Azok a felhasználók nem érintettek, akik az Exim-et "DISABLE_DKIM"-mel fordították vagy vagy elhelyezték a "warn control = dkim_disable_verify"-t a konfigurációs állomány megfelelő szekciójában.
Elkerülendő, hogy a felhasználók összekeverhessék "4.80.1" és a "4.81" verziókat, 4.81-es verziót nem adnak ki. A következő, új funkciókat is hozó kiadás az Exim 4.82 lesz.
Részletek a bejelentésben.
(Sajnos az exim.org - beleértve a lists.exim.org-ot is - elérhetetlenné vált. A levelet kitettem a pastebin-re. Elolvasható itt.)
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Kéne egy szavazás, hogy:
Szerintem pwn-olták az exim.org-ot:
( ) Igen
( ) Nem
:)
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Hat ha erdekel, majd kuldj be egy szavazaskerest trey-nek :-) Ha szerencsed van, kiteszi.
- A hozzászóláshoz be kell jelentkezni
Ugytudom csunyan osszeveszett egyszer trey-el.
Az o szavazasat tuti nem teszi ki :D
---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"
- A hozzászóláshoz be kell jelentkezni
Citation needed.
:-)
- A hozzászóláshoz be kell jelentkezni
amíg nem bannolta az accountot, addig nagy baj nem lehet :)
- A hozzászóláshoz be kell jelentkezni
Hat azota nem jelent meg, lehet azert, mert mar bannolva van.
- A hozzászóláshoz be kell jelentkezni
hát az nagy igazságtalanság lenne, akkor előbb valami trinity nevű fikanicket kellene bannolni :)
- A hozzászóláshoz be kell jelentkezni
vagyok (meg :D )
---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"
- A hozzászóláshoz be kell jelentkezni
ha jol latom ubuntu lucid es precise tegnap javitva, viszont debian stable meg nem (18:30), de sid mar igen
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
Ma 12:15 -kor jott, apt-mirror syncelt is. (http://www.debian.org/security/2012/dsa-2566)
- A hozzászóláshoz be kell jelentkezni
Bakker, még olvastam is a DSA-t....
- A hozzászóláshoz be kell jelentkezni
Tehát jól értem, kell egy acl, ami így néz ki:
acl_smtp_rcpt:
warn control = dkim_disable_verify
És kész?
- A hozzászóláshoz be kell jelentkezni
Nem.
Van egy ilyened valahol:
acl_smtp_rcpt = acl_check_rcpt
És utána egy ilyen:
acl_check_rcpt:
...
Na oda kell ez:
acl_check_rcpt:
warn control = dkim_disable_verify
...
Hogy nálad hogy hívják az "acl_check_rcpt"-t, az az első sorból derül ki, azt kell megkeresni.
- A hozzászóláshoz be kell jelentkezni
Áh, köszi.
- A hozzászóláshoz be kell jelentkezni
Basszus, ez mar a sokadik elegge sulyos sebezhetoseg az Exim DKIM implementaciojaban. Imadom az Eximet mg minden, de most mar igazan elmehetnenek a francba egy kicsit.
- A hozzászóláshoz be kell jelentkezni
Jo tudni... mindenkepp erett mar az Exim csere nalunk, mert mar senki nem nagyon ert hozza (es emiatt egyre hosszabb es hegyesebb bottal piszkaljuk csak), de ez igy kicsit megdobbentett... es talan picit tol a sebessegen. Nagy DKIM userek vagyunk ugyanis.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal
- A hozzászóláshoz be kell jelentkezni
Én postfix felhasznalo voltam, de erdekes modon az exim valahogy jobban tetszik, igy mar csak az...a hibai ellenere is.
- A hozzászóláshoz be kell jelentkezni
Mire csereled? Amire en hasznalom, a Postfix csak rengeteg hegesztessel lenne kepes.
- A hozzászóláshoz be kell jelentkezni
Ezt ki tudod fejteni, ha publikus?
