Опубликован выпуск почтового сервера Exim 4.99.2 с устранением 21 уязвимости (CVE-2020-28007-CVE-2020-28026, CVE-2021-27216), которые выявлены компанией Qualys и представлены под кодовым именем 21Nails. 10 проблем могут быть эксплуатированы удалённо (в том числе для выполнения кода с правами root), через манипуляции с SMTP-командами при взаимодействии с сервером или отправку специально оформленных почтовых сообщений...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55079
Сплошные сишные оверфлоу хахаха
ну растовых зато нигде нет (потому что и раста самого нигде нет)
Есть: https://github.com/hyperfekt/secure-mta
Hello world, даже readme никакого нет.UPD: заглянул в директорию src, лол, там весь код 35 строчек. Ну почти идеальное ПО, нет места дырам!
Так не врут же - если программа не работает, то и хакнуть ее не получится. А на 34-й строчке хрустик заметил что языком п... - не мешки ворочать, вот и пропал запал.
> Есть: https://github.com/hyperfekt/secure-mtaНет нету. Сферический конь в вакууме.
У чувака явно подrustковые проблемы...
Я вот всё-таки надеюсь, что когда-нибудь он перейдёт в старшую группу.
Некоторые так и живут с недоразвитым мозгом.
> Некоторые так и живут с недоразвитым мозгом.Для этого даже диагноз есть.
Можно забрать человека из детского сада, но детский сад из человека не всегда.
ты-то уже 4-й десяток перейти не можешь, с твоей стороны странно ожидать подобного от других
Перечитайте Rust Book, от integer overflow (о чем там первые две строчки минимум) он не спасает.
> Перечитайте Rust Book, от integer overflow (о чем там первые две строчки
> минимум) он не спасает.Не только от этого. Учитывая современные стандарты c++ rust вообще ни от чего не спасёт.
Думаешь, на улучшенном языке было бы лучше?
а вот было бы написано на Расте, такого решета не случилось бы!
Это Exim, они марку держат. Так что пришлось бы и на русте unsafe везде налепить, обвесив UB-ом. Чуваки из Qualis видимо просто были первые кто вообще анализатор на этом запустил. Вот и нашли 20 багов.
Еще одна жертва маркетинга Раста.
Да это все та же.
> Сплошные сишные оверфлоу хахахаВообще-то нет.
Сопли подотри и из подгузника выползи для начала.
> Сплошные сишные оверфлоу хахахаЗабей недорослик. Вы вообще до сих пор не научились с памятью работать. Одно балабольство.
Вон на языке DebiRust тоже дыр нет. И тоже на нём ничего нет. И вообще языка нет.
Postfix тоже на си, но там не находят каждый год дыры. Наверно все-таки дело в кривизне рук и правильной архитектуре ПО.
ну если "правильная архитектура" это когда ПО просто ничего не умеет толком - то да.И да, world writable spool из-за панической боязни запутаться в собственных руках очень трудно назвать "правильной архитектурой".
P.S. как там с open relay из коробки - все по прежнему, главное ведь не сломать совместимость с г-нецом мамонта?
> open relay из коробкиаж пичот
> главное ведь не сломать совместимость с г-нецом мамонтаО какой совместимости идет речь?
postconf mynetworks_styleopenrelay в _каждой_, с-ка, установке по умолчанию.
Если только заботливые опакечиватели не позаботились перекрыть.Но чаще они это делают в другом месте, поэтому при попытке все же хоть что-то порелеить - васян получит в нагрузку и это тоже.
Там еще и был занятный баг, для multihomed hosts делавший вообще 0.0.0.0 или около того. Не знаю, исправлен или до сих пор нет.
> ну если "правильная архитектура" это когда ПО просто ничего не умеет толком - то да.В полном соответствии с попытками дедушки DJB осознать как вообще вулны появляются. Нет фичи - нет багов в ней - а раз вулны частный вид багов то и их тоже нет. Логично.
А если фича не требовалась - то и проблем нет.
Все верно. Но фанбоям раста ничео не докажешь. Это просто секта какая-то.
Потому что его никто не проверял. Он только админам локалхоста и нужен.
А твоя Максимальная на чем написана?
