Názory k článku Sendmail: pošťák, který nekouše
-
Radek Hladik (neregistrovaný)Osobně jsem sendmail taky nějakou dobu používal. Problémy s bezpečnostní jsou možná minulostí, ale každopádně je sendmail strašný moloch. Právě zmiňovaný postfix nebo i nedejbože qmail mají výhodu v tom, že každou část procesu doručení pošty dělá jiný subdémon. Postfix jde dokonce tak daleko, že nedůvěřuje ani vlastním datům a každý démon si kontroluje všechny vstupy, které zpracovává. A samozřejmě má každý proces potom pouze minimální potřebná práva.
Ale co mi na sendmailu vadilo nejvíc je právě ta šílená konfigurace. A to i přes snahu udělat konfiguraci přehlednější. A považuju to o to důležitější, že správné fungování mailserveru je věc docela kritická a špatně se ověřuje, zda je všechno v pořádku. Takže proto potřebuju mít jistotu, že systém umím bez problému nastavit přesně tak, jak potřebuju, a ne, že mi systém začně vracet zprávy, protože v nějakém M4 makru mám o mezeru navíc.
P.S. Docela by mě zajímala ukázka nějakého neobskurního nastavení, které půjde nastavit v sendmailu, ale v postfixu/eximu/qmailu ne. -
pht (neregistrovaný)Ja bych to tak tragicky nevidel. Uvedomte si, ze sendmail je vyrazne starsi design. To je jako byste porovnal sed a ruby. Tenkrat bylo dost, kdyz samotnej daemon nebezel imrvere pod rootem, natoz aby jeho jednotlivy casti byly dekomponovany na samostatny procesy. Nebylo to prakticke ani z hlediska rezie na beh procesu, a jelikoz (imho) se .cf parsoval pri kazde instanci spustene z inetd (ano) tak nebylo ani vhodne zavadet nake ultra prijemne syntakticke konstrukce. Administratori taky byli trochu jinak kovani, rozumeli svemu stroji do posledniho sroubku - coz bych osobne ja ocekaval i dnes ale vsichni vime, kde je realita. (Navic, jak bylo receno, to slabsi povahy mohly/muzou resit pres m4.)
Spis se zabyvejme tim jak vhodny ci nevhodny je ten design dnes. Pokud jde o architekturu daemonu, je otazka v kolika a jakych pripadech je monoliticky navrh problemem (to mi reknete vy, ja se v tom tolik nevyznam, ale na druhou stranu napriklad jadro je take monoliticke). Co se tyce konfigurace, ptejme se, jaky problem je sepsat funkcni konfiguraci pokud tomu vsemu rozumite a jak casto jste schopen udelat fatalni preklep nebo konfiguracni chybu. -
Radek Hladik (neregistrovaný)To ze sendmail ma starsi design je pravda, ale to neni duvod, proc to nesrovnavat, stejne jako muzu srovnavat sed a ruby. Prece, to ze je neco novejsi/starsi, vyvinutejsi/nevyvinutejsi, atd.. neni duvod proc by to nemohlo byt srovnatelne.
I chapu,ze tehdy mel administrator jinak strukturovanou praci a ze kazdemu bytiku rozumel do posledni nuly, ale dneska je pro me podstatne, abych mel nastroje, kterymi jsem schopen efektivne resit pozadavky. Tzn. zakaznik potrebuje, aby mu chodily maily, nezajima ho nejaky postfix,sendmail, sed nebo ruby.
Co se tyce monolitickeho navrhu, tak ja preferuju spise modularni. A predevsim u situaci, kdy kod bezi s vyssimi opravnenimi, protoze jina cast monolitickeho kodu je potrebue, jsem na to pomerne opatrny. VZdyt vetsina bezpecnostnich problemu, ktere se sendmailem nebo bindem byly, byly zpusobeny prave tim, ze v kodu, ktery nasloucha ze site a bezi s pravy roota, aby pozdeji mohl udelat nejakou privilegevanou operaci, doslo ke spusteni vlastniho kodu. Pokud me pamet neklame, tak nejakym oblbnutim s | v nejakem SMTP prikazu se pred par lety sendmail vcelku slusne nechal premluvit, aby neco spustil.
