The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск OpenSMTPD 7.3.0p0, SMTP-сервера от проекта OpenBSD

17.06.2023 19:50

Спустя два с половиной года с момента прошлого обновления сформирован выпуск переносимой редакции SMTP-сервера OpenSMTPD 7.3.0p0, развиваемого под эгидой проекта OpenBSD и нацеленного на создание простой замены Sendmail. Сервер поддерживает большую часть требований спецификации RFC 5321 и реализует ряд используемых повсеместно расширений протокола, таких как поддержка аутентификации пользователей (SMTP AUTH), TLS-шифрование трафика, уведомления о доставке DSN (Delivery Status Notification), расширенные коды статуса (Enhanced Status Codes), блокирование спама по "серым спискам" через интеграцию со spamd. Поддерживается работа во FreeBSD, NetBSD, DragonFlyBSD, macOS и Linux.

Прошлый выпуск переносимой редакции OpenSMTPD был основан на кодовой базе из OpenBSD 6.8 и был опубликован в декабре 2020 года. Новый выпуск синхронизирован с OpenSMTPD из состава OpenBSD 7.3 и включает следующие заметные изменения:

  • Добавлена опция "-a" для выполнения аутентификации до отправки сообщения.
  • В слушающих сокетах для TLS реализована возможность настройки нескольких сертификатов, выбираемых в зависимости от имени домена (SNI).
  • Осуществлён переход на использование библиотеки libtls. При наличии по умолчанию подключаются системные libbsd и libtls, для принудительного использования встроенной версии libtls предложен сборочный флаг "--with-bundled-libtls".
  • Реализована поддержка опций TLS "cafile=(path)", "nosni", "noverify" и "servername=(name)".
  • В smtp разрешено выбирать параметры шифров и протоколов TLS.
  • Включена по умолчанию проверка TLS для исходящих подключений "smtps://" и "smtp+tls://".
  • Для выбора используемого сертификата задействован поиск по именам, присутствующим в самом сертификате, а не по имени pki.
  • Устранены утечки памяти и ошибки, приводящие к аварийному завершению.
  • Из OpenBSD перенесена функция res_randomid().


  1. Главная ссылка к новости (https://www.mail-archive.com/a...)
  2. OpenNews: Доступен почтовый сервер Postfix 3.8.0
  3. OpenNews: Выпуск OpenBSD 7.3
  4. OpenNews: В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявлена порция уязвимостей
  5. OpenNews: Удалённая root-уязвимость в OpenSMTPD
  6. OpenNews: Уязвимости в OpenSMTPD, позволяющие удалённо и локально получить права root
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59311-opensmtpd
Ключевые слова: opensmtpd, openbsd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (27) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 20:05, 17/06/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    У него нехорошая репутация, слишком уж критическую и детскую дыру нашли, увы.
     
     
  • 2.2, Аноним (2), 20:09, 17/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тем и лучше. Меньше будут пользоваться, а значит меньше уязвимостей найдут, а значит репутация улучшится.
     
     
  • 3.17, Аноним (17), 21:00, 18/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ;)
     
  • 3.21, Аноним (21), 08:12, 19/06/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Словно этого кого-то останавливало:

    - Exchange используют, потому что это отличный (ну а кто конкурент?) groupware продукт, и на безопасность при выборе можно не смотреть (повторюсь, конкурентов полноценно нет).
    - self-hosted почтовые серверы все реже создаются с нуля (увы), а те, что создаются, делаются по этому убогому варианту "postfix + dovecot + дебильное хранение юзеров в СУБД, сделанное студентом", причем по тому же howto родом из 90-х. Конкуренцию серьезным продуктам этот комбайн не особо-то и составляет.

    Тому, кто ставит себе OpenSMTPd, можно не то чтобы посочувствовать, но, если ставит он его не для себя на свой сервер, то клиентам его (в будущем) точно будет грустно.

    С другой стороны, OpenSMTPd не комбайн ни разу, так что он все равно полагается на те же компоненты как LDA, как источники авторизации, как веб-мейл, как...

    В общем, детская ошибка - просто от того, что никому, он, блин, не нужен, вот и не находилась до сих пор ошибка. По ходу, даже авторам не нужен! )

     
     
  • 4.24, Штыбель (?), 09:04, 19/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В перечислении почтарей, вы ЭмДємона забыли упомянуть.
     
  • 4.25, 1 (??), 09:22, 19/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В целом соглашусь, но (и это прогресс !) СУБД сейчас, в основном, выбирается LDAP
     
  • 4.26, Аноним (26), 11:04, 19/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/

    > - Exchange используют, потому что это отличный (ну а кто конкурент?) groupware
    > продукт

    обычная почта, только с откатами

     
  • 4.30, миша ты еблан (?), 16:15, 22/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А что там по поводу qmail?
     
