Door Anoniem:
Degene op wie ik reageerde (2 okt 09:29) leek de gang van zaken bij Exim wel acceptabel te vinden en geen reden om de platform keuze te herzien.
M.i. is realisme toch ook dat je vendoren (inclusief open source projecten) met een ondermaats track record in het _oplossen_ van gerapporteerde security bugs gaat herzien als leverancier.
Een MTA zit vaak op een kritische plek - namelijk Internet-facing .
Dan moet de lat gewoon hoog liggen.
En dat is waarom je ook server hardening uitvoert en extra beveiliging lagen hebt.
En je platform zorgvuldig uitkiest.
Tsja, tcp/25 is gat -door- je buitenste muur , en producten op die plek moeten hun broek heel goed kunnen ophouden.
Je gaat er doodleuk vanuit dat poort 25 uberhaubt open zou staan en als hij wel open was mag ik toch echt hopen dat die gene nog een firewall ertussen zitten heeft naast een IDS platform en SIEM koppeling.
Voor een Internet facing MTA ga ik er inderdaad vanuit dat TCP/25 openstaat .
Niet zo'n gekke aanname toch ?
Firewall en IDS zijn zo ontzettend nutteloos als het om TLS sessies gaat.
Natuurlijk kun je een stuk relaxter kijken als je deze MTA alleen op interne servers gebruikt.
Dat is wat aan het gebeuren is.
Of dus projectje 'exim vervangen' opstarten , en zeker als het om de internet-facing MTA gaat .
Stemmen met de voeten kan ook.
Dit zijn beslissingen waar maanden overheen kunnen gaan en zeker niet gebaseerd op 1 incident melding bij grote netwerken. Stemmen met de voeten gebeurt uiteindelijk door de aandeelhouders en hoger management. Geen simpel projectje te noemen naast dat je moet uitzoeken hoe het zit met je andere vendors als ook klanten wensen. Om voorbeeld te geven cPanel/ WHM werkt enkel met EXIM en postfix integratie is niet mogelijk. Dan moet je je cPanel er ook uitgooien of mailing omzetten naar apart cluster zoals Amazon SES.
Onzin - (externe) aandeelhouders gaan niet over MTAs of vendor C/J/H zitten zeuren. In een kleine BV is het het misschien de DGA die met alle petten (w.o. die van GA ) op beslist .
(Hoger) management gaat over een Opex/Capex budget , en aandeelhouders uiteindelijk over winstverwachting en bedrijfsrisico's.
De input dat in plaats van het nalopen, of band-aiden van een high-maintenance product of platform (cq risico lopen met een slecht onderhouden platform) men beter af zou zijn met een migratie naar iets anders komt van middenmanagement , en evt hoger management [CISO office] .
Het zal zelden of nooit een acute crash actie zijn om een bepaald product NU te vervangen, dat klopt.
Maar voor elk product heb je (mi) een soort van 'moving avarage satisfaction score' , en wordt of een keer de grens bereikt, of wordt het meegenomen bij een (nieuwe) opzet "niet meer op basis van product X" , dan wel " dit is echt wel de druppel , we gaan nu een migratie project opstarten" .
Maar dan ben je er nog niet dan moet klanten instrueren dat hun webmail GUI en adres mogelijk verandert. Je moet rekening houden met dat er mogelijk configuratie conflicten ontstaan dat je data niet allemaal direct converteerbaar is en dus handmatig geimporteert moet worden timestamp conflicten kunnen ontstaan. Naast dat je SOC ineens heel anderere netwerk verbindingen registreert die allemaal geaudit en gewhitelist moeten worden voor in gebruikname mogelijk ook nog IPwarming uitvoeren met paar honderduizen tot miljoenen berichten.
Nog niet te hebben over je interne documentatie of wachten op certificering herzieningen en aanpassing in privacy policy.
Kortom echt geen *projectje*
Ok, met die dependencies is het een forse klus . Otoh - je eerste priotiteit zouden de internet facing MTAs moeten zijn voor dit type bugs , en daar kun je echt wel een andere voor/tussen schuiven.
Hoef je ook geen nieuwe adressen op te warmen.
Hier iets roepen helpt (heel misschien) een klein beetje om andere beheerders dat zetje te geven dat niet alleen bugs, maar ook de respons erop een deel moeten zijn van je keuze criteria voor een bepaald product / project .
Ik betwijfel ten zeerste dat enige ITer in een positie tot bedrijfs infraherstructurering zich gaat baseren op informatie van een relatief klein nederlands forum dan wijk ik toch echt sneller uit naar een hosting gespecialiseerd forum en discussie groep van provider partners. Daarnaast heb je security consultants voor dit soort zaken alsmede vendor gesprekken naar aanleiding van post mortems.
Er zitten hier ontzettend weinig mensen die uberhaupt _werken_ in de IT, zo lijkt het inderdaad.
Degenen die dat wel doen - je zou toch geen consultancy nodig moeten hebben om een paar heel dikke minnen te zetten bij een project/product/vendor dat een jaar lang niks doet met serieuze security bugs.
- En dat voor iets waarvoor Internet facing een 'normale' deployment zou moeten zijn. Bij Enterprise (en scada) vendors ligt de verwachtingslat wat lager.