загипсованной головой вроде тебя.

Не сметь трогать UUCP!
Или вы за пределы МКАДа никогда не выезжали.
Линки на 4.800/7200 и сегодня реальность данная нам в ощущениях.
UUCP на таких линках дасть 100 очков вперед SMTP.

Вот пусть ГУРУ объяснят мне, почему tls в CGP, Sendmail, Domino, Exchane... (список можно продолжить) иде native, а в кумыле я дожен привинчивать ssl wrapper типа галимого stunnel? Какого хрена я должен для криптовки на уровне _протокола_приложения_ использовать третью программу? Ась? Ах, да, я забыл... ssl вооюще не секурная штука, пока DJB ее не перeписал. Виноват-с... Беру свои слова назад...

anonymous (*) (2003-03-05 12:21:57.551), хм... я делал так: /etc/rc.d/rc.qmail ... stunnel -n smtp -d 25 -o /var/log/maillog \ /etc/ssl/certs/smtp.pem -l /usr/bin/tcp-env --tcp-env \ /var/qmail/bin/qmail-smtpd /bin/checkpassord /bin/true ...

Ни один МТА не мог присоединиться к SMTP порту, происходил обрыв.

> /var/qmail/bin/qmail-smtpd /bin/checkpassord /bin/true

Эт что за чушь такая? Откуда сие срисовано? А потом говорят,
мол qmail не может то, не может се... Руки распрямлять
рекомендуется не реже одного раза в месяц.

anonymous (*) (2003-03-05 14:19:20.778), что ты орёшь? Специально для тебя: /usr/bin/qmail-smtpd /bin/checkpassword /bin/true & Так пойдет? Да и суть собсвенно не в этом, а в том что при соединение поисходит обрыв, из-за этого пришлось отказаться от SSL/TLS

> Тут говорят, что кумыл - гнилой эрзац, не приспособленный без грубой доработки напильником в продакшн.

Ха, а вот и Krause, ветеран организации "пидоры в защиту sendmail" появился. Что, опять анус зачесался? Наверное много времени прошло с прошлого раза, когда тебя здесь имели.
Я использую qmail без единого патча на всех рабочих серверах.
И 99% народа, использующие qmail тоже не используют патчи.
А 1% использует. Для пидоров это криминал? Дык они вынуждены
патчить свой сендмэйл по неволе каждые полгода-год из-за
проблем в секьюрити. Не пойму, чего они так привязались к чужим
патчам?