Qmail - Qmail

qmail
Разработчики)Дэниел Дж. Бернштейн
Окончательный релиз
1.03 / 15 июня 1998 г.; 22 года назад (1998-06-15)
Репозиторийcr.yp/программного обеспечения/ qmail-1.03.tar.gz
Написано вC
Операционная системаUnix-подобный
ТипАгент по пересылке почты
Лицензиявсеобщее достояние[1]
Интернет сайтcr.yp/ qmail.html

netqmail
Окончательный релиз
1.06 / 30 ноября 2007 г.; 13 лет назад (2007-11-30)
Репозиторийnetqmail.org/ netqmail-1.06.tar.gz
Интернет сайтnetqmail.org

s / qmail
Стабильный выпуск
4.0.10 / 20 сентября 2020 г.; 2 месяца назад (2020-09-20)
Интернет сайтFehcom.de/ sqmail/

notqmail[2]
Стабильный выпуск
1.08 / 20 мая 2020 г.; 6 месяцев назад (2020-05-20)
Репозиторийgithub.com/ notqmail/ notqmail
Интернет сайтnotqmail.org

qmail это агент по пересылке почты (MTA), который работает на Unix. Его написал, начиная с декабря 1995 г., Дэниел Дж. Бернштейн как более безопасный замена популярному Отправить почту программа. Изначально безлицензионное программное обеспечение, qmail исходный код позже был посвящен в всеобщее достояние автор.[3]

Функции

Безопасность

При первой публикации qmail был первым агентом почтового транспорта, обеспечивающим безопасность; с тех пор другие осведомленные о безопасности MTA были опубликованы. Самый популярный предшественник qmail, Отправить почту, не был разработан с целью обеспечения безопасности, и в результате был постоянной целью для злоумышленников. В отличие от sendmail, qmail имеет модульную архитектуру, состоящую из взаимно недоверчивых компонентов; например, SMTP компонент слушателя qmail работает с разными реквизиты для входа из администратора очередей или отправителя SMTP. qmail был также реализован с учетом безопасности замены для Стандартная библиотека C, и в результате не был уязвим для стек и куча переливается, атаки на строку формата, или временный файл условия гонки.

Спектакль

Когда он был выпущен, qmail был значительно быстрее, чем Sendmail, особенно для задач массовой рассылки, таких как серверы списков рассылки. qmail изначально был разработан как способ управления большими списками рассылки.

Простота

На момент появления qmail конфигурация Sendmail была заведомо сложной, в то время как qmail был прост в настройке и развертывании.

Инновации

qmail поощряет использование нескольких нововведений в почте (некоторые из них созданы Бернштейном, другие нет):

Maildir
Бернштейн изобрел Maildir формат для qmail, который разделяет отдельные сообщения электронной почты на отдельные файлы. в отличие от де-факто стандарт mbox формат, в котором все сообщения хранятся в одном файле, Maildir позволяет избежать многих проблем с блокировкой и параллелизмом и может быть безопасно подготовлен NFS. qmail также доставляет сообщения в почтовые ящики mbox.
Почтовые ящики с подстановочными знаками
qmail представил концепцию подстановочных знаков, управляемых пользователем. Из коробки письмо адресовано пользователюподстановочный знак"на хостах qmail доставляется в отдельные почтовые ящики, что позволяет пользователям публиковать несколько почтовых адресов для списков рассылки и управления спамом.

qmail также представляет Протокол быстрой передачи почты (QMTP) и Протокол быстрой очереди почты (QMQP) протоколы.

Модульность

qmail - это почти полностью модульная система, в которой каждая основная функция отделена от других основных функций. Любую часть системы qmail легко заменить другим модулем, если новый модуль сохраняет тот же интерфейс, что и исходный.

