| 1.1, инвестор (?), 09:10, 28/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> В коде сервера SMTP, клиента SMTP и прокси TLS (tlsproxy) добавлена поддержка SNI (Server Name Indication)
Накотец-то.
| | |
| |
| 2.2, marios (ok), 09:49, 28/02/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
 А в чём смысл? SNI позволяет клиенту сообщить, к какому серверу он подключается.
Postfix же не web-сервер, там нету виртуальных сайтов.
| | |
| |
| 3.3, Andrey Mitrofanov (?), 09:56, 28/02/2019 [^] [^^] [^^^] [ответить]
| +5 +/– |
> А в чём смысл? SNI позволяет клиенту сообщить, к какому серверу он
> подключается.
> Postfix же не web-сервер, там нету виртуальных сайтов.
Это Ж криптография! ...позволяет клиенту сообщить серверу, который из _кучи_ его, сервера, сертификаов/ключей шифрования ему будет "приятно" видеть.
В канальном уровне должно быть больше.... выбора, приятностей [для никому невидимых библиотек] и нипанятных протоколов. Б - Безопасность.
| | |
| 3.4, товарищ майор (?), 09:57, 28/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
смысл что раньше не палили какому домену адресована почта, а теперь я все вижу!
> Postfix же не web-сервер, там нету виртуальных сайтов.
почтовый сервер, внезапно, может поддерживать миллионы доменов. А то что там некому, нечем и незачем валидировать сертификаты, кроме ограниченного числа сугубо внутренних серверков, где в принципе можно гвоздем прибить их к аутентификации (хотя тоже низачем не нужно) - это никого не колышет.
| | |
| |
| 4.6, dude (?), 10:10, 28/02/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
SNI в почте нужен не всем, но там, где нужен, там нет другого нормального решения.
Кто уверен, что это не так - ну, вы можете жить дальше в своём уютном мирке, это дело ваше.
| | |
| |
| 5.8, товарищ майор (?), 10:34, 28/02/2019 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> SNI в почте нужен не всем, но там, где нужен, там нет другого нормального решения.
да. А то как же я увижу, какому домену вы на самом деле адресовали почту, и кого надо вечером "брать".
кто уверен что sni решает какие-то другие проблемы кроме слива мне информации - может жить дальше в своем уютном мирке, пока мы за ним тоже не придем.
| | |
| |
| 6.26, Michael Shigorin (ok), 13:51, 28/02/2019 [^] [^^] [^^^] [ответить]
| –3 +/– |
 Ух, прям представилось: сидит себе такой Венема, и тут подошедший из ниоткуда майор ласковым голосом, приставив к голове беретт... в смысле наган: "дружок, шоб к утру SNI было сделано -- и как следует!".
| | |
| |
| 7.32, товарищ майор (?), 15:28, 28/02/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Михаил, ну вам-то стыдно не знать, что мы так грубо не работаем. Оставьте все эти шпили-вили конкурирующим конторам.
Попросили хорошего человека-повара, по совместительству владельца небольшой фабрички в Питере, чуваку запулили пару сотен фич-реквестов, с разных адресов, по разным каналам, и под разным соусом, сам он в криптографии в общем не то чтобы очень (да и в остальное не так офигенен как принято думать у глупеньких фанов), а тут надо-то было один вызов поменять и один параметр добавить, не то чтобы к утру, но в следующей же версии - вот, напёк, кушайте, не обляпайтесь.
И, заметьте - добровольно и с песней - есть что в changelog написать!
| | |
|
|
|
| 4.7, marios (ok), 10:16, 28/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Вижу проблему в нерадивых админах.
Если каждый админ станет радивым, заставит SMTP-сервера чекать сертификаты других SMTP-серверов, интернет немедленно улучшится [чуточку].
| | |
| |
| 5.33, товарищ майор (?), 15:29, 28/02/2019 [^] [^^] [^^^] [ответить]
| +/– | |
интернет от этого безусловно улучшится - почта ходить перестанет, освободит каналы для нужного и полезного cp.
| | |
|
|
| 3.5, Нанобот (ok), 10:06, 28/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
 > там нету виртуальных сайтов.
там по-идее есть виртуальные почтовые домены, каждый со своим сертификатом
| | |
| 3.30, Аноним (30), 15:12, 28/02/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
SNI позволяет клиенту не плеваться сообщением "подлинность стервера не может быть проверена"...
| | |
| |
| 4.34, товарищ майор (?), 15:31, 28/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
именно - то есть позволяет скрыть тот факт, что сервер не принадлежит конторе, которой выдан сертификат, и сами сертификаты она раздает вместе с закрытым ключом кому попало, или вовсе принимает вашу почту на массхостинге.
Правильная технология, все как я заказывал.
| | |
|
| 3.31, Аноним (30), 15:13, 28/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> там нету виртуальных сайтов
У вас нету. А у меня, как у хостера, пара тысяч доменов.
| | |
|
|
| 1.11, iFRAME (ok), 11:02, 28/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > Microsoft Exchange - 0.61% (0.85%).
Очень сомнительно. У корпорастов почти сплошь Exchange.
| | |
| |
| |
| 3.18, лютый жабист__ (?), 12:08, 28/02/2019 [^] [^^] [^^^] [ответить]
| +/– | |
>они стыдливо прячутся за sendmail postfix qmail exim
Бредишь. Мы прячемся за каким-нибудь ironport.
| | |
| |
| |
| 5.48, лютый жабист__ (?), 07:54, 01/03/2019 [^] [^^] [^^^] [ответить]
| –5 +/– | |
>которого почему-то не видно в статистике
И что? На 100500 постфиксов/экзимов на пустой как барабан VPSочке приходится один ironport, а за ним exchange с десятками или сотнями терабайт корп почты. Ты просто не поверишь сколько мусора^Wпочты генерит контора на допустим 10к голов. Всякие корп рассылочки, приказы и прочая шелуха, которое рассылается сразу всем.
Ну, зато постфиксов много. Есть чем гордиться...
| | |
| |
| 6.60, _ (??), 05:14, 04/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
Да есть чем годится!
Но пoпaбoль вaнтузятников всё ещё доставляет :)
Хотя вроде бы должны были уже и привыкнуть ... а подиж ты! :-)
А если уж я тебе расскажу из чего ironport сделан ...
Посмотри внимательно чего они где то в 2003-2009 году у Канады купили :) Кл0ун bля :-)))))
| | |
|
|
|
| |
| 4.61, _ (??), 05:17, 04/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
Вообще то неправда. Олдфаги на шлимыле, а поделку профессора в реальной жизни применяют те же кто сегодня драйвера на js пишет :-)
| | |
|
|
|
| 1.14, Фанбой systemd (?), 11:24, 28/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Вывод лога в stdout позволяет исключить syslogd из зависимостей при выполнении Postfix в изолированном контейнере. Для ведения логов добавлен новый процесс postlogd, активация которого производится через сервис 'postlog' в master.cf
Я, верный фанбой systemd, обвиняю Витсе Венему в велосипедостроении!!!!11
| | |
| |
| 2.27, Michael Shigorin (ok), 13:53, 28/02/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Прежде обвинения стоит провести расследование. А то вдруг вскроется, что архитектура postfix мало-мало старше орхетиктуры* systemd и там privsep сразу был задуман.
* да, п.5 правил форума...
| | |
|
| |
| |
| 3.23, Ilya Indigo (ok), 12:41, 28/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
 > Держи нас в курсе, очень важная инфа!
Когда почтовый сервер исправно работает, его архитектура продумана и надёжна, что до сих пор в нём не было не одной критической уязвимости, а не критическая уязвимость была, на моей памяти одна и то по вине gcc и его флагов оптимизаций, его API практически не меняется даже после изменения мажорной версии, то только и остаётся что смотреть на циферки.