... или постфик никому не нужен, вот и не находят
Если верить недавней новости, треть серверов (у Exit оставшиеся две трети), что далеко не "никому".
> Если верить недавней новости, треть серверов (у Exit оставшиеся две трети),ну и зачем ты веришь явному бреду?
А ты думал твои дырявые эксченжи что-то решают? Ну тогда ты в который раз подверждаешь истину, что ты сказочной долбо..б
Чем меньше функционала, тем меньше дыр.
Нет функционала - нет дыр. PROFIT!
Этот Exim известное шерето, что называется "никогда не было и вот опять".
Благо уже не первый год не имею в системе это недоразумение.
Держи в курсе
а что у тебя там сейчас, MS Exchange? )))
У него там gmail.com
Его там еще не зобанили? :)
> а что у тебя там сейчас, MS Exchange? )))Для почты где mutt или clawsmail, если вы о клиентах.
Я изначально искхожу из того, что если я чем-то пользуюсь, пользуюсь всё равно, то альтернативы не следует содержать в системе, особенно когда они частенько фигурируют в новостях про очередные уязвимости.
Поэтому, если мне встречается дистрибутив с уже предустановленным Exim я его оттуда выпиливаю, потому что мне не нужно, если же его нету, то и ладно! ;)
мусье а ну как прийдете с продленки ознакомтесь в чем разница между MTA и MUA
Самый удобный, конфигурируемый и гибкий МТА.А что касается других МТА: "нет здоровых людей, есть недообследованные пациенты".
Главное, чтобы найденные проблемы вовремя исправляли.
К этой версии идут патчи, позволяющий быстро обновить древние версии, с несовместимым опциями конфигурации: "Incorporate debian patches to turn taint failures into warnings".
Код exim'a не очень большой, библ нет, надеюсь, перепишут на Rust и большинство проблем уйдет.Другой вопрос, что часть проблем, про которые стараются не говорить - это НЕ проблемы с C, а проблемы с логикой, например выполение exec() без проверок на вход, конкатенация строк и прочее - т.е. никакой static analyzer их никогда не найдёт. Fuzzer, мб, и то не факт.
// b.
Пример, CVE-2020-28017:"The name of the log file in buffer is derived from file_path, which is
derived from log_file_path, a format string defined at compile time (or
re-defined by the configuration file). On Debian, log_file_path is
"/var/log/exim4/%slog", and "%s" is converted to "main", "reject",
"panic", or "debug" at run time (line 398).An attacker with the privileges of the "exim" user can create a symlink
(or a hardlink) in the log directory, append arbitrary contents to an
arbitrary file (to /etc/passwd, for example), and obtain full root
privileges:"Код писали, мозгами не думали - C тут не причём.
// b.
> Код exim'a не очень большой, библ нет, надеюсь, перепишут на Rust и большинство проблем уйдет._начнут_переписывать_. Учитесь говорить о хрусте правильно.
Разумеется, уйдет - будет очередной неработоспособный огрызок, делающий примерно ничего из нужного.
Нет кода - нет проблем.Хотя, ничто не мешает притащить в очередной хрустовый хеловрот половину интернета зависимостями зависимостей.
ага... только на бейсике только бдсм!
Вскрытие покажет
> А что касается других МТА: "нет здоровых людей,
> есть недообследованные пациенты".Минимум один действительно здоровый точно есть :-)
Ну и попытка отмазать легендарную барбекюшницу не засчитывается.
PS: как бы там ни было, рад тебя видеть :-)
> Самый удобный, конфигурируемый и гибкий МТА.по первому пункту - э... вы правда пытались его конфигурировать дальше локалхоста?
По-моему это трэш, превосходящий даже sendmail без m4. Потому что у того хотя бы отладчик есть, да и строки умещаются в экран.Но да, набор возможностей устарел даже по меркам экзима 2004го года.
Правда, зато и "набор патчей" делающих поломанное обратно неполоманным не требуется (интересно, что в головах у авторов, что такой набор вообще нужен?)
