The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

22.07.2014 21:15  Доступен почтовый сервер Exim 4.83 с устранением уязвимости

Вышел релиз почтового сервера Exim 4.83, в котором представлена серия улучшений и исправлений, в том числе устранена уязвимость (CVE-2014-2972). В соответствии с данными, полученными в результате автоматизированного опроса более чем двух миллионов почтовых серверов, Exim используется на 48.85% почтовых серверов, доля Postfix составляет 26.70%, Microsoft Exchange - 7.17%, Sendmail - 10.10%.

Уязвимость CVE-2014-2972 вызвана особенностями обработки аргументов перед их использованием в математических функциях сравнения (<, <=, =, =>, >), что позволяло организовать атаку, в результате которой злоумышленник мог получить доступ к операциям с файлами на сервере с правами пользователя exim. Для проявления уязвимости необходимо возникновение условий выполнения операций поиска с использованием вышеотмеченных математических выражений над специально оформленным контентом, возвращаемым подконтрольным злоумышленнику сервером.

Основные новшества:

  • В разряд штатных возможностей переведена поддержка SMTP-расширения PRDR (Per-Recipient Data Responses), применяемого для учёта отдельных SMTP-ответов для каждого получателя письма (без PRDR используется один код ответа для письма в целом, без разделения статуса передачи сообщения разным получателям);
  • В разряд штатных возможностей переведена поддержка механизма OCSP stapling, позволяющего выполнять проверку статуса TLS/SSL-сертификатов на OCSP-серверах и оперативно реагировать на факты отзыва сертификатов;
  • Экспериментальная поддержка расширения DSN (Delivery Status Notifications, RFC 3461), позволяющего отправителю сообщения проконтролировать успешность доставки письма на уровне MTA;
  • Экспериментальная поддержка протокола Proxy, при работе через прокси позволяющего передавать IP и имя оригинального хоста в специальном заголовке;
  • Поддержка новых операций listextract, utf8clean, md5, sha1;
  • Новая опция "verify=header_names_ascii" с реализацией режима принудительного переформатирования заголовков (исключаются не-ASCII символы в заголовках);
  • Новая опция командной строки "-oMm" для указания message-id оригинального сообщения (например, из-за которого отправляется bounce-сообщение);
  • Поддержка DNS-запросов TLSA;
  • Поддержка DNSSEC для исходящих соединений;
  • Различные улучшения в поддержке TLS, LDAP и DMARC.


  1. Главная ссылка к новости (https://lists.exim.org/lurker/...)
  2. OpenNews: В почтовом сервере Exim 4.82.1 устранена критическая уязвимость
  3. OpenNews: Доступен почтовый сервер Exim 4.82
  4. OpenNews: В Сети зафиксированы факты активной эксплуатации уязвимой конфигурации связки Exim и Dovecot
  5. OpenNews: В почтовом сервере Exim 4.80.1 устранена критическая уязвимость
  6. OpenNews: Критическая уязвимость в почтовом сервере Exim
Лицензия: CC-BY
Тип: Программы
Ключевые слова: exim, mail, mta
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Freddy Hardest (?), 23:48, 22/07/2014 [ответить] [показать ветку] [···]    [к модератору]
  • –8 +/
    Подскажите пожалуйста, какой самый лучший SMTP сервер для массовых почтовых рассылок? самый удобный для начинающего админа, скорость рассылки не принципиально, глоавное удобство и простота настройки
     
     
  • 2.5, V (??), 00:31, 23/07/2014 [^] [ответить]    [к модератору]
  • +1 +/
    m$ exchange
     
  • 2.6, Anonim (??), 00:40, 23/07/2014 [^] [ответить]    [к модератору]
  • +2 +/
    sendmail ;)
     
  • 2.10, asavah (ok), 01:04, 23/07/2014 [^] [ответить]    [к модератору]
  • +10 +/
    рассыльщеги-спаммеры должны гореть в специально обородуванном котле в аду.

    та пох что вы там поставите, нормально настроенный и обученный(bayes) amavis режет почти всю хрень, что вы рассылаете, фильтры gmail-а тоже не лыком шиты, ну а пользователи mail.ru by ФСБ и прочих бесплатных мылопомоек должны страдать по определению.

