那些遇到过的问题

2017 年使用 procmail 安全吗?

Joo*_*ing 28 email procmail

我刚刚发现 procmail 网站 ( http://www.procmail.org/ ) 已关闭。我对它的状态做了一些研究,似乎 procmail 的开发自 2001 年以来就已经死了。即使是旧的 procmail 维护者也建议将它从 openbsd 端口中删除,因为代码不安全(https://marc.info/? l=openbsd-ports&m=141634350915839&w=2)。这有点吓人,因为未修复的错误可能会导致远程代码执行漏洞。最近的 Linux 发行版(例如 Ubuntu、Debian)仍然提供它,但是使用 procmail 仍然安全吗?

Esa*_*nen 31

Procmail 已经有一段时间没有维护是正确的,它的最后维护者建议使用诸如 Maildrop 或 Sieve 之类的替代工具。

许多发行版并未将此视为真正的安全风险的原因包括:

  • 无论原始软件的实际开发者是谁,发行版都可以发布自己的安全补丁。他们这样做
  • 它处理的邮件已经通过了整个 MTA,包括多项语法和内容检查以及垃圾邮件过滤。Procmail MDA 比较的标题中不太可能有任何可能触发漏洞的内容,以便决定将邮件放在哪里。
  • Procmail 通常执行的任务相当简单。

所以,是和否。如果您对您的环境有任何顾虑,您确实有其他选择。

  • 谢谢,这很有帮助!我检查了 procmail 包的 Debian 更新日志,确实有很多 2001 年之后的安全补丁。其中一些非常可怕。例如,由于标头格式错误而溢出。因此,根据发行版,它似乎仍受支持。 (7认同)

归档时间:

查看次数:

3016 次

最近记录:

7 年,11 月 前
相关归档
对于包含不同 SPF 条目的单个域,是否可以拥有多个 TXT 记录? 17
电子邮件服务器的 PTR 记录有多重要? 9
解析未送达的邮件标头(退回邮件) 9
推荐的个人邮件服务器设置 7
如何创建和更新现有 SPF 记录以允许超过 10 个条目? 7
您的最大电子邮件消息大小是多少,您如何处理更大的文件? 5
Amazon SES 是否会通过典型的垃圾邮件过滤包改进垃圾邮件过滤 5
电子邮件服务器需要什么可用性才能不丢失消息? 4
如果PHP MAIL功能可以使用,我们公司SMTP服务器的安全性如何? 3
此设置是否被视为电子邮件欺骗? 1
难疑归档
我如何在 bash 或 ksh 中睡眠一毫秒 163
是否有全局的、持久的 CMD 历史? 142
你如何在 CentOS 上安装 Node.JS? 132
如何从 RHEL/CentOS shell 验证远程 Web 服务器是否支持 TLS 1.2? 128
小家伙们如何有效地学习和使用Puppet呢? 110
什么是“任播”,它有什么帮助? 89
sudoers:如何禁用每个用户的要求 79
如何从文件名中删除无效字符? 69
如何从 /dev/urandom 中读取 N 个随机字符? 66
使用 aws cli 从 Amazon S3 下载时导致拒绝访问的原因是什么? 60