Интернет магазин китайских планшетных компьютеров

Компьютеры - Qmail - Разногласия

qmail был разработан в качестве критического ответа Sendmail, крайне популярной и до некоторой степени любимой части программного обеспечения Unix. Bernstein, автор qmail, не особо сдерживался в описании недостатков в дизайне Sendmail и превосходящих характеристик qmail, и при этом он не старался изо всех сил копировать поведение Sendmail, которое в то время было стандартом de facto в области доставки Интернет-почты. Как результат, qmail подвергался необычно тщательному исследованию.

Награда за нахождение уязвимости Георгием Гунински

Bernstein предложил награду в US$500 первому, кто опубликует поддающуюся проверке уязвимость в последней версии программы.

В 2005 году специалист в области безопасности Георгий Гунински обнаружил целочисленное переполнение в qmail. На 64-разрядных платформах в определенных конфигурациях с сомнительной вероятностью существования на реальной системе, доставка огромных количеств данных к некоторым компонентам qmail может привести к удаленному выполнению произвольного кода. Bernstein оспаривает осуществимость этого метода, используя в качестве аргумента отсутствие в реальности инсталляций qmail, восприимчивых к данной атаке. Настройка ограничений ресурсов для компонентов qmail уменьшает степень подверженности этой атаке.

1 ноября 2007 года Bernstein увеличил размер вознаграждения до US$1000. В слайд-презентации на следующий день Bernstein сообщил, что после десяти лет существования qmail-1.03 имеется 4 известных ошибки, ни одна из которых не является дырой в безопасности. Он охарактеризовал ошибку, найденную Гунински, как потенциальное переполнение непроверенного счетчика. «К счастью, рост счетчика был ограничен памятью и следовательно конфигурацией, но это было чистой удачей.»

Частота обновлений

В отличие от конкурентов, Postfix и Sendmail, основной пакет qmail не обновлялся много лет. Новые возможности обеспечиваются сторонними патчами, такими как netqmail. Это выгодно для некоторых пользователей из-за того что не нужно постоянно устанавливать обновления, и является проблемой для других пользователей, в частности для тех, кто хочет использовать механизмы аутентификации, которые появились после последнего выпуска qmail.

Соответствие стандартам

qmail был разработан как замена для Sendmail, но не ведет себя точно так же как Sendmail во всех ситуациях. В некоторых случаях эти различия в поведении являются основанием для критики. Например, подход qmail к обработке сообщений о недоставке отличается от рекомендованного IETF в RFC 1994. Кроме того, некоторые функции qmail подвергались критике за введение сложностей в доставку почты; например, механизм шаблонов в адресах и безопасный дизайн не позволяют ему отвергать сообщения для несуществующих пользователей во время SMTP-сессии. В прошлом эта особенность могла использоваться для компрометации qmail-узла как источника спама, тем не менее, сегодня такие техники рассылки спама уже не применяются.

Несмотря на эти обстоятельства, qmail находится в пятерке самых популярных Unix-MTA, пересылая значительную часть всех почтовых сообщений в Интернете.

Ситуация с лицензией

Daniel J. Bernstein сделал qmail общественным достоянием в ноябре 2007 года. До этого момента qmail был программой без лицензии, что гарантировало право на распространение в виде исходного кода или прекомпилированной форме при условии соблюдения некоторых условий, главным образом относящихся к совместимости.

qmail является единственным широко распространённым MTA, находящимся в общественном достоянии.