Czy korzystanie z procmaila w 2017 roku jest bezpieczne?

Właśnie odkryłem, że witryna procmail ( http://www.procmail.org/ ) jest wyłączona. Zrobiłem badania dotyczące jego statusu i wydaje się, że rozwój procmaila był martwy od 2001 roku. Nawet stary opiekun procmaila zaleca usunięcie go z portów openbsd, ponieważ kod nie jest bezpieczny ( https://marc.info/? l = porty openbsd & m = 141634350915839 & w = 2 ). Jest to trochę przerażające, ponieważ nie naprawione błędy mogą prowadzić do exploitów do zdalnego wykonania kodu. Najnowsze dystrybucje Linuksa (np. Ubuntu, Debian) nadal go dostarczają, ale czy nadal można bezpiecznie korzystać z procmaila?

Masz rację, że Procmail nie był utrzymywany przez jakiś czas, a jego ostatni opiekunowie sugerują użycie alternatywnych narzędzi, takich jak Maildrop lub Sieve.

Powody, dla których wiele dystrybucji nie postrzegało tego jako rzeczywistego zagrożenia bezpieczeństwa, to:

• Dystrybucje mogą publikować własne poprawki bezpieczeństwa, niezależnie od faktycznych twórców oryginalnego oprogramowania. Oni robią .
• Poczta, którą przetwarza, przeszła już całą MTA, w tym kilka kontroli składni i zawartości oraz filtrowania spamu. Jest mało prawdopodobne, że w nagłówkach, które porównuje Procmail MDA, może być coś, co mogłoby wyzwolić lukę w zabezpieczeniach, aby zdecydować, gdzie umieścić wiadomość.
• Zadania, które zwykle wykonuje Procmail, są dość proste.

Więc tak i nie. Jeśli masz jakieś obawy w swoim otoczeniu, masz alternatywy.