Jump to content

qmail

qmail
Оригинальный автор(ы) Дэниел Дж. Бернштейн
Финальный выпуск
1.03 / 15 июня 1998 г .; 26 лет назад ( 15.06.1998 )
Репозиторий кр .yp /программное обеспечение /qmail-1 .03 .берёт .gz
Написано в С
Операционная система Unix-подобный
Тип Агент по пересылке почты
Лицензия общественное достояние [ 1 ]
Веб-сайт кр .yp /qmail .html
netqmail
Финальный выпуск
1.06 / 30 ноября 2007 г .; 16 лет назад ( 30 ноября 2007 )
Репозиторий netqmail .org /netqmail-1 .06 .берёт .gz
Веб-сайт netqmail .org
s/qmail
Стабильная версия
4.2.29а / 26 февраля 2024 г .; 5 месяцев назад ( 26.02.2024 )
Веб-сайт фехком .из /sqmail /sqmail .html
notqmail [ 2 ]
Стабильная версия
1.09 / 6 мая 2024 г .; 3 месяца назад ( 06.05.2024 )
Репозиторий github /notqmail /notqmail
Веб-сайт notqmail .org

qmail — это агент передачи почты (MTA), работающий в Unix . Он был написан в декабре 1995 года Дэниелом Дж. Бернштейном как более безопасная альтернатива популярной программе Sendmail . изначально не требующий лицензии qmail, Исходный код , позже был передан в общественное достояние . автором [ 3 ]

Безопасность

[ редактировать ]

На момент своей первой публикации qmail был первым агентом транспорта почты, обеспечивающим безопасность; , обеспечивающие безопасность другие MTA с тех пор были опубликованы . Самый популярный предшественник qmail, Sendmail , не был разработан с целью обеспечения безопасности и в результате стал постоянной мишенью для злоумышленников. В отличие от sendmail, qmail имеет модульную архитектуру, состоящую из взаимно не доверяющих компонентов; например, компонент прослушивателя SMTP в qmail запускается с учетными данными, отличными от учетных данных администратора очередей или отправителя SMTP. qmail также был реализован с помощью безопасной замены стандартной библиотеки C и, как следствие, не был уязвим для переполнения стека и кучи , атак на строку формата или условий временной гонки файлов .

Производительность

[ редактировать ]

На момент своего выпуска qmail был значительно быстрее, чем Sendmail, особенно для задач массовой почты, таких как серверы списков рассылки. qmail изначально был разработан как способ управления большими списками рассылки.

Простота

[ редактировать ]

На момент появления qmail конфигурация Sendmail была общеизвестно сложной, тогда как qmail был прост в настройке и развертывании.

Инновации

[ редактировать ]

qmail поощряет использование нескольких нововведений в почте (некоторые из них созданы Бернштейном, другие нет):

Майлдир
Бернштейн изобрел формат Maildir для qmail, который разбивает отдельные сообщения электронной почты на отдельные файлы. В отличие от де-факто стандартного формата mbox , в котором все сообщения хранятся в одном файле, Maildir позволяет избежать многих проблем с блокировкой и параллелизмом и может безопасно предоставляться через NFS . qmail также доставляет сообщения в почтовые ящики mbox.
Почтовые ящики с подстановочными знаками
qmail представил концепцию подстановочных знаков, управляемых пользователем. По умолчанию почта, адресованная «user- wildcard » на хостах qmail, доставляется в отдельные почтовые ящики, что позволяет пользователям публиковать несколько почтовых адресов для списков рассылки и управления спамом.

qmail также представляет протокол быстрой передачи почты (QMTP), протокол передачи электронной почты, который обеспечивает более высокую производительность, чем простой протокол передачи почты (SMTP), фактический стандарт; [ 4 ] и протокол быстрой почты (QMQP), сетевой протокол, предназначенный для совместного использования очередей электронной почты между несколькими хостами. [ 5 ]

Модульность

[ редактировать ]

qmail — почти полностью модульная система, в которой каждая основная функция отделена от других основных функций. Любую часть системы qmail легко заменить другим модулем, если новый модуль сохраняет тот же интерфейс, что и исходный.

Награда за безопасность и уязвимость Георгия Гунински

[ редактировать ]

В 1997 году Бернштейн предложил вознаграждение в размере 500 долларов США тому, кто первым опубликует поддающуюся проверке дыру в безопасности в последней версии программного обеспечения. [ 6 ]

В 2005 году исследователь безопасности Георгий Гунински обнаружил целочисленное переполнение в qmail . На 64-битных платформах в конфигурациях по умолчанию с достаточным количеством виртуальной памяти доставка огромных объемов данных определенным компонентам qmail может позволить удаленное выполнение кода. Бернштейн не согласен с тем, что это практическая атака, утверждая, что никакое реальное развертывание qmail не будет уязвимо. Настройка ограничений ресурсов для компонентов qmail снижает уязвимость. [ 7 ]

1 ноября 2007 года Бернштейн увеличил награду до 1000 долларов США. [ 1 ] На презентации слайдов на следующий день Бернштейн заявил, что в qmail-1.03 десятилетней давности было четыре «известных ошибки», ни одна из которых не была «дырами в безопасности». Он охарактеризовал найденную Гунински ошибку как «потенциальное переполнение непроверяемого счетчика». «К счастью, рост счетчика был ограничен памятью и, следовательно, конфигурацией, но это была чистая удача». [ 8 ]

опубликовал рабочий эксплойт уязвимости Гунински. 19 мая 2020 года Qualys [ 9 ] но воспользовавшись заявлением авторов, им было отказано в вознаграждении, поскольку оно содержит дополнительные экологические ограничения.

