Ist die Verwendung von procmail im Jahr 2017 sicher?

Ich habe gerade festgestellt, dass die procmail-Website ( http://www.procmail.org/ ) nicht verfügbar ist. Ich habe einige Nachforschungen über seinen Status angestellt und es scheint, dass die Entwicklung von procmail seit 2001 tot ist. Selbst der alte Betreuer von procmail empfiehlt, es von openbsd-Ports zu entfernen, da der Code nicht sicher ist ( https://marc.info/? l = openbsd-ports & m = 141634350915839 & w = 2 ). Dies ist ein bisschen beängstigend, da nicht behobene Fehler zu Remotecodeausführungs-Exploits führen können. Neuere Linux-Distributionen (z. B. Ubuntu, Debian) bieten es immer noch an, aber ist es immer noch sicher, procmail zu verwenden?

Sie haben Recht, dass Procmail eine Weile nicht mehr gewartet wurde, und die letzten Betreuer schlagen vor, alternative Tools wie Maildrop oder Sieve zu verwenden.

Die Gründe, warum viele Distributionen dies nicht als echtes Sicherheitsrisiko ansehen, sind:

• Distributionen veröffentlichen möglicherweise ihre eigenen Sicherheitspatches, unabhängig von den tatsächlichen Entwicklern der Originalsoftware. Sie tun es .
• Die E-Mail, die verarbeitet wird, hat bereits einen vollständigen MTA mit mehreren Syntax- und Inhaltsprüfungen und Spam-Filtern bestanden. Es ist unwahrscheinlich, dass irgendetwas eine Sicherheitslücke in den von Procmail MDA verglichenen Headern auslösen könnte, um zu entscheiden, wo die Nachricht abgelegt werden soll.
• Die Aufgaben, die Procmail normalerweise ausführt, sind recht einfach.

Ja und nein Wenn Sie Bedenken in Ihrer Umgebung haben, haben Sie Alternativen.