P.S. Держу Вас в курсе. :-)
| | |
|
|
| 1.36, velemas (?), 17:13, 28/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 Макрос VSTRING_GET_RESULT в src/util/vstring_vstream.c:
#define VSTRING_GET_RESULT(vp, baselen) \
(VSTRING_LEN(vp) > (base_len) ? vstring_end(vp)[-1] : VSTREAM_EOF)
В аргументах baselen, но использует base_len. И это компилится пока что, ибо в функах где оно используется задефайнен base_len, но передается все равно baselen:
int vstring_get_flags(VSTRING *vp, VSTREAM *fp, int flags)
{
int c;
ssize_t base_len;
if ((flags & VSTRING_GET_FLAG_APPEND) == 0)
VSTRING_RESET(vp);
base_len = VSTRING_LEN(vp);
while ((c = VSTREAM_GETC(fp)) != VSTREAM_EOF) {
VSTRING_ADDCH(vp, c);
if (c == '\n')
break;
}
VSTRING_TERMINATE(vp);
return (VSTRING_GET_RESULT(vp, baselen));
}
Вот такая безопасность.
| | |
| |
| 2.40, Ordu (ok), 19:25, 28/02/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Эмм... Посмотрел вокруг и...
src/util/vstring.h:
#define VSTRING_SPACE(vp, len) ((vp)->vbuf.space(&(vp)->vbuf, (len)))
#define vstring_str(vp) ((char *) (vp)->vbuf.data)
#define VSTRING_LEN(vp) ((ssize_t) ((vp)->vbuf.ptr - (vp)->vbuf.data))
#define vstring_end(vp) ((char *) (vp)->vbuf.ptr)
#define VSTRING_TERMINATE(vp) do { \
*(vp)->vbuf.ptr = 0; \
} while (0)
#define VSTRING_RESET(vp) do { \
(vp)->vbuf.ptr = (vp)->vbuf.data; \
(vp)->vbuf.cnt = (vp)->vbuf.len; \
} while (0)
#define VSTRING_ADDCH(vp, ch) VBUF_PUT(&(vp)->vbuf, ch)
#define VSTRING_SKIP(vp) do { \
while ((vp)->vbuf.cnt > 0 && *(vp)->vbuf.ptr) \
(vp)->vbuf.ptr++, (vp)->vbuf.cnt--; \
} while (0)
#define vstring_avail(vp) ((vp)->vbuf.cnt)
Вот где живут настоящие C-программисты. Я думал они миф, и их не существует в природе, ан нет. Ты глянь, они не боятся использовать макросы там, где можно (напрашивается!) использовать inline функции, и несмотря на это их код работает, и даже безопасен. Даже их ошибки, не делают код уязвимым.
Респект и уважуха. Я не знаю как им это удаётся, и даже боюсь узнать. Я уж лучше в уютненьком rust'е.
| | |
| |
| 3.42, пох (?), 22:26, 28/02/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Ты глянь, они не боятся использовать макросы там, где можно (напрашивается!) использовать
> inline функции
ничего что когда этот код писали - inline были стремным нововведением, по разному (не)поддеживаемым разными компиляторами, а в тогдашнем стандарте языка (с90) никакого "inline" вообще не было?
И это хорошо что его там не было, потому что сегодня собрать код, использующий инлайны, но написанный в каком-нибудь 2005м, внезапно, не получается.
А код использующий макросы - вот он, собирается без проблем.
| | |
| |
| 4.44, Ordu (ok), 22:39, 28/02/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Да-да, я знаю. Legacy, от которого не избавиться, технический долг, ресурсов на закрытие его нет и не будет, и так далее. Но факт-то остаётся фактом, они продолжают тянуть эту хрень, и, что главное, им это удаётся.
| | |
| |
| |
| |
| 7.53, Andrey Mitrofanov (?), 11:15, 01/03/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> Пришло время переписать Постфикс на Расте! Постфикс сам не перепишется!
> Да ну его. Есть гораздо более интересные вещи, которые можно переписать на
> rust. emacs например: https://github.com/remacs/remacs
Не получится.
eval()/apply()-я не завезли, кода, как данных не...
...и вообще см. https://ru.wikipedia.org/wiki/%D0%94%D0%B5%D1%81
> Возможно после этого удастся справится с легаси в emacs'е:
> One day, a fool wanted to run Emacs in a GUI as
> a native GUI program. The rest is ChangeLog.