     
  • 2.13, бедный буратино (ok), 04:00, 23/07/2014 [^] [ответить]    [к модератору]
  • +/
    конечно, https://opensmtpd.org/
     
     
  • 3.14, Аноним (-), 04:03, 23/07/2014 [^] [ответить]    [к модератору]  
  • –2 +/
    Open BDSM
     
     
  • 4.39, Аноним (-), 14:05, 23/07/2014 [^] [ответить]    [к модератору]  
  • +/
    Так все правильно, спамеры должны страдать.
     
  • 2.19, Аноним (-), 09:14, 23/07/2014 [^] [ответить]    [к модератору]  
  • +/
    Dark Mailer
     
  • 2.28, Аноним (-), 10:17, 23/07/2014 [^] [ответить]    [к модератору]  
  • +/
    Толсто. Прямо от слов "лучший в мире".

    Но за попытку аплодирую!

     
  • 2.30, Freddy Hardest (?), 10:53, 23/07/2014 [^] [ответить]    [к модератору]  
  • –2 +/
    а ктонить пробовал PowerMTA??
    вот когда ко мне приходит спам из-за бугра, в исходника письма отмечен там почти всегда только PowerMTA
     
     
  • 3.43, DeadLoco (ok), 03:23, 24/07/2014 [^] [ответить]    [к модератору]  
  • +/
    С нетерпением жду, когда же ты напишешь, как ты попробовал PowerMTA и в каком ты восторге от этой удивительной программы, которую можно купить недорого по такому-то адресу.
     
     
  • 4.44, Freddy Hardest (?), 08:23, 24/07/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    а у меня давно есть, с торрента скачал с ключом: Port25.PowerMTA.4.0r8.win.x86
    но я в ней не разбирался, но вот почему то забугорные спамеры ее любят
     
  • 1.2, al (??), 00:12, 23/07/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Париться придется с любым, как с настройками так и со сторонними примочками типа spf/dkim которые так любят yandex/mail.ru и иже с ними, и без которых массово скормить им рассылку ну практически нереально. Можно заюзать сторонных рассыльщиков типа мейлчимпа. Сам юзаю постфикс
     
  • 1.3, Аноним (-), 00:13, 23/07/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Все еще не передумали об целесообразности Postfix или sSMTP ?
     
  • 1.4, Аноним (-), 00:19, 23/07/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    postfix наше все!!!
     
     
  • 2.9, pavlinux (ok), 00:44, 23/07/2014 [^] [ответить]    [к модератору]  
  • –2 +/
    Ваша Всё курит, два раза.

    > Exim - 48.85%
    > Postfix - 26.70%,
    > Microsoft Exchange - 7.17%,
    > Sendmail - 10.10%.

    .

     
     
  • 3.11, asavah (ok), 01:12, 23/07/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    павлин не кудахтай, ибо миллионы мух тоже могут ошибаться ну а если серьёзно ... весь текст скрыт [показать]
     
     
  • 4.16, bOOster (?), 06:24, 23/07/2014 [^] [ответить]    [к модератору]  
  • –6 +/
    Да и в нетривиальных/сложных решениях Postfix, по причине модульности.
    Ну а Exim - середнячек, что-то нетривиальное на нем - это "кактусовая ферма". Грызть не перегрызть.
     
     
  • 5.17, SubGun (ok), 08:26, 23/07/2014 [^] [ответить]    [к модератору]  
  • +/
    Ниасилил Exim?
     
     
  • 6.20, bOOster (?), 09:45, 23/07/2014 [^] [ответить]    [к модератору]  
  • –4 +/
    Ты Postfix осиль и поменяй очередь обработки почты. Потом и поговорим.
     
     
  • 7.29, SubGun (ok), 10:43, 23/07/2014 [^] [ответить]     [к модератору]  
  • –2 +/
    Зачем мне осиливать деревяшку , которая даже не умеет релеить почту в зависимос... весь текст скрыт [показать]
     
     
  • 8.45, Аноним (-), 17:28, 24/07/2014 [^] [ответить]     [к модератору]  
  • +/
    Прокачай Ыкзимом 100500 милЁнов мессаджей в секунду хрена И это в наше-то в... весь текст скрыт [показать]
     
     
  • 9.50, SubGun (ok), 17:24, 25/07/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    > А постфикс даже не чихнёт.