Dalsi vec je, ze u qmailu napriklad pomerne casto zastavujeme tu cast, ktera maily dale rozesila, zatimco cast, ktera je prijima z netu, stale bezi. Maily se tak hromadi na serveru ve fronte, ale zvenku se to nepozna.
A ani jadro uz neni uplne monoliticke, ma spoustu modulu a spoustu veci resi ruznymi kernel demony. -
WanGogh (neregistrovaný)Dále vyjadřuji pouze svůj osobní názor:
Aktivně se starám od roku 2001 o poštovní servery a mám co porovnávat.
- SendMail
- PostFix
- Qmail
- Exchange 2003
- Exchange 2007
Exchange 2003 - nikdy nezradil, vždy jsem udělal co jsem potřeboval, jen bych ho nenechal jako frontserver k vůli mizerné bezpečnosti a defakto žádné antispammové ochraně.
(Pouze rozběhat OWA po havárii systému je ojebávka nejhoršího kalibru TFUJ! ale za to může spíš IIS)
Exchange 2007 - opět jako v předchozím případě postaveno nad DB ESE, nikdy nezradil - opět nepočítám ESE a úchylnou parodii na Linuxovou příkazovou řádku. Kdyby tu ovládací příkazovou řádku vymejšlel člověk alespoň s IQ > 80, mohlo se jednat o velice příjemný nástroj.
QMAIL - Bernstain je stejně **gor jako génius. Takže Instalace je jedním slovem nepříjemná. Divoká licence DJBL?? nebo jaká a následné problémy s tím, že mnoho Linuxů prostě neintegruje potřebné knihovny a o instalaci přes RPM nebo APT-GET se Vám může nechat jen zdát. Navíc DJB kašle na dokumentaci. Takže zůstává překlad ze zdrojáků s nutností patchování - FUJ za ten opruz, FUJ za čas u toho strávený, FUJ za to že to zákazník prostě nezaplatí.
Ale pokud překonáte tuto část, dostanete do ruky vysoce funkční a spolehlivý nástroj.
Rázem je pro Vás jako administrátora uživatelsky velice příjemný.
A nebýt té nablblé instalace, asi bych u něj zůstal do dnes.
PostFix -- maximálně příjemný, jednoduchý na instalaci i správu....prostě takhle to má vypadat. Pokud se něco podělá, tak se to dá snadno vyřešit. Je to prostě miláček.
Nemohu s klidným srdcem doporučit nic jiného.
SendMail -- skoro si myslím, že ho napsali autoři původního Exchange jako semestrální projekt na škole. BRRRRRRRRRR. už v době, kdy věděli že budou pracovat pro Microsoft.
- pokud na opravu pošlu méně zkušeného technika, rozpláče se
- pokud tam jedu já, mám chuť to rozkopat
- konfigurace připomíná SUDOKU a rozhodně není intuitivní = chyby konfigurace a moře zahozeného času
- zákazníkům, kterým jeho používání nelze vymluvit, účtujeme dvojnásobnou sazbu za správu + o 2-3 hodiny servisu navíc a dufáme, že to časem vzdají a přejdou na PostFix.
Pokud jeho konfiguraci neděláte každý den, musíte po půl roce opět zdlouhavě přemýšlet co se má a co nemá nastavit = šílenej opruz.
Obecně považuji za krajně nevhodné psát o programu jako je SendMail a pokoušet se někoho přemlouvat, aby ho zkusil. -
Krome Exchange 2007 jsem na tom se servery podobne. Jen mam o dost jiny nazor.
Postfix - souhlasim
Exchange - jako frontserver opravdu ne, par veci mi prijde dost "pres ruku", antispam nepouzitelny
qmail - nezazil jsem na instalaci neco tak neprijemneho a neprehledneho. Jsem zvykly pouzivat co nejvice veci, co nabidne system (treba bezne spousteni demonu) a to mi qmail moc neumoznuje. Co spravce, to trosku jiny pristup ke qmailu. Vysledkem je docela bordel.
sendmail - co Vam na nem prijde tak sileneho, ze zakaznikum uctujete vic? Mam ted asi 60 sendmailu (nerikam, ze jsou to nijak velke instalace, zadny se nestara o desitky domen a tisice uctu), ale vsechny slouzi dobre. Rucni upravy cf souboru mam pouze v jednom. Vetsinu problemu resim tail /var/log/maillog a od toho zacnu. Udelat pak drobnou upravu v mc neni takovy problem.