One day, a fool read some sh*t @ лицо-книга and wanted to rewrite Emacs in rust-lang. The rest is... openet c*mments.
| | |
| |
| 8.54, Ordu (ok), 11:50, 01/03/2019 [^] [^^] [^^^] [ответить] | –1 +/– | Что-то мне подсказывает, что тебя не хватило даже на то, чтобы пролистать readme... текст свёрнут, показать | | |
|
|
| 6.62, _ (??), 05:25, 04/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
Я не знаю софта который растишки бы не взялись переписывать.
С визгами и обещалками на весь инет ...
и ...
Я не знаю софта который растишки бы __закончили__ переписывать, и чтоб вышло не УГ! :-)))
Вот такой вот научный факт, Х оспоришь, подтверждено Академией Британских УчОнных(С)
:-)
| | |
|
|
| 4.55, velemas (?), 12:42, 01/03/2019 [^] [^^] [^^^] [ответить]
| –2 +/– | |
К слову об их C90:
postfix-3.4.0/src/util/msg_logger.c:155: error: declaration may not appear after executable statement in block
static char *severity_name[] = {
Совсем как-то не С90.
| | |
|
|
|
| 1.37, анон (?), 17:53, 28/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Мда, редко встретишь Exchange, выставленный напрямую в интернет.
SmartHost для Exchange используют SendMail Postfix Exim так что автоматизированный опрос это шляпа.
| | |
| |
| 2.43, пох (?), 22:32, 28/02/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
это только в васян-лавочках они их используют - потому что там не нужен отдельный васян, который будет это все настраивать, у них уже есть одна приходящая мама, которая все настраивает по методу "увидел в гугле что-то похожее, авось сработает".
а взрослые если не могут уже по каким-то причинам forefront - используют ironport или программные коммерческие решения.
в статистике вы их не видите, потому что секьюрити-дивайсы, внезапно, вовсе не собираются сообщать первому встречному свое название и версию прошивки с точностью до десятого знака, а отвечают банальным
220 mail.domain.com ESMTP
- эти ребята дешевыми понтами не увлекаются, у них другие способы рекламы.
| | |
| |
| 3.50, Аноним (50), 11:02, 01/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
Открою секрет. Определяют релай не по гриту. Достаточно увидеть ответы на helo/ehlo, help, mail from, noop, quit. в 99% они различны для разного софта. Ах да, вы же не умеете менять ответы на эти команды в своих айронпортах... так вот мы в опенсурсе можем это поменять и пересобрать продукт. Успехов.
| | |
| |
| 4.56, нах (?), 16:07, 01/03/2019 [^] [^^] [^^^] [ответить]
| –3 +/– |
> Открою секрет. Определяют релай не по гриту. Достаточно увидеть ответы на helo/ehlo,
> help, mail from, noop, quit. в 99% они различны для разного
в случае когда эти ответы не содержат ровно никакой информации, кроме необходимой и требуемой стандартом (а это золотое правило всех секьюрити коробок, и айронпорт тут ничем не выделяется - пример я привел вполне реальный) а эксперименты с "help/noop" и вовсе ведут к посылу в пешее эротическое и блокировке айпишника на пару часиков, пока не успокоишься - потому что ничего хорошего от такого экземпляра, обоснованно, не ждем-с, остается только гадание на параметрах tcp, а оно довольно неточно.
> софта. Ах да, вы же не умеете менять ответы на эти
зачем нам их менять?
> так вот мы в опенсурсе можем это поменять
ныкаемся, кульхвакеры в тредике!
(хотя хрен вы чего можете, ебилдов только ждать)
| | |
| |
| 5.58, Аноним (50), 16:36, 01/03/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
прекрати дурочку корчить. вот пример:
quit
221 aa.aa.aa closing connection
quit
221 2.0.0 Bye
quit
221 2.0.0 aa.aa.aa closing connection
Только по одной команде quit уже можно отличить exim,sendmail,postfix. если провести корреляцию с другими командами, которые я привел, можно все ваши айронпорты (хотя я уверен, что в коде что-то из этих трех) и прочие ексченжи, комунигейты идентифицировать однозначно.
| | |
| |
| 6.59, Аноним (50), 16:38, 01/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
посфикс в середине, если что. его
221 2.0.0 Bye
ни с чем не перепутать.
| | |
|
|
|
|
|
|