Debug: exim -bhc <sender_ip> 2>debug.log
Пытались, и успешно. Там есть определенный порог вхождения, который надо преодолеть, вникнув в его терминологию и workflow, и документация написана из предположения, что читающий это все понимает, но в целом задокументировано все ничуть не хуже сендмейла, в чем-то даже лучше. В целом все очень гибко, чего не хватает, можно докостылить на перле.Но дырявость, конечно, удручает. Хотя в любом комбайне наверное так.
В postfix не так.
Так постфикс не комбайн.
Потому что сам Postfix в сравнении с Exim умеет примерно ничего.
>> Проблемам подвержены все версии Exim, история которых отслеживается в Git с 2004 года
> А что касается других МТА: "нет здоровых людей, есть недообследованные пациенты".
> Главное, чтобы найденные проблемы вовремя исправляли..
>> с 2004 года
> вовремя исправлялиМакЛауд, залогинься!
> позволяет сразу удалённо выполнить код с правами rootего под непривилигированным юзером не запустить?
> его под непривилигированным юзером не запустить?Я запускаю.
Правда нужно сделать пару телодвижений: CAP_NET_ADMIN, выпилить роутер userforward и, если нужны локальные мейлбоксы, создавать их вручную (по крону) с правами, позволяющими запись exim'у, предварительно переконфигурив транспорт local_delivery на работу под непривилегированным пользователем (mail).
> Правда нужно сделать пару телодвижений:выпилить нормальный юникс, и накостылякать подпорок.
Вместо сброса привиллегий сразу после использования - навечно "net_admin" (вспомним, сколько дыр было в этом месте), вместо работы от конечного получателя - "мэйлбоксы по крону"...
Нет, я согласен, в общем-то, что exim только таким способом и можно как-то запускать не в специальном отсаднике где ущерб тоже возможен, но ограничен почтой.
Но ведь этим людям искренне не нравится exchange...
Прочитал информацию эту в оригинале и если я не ошибаюсь то если exim-ом пользуюсь только я сам то вышеуказанные "уязвимости" мне нестрашны ?
Такого комплекта дыр у почтовика давно не было.
Используйте sendmail!
У него же страшный и ужасный sendmail.cf! Это ж надо прочитать "Sendmail Installation and Operation Guide", а это слишком сложно!
Ну вот ты прочитал? Тогда расскажи мне, как в сендмэйле банально проверить на входящем релее наличие адреса пользователя в ldap без костылей и подпорок? Нет, доставлять будет не этот сендмэйл, но реджект надо отправить на нем, чтобы не слать потом писем на ни в чем не виноватых постмастеров поддельных from.Хммм... хотя, предположим на минуточку, что локальная доставка - тоже sendmail. По какой-то причине до нас все же долетело письмо с невалидным from (не разрешененный spf источник и валидный указатель в dkms с reject/notify на другой совсем адрес). Как НЕ отправлять непрошенных dsn/отправлять только нужное и куда положено?
Я понимаю, что в 2004м году редкий боевой п-с додумался бы до первого, и тем более никто не мог подумать о втором. Но сейчас-то что делать?
P.S. всеми любимый поцфикс, afair, до сих пор первое только костылями, пригодными только для локалхоста, а второе вообще никак? Ну ок, продаваны ironport не зря паркуют свой линкольн около пятиэтажной виллы в гейареа.
Смотря что считать костылями. Первое, что приходит на ум - найти (или, в крайнем случае, написать) прокладку, которая будет через милтер брать энвилопный адрес и проверять на валидность.
А вторую задачу вообще не понял - если мы точно знаем, что адрес from инвалидный - дискард и всё. Или задача состоит в том, чтобы определить валидность?
Ну то есть чудовищный набор костылей и подпорок, внешних по отношению к mta, да еще и milter-based - то есть стопудов неосиляемый, если только за тебя это уже кто-то не сделал (что маловероятно, ибо никому кроме сендмэйла не нужно, а те васяны от старости уже подохли) и весьма чреватый не то что дырками, а просто крэшами под нагрузкой (привет идиотии пихавших мультитредовый милтер в сендмэйл)Ну о чем, собственно, и речь. И да, что будем делать с dsn нетуда? Это ты никаким milter'ом не осилишь.
