correo electrónico

Agente de transferencia de correo para Unix

qmail es un agente de transferencia de correo (MTA) que se ejecuta en Unix . Fue escrito, a partir de diciembre de 1995, por Daniel J. Bernstein como una alternativa más segura al popular programa Sendmail . Originalmente era un software sin licencia , pero el código fuente de qmail fue posteriormente entregado al dominio público por el autor. ^[3]

Características

Seguridad

Cuando se publicó por primera vez, qmail fue el primer agente de transporte de correo que tenía en cuenta la seguridad; desde entonces, se han publicado otros MTA que también tenían en cuenta la seguridad. El predecesor más popular de qmail, Sendmail , no se diseñó con la seguridad como objetivo y, como resultado, ha sido un objetivo perenne para los atacantes. A diferencia de sendmail, qmail tiene una arquitectura modular compuesta por componentes que no confían entre sí; por ejemplo, el componente de escucha SMTP de qmail se ejecuta con credenciales diferentes a las del administrador de colas o del remitente SMTP. qmail también se implementó con un reemplazo que tenía en cuenta la seguridad de la biblioteca estándar de C y, como resultado, no ha sido vulnerable a desbordamientos de pila y montón , ataques de cadenas de formato o condiciones de carrera de archivos temporales .

Actuación

Cuando se lanzó, qmail era significativamente más rápido que Sendmail, particularmente para tareas de correo masivo como servidores de listas de correo. qmail fue diseñado originalmente como una forma de administrar grandes listas de correo.

Sencillez

En el momento de la introducción de qmail, la configuración de Sendmail era notoriamente compleja, mientras que qmail era simple de configurar e implementar.

Innovaciones

qmail fomenta el uso de varias innovaciones en el correo (algunas originadas por Bernstein, otras no):

Dirección de correo

Bernstein inventó el formato Maildir para qmail, que divide los mensajes de correo electrónico individuales en archivos separados. A diferencia del formato mbox , que es el estándar de facto y almacena todos los mensajes en un solo archivo, Maildir evita muchos problemas de bloqueo y concurrencia, y se puede aprovisionar de forma segura a través de NFS . qmail también realiza entregas a buzones de correo mbox.

Buzones de correo comodín

qmail introdujo el concepto de comodines controlados por el usuario. De manera predeterminada, el correo dirigido a " comodines de usuario " en los hosts de qmail se envía a buzones separados, lo que permite a los usuarios publicar múltiples direcciones de correo para listas de correo y administración de correo no deseado.

qmail también presenta el Protocolo de transporte rápido de correo (QMTP), un protocolo de transmisión de correo electrónico que está diseñado para tener un mejor rendimiento que el Protocolo simple de transferencia de correo (SMTP), el estándar de facto; ^[4] y el Protocolo de cola de correo rápido (QMQP), un protocolo de red diseñado para compartir colas de correo electrónico entre varios hosts. ^[5]

Modularidad

qmail es un sistema casi completamente modular en el que cada función principal está separada de las demás funciones principales. Es fácil reemplazar cualquier parte del sistema qmail con un módulo diferente, siempre que el nuevo módulo conserve la misma interfaz que el original.

Controversia

Recompensa de seguridad y vulnerabilidad de Georgi Guninski

En 1997, Bernstein ofreció una recompensa de 500 dólares para la primera persona que publicara un agujero de seguridad verificable en la última versión del software. ^[6]

En 2005, el investigador de seguridad Georgi Guninski encontró un desbordamiento de enteros en qmail. En plataformas de 64 bits, en configuraciones predeterminadas con suficiente memoria virtual, la entrega de enormes cantidades de datos a ciertos componentes de qmail puede permitir la ejecución remota de código. Bernstein niega que se trate de un ataque práctico, argumentando que ninguna implementación real de qmail sería susceptible. La configuración de límites de recursos para los componentes de qmail mitiga la vulnerabilidad. ^[7]

El 1 de noviembre de 2007, Bernstein aumentó la recompensa a 1000 dólares estadounidenses. ^[1] En una presentación de diapositivas al día siguiente, Bernstein afirmó que había 4 "errores conocidos" en el qmail-1.03, que tenía diez años, y que ninguno de ellos era "agujero de seguridad". Caracterizó el error encontrado por Guninski como un "posible desbordamiento de un contador sin comprobar". "Afortunadamente, el crecimiento del contador estaba limitado por la memoria y, por lo tanto, por la configuración, pero esto fue pura suerte". ^[8]

El 19 de mayo de 2020, Qualys ^[9] publicó un exploit funcional para la vulnerabilidad de Guninski, pero los autores del exploit afirman que se les negó la recompensa porque contiene restricciones ambientales adicionales.

Frecuencia de actualizaciones

El paquete principal qmail no se ha actualizado durante muchos años. ^[10] Las nuevas características fueron proporcionadas inicialmente por parches de terceros, de los cuales los más importantes en ese momento se reunieron en un único metaparche llamado netqmail . ^[11]

Cumplimiento de normas

qmail no fue diseñado como un reemplazo directo de Sendmail y no se comporta exactamente como lo hacía Sendmail en todas las situaciones. En algunos casos, estas diferencias de comportamiento se han convertido en motivo de crítica. Por ejemplo, el enfoque de qmail para los mensajes rebotados (un formato llamado QSBMF) difiere del formato estándar de notificaciones de estado de entrega especificado por el IETF en RFC 1894 ^[12] , que mientras tanto avanzó a un borrador de estándar como RFC 3464 ^[13] y se recomienda en la especificación SMTP .

Algunas características de qmail han sido criticadas por introducir complicaciones en el reenvío de correo; por ejemplo, el mecanismo de entrega "comodín" de qmail y el diseño de seguridad evitan que rechace mensajes de remitentes falsos o inexistentes durante las transacciones SMTP. ^[14] En el pasado, estas diferencias pueden haber hecho que qmail se comportara de manera diferente cuando se abusaba de él como retransmisor de spam, aunque las técnicas modernas de entrega de spam están menos influenciadas por el comportamiento de rebote.

Estado de los derechos de autor

qmail fue liberado al dominio público en noviembre de 2007. ^[15] Hasta noviembre de 2007, qmail era software libre de licencia , con permiso otorgado para distribución en forma de código fuente o en forma precompilada (un "paquete var-qmail") solo si se cumplían ciertas restricciones (principalmente relacionadas con la compatibilidad). Este inusual acuerdo de licencia hizo que qmail no fuera libre según algunas pautas (como la DFSG ) y fue causa de controversia.

qmail es el único agente de transferencia de mensajes ( MTA ) de software de dominio público ampliamente utilizado .

Véase también

• Portal de software libre y de código abierto

• qpsmtpd
• Djbdns
• Lista de servidores de correo
• Comparación de servidores de correo

Referencias

1. "Algunas reflexiones sobre seguridad tras diez años de Qmail 1.0" (PDF) . Consultado el 1 de diciembre de 2007 .
2. Anunciando notqmail
3. "Información para distribuidores". Por la presente pongo el paquete qmail (en particular, qmail-1.03.tar.gz, con suma de comprobación MD5 622f65f982e380dbe86e6574f3abcb7c) en el dominio público. Usted es libre de modificar el paquete, distribuir versiones modificadas, etc.
4. "Protocolo de transferencia rápida de correo (QMTP)". 1 de febrero de 1997. Consultado el 6 de mayo de 2023 .
5. "QMQP: Protocolo de cola rápida de correo" . Consultado el 6 de mayo de 2023 .
6. "La garantía de seguridad de qmail" . Consultado el 5 de octubre de 2007 .
7. Georgi Guninski. "Aviso de seguridad de Georgi Guninski n.° 74, 2005" . Consultado el 5 de octubre de 2007 .
8. "Algunas reflexiones sobre seguridad tras diez años de Qmail 1.0 [Presentación con diapositivas]" (PDF) . Consultado el 17 de enero de 2008 .
9. "'[oss-security] Ejecución remota de código en qmail (CVE-2005-1513)' - MARC". marc.info . Consultado el 2021-03-03 .
10. "La vida con qmail; Historia" . Consultado el 1 de diciembre de 2007 .
11. "netqmail". netqmail.org . Consultado el 3 de marzo de 2021 .
12. Vaudreuil, Gregory M.; Moore, Keith (1996). "Un formato de mensaje extensible para notificaciones de estado de entrega". tools.ietf.org . doi :10.17487/RFC1894 . Consultado el 3 de marzo de 2021 .
13. Vaudreuil, Gregory M.; Moore, Keith (2003). "Un formato de mensaje extensible para notificaciones de estado de entrega". tools.ietf.org . doi :10.17487/RFC3464 . Consultado el 3 de marzo de 2021 .
14. Moen, Rick (octubre de 2006). "Sobre Qmail, correo falsificado y registros SPF". Linux Gazette (131).
15. "Bernstein publica código en el dominio público" . Consultado el 30 de noviembre de 2007 .

Enlaces externos

• Sitio web oficial , mantenido por el autor.
• qmail.org, mantenido por Russ Nelson
• qmail-LDAP-UI – qmail-LDAP-UI es una herramienta de administración de usuarios basada en la Web
• Qmailtoaster: distribuye archivos RPM para que las distribuciones adecuadas puedan instalar Qmail de forma rápida y sencilla. Tiene una wiki y una lista de correo.
• pkgsrc qmail y qmail-run, un par de paquetes fuente qmail multiplataforma fáciles de instalar incluidos en pkgsrc
• La sección qmail de FAQTS, una extensa base de conocimientos creada por usuarios de qmail
• Wiki de Qmail anteriormente alojada por Inter7
• Sitio web de Qmail de JMSimpson Información útil sobre Qmail, incluidas explicaciones y parches, por John M. Simpson (actualizado periódicamente)
• Error y lista de deseos no oficiales de Qmail
• Entrega de mensajes de la cola de qmail (PHP)
• distribuciones qmail: parches qmail combinados en distribuciones fáciles de usar
• Notas de Roberto sobre Qmail: un tutorial en inglés e italiano sobre Qmail y software relacionado. Se incluye un parche importante que se actualiza con regularidad.