Ale samozrejme neznam Vase instalace... -
WanGogh (neregistrovaný)Bavme se teď o sendmailu:
Pokud máte 60 serverů se sendmailem, máte zřejmě vyhrazeného člověka nebo dva - co se Vám o to starají -> mají to stále v hlavě = není to problém.
Pokud si ale představíte člověka, který má třeba jen několik instalací a šahá se na to 1x ročně, pak je nastavování podobné sudoku nepřehledné a nepříjemné.
Než přijde na to jak to bylo myšleno, než vymyslí nějaké řešení.....než to odladí.....
SendMail je stejně tak jako tak mrtev.
Přichází nová generace lidí, všichni vyrostli na klikání.
Jsou jim bližší klikátka než příkazová řádka.
Nechtějí se učit nesmyslně složité konfigy.
A mají pravdu.
Krása je v jednoduchosti. -
Clock (neregistrovaný)Eric Allman co Sendmail napsal je gay:
" There is some sort of perverse pleasure in knowing that it's basically impossible to send a piece of hate mail through the Internet without its being touched by a gay program. That's kind of funny. " -Eric Allman
http://en.wikipedia.org/wiki/Eric_Allman -
_Teddy_ (neregistrovaný)suhlas. A navyse ten chlap co je za qmail (Bernstein) je podla mna pripad zrely pre psychiatra. Co on v qmail-i nechce, to tam nebude, aj keby ho o to ziadalo milion uzivatelov (ti si to tam potom musia svojpomocne dorabat, viz net-qmail). Vyhlasil ze zaplati odmenu tomu kto najde v qmail-i bug, a ked ho niekto nasiel (tusim daky buffer overflow), tak to jednoducho neuznal. A pokial si dobre pamatam (uz sa to za roky mohlo zmenit, ale u qmail aj pochybujem), qmail ma dake nezrovnalosti co sa tyka delivery status notification. Atd, atd. Na mnohych konferach som cital dost prudke maily, kde sa ludia vyjadrovali rovnako: qmail ano, ale nie pokial ho bude robit on...
-
anonymníPresne tak, kdysi davno jsem nastoupil do zamestnani jako admin u jenodho pomerne velkeho ISP na Morave. Meli tam servery v dost spatne kondici. Mimo jine meli jako MTA qmail. Nez jsem se stacil rozkoukat co a jak, tak za mnou prisel obchodnik (asi treti den, kdyz jsem byl vyjukany zajic), ze se mekterym zakaznikum ztraci posta. Podival jsem se do logu Qmailu a mail byl na vstupu, ale na vystupu uz ne, proste cerna dira. Zkousel jsem zvednout verbositu logovani, googlil jako sileny, ale jestli myslite, ze jsem z logu nekdy vycetl neco vic, tak ani nahodou.
Protoze jsem proste nemel cas to resit a protoze jsme uz vypadali pred temi klienty jako totalni trotli, protoze jsme ani nemeli moc sanci zjistit kolik posty se vlastne ztraci a proc, tak jsem pomerne jednoduse presel na Postfix a od te doby nebyla jedina stiznost na postu. Postfix je uzasne jednoduchy na konfiguraci a plati to, co jednou odpovedel Wietse Wenema na narceni jednoho z uzivatelu v postfix konferenci (volne cituji): "Postfix ztraci mou postu". Wetse odpovedel jednoduse: "Dokaz to". Ted spravuji jeden pomerne velky mail server (25 000+ mailu denne) a jsem s Postfixem maximalne spokojeny. Nikomu bych urcite nedoporucil zacinat s necim jinym, byla by to ztrata casu. Ani Qmail, ani Sendmail, ani Exchange 2003,2007 (pokud to nepotrebujete na groupware - ale i tak bych doporucil jako MTA Postfix a Exchange jen na groupware funkce). Moznosti konfigurace a vykon Postfixu jsou proste neprekonatelne. To co jde s Postfixem out-of-the-box se musi se Sendmailem doprogramovavat (pres Milter) a to neni ma predstava o dobrem MTA. -
Martin Mareš (neregistrovaný)Konfiguraci sendmailu jsem odedávna obdivoval -- s trochou snahy se v ní dalo zařídit prakticky cokoliv. K Postfixu jsem utekl kvůli něčemu úplně jinému: nepříliš velké rychlosti a bídnému chování pod zátěží. Postfix má díky své modulární architektuře velice dobře pod kontrolou, kolik procesů kterého typu běží, aby na jednu stranu nepřetížil systém a na druhou se nezastavil odtok mailů, protože všechny procesy se momentálně starají o jejich příjem. Už je to u nových sendmailů lepší?
-
anonymníTam funguje defaultne jen pro dorucovani v ramci lokalniho PC(serveru),pripadne pri posilani ven z uzivatelskeho uctu.
Pro posilani ven pres jine ucty (Google,Seznam,..) uz je treba jej minimalne upravit a pro stahovani je popa3D pripadne cokoliv co je ke stazeni.
Je fakt,ze je po tech letech uz vypracovany a i problemy s bezpecnosti jsou davno pryc.Jen ty konfiguraky jsou fakt maso :-)
Why is Sendmail included, it is "known insecure"?!
Sendmail has had an imperfect security record, however the Sendmail authors and maintainers have been very receptive to reworking their code to make it much more secure (and this is a sadly uncommon response). The recent security history of Sendmail is not much different than some of the supposedly "more secure" alternatives.
Why isn't Postfix included?
The license is not free, and thus can not be considered.
Why isn't qmail or djbdns included?
Neither program is what many Unix users "expect" out of a mail or DNS application. -
asi to bude pekny serial; docela se tesim :-)
sendmail jsem pouzival na par strojich kolem r. 2000-2 a potom v praci cca 2roky. nicmene jsem od nej utekl, protoze v te dobe neumel dobre virtual_hosting s tim, aby login/pwd nemel v pam.
resil jsem to tehdy cestou sendmail -> cokoliv jineho -> qmail a u nej uz zustal je to jiz 5-6let co pouzivam qmail k plne spokojenosti. sice to obcas skripe (dohledavani emailu je opravdu zajimave :-) ale v kombinaci s gentoo.patches se to konfiguruje i docela pekne. navic je to svizne a s qmail-queue se daji delat pekne veci.
nicmene by me zajimalo nejake porovnani ohledne moznosti nastaveni: sendmail / postfix / qmail
- virtual hosting (overovani uctu)
- antivir | antispam (apod)
delsi dobu jsem se tim nezabyval a jsem liny si to nastudovat ;-)
clanku zdar. -
anonymníNiekolko rokov sme z historickych dovodov pouzivali qmail v produkcnom nasadeni a mozem zodpovedne povedat, ze to je humus najvyssieho stupna bez 10-15 patchov nie moc dobre pouzitelny a prakticky nekonfigurovatelny. Bol som stastny, ked sme presli na postfix.
Qmail je uchylka pana DJB, ktora z istych dovodov mozno mala opodstatnenie pred 10 rokmi, v dobe kralovania sendmailu, ktory mal kopec inych problemov, ale kto qmail pouziva dnes, je milovnik sado/maso... A komu to nestaci, nech sa pozrie do jeho zdrojakov ...
qmail-pop3d je asi jediny pouzitelny SW z qmail balika. Je maly, nekonfigurovatelny, ale robi presne to, co ma.
Sendmail sa znacne vylepsil za posledne roky, ale detaily uz moc nesledujem.
Kazdopadne postfix je uplne ina liga, co sa tyka vykonu, konfigurovatelnosti a spravy. -
WanGogh (neregistrovaný)...doplnění: pokud ho vůbec zvládnete nainstalovat, což pochybuju :-D :-D
Ale zcela vážně, po instalaci je maximálně příjemný a spolehlivý.
Pracoval jsem s ním mnoho let a nebýt toho, že k vůli Licenci vyházeli podpůrné knihovny od DJB z většiny distribucí a DJB na něj (tenkrát) dlouho nešáhnul, zůstal bych u něj do dnes. -
anonymníV konfiguraci je i výhoda sendmailu - zásahem do cf souboru si můžeme jeho chování upravit dle svých přání. Jiné MTA takovou volnost asi nenabídnou.
Nechci autorovi článku nějak brát iluze nebo kazit hezké odpoledne, ale ono to funguje nejen u Sendmailu. Například moje MTA Postfix mi nabízí také volnost, že si zásahem do cf souboru mohu jeho chování upravit dle svých přání. A aby toho nebylo málo, ono to platí nejen na MTA a cf soubory. Například i moje linuxová distribuce mi nabídla takovou volnost, že zásahem do konfiguračního souboru si mohu upravit její chování dle mých přání. -
Izak (neregistrovaný)No s tim rozumenim je problem.
Ja sendmail pouzival, pak se neco zvrtlo v nove verzi, za den jsem to opravil, pak se neco v dalsi verzi taktez zvrtlo a za 30 minut jsem se naucil zaklady postfixu a rozjel email system ;-)
U postfixu jsem zustal, prijde mi nejlepsi, je tedy pravda, ze neznam exim ... hold uz nic jineho nehledam. -
JaR (neregistrovaný)Autor temi moznostmi asi nemyslel proste aliasovani, virtualni nody a tak, jako spis pravidla. A tam proste Postfix (sam o sobe) bude pozadu. Co tam nedate do hash tabulek, na to musite extra neco napsat. V sendmailu ne. Je libo kanonizovat podle ldapu vsechny zdrojove adresy, jez maji u uzivatelskem jmenu "Jan" ? Neni problem. Potrebujete ale z toho pravidla vyjmout ty, co splnuji nejake vyjimky? Take neni problem. A pokud v ldapu dotycny neni, uprav adresu jinak a posli to pres specialni relay? Take jde. O takovych vecech je zde rec.
Sendmail je vlastne spis specializovany interpret zvlastniho jazyka pro parsovani a dorucovani posty, rekl bych. Casto to je silene, ale da se to pochopit a casto jsem prostym pravidlem vyresil problem, ktery bych v jinem maileru musel delat pomoci hashu, regularnich vyrazu a prohanenim mailu pres procmail nebo vlastni program. Osobne mam pravidlo, ze dokud jde proste o to mail vzit a podle RFC standardu ho nekam poslat (typicka relay nebo koncovy bod), tak postfix. Ostatne i novi kolegove se ho rychleji nauci a snaze pochopi.
Pokud mam ale slozita pravidla plna vyjimek, vyjimek z vyjimek, generickych pravidel a nestandardnich preposilani, pak sendmail. Vysvetlit rules v sendmailu je kratsi, nez udrzovat, vysvetlovat a dokumentovat zdrojak specializovaneho demona apod. -
Chupacabra (neregistrovaný)Ano, ta konfigurovatelnost sendmailu, ktora vyplyva z toho , ze je to vlastne interpreter .cf suboru je neprekonatelna.
Ale na druhu stranu to je 0.01% priapadov, kedy sa to naozaj neda spravit inak ako upravou .cf .
Zase pochopit logiku .cf nie je take tazke, osobne si ale myslim, ze pravidla, ktore vyzaduju upravu .cf sa treba vyhnut.
A vyhody inych produktov jednoducho zdaleka prevazuju.
Postfix s jeho policy demonmi (milter?) je konfigurovatelny/programovatelny v podstate rovnako. Ale kedze pri sendmaili sa daju pravidla .cf modifikovat v lubovolnej faze spracovania emailu - v tomto ma sendmail naozaj navrch. Ovela viac pripadov je vsak opacnych, kde sendmail zaostava. Myslim, ze software by sa mal ladit konfiguraciou a nie programovanim .cf :-)
Su to ale nostalgicke spomienky.
R.I.P. Sendmail :-)