Не знаю насчёт чудовищности, но внешний по отношению к мта - это, имхо, правильно, ровно так же, как вне мта почта проверяется на спам и малварь. А насчёт крашей - когда у нас юзеры ловили вируса, который ставил спамагента, LA на машине со спамассассином мог подскочить до нескольких сотен, потом скрипт блочил IP абонента и LA опускался до нормы. Крашей не было, бэкскеттера тоже.
Насчёт дсн - смотреть надо. По идее, мта, спамобойка и все, через кого письмо прошло, должны свои X-заголовки вставлять, по ним можно что-то решать.
Ну действительно, ведь к мта задача обработки,с-ко, СЕССИИ - не имеет ни малейшего отношения. Давайте при открытом tcp соединении вызовем стосорок нескучных интерфейсов (из fork&exec mta причем!) и пусть весь мир подождет.> По идее, мта, спамобойка и все, через кого письмо прошло, должны свои X-заголовки вставлять
причем тут заголовки? Это опять обработка сессии. Только на конечном релее получателя. Доставить письмо не получается - надо сообщить об этом отправителю (на этот раз - отправителю, а не промежуточному mta, он тут непричем). Ой, нет, не надо - тут фейковый from, и отправитель прицельно просит не сообщать ему о каждой рассылке с его подделанных адресов.
Ну устарел немножко сендмэйл, устарел, с 2004го года мир изменился. А боевой п-с растерял боевой задор, поди и не стоит на парней у него уже, поэтому поправить уже ничего не может.
Пенсия, дача, рыбалка. И его mta тоже уже пора на покой.
Отработать сессию - это (в данном случае) ответить на "rcpt to:", а вот как принять решение о том, что ответить - это уже решает mta, и тут полностью всё в руках его автора - реализовать все необходимые алгоритмы в самом mta, или сделать возможность делегировать этот вопрос стороннему ПО по усмотрению админа (например, у кого-то имена привязяны к какому-нибудь радиусу или таках+ - их поддержку тоже в мта запихивать?).
Насчёт бэкскеттера потом, щас працюваты треба.
Мильтер.
У тебя каша в бОшке.
Postfix это рутер и framework, exim комбайн с перловкой и кроном.
В домильтерную эпоху тоже справлялся.
> Ну ок, продаваны ironport не зря паркуют свой линкольн около пятиэтажной виллы в гейареа.Мы тут заканчиваем проект перевода большой коммерческой системы с Ironport на Exim с сохранением всех функций и автоматической конвертацией policies первого в ACL последнего.
Могу сказать, что Exim легко покрывает функции Ironport по-крайней мере в том объёме, который используется заказчиком.
В результате ребята будут экономить миллионы не рублей ежегодно.
Ага. И с каждым новым апдейтом экзима, правим конфиги. Потому как старые, вдруг резко перестают работать..
Учитесь писать их так, чтобы править ничего не требовалось.
Над удобством postfix смеялись они. Потом появился OpenSMTPd — стали смеяться над его молодостью. Что там следующее по списку, «потом с тобой борются»?
ойц, ужо
https://www.cvedetails.com/product/27750/Openbsd-Opensmtpd.h...
Угу. 2 RCE за семь лет, из них только одна в конфигурации по умолчанию. А в обсуждаемой новости сколько, и за какой это период, напомнить?
Что вы спорите то? Как будто кто-то из вас сможет в 2021ом году собственный почтовик запустить так, чтобы от него кто-то почту смог получить, особенно на гмыле. Благо спамеры так постарались, что настроить все что надо чтобы доказать что твой почтовик - не верблюд, никаких вменяемых денег частнику не хватит. Да и организации средней руки тоже в копеечку станет. Проще на стороне заказать. Ещё 15 лет назад пробить все чёрные списки и настроить все полускрытые условия было сложнейшим квестом. Сейчас практически не решаемо, и совсем не решаемо без серьёзных денег. Нет, если вы с соседом договоритесь и поставите два почтовика - никто вам переписываться не запретит. Но сервера больших игроков вроде гугла будут вас игнорировать. Так что, это уюе так - софт для музея, увы...
Сможем и выполнить при этом docker-compose -d
Разве есть люди, которые выполняют на сервере docker-compose бла-бла?