- A hozzászóláshoz be kell jelentkezni
Peldanak okaert az SMTP kapcsolat soran szamolgatom a buntipontokat a kulonvozo vetsegekert, pl nem letezo mailcimre kuldes, stb. Egyreszt ettol fugg a graylistelese a levelnek, masreszt statisztikazom belole es nezelodok felismerheto patternek utan, amivel a spammereket meg lehet fogni. Sajnos jelenleg keves az idom erre.
- A hozzászóláshoz be kell jelentkezni
ezt kb. barmelyik mta ele jo asspvel szoktam.
pont ilyenekre valo celszerszam :D)
- A hozzászóláshoz be kell jelentkezni
Ja, csak amíg bekonfigurálod a postfixet bármire, megöregszel. Nálam a postfix ott hullott ki, hogy egész egyszerűen beleuntam a konfiguráció megértésébe (hogy kell ezt vagy azt a nem standard feladatot bekonfigurálni benne). Tegyük hozzá, hogy pl. anno a sendmail konfigjával nem volt ilyen gondom, pedig az is az őskáosz egy példája. Szerintem a hiba nem az én készülékemben van...
- A hozzászóláshoz be kell jelentkezni
kinek a pap, kinek a paplan, volt szerencsem sendmailt is konfigni meg postfixot is, szvsz a postfix egyszerubb, -- mondjuk amig a sendmailhoz megvan a kivant makro addig tokmind1, ha nincs, akkor remalom -- de ettol fuggetlenul spamszuresre spamfiltert hasznalok, nem az mta -t.
- A hozzászóláshoz be kell jelentkezni
Ezt soha nem ertettem meg, ha egy MTA ele' teszel valamit, akkor miert nem azt hasznalod MTA-nak. Ja mert nem MTA, szoval akkor arra sem jo hogy a 25-os porton uljon.
- A hozzászóláshoz be kell jelentkezni
azert peldaul joljon, ha mar van egy mukodo smtp szervered, es spamszurest akarsz hozzatakolni, a meglevo konfig megbolygatasa nelkul ; vagy eppen nem akarod az amugy elegge terhelt mta-ra bizni a szurest.
vagy papucs orran pamutbojt. de mint mar emlitettem, kinek a pap, kinek a paplan...
- A hozzászóláshoz be kell jelentkezni
Egy rakas dolog van, ami nem X, megis X portjan csucsul, mert proxyzik neki, es attol valakinek, valamiert jobb lesz. Pl. Varnish egy ilyen dolog tud lenni.
Nem feltetlen jo dolog az, ha minden szir-szart egybegyursz egy Nagy Es Hatalmas Es Tokeletes Es Hudenagyonszuper megoldasba, neha praktikusabb az egy tool - egy feladat felallas, miszerint a spam filternek rohadtul nincs koze hozza, hogy en a leveleimet igazabol hol tarolom, es hogyan jut el a dolog 25-os portrol a megfelelo helyre. Az MTA-nak meg nem erzem, hogy feladata lenne a content filtering, arra vannak alkalmasabb eszkozok, az MTA oldja meg a transportot.
--
|8]
- A hozzászóláshoz be kell jelentkezni
De pont hogy szerintem nem egy tool - egy feladat felallas. Hisz peldaul minek bele a content filter-be TLS?secure smtp tamogatas amikor az MTA tudna? Gondolok meg egy par dolgot talalnek amit kell csinaljon csak azert mert a 25-os porton ul.
Legtobb opensource MTA ertelmezesem szerint nem maga csinalja a content filtering-et hanem atadja masnak, gondolok postfix content_filter/milter, sendmail milter interface-re. Nem lattom miert lenne jobb az ASSP metodusa. Termeszetesen ha Exchanged van akkor szivas, bar akkor is en inkabb egy postfix+valamit valasztannek.
Ezen kivul kinnek a pap, kinek a papne/ministrans fiu.