Частота обновлений

[ редактировать ]

Базовый пакет qmail не обновлялся уже много лет. [ 10 ] Новые возможности изначально предоставлялись сторонними патчами, из которых наиболее важные на тот момент были собраны в один мета-патч под названием netqmail . [ 11 ]

Соответствие стандартам

[ редактировать ]

qmail не был разработан как замена Sendmail и не ведет себя точно так же, как Sendmail во всех ситуациях . В некоторых случаях эти различия в поведении стали поводом для критики. Например, подход qmail к возвращенным сообщениям (формат, называемый QSBMF) отличается от стандартного формата уведомлений о статусе доставки , указанного IETF в RFC 1894. [ 12 ] тем временем был разработан проект стандарта RFC 3464, [ 13 ] и рекомендуется в спецификации SMTP .

Некоторые функции qmail подвергались критике за усложнение пересылки почты; например, механизм доставки «подстановочных знаков» и конструкция безопасности qmail не позволяют ему отклонять сообщения от поддельных или несуществующих отправителей во время транзакций SMTP. [ 14 ] В прошлом эти различия могли привести к тому, что qmail вел себя по-другому, когда его использовали в качестве ретранслятора спама, хотя на современные методы доставки спама поведение отказов в меньшей степени влияет.

[ редактировать ]

qmail был выпущен в общественное достояние в ноябре 2007 года. [ 15 ] До ноября 2007 года qmail был безлицензионным программным обеспечением , с разрешением на распространение в исходной форме или в предварительно скомпилированной форме («пакет var-qmail») только при соблюдении определенных ограничений (в первую очередь связанных с совместимостью). Это необычное лицензионное соглашение сделало qmail несвободным в соответствии с некоторыми правилами (например, DFSG ) и вызвало споры.

qmail — единственный широко распространенный общедоступного программного обеспечения агент передачи сообщений ( MTA ).

См. также

[ редактировать ]
  1. ^ Перейти обратно: а б «Некоторые мысли о безопасности после десяти лет существования qmail 1.0» (PDF) . Проверено 1 декабря 2007 г.
  2. ^ Объявление о notqmail
  3. ^ «Информация для дистрибьюторов» . Настоящим я помещаю пакет qmail (в частности, qmail-1.03.tar.gz с контрольной суммой MD5 622f65f982e380dbe86e6574f3abcb7c) в общественное достояние. Вы можете изменять пакет, распространять модифицированные версии и т. д.
  4. ^ «Протокол быстрой передачи почты (QMTP)» . 1 февраля 1997 года . Проверено 6 мая 2023 г.
  5. ^ «QMQP: протокол быстрой организации очереди почты» . Проверено 6 мая 2023 г.
  6. ^ «Гарантия безопасности qmail» . Проверено 5 октября 2007 г.
  7. ^ Георгий Гунинский. «Совет по безопасности Георгия Гунинского № 74, 2005 г.» . Проверено 5 октября 2007 г.
  8. ^ «Некоторые мысли о безопасности после десяти лет существования qmail 1.0 [Слайд-презентация]» (PDF) . Проверено 17 января 2008 г.
  9. ^ « '[oss-security] Удаленное выполнение кода в qmail (CVE-2005-1513)' — MARC» . marc.info . Проверено 3 марта 2021 г.
  10. ^ «Жизнь с qmail; История» . Проверено 1 декабря 2007 г.
  11. ^ "netqmail" . netqmail.org . Проверено 3 марта 2021 г.
  12. ^ Водрей, Грегори М.; Мур, Кейт (1996). «Расширяемый формат сообщений для уведомлений о статусе доставки» . www.tools.ietf.org . дои : 10.17487/RFC1894 . Проверено 3 марта 2021 г.
  13. ^ Водрей, Грегори М.; Мур, Кейт (2003). «Расширяемый формат сообщений для уведомлений о статусе доставки» . www.tools.ietf.org . дои : 10.17487/RFC3464 . Проверено 3 марта 2021 г.
  14. ^ Моен, Рик (октябрь 2006 г.). «О Qmail, поддельной почте и записях SPF» . Linux Gazette (131).
  15. ^ «Бернштейн публикует код в общественное достояние» . Проверено 30 ноября 2007 г.
[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 09b4b3b2775dfc3e6fd5c5cf79fa2f3c__1715135580
URL1:https://arc.ask3.ru/arc/aa/09/3c/09b4b3b2775dfc3e6fd5c5cf79fa2f3c.html
Заголовок, (Title) документа по адресу, URL1:
qmail - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)