Да нет там особенных проблем с настройкой, если понимать, что и как работает. Просто Gmail - это вещь в себе, не всегда поддающаяся логике. Как и многие другие крупные провайдеры почты. Но они больше доставляют проблем своим же пользователям. Их сервис - это, как своего рода, наркотик. Соцсети - из той же области, просто в куда более широком смысле.
> Да нет там особенных проблем с настройкой, если понимать, что и как
> работает. Просто Gmail - это вещь в себе, не всегда поддающаясяНу, вообще-то немного и заплатить не забудь. А то проблем с настройкой нет, а почта твоя никем не принимается - потому что неположено васяну ее иметь личную. Вон к гуглю иди, от него примут.
Ну либо заводи где-то (небесплатный, кстати) ip адрес из "приличного" диапазона, желательно не заляпанного предыдущим владельцем. Для начала. Удивительно, что местные горе-админы больших (якобы) почтовых систем это не понимают.> логике. Как и многие другие крупные провайдеры почты. Но они больше
> доставляют проблем своим же пользователям.неее, чувак, они доставляют проблем ТВОИМ пользователям (имеющим нещастье быть еще и пользователями гугля)
Причем ни один такой пользователь не сбежит к вменяемому почтовому сервису - он будет топотать ножками и требовать от тебя прогнуться под гуглевые правила. Все гугля удовлетворяют, один ты не хочешь, гад такой!
Если настроить SPF/DKIM/DMARC и следить за пользователями - особых проблем с гуглом нет.А у его пользователей есть, например, он (временами?) воспринимает 5хх отлуп как 4хх и двое суток пытается доставить письмо на деревню дедушке - их юзер, с надеждой, ждёт :).
Про идиотский веб интерфейс ихней почты - разговор отдельный.
Настраиваешь SPF, DKIM, DMARC и обратку. И не хостишь на помойках, подсети которых во всех блеклистах. И внезапно все работает.Проверять корректность конфигурации удобно на mail-tester.com.
да-да, заплати за воздух чтобы гугль был счастлив.Еще через пару лет твой совет будет звучать "и хостись в одобренном гуглем особом списке датацентров, с которых он еще соизволит изредка что-то принимать". И ничего, ты тоже счастливо побежишь в первых рядах. (а что, деньги-то дядины, вряд ли ты свой почтовый сервер держишь)
Я сам себе дядя :)Помойка в смысле совсем помойка, с дешевого хецнера все отлично работает с первой попытки. Проблемы были только с мейл.ру, который как-то расширительно толкует spf. Я так и не понял, что им не нравится, ну и да ладно, пользователи мейл.ру должны страдать.
> Помойка в смысле совсем помойка, с дешевого хецнера все отлично работает с первой попытки.Ну повезло тебе. А завтра не повезет (угадай, какой spam score имеют в гугле соседние с твоей помойки, на которых запущен тор-exit? Да, их там есть, не смотря на якобы-запрет в policy. Впрочем, там и куда поинтереснее есть, но те, полагаю, так не палятся.)
> Проблемы были только с мейл.ру, который как-то расширительно толкует spf.
может проблемы не в мэйлру а в твоем непонимании spf? У меня вот нет проблем с мэйлру (не считая мелочи что они добуквенно следуют стандарту, даже там где он откровенно бредов).
> пользователи мейл.ру должны страдать.
это ты не можешь им написать, а не они тебе. Так что (поскольку вряд ли твои письма имеют для человечества хоть какую-то ценность) страдаешь только ты сам - за свои же деньги.
Ну и да, почем там воздух у дешевого хетзнера? А то я вот мечтаю куда-нибудь свалить от этой "дешевизны", с ее 30% любимому фюреру.
Mail.Ru может ругаться на SPF, но на самом деле хочет DKIM. После появления _dmarc и dk2048-2021._domainkey в зоне, всё стало шоколадно. Ну, filter dkimsign, конечно, тоже подключил. ;-)
> да-да, заплати за воздух чтобы гугль был счастлив.Google это образец адекватности в сравнении с другими, например Microsoft.
Эти мрази вообще придумали платную (!) сертификацию с тем, чтобы ваша почта точно доставлялась их клиентам. А иначе как получится, и попадание в спам это не самый худший вариант. Бывает что письмо принято и... бесследно исчезло в их недрах.
> Как будто кто-то из вас сможет в 2021ом году собственный почтовик запустить так, чтобы от него
> кто-то почту смог получить, особенно на гмыле.ну я могу. Одна проблема только: мне не очень интересно рассылать спам пользователям гмыла (его-то они как раз и получат), а вы ведь не уточнили что чтобы получить могли _любую_ почту?
А поскольку в моей личной почте нет "корпоративного дизайна рассылок"(c) - гмыл выкидывает ее в помойку, поскольку "что-то не очень похоже на почту" - в смысле, на тот мусор, который он считает почтой.
А спам гуглоюзерам рассылается прекрасно - чаще нас банит мэйлрушечка, они там немного т-пые, и ниасиливают белые списки даже со стопиццотой попытки.
вот кстати да, на мейлру мои письма чаще не доходят, чем на гмейл.
но мейлру хотя бы пишет в ответ на недоставленное письмо код ошибки и ссылку на разбан, несколько раз пользовался - всегда разбанивали. а к гмейлу вообще никак не достучаться, техподдержка и какие-либо контакты в принципе отсутствуют.и поддерживаю других ораторов: чукча-читатель воистину девляпс и не умеет настраивать почту.
> но мейлру хотя бы пишет в ответ на недоставленное письмо код ошибки и ссылку на разбанэто на одно. А на десяток тысяч уже не пишет. Каждый раз вручную общаться с поддержкой тоже изрядно надоедает.
> и поддерживаю других ораторов: чукча-читатель воистину девляпс и не умеет настраивать почту.
возможно наоборот - он умеет настраивать почту, он не умеет подмахивать гуглю. Что с умением "настраивать почту" ничего общего не имеет.
И да, как у тебя, к примеру, с умением настроить список рассылки, сохраняющий адрес отправителя (т.е. не требующий лишних телодвижений для не гадить в список личными ответами) ?
Вот спам рассылать - никаких умений не надо. Можно просто скачать бесплатно-без-смс, кстати.
А что там такого надо настраивать, что стоит жутких невменяемых денег???
20 лет работаю в этой сфере и не знал про такой Клондайк!!!!
Ды вот да, сюрпрайз.
Не, просто современные девляпсы плохо вообще себе представляют, как мыло работает.
Это ж не собственные логи собственного докера в собственный эластик говнять.
Ну чел точно знает где копать! проговорился :)
Бро, ты гонишь.
Никаких особо денег, кроме как на инфраструктуру, не требуется.
(ещё требуется на поддержку клиентов, если ты xSP - наш случай, в кровавом энтерпрайзе - вменяемый постмастер)
Гугл не игнорирует.
Что-то мы делаем не так.
Да, девляпсам наверное не справиться - не их среда, инфраструктуры-как-кот нет.
> Гугл не игнорирует.
> Что-то мы делаем не так.попробуйте не рассылать спам. Хотя бы пару месяцев. А, ну да, вы ж не можете.
Наверное наоборот, надо попробовать порассылать :D
Не надо сказочек. Просто удали нахер все рассылки "дорогой обожаемый пользователь, мы снова повысили ценник на нашу нахер тебе ненужную услугу триперпей, без которой хрен тебе а не интернет!"Да, это спам, внезапно. Как и прочие "нереальные пердолжения". Пользователь нихрена о подобной милости не просит. Наличие кнопки "отписаться" ничего не меняет, у любого спаммера есть такая, а у некоторых даже и работают (чего на тебя ресурс переводить, если ты это все равно настолько нечитатель, что не ленишься нажать "отписаться" - надо прислать что-нибудь из другого профиля)
А вот когда ты это удалишь - расскажи мне, как хорошо доставляется твое личное письмо плейнтекстом без "корпоративного дизайна" - с релея, выпавшего из статистики, обеспечиваемой тем вот мусором.Потом заходи, про рассылки поговорим - не про мусорные, а про нормальные maillists.
Да не, ты тоже гонишь.
