Názory k článku Pošta pro každého (2)

Tuhle jsem vyzkousel postfix a sendmail.cf mi moc chybi :o)
S postfixem neni takova legrace.

Chcelo by to pridat este jeden priklad:
Uzivatel ma doma pocitac a dialup pripojenie na ISP a chce:
1. napisat postu vo svojom MUA
2. 'poslat' postu v MUA - ta sa dostane do lokalneho sendmail-u.
3. pripojit sa na Internet - posta cakajuca vo fronte
sa odosle (snad pomocou sendmail -q)
4. posta z POP3 konta u ISP sa stiahne (napr. cez fetchmail)
5. pripojenie na Internet sa zrusi.

Kedysi som videl o tom clanok s nazvom
'Offline sendmail', ale ten riesil len chybove hlasky.
Nechcem riesit {z,na}hadzovanie dialup linky, len
postu.
Podla horeuvedeneho clanku to chce asi nieco taketo:

VERSIONID(`small dialup user 1.0')
OSTYPE(`linux')dnl
DOMAIN(`generic')dnl
FEATURE(`local_procmail')dnl
FEATURE(`accept_unresolvable_domains')dnl
define(`confTO_QUEUEWARN',`3d')dnl
define(`confTO_QUEUERETURN', `32d')dnl
define(`confTO_QUEUEWARN_URGENT',`4h')dnl
define(`SMART_HOST', `esmtp:smtp.muj_provider.cz')dnl
define(`confCON_EXPENSIVE',`True')dnl
MODIFY_MAILER_FLAGS(`SMTP', `+e')dnl
MAILER(`local')dnl
MAILER(`smtp')dnl
MAILER(`procmail')dnl

Mohol by sa k tomu niekto znaly vyjadrit?

PS: doteraz som sa nestretol s dvoma beziacimi
sendmailami na systeme - myslim, ze bez vysvetlenia
je to pre tento typ clanku matuce.
--
bye
rastos

Téměř přesně toto jsem používal i já. Osobně však nepoužívám vytáčení na žádost, takže nastavení drahého SMTP neprovádím.
Po připojení změníte konfiguraci, aby SMTP nebylo drahé. To, co popisujete, by byla konfigurace pro offline. Pro online by se smazaly dva řádky definující drahé SMTP.
Nyní mám nastaven generický převod jmen - nemusím tak nastavovat From: v programech a routování lokální domény - počítač funguje jako SMTP server a proxy pro sousední počítač.

Pošta se odešle okamžitě (pod rootem) například pomocí:
/usr/sbin/sendmail -L sm-msp-queue -Ac -q &
/usr/sbin/sendmail -L sm-mta -q &
Mám to zapsáno v připojovacím skriptu. Bez toho by se odeslání provedlo v náhodném čase během první půlhodiny po připojení.
V případě staré konfigurace může "sendmail -q" dát kdokoliv.

Uplne presne nerozumim co myslite tim 'online' 'offline'. To jako na dial-upu mam nechat bezet sendmail 'offline' a v ppp-up scriptu HUP-nuti sendmailu pro re-read configurace 'online'?
Nejak mi to neni jasne...

Pokud tam dáte info, že SMTP je drahý protokol, pak vždy při připojení musíte podstrčit novou konfiguraci a poslat HUP a při odpojení opět (jinak by pošta napsaná při online provozu neodcházela automaticky). Pokud to tam nedáte, takové vylomeniny nepotřebujete dělat a vše funguje stejně (tedy kromě vytáčení na žádost).

aha - diky. to mi nedoslo, ze pri on-lajn neodchazi posta hned pri '+e' --> protoze mi na tom nezalezi :)))
Nez posilat HUP libilo by se mi vic dat vyplachnuti fronty i do ppp-linkup i do ppp-pre-linkdown. Ale tusim, ze linkdown se vykonava az po zaveseni, takze mam smulu, ze? ;)

Zcela vazne minena otazka, muze mi nekdo vysvetlit, proc jeste vubec pouzivat sendmail? Co ja vim, tak je neprilis bezpecny a nesnadno konfigurovatelny. Co je spatneho na eximu/qmailu/postfixu? Krom toho tedy, ze nemuzu u jinych MTA delat machra, protoze jsem udrzel jidlo a moč i pres nekolikaminutovy pokus o konfiguraci.

"V tomto nastavení se zřejmě uchýlíme ke staršímu, méně bezpečnému typu instalace (nepřepokládám, že bychom sami na sebe prováděli lokální útoky) a Sendmail nastavíme jako suid root."
Vyborna strategie, fakt. Only the paranoid survive ;)

T.

Jak jsem již v článku napsal, Sendmail není o nic méně konfigurovatelný, než cokoliv jiného. A co se týče lokálních útoků, jedná se o útoky na potenciální bezpečnostní díry. Nejedná se tedy o látání, ale o rozumný postup "nespouštěj program pod rootem, není-li to nezbytně nutné".
Pokud vím, Sendmail v poslední době velké bezpečnostní problémy neměl.

V sedmail.cf se da napriklad pekne vyeditovat (a vubec to netrva dlouho :o) co bude MTA psat do hlavicky mailu. Takze ho napr. pouzivam za FW tak, aby neprozrazoval strukturu vnitrni site. To pokud vim s takovym postfixem jednoduse neudelam nebo jo?
A s nebezpecnosti sendmailu uz to neni taky tak horky jak to byvalo.

A co courier, nástupce qmailu, zkoušeli jste ho někdo?
Já jsem s ním zatím (3 měsíce) spokojen.

rekl bych ze asi sendmail nepouzivas, ked' take jojoviny pises!

Rekl bych, ze Ty asi ano, kdyz pises takhle nastartovanej prispevek :)

Ona neni pravda, ze sendmail je jeden z nejblbej (nejmene snaz) konfigurovatelnych MTA? A ona neni pravda, ze co do bezpecnosti je jeden z nejhorsich, dokonce byl jistou dobu exemplarnim pripadem programu programovanych dosti nebezpecne?

Ja nechci flamovat kvuli tomu, ze pouzivam jiny MTA, jen se ptam, proc bych mel pouzivat sendmail. Treba o neco prichazim...

T.

hm. no ja nejsem prave vhodny flejmovac, protoze pouzivam znacne vystredni nastroje, atp., sam se nekdy sobe divim.
Ale presto se pokusim odpovedet:
- ne, neni to pravda: naopak sendmail je vubec NEJLEPE konfigurovatelny, pokud ovsem pod konfigurovatelnosti rozumime dotlacit-sw-k-tomu-aby-delal-co-chci-i-kdyz-je-to-uchylacina
- samozrejme, ze vim, ze ti jde pod pojmem konfigurovatelnost o snadnost konfigurace: zvladla to i segra ve webminu, takze bych nerekl, ze to je neco desiveho ;)
- bezpecnost: tusim, ze nejsou problemy? nebo ano?
- bezpecnost drive: take manzelce nevycitam, ze v dobe, kdy jsme se seznamili neumela varit. co na tom? ted to umi! co bylo, bylo.
Ona take byla docela jina situace: MTA jen sendmail, a dal na systemu 2 zakladni veci s 'eskem'. Pres 'ls' to nehaknes, pres 'bind' nebo 'sendmail' ano. It's easy.

Presto NENI zadny duvod proc by si mel pouzivat neco jineho, nez co chces. Kdyz v zivote te svobody moc neni, pak si ji aspon uzij u kompjutru. A nepis loloviny o sendmailu ;)

Preju pekny den.

Dvě konfigurace a dva běžící Sendmaily - to je nová vlastnost Sendmailu od verze 8.12. MSP nyní neběží pod rootem, ale pouze sgid smmsp, takže nepřipadá v úvahu lokální root exploit - přinejlepším dostanete přístup k frontě neodeslané pošty.
Pro starší nastavení stačí jeden konfigurační soubor a jeden démon, ovšem suid root. Pokud aktualizujete na verzi 8.12 a novější a chcete stále používat starou konfiguraci, použijte postup z článku.

Mozna by nebylo od veci zverejnit skutecne funkcni sendmail.mc a submit.mc pro dial-up pocitac.

submit.mc používám implicitní, do kterého jsem přidal jen prodloužení čekací doby. Pro sendmail.mc jsem používal přesně to, co je několik příspěvků výše.
Nyní používám opět to, ovšem mám do toho přidanou generickou tabulku a směrování lokální domény, jak je popsáno v článku:

divert(-1)dnl
OSBuilder sendmail configuration for dial-up
divert(0)dnl
dnl Install by ( cd /usr/share/sendmail/cf/m4 ; m4 /etc/mail/sendmail.mc >/etc/mail/sendmail.cf ) ; killall -HUP sendmail
include(`../m4/cf.m4')dnl
VERSIONID(`Linux dial-up')dnl
OSTYPE(`linux')dnl
DOMAIN(`generic')dnl
FEATURE(`local_procmail')dnl
FEATURE(`genericstable')dnl
FEATURE(`generics_entire_domain')dnl
FEATURE(`accept_unresolvable_domains')dnl
FEATURE(`relay_entire_domain')dnl
FEATURE(`allmasquerade')dnl
FEATURE(`masquerade_envelope')dnl
MAILER(`local')dnl
MAILER(`smtp')dnl
MAILER(`procmail')dnl
GENERICS_DOMAIN(`utx.cz')dnl
define(`SMART_HOST', `esmtp:smtp.volny.cz')dnl
define(`confTO_QUEUERETURN', `32d')dnl
define(`confTO_QUEUEWARN',`3d')dnl
define(`confTO_QUEUEWARN_URGENT',`4h')dnl
define(`STATUS_FILE',`/var/lib/mail/statistics')dnl
define(`HELP_FILE',`/usr/share/sendmail/helpfile')dnl

Prosím, neopisujte to bez uvážení - některé věci tam mám ve špatném pořadí (viz článek) a jiné jsou dány mou soukromou instalací. Pokud chcete čistý kousek, pak použijte příklad z minulých příspěvků.

Mozna je to trochu off-topic ale poradte mi nekdo.
Muj pripad: Sendmail prijme postu ale pro mistni doruceni (Mlocal) ji nepredava procmailu ale memu skriptu (upraveny skript AMaVis) ktery si zpravu bokem rozlozi na casti a oskenuje antivirem. Pak ji teprve preda procmailu.
Funguje to skvele az na jedinou vyjimku. Na serveru bezi zaroven apache s PHP a pokud pomoci PHP odeslu zpravu ktera ma skoncit v nekterem lokalnim mailboxu, zprava se ztrati a v logu na me zira hlaska jako ze 'insufficient privileges to deliver to: schranka'.
Nevite nekdo kde muze byt bota?