- A hozzászóláshoz be kell jelentkezni
vannak elonyei. peldaul akarmelyik smtp szerver ele oda lehet tenni, lehet az eppen exchange is.
vagy eppen az, hogy az ide-oda tologato atpasszolom az amavisnak ami tovabbadja a spamassassinnak ami majd mond ra valamit megoldast, ami a minimum ket plusz daemonnjaval ket plusz hibalehetoseget hoz be, levaltja egy hibalehetosegre. ( persze lehet amavis nelkul kozvetlenul a spamassassin arcaba is tolni a levelet, arra a megoldasra ez a megallapitas nem all meg. )
futhat masik gepen, amavist még nemlattam olyat, ami ne azonos masinan futott volna, mint az smtp szerver.
mert a bejovo forgalmat a cimzett domainja szerint szet tudja dobni tobb smtp szerver kozott.
ropteben szuri a spamot, -- a nagyon egyertelmu spam el sem jut az mtaig ; -- nem kell megvarni, amig bejon az egesz level, aztan attolni a content filteren, ezzel talan sporol egy kis eroforrast.
most igy hirtelen ennyi jut eszembe, de nem akarlak meggyozni, ha neked az jo, amit hasznalsz, akkor hasznald azt.
- A hozzászóláshoz be kell jelentkezni
Ja mert nem MTA, szoval akkor arra sem jo hogy a 25-os porton uljon.
LOL + double facepalm
- A hozzászóláshoz be kell jelentkezni
Az a bajom az ilyen 25-os portra ultetos jatekokkal, hogy vagy megirom, vagy jo esellyel csak AS-jelleggel tamogatja az SMTP-t, az eSMTP-rol nem is beszelve. Ilyen szempontbol nekem az Exim, mint MTA "framework" sajat DSL-el joval szimpatikusabb es uzemeltethetobb, mint a random nyelveken megirt mindenfele futkoraszo daemonok. Az egyetlen baj, hogy az utobbi idoben kicsit elkanaszodtak, szal szet kellene csapni kozottuk egy meretesebb kenyersuto szerszammal.
- A hozzászóláshoz be kell jelentkezni
hat ize. esmtp-t nem jo esellyel, hanem fullosan de tenyleg. hasznalom mar pareve, szoval valaki csak lazadt volna ha.
465-os porton tls-t tenyleg nem tud, viszont lehet de nem kotelezo odaultetni. ( lehet v2 assp megiscsak supportalja a tls-t, bevallom leragadtam v1.x -nel ott ) ssl v3 support van, de azon perpill nemnagyon jon spam, szoval az mehet az mtara direktben ahogy kell.
de mint fentebb irtam, leszoktam a meggyozesrol, ha neked az tetszik, amit hasznalsz, akkor hasznald azt, en meg boldog vagyok, hogy nem kell a spamokkal foglalkozni, es userek sem lazadnak.
beke veled :D
- A hozzászóláshoz be kell jelentkezni
a postfix nem akar egymaga minden lenni, pl. mta, content filter, whatever. Ezekbol csak mta akar lenni, ami pedig ezen felul van, pl. content filter, whatever, azt kulon kiterjeszteskent teheted melle.
Ezert ha spf, dkim, speci content filter, whatever kell, akkor tegy melle egy olyan implementaciot, ami smtp-n / lmtp-n tud kommunikalni. Amit felvetettel, arra en egy policy demonnal mennek ra. A postfix atadja neki az smtp-n elerheto adatokat (ok, ez egy postfix specifikus protokoll), aztan a vegen adj vissza egy smtp kodot (pl. 250, 450 vagy 550), es abbol tudja a postfix, hogy mit csinaljon a kapcsolattal.
- A hozzászóláshoz be kell jelentkezni
Postfixre, mert nalunk csak divat-Eximezes folyik (nincs olyan feature hasznalva az Exim-bol, amit csak az Exim tudna). Viszont egy olyan kornyezetben, ahol kb. senki nem ert az Exim-hez en karosnak itelem a letet, mert ha barmi problema van vele, senkinek nincs tapasztalata megoldani. Es az Exim tipikusan nem az a kezikonyv atolvasasa utan vezerelheto valami. Ha valaki nem erez ra a logikajara, akkor el tud veszni benne.
Szerintem az Exim egy nagyon jo celszerszam, de nem tobb. Atlagos MTA feladatokra en inkabb Postfixet alkalmazok, de ha lenne valami meg ennel is egyszerubb, akkor azt alkalmaznek.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal
- A hozzászóláshoz be kell jelentkezni