Наш собственный трафик на этих релеях составляет менее 0.001%
Менее 0.01%, сорян. Он в масштабе 0.001-0.003%
Ну, значит клиенты за тебя стараются, набивают гуглю статистику "корпоративным дизайном".
У меня вот мой собственный траффик уже пять лет составляет 100%, поскольку услуга почтового сервиса в наши дни никому не нужна (если только ты не гугль), а больше на этом хосте ничего давным-давно и нет, и прохождение его весьма и весьма ненадежно. Ну очень ведь похоже на спам! Просто завались вот спама в плейнтексте приходит! Я целый один раз такой видел. От нигерийского кос...тыпонял. Ну его можно понять, он в 80м году полетел, кажется.Вот с корпоративного эксченджа, со всеми положенными побрякушками и мигающей гифкой в подписи, согласно корпоративным стандартам - все доходит, тем же адресатам. Без всяких бесполезных dkim, замечу. Которые как раз у каждого спамера сегодня есть, они-то напрямую рассылают, им-то он ничем не мешает.
А, ну да, ну да - зато у корпоративного домена есть волшебный google-site-verification. При том что, разумеется, там никто и никогда даже не мыслил пользоваться гуглевой почтой.
(у нас спам другого характера. на билбордах например)
Руки поправь. Всё отлично доходит.
Ой, как дорого жить! А я то дурак и не знал, когда настраивал, что не смогу настроить. Вот до сих пор не понимаю, как же я смог! Сам то пробовал настраивать, или тёплое креслице придавило начальствующий моск и это сисадмин нашептал?
Не, я наверное даже рискнул бы его поддержать - мне клиенты "заказать на аутсорс" тоже нужны :D
Хотя конечно почта сама по себе - давно уже просто приложение к другим услугам, она ещё в плюсе, но там очень скромный плюс чтобы её самостоятельной услугой делать, мы не гугл.
(не, есть ребята, которые берут почту only для своих доменов, но их от общего числа клиентов по почте не сильно заметно, по числу ящиков чуть поболее, но тоже так это себе)
небось, те самые жлобы, не желающие хоститься на "правильных" ip-адресах с точки зрения гугля.
>Как будто кто-то из вас сможет в 2021ом году собственный почтовик запустить так, чтобы от него кто-то почту смог получить, особенно на гмыле.В чем проблема-то?
С 2000 г. живет мой личный домен <моя_фамилия>.com Крутится там персональный почтовый сервер для моей семьи на 5 почтовых ящиков. Сначала он работал на Qmail, а последние 10 лет на Exim. Не имею ни каких проблем с отправкой писем в любые адреса, в том числе на Gmail - всегда все доходит. Настроены все доп. протоколы: SPF, DKIM, DMARC, MTA-STS, SRS. Благо Exim легко все это позволяет. Реальный IP адрес - корпоративный МТС.
Может проблема, как обычно, в прокладке?
а в чем проблема? Вот отправил письмо со своего сервера на гмейл - пришло без проблем. Никому не платил, даже сертификат ссл самоподписанный.
В каких дистрах он стоит по умолчанию?
Даже если нету, будет поставлен.
Спите спокойно, в вашей б-жественной бубунточке нет никакого mta "по умолчанию". Вообще.Ну, действительно, зачем вам миллиард писем от юзера www-data что у него в кроне давно рассыпалась какая-то хрень - вы ж все равно их не прочитаете, пока диск не лопнет.
Проще сразу сэкономить ресурсы и ничего не отправлять.
Debian как всегда не обновил
Дебиан он особо-то и не нужен.
Автора дебиана застрелили. Rip теперь им управляют те же макаки что и exim.
10! Карл, 10! Удаленных!
Тебе жалко?
Они были, когда о них никто и не знал. А теперь их уже нет :).
Из минисоты наверно
Зачем, если есть qmail? Netqmail, конечно.
как обновиться в CentOS 6?
>как обновиться в CentOS 6?В 2021 году выставлять в интернет CentOS-6 можно только при условии, что ты сам собираешь и обновляешь критические пакеты (openssl, openssh и т.п.). В этом случае обновить exim до версии 4.94.2 не составит труда. В противном случае необходимо срочно менять дистр на актуально поддерживаемый!
apt-get install lenny