Полемика

Награда за безопасность и уязвимость Георгия Гунинского

В 1997 году Бернштейн предложил вознаграждение в 500 долларов за первого человека, опубликовавшего поддающийся проверке дыра в безопасности в последней версии ПО.[4]

В 2005 г. исследователь безопасности Георгий Гунински нашел целочисленное переполнение в qmail. На 64-битных платформах в конфигурациях по умолчанию с достаточным объемом виртуальной памяти доставка огромных объемов данных в определенные компоненты qmail может позволить удаленное выполнение кода. Бернстайн оспаривает, что это практическая атака, утверждая, что никакое реальное развертывание qmail не будет уязвимым. Настройка ограничений ресурсов для компонентов qmail снижает уязвимость. [5]

1 ноября 2007 года Бернштейн увеличил размер вознаграждения до 1000 долларов США.[1] На слайд-презентации на следующий день Бернштейн заявил, что в qmail-1.03 десятилетней давности есть 4 «известных ошибки», ни одна из которых не является «дырой в безопасности». Он охарактеризовал ошибку, обнаруженную Гунински, как «возможное переполнение непроверенного счетчика». «К счастью, рост счетчика был ограничен памятью и, следовательно, конфигурацией, но это была чистая удача».[6]

19 мая 2020 года рабочий эксплойт для уязвимости Гунински был опубликован Qualys [7] но авторы эксплоита заявляют, что им было отказано в награде, поскольку она содержит дополнительные экологические ограничения.

Частота обновлений

Базовый пакет qmail не обновлялся много лет.[8] Новые функции изначально предоставлялись сторонними патчами, из которых наиболее важные на тот момент были объединены в один мета-патч под названием netqmail.[9]

Соответствие стандартам

qmail не был разработан для замены Отправить почту, и ведет себя не так, как Отправить почту делал во всех ситуациях. В некоторых случаях эти различия в поведении стали поводом для критики. Например, подход qmail к отказу от сообщений (формат, называемый QSBMF) отличается от стандартного формата уведомления о статусе доставки указанный IETF в RFC 1894, тем временем продвинулся к проект стандарта так как RFC 3464, и рекомендуется в SMTP Технические характеристики.

Более того, некоторые функции qmail подверглись критике за усложнение пересылки почты; например, механизм доставки qmail с «подстановочными знаками» и система безопасности предотвращают отклонение сообщений от поддельных или несуществующих отправителей во время транзакций SMTP.[10] В прошлом из-за этих различий qmail мог вести себя по-разному при злоупотреблении им в качестве ретранслятора спама, хотя современные методы доставки спама менее подвержены влиянию отказов.

Статус авторского права

qmail был выпущен всеобщее достояние в ноябре 2007 г.[11]До ноября 2007 года qmail был безлицензионное программное обеспечение, с разрешением, предоставленным для распространения в исходной форме или в предварительно скомпилированной форме («пакет var-qmail»), только если были соблюдены определенные ограничения (в основном связанные с совместимостью). Это необычное лицензионное соглашение сделало qmail несвободным в соответствии с некоторыми правилами (такими как DFSG ), и был причиной споров.

qmail - единственный широко распространенный программное обеспечение общественного достояния агент передачи сообщений (MTA ).

Смотрите также

Рекомендации

  1. ^ а б «Некоторые мысли о безопасности после десяти лет использования qmail 1.0» (PDF). Получено 2007-12-01.
  2. ^ Объявление notqmail
  3. ^ «Информация для дистрибьюторов». Я размещаю пакет qmail (в частности, qmail-1.03.tar.gz, с MD5 контрольная сумма 622f65f982e380dbe86e6574f3abcb7c) в общественное достояние. Вы можете изменять пакет, распространять измененные версии и т. Д.
  4. ^ «Гарантия безопасности qmail». Получено 2007-10-05.
  5. ^ Георгий Гунинский. "Совет безопасности Георгия Гунинского № 74, 2005 г.". Получено 2007-10-05.
  6. ^ «Некоторые мысли о безопасности после десяти лет использования qmail 1.0 [Слайд-презентация]» (PDF). Получено 2008-01-17.
  7. ^ https://marc.info/?l=oss-security&m=158990858630691&w=2
  8. ^ "Жизнь с qmail; История". Получено 2007-12-01.
  9. ^ netqmail
  10. ^ Моэн, Рик (октябрь 2006 г.). «На Qmail, поддельной почте и записях SPF». Linux Gazette (131).
  11. ^ «Бернштейн выпускает код в общественное достояние». Получено 2007-11-30.

внешняя ссылка