    Осталось в этом убедить почтовых провайдеров, и они быстро с экзима на постфикс убегут.

     
  • 5.24, Andrey Mitrofanov (?), 09:59, 23/07/2014 [^] [ответить]     [к модератору]  
  • +2 +/
    Почему я не видел Вас в http www opennet ru openforum vsluhforumID1 95700 html... весь текст скрыт [показать]
     
  • 3.15, Аноним (-), 04:55, 23/07/2014 [^] [ответить]    [к модератору]  
  • –3 +/
    вероятно в postfix проще сменить описание и версию используемого сервера, чем в Exim.
    P.S. у меня так и вовсе представляется "Noname for DOS version 0.0.1" =)
     
     
  • 4.18, SubGun (ok), 08:27, 23/07/2014 [^] [ответить]    [к модератору]  
  • +/
    > вероятно в postfix проще сменить описание и версию используемого сервера, чем в
    > Exim.

    Точно так же.

     
  • 4.21, Moomintroll (ok), 09:49, 23/07/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    В exim это правда сложно А я не знал 8230 У меня exim прикидывается Exchange ... весь текст скрыт [показать]
     
     
  • 5.23, Moomintroll (ok), 09:52, 23/07/2014 [^] [ответить]    [к модератору]  
  • +/
    > У меня exim прикидывается Exchange'м

    Бли-и-и-и-н!!! Я же порчу статистику exim'а в пользу Exchange… :-(

     
     
  • 6.27, PnDx (ok), 10:16, 23/07/2014 [^] [ответить]    [к модератору]  
  • +/
    Ну так порть в пользу sendmail'а:
    smtp_banner = "$primary_hostname ESMTP XXX relay; $tod_full (MSD)"

    ehlo всё равно как следует не подделать, так что только для совсем тупых сканеров.

     
     
  • 7.51, Гость (?), 18:42, 25/07/2014 [^] [ответить]    [к модератору]  
  • +/
    Ну прям, не подделать..

    Входящее helo можно выставить через переменную $smtp_active_hostname.

    Для подстановки исходящего в
    begin transports
      remote_smtp:
        helo_data = правильное_helo

     
  • 1.8, pavlinux (ok), 00:42, 23/07/2014 [ответить] [показать ветку] [···]     [к модератору]  
  • –5 +/
    telnet mail server ru 220 mail server ru Microsoft ESMTP MAIL Service ready a... весь текст скрыт [показать]
     
     
  • 2.22, PavelR (ok), 09:51, 23/07/2014 [^] [ответить]    [к модератору]  
  • +7 +/
    интересно-интересно.  на 23 порту? )))


     
     
  • 3.46, Аноним (-), 17:30, 24/07/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    > интересно-интересно.  на 23 порту? )))

    Павлинам в Челябинске холодно, вот оне и ... :)

     
  • 1.25, Moomintroll (ok), 10:03, 23/07/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    > Новая опция "verify=header_names_ascii" с реализацией режима принудительного переформатирования заголовков (исключаются не-ASCII символы в заголовках);

    Не переформатирование, а отлуп письма:

    TL/04 Add verify = header_names_ascii check to reject email with non-ASCII
          characters in header names, implemented as a verify condition.
          Contributed by Michael Fischer v. Mollard.

     
  • 1.26, Moomintroll (ok), 10:06, 23/07/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    > Поддержка новых операций listextract, utf8clean, md5, sha1;

    А это вообще шедевр перевода!

    JH/22 Expansion operators ${md5:string} and ${sha1:string} can now
          operate on certificate variables to give certificate fingerprints
          Also new ${sha256:cert_variable}.

     
  • 1.31, SubGun (ok), 10:55, 23/07/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Столько всякой фигни запилили. Лучше бы доделали балансировку ldap,sql,вирус и спам серверов. Кроме того, все никак не могут сделать нормальное восстановление утраченной связи с exchange без чистки очереди и перезапуска exchange.
     
     
  • 2.37, Andrey Mitrofanov (?), 13:13, 23/07/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    > Кроме того, все никак не могут сделать нормальное восстановление утраченной связи
    > с exchange без чистки очереди и перезапуска exchange.

    Да! Поддерживаю!! Уже давно пора переписать это д";№%ый иксчендж. За патч без Майкросовта и шиндошса - бонусные балы. >/<

     
  • 2.41, Аноним (-), 20:36, 23/07/2014 [^] [ответить]    [к модератору]  
  • +/
    >Кроме того, все никак не могут сделать нормальное восстановление утраченной связи с exchange без чистки очереди и перезапуска exchange.

    За это мы его и любим, дурашка! Ибо не**й! ^)

     
  • 1.32, ALex_hha (ok), 11:36, 23/07/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > Да и в нетривиальных/сложных решениях Postfix, по причине модульности.

    бу га га, сложные и не тривиальные задачи на postfix? :D Или прием письма это уже не тривиальная задача, а то может быть мы о разном говорим?

    > Ну а Exim - середнячек, что-то нетривиальное на нем - это "кактусовая ферма". Грызть не перегрызть.

    мдяя, это из оперы - "Не использовал, но осуждаю"

    > Ты Postfix осиль и поменяй очередь обработки почты. Потом и поговорим.

    может я что то пропустил, но какое имеет отношение очередь к функционалу МТА?

    P.S.
    могу дать тебе пару тривиальных задач, которые на postfix ты не решишь

     
     
  • 2.33, Forth (ok), 12:34, 23/07/2014 [^] [ответить]    [к модератору]  
  • +/
    > могу дать тебе пару тривиальных задач, которые на postfix ты не решишь

    Приведите примеры, пожалуйста, любопытно.

     
     
  • 3.35, ALex_hha (ok), 13:09, 23/07/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    > Приведите примеры, пожалуйста, любопытно.

    да пожалуйста. Самая что ни на есть тривиальнейшая задача - rate limit.

    Покажите мне как на posfix реализовать следующую схему

    1. Ограничить отправку писем для user@example.net на домен example1.net 200 писем в час или 100 Мб в час, при этом на другие домены ограничения 300 Мб в день

    2. Не принимать письмо, если не было ptr записи, ip находится в 2х определенных RBL и SPF вернул soft fail или fail

     
     
  • 4.47, Аноним (-), 17:33, 24/07/2014 [^] [ответить]    [к модератору]  
  • +/
    #1 сходу не скажу надо репу почесать.
    #2 дык это всё встроенное в чем проблема?

     
     
  • 5.52, ALex_hha (ok), 23:10, 27/07/2014 [^] [ответить]    [к модератору]  
  • +/
    #1 сходу не скажу надо репу почесать.
    #2 дык это всё встроенное в чем проблема?

    ты что то путаешь, ни один из пунктов не реализуется встроенными средствами postfix. Даже в первом приближении ;)

    Хоть как то ситуацию исправляет postfwd, вместе с ним postfix становится не таким бревном, но это лишь частично.

     
  • 1.34, dkg (?), 12:43, 23/07/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    iredmail рулит !!!
     
     
  • 2.36, ALex_hha (ok), 13:12, 23/07/2014 [^] [ответить]    [к модератору]  
  • +/
    > iredmail рулит !!!

    в чем рулит? и где рулит? Или там какой то другой postfix внутри?

     
  • 2.38, Andrey Mitrofanov (?), 13:15, 23/07/2014 [^] [ответить]    [к модератору]  
  • +2 +/
    >рулит !!!

    Сколько ошибок в слове "свербит".

     
  • 1.40, Штунц (?), 16:56, 23/07/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Кто-нибудь имел дело с OpenChange (open-source клоном MS Exchange)?
    http://www.openchange.org/
     
     
  • 2.42, Templar3d (ok), 20:52, 23/07/2014 [^] [ответить]    [к модератору]  
  • +/
    Пробовал. Там админка никакая, поэтому прикручивал  OpenChange админку от iredmail. Но в бесплатной версии админка урезана. Поэтому перешел на Zimbra и счастлив. Для больных на голову аутлуком прикрутил к Зимбре z-push. Все синхронизируется(почта/календарь/люди/задачи/и тд). Но больных я пытаюсь обходить.
     
     
  • 3.48, Ан (??), 21:24, 24/07/2014 [^] [ответить]    [к модератору]  
  • +/
    Zimbra <- Postfix
     
  • 2.49, Ан (??), 21:26, 24/07/2014 [^] [ответить]    [к модератору]  
  • +/
    > MS Exchange

    Публичный акт копрофилии? Еще клиента Outlook вспомни.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor