Dovecot buffer overflow

Подскажите, а есть какая-то статья на тему сравнения Courier POP3/IMAP vs Dovecot ?

http://www.dovecot.org/security.html

I'm offering 1000€ for the first person to demonstrate a remotely exploitable security hole in Dovecot.

> Нечего сказать - переходим на метафоры?

А что "нечего сказать" ? Тут уж всё сказано. "Ах, ты всё ещё с этим" - это каждый сказать может, а как клиентскую базу переносить и пользователей с одного на другое переучивать (да-да, всё-таки, некторые и про процмайл в курсе, и про sieve и т.д.), про это что-то никто не задумывается. Как и про опыт эксплуатации и накопленный опыт поведения в нештатных ситуациях.

А аргумент "это дырявое а это нет" - сам по себе странен. Ты код Довекота изучал, чтобы утверждать, что он без ошибок написан ? А квалификация у тебя достаточная ?

> А это чья фраза: "Немножко опоздала новость к теме про dbmail :-)" ?

Так там, в конце, совсем не про dbmail разговор пошёл. :-)
Он так, случайно попал.

> Кстати показательно, что нет возражений по http://beta.linux.org.ru/jump-message.jsp?msgid=1664018#1664480

Лучше бы процитировал нормально, а то, вообще-то, не очень удобный тут движок для таких ссылок.

Надеюсь, угадал, что ты имел ввиду. Так вот. Вот это http://wiki.dovecot.org/ всё, что есть, или в тарболе ещё какая-то дополнительная документация есть ?

почему неуловимый джо такой неуловимый?

ответ - в следующей серии.

ждите.

:))))))

> Вот это http://wiki.dovecot.org/ всё, что есть, или в тарболе ещё какая-то дополнительная
> документация есть ?

Ну так что ? Показательно, что нет ответа...
Сверх этого нет. Сам посмотрел. Документация производит впечателение, что автору на неё времени не особо хватает. В принципе осуждать не могу - сам такой, но пользоваться таким продуктом не сильно хочется. Тем не менее, начну с такого практического вопроса. Как там с поддержкой виртуальных доменов ? Одна фраза на wiki и одна в документации в тарболе дают возможность предположить, что поддержка есть. Например, вот такая авторизация, может использоваться, как один из вариантов разделения пользователей:

# Password checking attributes:
# user: Virtual user name (user@domain),

Но я нигде в документации не встретил, как конкретно виртуальные домены настраиваются/используются/разное. На http://www.dovecot.org/index.html в разделе Status про виртуальные домены тоже тишина. Teak, осветишь данный вопрос ?

МяФ!:) да похоже тяжело вам судать по жизни то, а описание в конфиге не кошерно читать уже?? делаеться всё это одним простым движением по клавиатуре: default_mail_env = maildir:/var/mail/%1u/%u/Maildir вот и всё, прежде чем писать, что-то вы хоть поставили бы его...:)

> МяФ!:) да похоже тяжело вам судать по жизни то, а описание в конфиге не кошерно читать уже??

Ну, вообще-то не очень, стоитло бы тогда хоть упомянуть, что что-то документировано в конфиге.

> делаеться всё это одним простым движением по клавиатуре: default_mail_env = maildir:/var/mail/%1u/%u/Maildir вот и всё,

Хорошо, со способом разделения при хранении разобрались. Но это совсем ещё не всё. Мы ещё даже с виртуальными доменами не закончили. :-)

Вариант login = e-mail хорош, но не всегда удобен. Вариант, как сделать виртуальные домены и привычные login/password я не увидел. Нету ?

Вопрос второй. Как MTA должен узнавать, есть ли пользователь ? В принципе, если MTA на том же сервере, можно обучить его смотреть, в mail_location, но, по хорошему, тут надо будет и обучать в dovecot-example.conf лазить. Костыль получается какой-то. Хотя лет пять назад и это было бы не плохо. А если появится необходимость MTA на другой сервер вынести ? Всё-таки, основная нагрузка по спамо-вирусофильтрам привязана к MTA, а нарастить производительность mx-а добавлением N серверов, которые потом по LMTP складывают пусть даже на один mail storage, один из достаточно простых и надёжных вариантов. Можно и тут костыль доделать, но не много ли костылей ?
Или есть варианты (эх, документация...) ?

На очереди вопрос по rate limit per login, что-то тоже не увидел. Хотя, конечно, можно допустить, что это не актуально. Но слабо верится, всё равно где-то упор должен быть

> прежде чем писать, что-то вы хоть поставили бы его...:)

Зачем ? Этам установки наступает либо когда стало скучно и даже пива выпить уже не хочется, либо когда предварительное чтение документации и разных описаний указывает на возможный эффект.

> Мы ещё даже с виртуальными доменами не закончили. :-)

С виртуальными деменами всё в порядке ;)

> Вариант login = e-mail хорош, но не всегда удобен. Вариант, как сделать виртуальные домены и привычные login/password я не увидел. Нету ?

Есть. Пользователи хранятся в лдапе. И конфигурить его можно очень разными способами, и схемы рисовать как захочется. MTA приличные умеют ходить в лдап для проверки юзверя и алиасов.

Так что с вынесением MTA на отдельный сервер тоже всё хорошо.

>> Вариант login = e-mail хорош, но не всегда удобен. Вариант, как сделать виртуальные домены и привычные
>> login/password я не увидел. Нету ?

> Есть. Пользователи хранятся в лдапе.

И что ?

Допустим, хотят vasia@domain1 и vasia@domain2 проверить почту. прописано у каждого их них imap: mail.domain1 и mail.domain2. Идут они с login/password. У Cyrus-IMAP вторым вариантом есть разделение по IP почтового сервера (в смысле несколько IP на сервере поднять). У Dovecot про какие-то похожие или не очень варианты упомниания нет.

По MTA на другом сервере и LDAP, можно в принципе. А не лишний огород этот LDAP, когда надо только логин/домен/пароль ?

> По MTA на другом сервере и LDAP, можно в принципе. А не лишний огород этот LDAP, когда надо только логин/домен/пароль ?

Кстати, я что-то сходу не помню, есть ли в LDAP данные по уже занятому объёму. Это к вопросу о проверке квоты.

Ладно, на самом деле что тянуть, следующий вопрос. rate limit. В принципе, некоторые есть. Не нашёл ограничения на частоту попыток под одним логином. При этом надо ещё помнить, что срабатывать оно должно не сразу, а после N-ной попытки: бывает, что и в ручную несколько раз подряд проверяют. Ну есть у меня сомнение, что Довекот на столько быстр, что не нуждается в таких ограничениях ни при каких условиях.

Не увидел ни в документации, ни в конфиге про запуск всяких обработчиков, а ля чистилка по времени для разных imap-каталогов. Если чистить чем-то внешним, встаёт вопрос о востановлении квоты.

Не сказать, что лично для меня это важно, но вот Shared mailboxes aren't officially yet supported.

Вот 4 момента (1 - ранее озвученное про виртуальные домены), вызывающие вопросы при прочтении _имеющейся_ документации.

> Допустим, хотят vasia@domain1 и vasia@domain2 проверить почту. прописано у каждого их них imap: mail.domain1 и mail.domain2. Идут они с login/password. У Cyrus-IMAP вторым вариантом есть разделение по IP почтового сервера (в смысле несколько IP на сервере поднять). У Dovecot про какие-то похожие или не очень варианты упомниания нет. 

А мозг вам на что ? Берете тарбол dovecot'a, в каталоге doc читаете файл variables.txt.

И вот что там пишут:
 %u - username
 %n - user part in user@domain, same as %u if there's no domain
 %d - domain part in user@domain, empty if user there's no domain
 %h - home directory
 %s - service (IMAP or POP3)
 %p - PID of the current process (login or imap/pop3 process)
 %l - local IP address
 %r - remote IP address
 %w - plaintext password from plaintext authentication mechanism
 %i - System UID of the user

Как видите ваша задача сводится к написанию правильного SQL/LDAP запроса с использованием переменной %l.

> А мозг вам на что ? Берете тарбол dovecot'a, в каталоге doc читаете файл variables.txt.

Ещё одно подтверждение проблем с документированием. А там ещё в исходникак не надо комментарии читать ? :-)

Ладно, хорошо. Остальное как ? Что там с квотой при наличии MTA на соседнем сервере и оставшиеся три момента ?

> Ещё одно подтверждение проблем с документированием. А там ещё в исходникак не надо комментарии читать ? :-)

Оригинально. Вы не удосужились прочитать документацию и потому dovecot плох.

Кстати вот это сойдет за документацию: http://wiki.dovecot.org/MainConfig ?

> Ладно, хорошо. Остальное как ? Что там с квотой при наличии MTA на соседнем сервере и оставшиеся три момента ?

По квотам ничего не скажу ибо не пользуюсь. Аналогично и shared folders.

rate limit'ы пока что есть только в TODO.

> > Ещё одно подтверждение проблем с документированием. А там ещё в исходникак не надо комментарии читать ? :-)

> Оригинально. Вы не удосужились прочитать документацию и потому dovecot плох.

Документацию писать надо правильно, а не распихивать информацию абы как. По упоминанию где-то каких-то переменных догадываться о наличии каких-то не самых последних возможностей не сильно просто: переменную можно не заметить, если не искать специально.

> Кстати вот это сойдет за документацию: http://wiki.dovecot.org/MainConfig ?

Как описание конфига - несомненно. Но вот на такое
http://www.exim.org/exim-html-4.63/doc/html/spec_html/index.html
или, хотябы, такое http://cyrusimap.web.cmu.edu/imapd/
несколько не дотягивает. Впрочем, у Постфикса было не лучше когда-то, однако, сейчас уже есть, что почитать.

МяФ!:) ваше личное предпочтение в том в каком виде должна быть документация, не как не сказывается на работу Dovecot-a тем не менее, то, что вы пользуетесь кирусом и поэтому для вас он пример - это ясное дело, но двух одинаковых продуктов не бывает, не нравиться не юзайте, но заявление, он плох потому, что я не осилил - это как то не профессионально...;) мне тоже не нравиться sendmail-овский конфиг, но от этого он не стал хуже всех других MTA и то, что кирус у мну не завёлся, как надо быстро, не делает его хуже довекота, но тем немее ползуюсь довекотом и доволен им вполне... использую виртуальные домены... связка Postfix+Dovecot... smtp авторизация через Dovecot SASL для Postfix-а...:)

> это ясное дело, но двух одинаковых продуктов не бывает, не нравиться не юзайте, но заявление, он плох
> потому, что я не осилил - это как то не профессионально...;)

Ага, а заявление "Dovecot/Postfix/разное рулез, что вы этим г. пользуетесь" профессионально (не дословно, вольное изложение скорее). Началось то всё с чего (в теме про dbmail) ? :-)

МяФ!:) не читал той темы, не могу судить, что там началось...:)