  • 2.3, Аноним (3), 20:10, 17/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Обычная для OpenBSD.
     
     
  • 3.5, Даже я это застал (?), 23:27, 17/06/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Дыра была в переносимой версии, не в версии OpenBSD. Так причём тогда?
     
     
  • 4.7, Аноним (3), 23:48, 17/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Дыра была в переносимой версии, не в версии OpenBSD. Так причём тогда?

    Ещё с openssh была похожая история. И с libressl. Тут есть некая закономерность.

     
     
  • 5.10, Аноним (-), 01:11, 18/06/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И еще вишенка на торте, детский баг в виртуализации, когда GUEST мог хосту страницы в kernel mode (!!!) менять аж. Найдено вообще кадром из нетбзды, а при попытке вон тех делать хорошую мину при плохой игре вышло знатное секурити-опускалово опенщиков.

    Ващет пойнт виртуализации это защита хоста от поползновений гуестов, а не эскалация их птичьих правов сразу в кернелмод, и зафейлить пойнт виртуализации жестче еще надо суметь :)

     
  • 5.12, Аноним (12), 07:23, 18/06/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А ещё дыры находят в nginx, postgresql, многих других проектах, а вишенка на торте - ядро Linux. Тоже некая закономерность.
     
     
  • 6.15, Аноним (3), 10:12, 18/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Только они не заявляли о своей защищённости и не объявляли себя лучше других (песенки о "плохом" GNU особенно прелестны). Линус в своё время вполне заслуженно назвал OpenBSD дрочащими обезьянами, но всё намного хуже, чем на первый взгляд, и постоянная демонстрация тотального непрофессионализма это прекрасно иллюстрирует.
     
     
  • 7.19, Аноним (12), 03:12, 19/06/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Линус в своё время вполне заслуженно назвал OpenBSD дрочащими обезьянами

    Может это он про сообщество Linux сказал? Очень похоже на это)

    Любой код содержит ошибки и чем больше кода, тем больше ошибок.

    Опенок хорош не "сферической безопасностью в вакууме", а тем, что предлагает альтернативный путь развития. Он не лучше и не хуже. Он другой.

     
     
  • 8.27, Аноним (27), 02:16, 20/06/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Это оставаться на уровне девяностых Это скорее альтернативный путь неразвития, ... текст свёрнут, показать
     
  • 4.29, Аноним (1), 08:57, 20/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    дыра была и в нативной и в переносной версии
     

  • 1.4, beck (??), 22:50, 17/06/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Такой же дырявый, как и вся OpenBSD.
     
     
  • 2.6, Даже я это застал (?), 23:28, 17/06/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Номера CVE, которые касались бы именно версии из OpenBSD, не подскажите?
     
     
  • 3.11, ssh (ok), 03:42, 18/06/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Немедленно прекратите тролить автора самого безопасного, оптимального и красивого кода!
     
  • 2.13, Аноним (12), 07:25, 18/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    OpenBSD до GNU/Linux по степени дырости очень, очень далеко.
     
  • 2.16, Ananimus (?), 11:25, 18/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Но не такой дырявый как io_uring!
     
     
  • 3.18, Аноним (-), 23:01, 18/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если у вас нет штанов то и порваться они не смогут. Круто, правда?! У опенщиков как-то также, но с IO. Врядли кто станет использовать опенок с 100Gig адаптером или энтерпрайзными SSD где счет на миллионы IOPS идет.
     
     
  • 4.20, Аноним (12), 03:14, 19/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Инструмент нужно применять по назначению.

    В здравом уме никто не будет использовать самолёт для передвижения под водой. У опенка другая ниша.

     
     
  • 5.22, Аноним (21), 08:16, 19/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по новостям и форумам - быть "самым быстрым парнем на деревне".

    Как говорится - "он говорит, так и Вы говорите", вот они и говорят, что они самые безопасные. Но, как ни смешно, их нишу никто не может толком назвать в разрезе не "поиметься", а именно "построить большую систему из разных серверов, которую многие люди смогу успешно эксплуатировать годами".

    А как игрушка "для себя" (мозги поострить), и как повод для повыпендриваться - самое то.

    Только не говорите, что ниже опенка - это роутеры и бордеры. Т.е., это, конечно, справедливо, но они-то пилят систему общего серверного назначения, правда?

     
     
  • 6.23, Аноним (21), 08:17, 19/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    *"ниша опенка"
     

  • 1.28, Аноним (28), 05:48, 20/06/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Че взъелись? Нормальная система. Электронная почта устаревает но миру пока нужен дистр что бы быстро развернуть почтовый клиент
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру