Tsja, wie wil er nou Exim gebruiken als er Postfix is. ;)

Ik. Exim doet geen domme Sendmail/Postfix dingen zoals naar eigen inzicht de content van emails herschrijven, base64 breken of headers herschrijven. Dat is dan ook exact waarom Exim populair is in spamfilters. Die heeft die gevaarlijke en destructieve neigingen niet.

De lekken hier stellen weinig voor in termen van de getroffen populatie. Het betreft tamelijk obscure methoden, behalve de libspf2 lek waarvan inmiddels bekend is dat die niet exploiteerbaar lijkt en misschien niet aan of niet alleen aan Exim te verwijten is. ZDI heeft mogelijk niet goed ingeschat bij wie ze moesten aankloppen.

Het probleem met ZDI is typisch voor het Japanse/Filipijnse Trend Micro: mensen die niet weten wat een exploit is moeten dit beoordelen en afhandelen, met nauwelijks een idee waar ze het over hebben, en communiceren in gebroken Engels en in een typisch Aziatische hiërarchische-geen-tegenspraak manier. Lees: ik moet dit doen van mijn baas, en ik geef gewoon geen antwoord als ik iets niet begrijp en vraag het niet aan iemand anders binnen de eigen organisatie want dat is gezichtsverlies voor mijn baas en mij, leg het daarom op die stapel daar. Terugrapporteren dat iets niets lukt en actie ondernemen zit niet in het systeem.

Een aantal van die zero day pseudo-security bedrijven hebben papagaaien in dienst met een grote mond die napraten wat ze lezen, maar geen kennis van zaken hebben. Dat soort types (sales figuren die doen alsof ze techies zijn) komt wereldwijd voor.

Ik heb zelf een keer meegemaakt dat zo'n figuur mij vertelt dat er iets aan de hand is met allerlei specifieke details, terwijl ik degene was die dat gecommuniceerd heb op exact die manier. Ze weten dus zelf niet meer waar ze het vandaan hebben. Zelf bedacht is het in ieder geval niet.

Er zijn vele redenen.
De voornaamste is dat er appliances zijn waar Exim gewoon onderdeel van uit maakt, dan heb je niet veel keus.
ook DirectAdmin maakt gebruik van Exim, komt ook veel voor.

Hardcoded dependencies op Exim? Een check op of er een MTA is geïnstalleerd, zou moeten volstaan toch?
Mijn voorkeur gaat ook uit naar Postfix, maar Exim is wel een stuk eenvoudiger voor veel mensen denk ik.

De heer Kuipers is niet vies van een beetje fraude en financieel gewin; et is niet voor niets dat hij minister is geworden als beloning voor zijn Covid inzet. In het huidige NL krijg je promotie als je corrupt bent tenslotte.

https://www.ftm.nl/artikelen/erasmus-mc-sjoemelde-met-transparantieregels-ernst-kuipers

Het is een MTA die aan open standaarden voldoet dus simpel vervangbaar.

Nou ja als je even dat irritante gemekker over de maximale regellengte negeert, ja. Dat blijft altijd weer vervelend met exim, dat je er iedere keer aan moet denken dat regeltje IGNORE_SMTP_LINE_LENGTH_LIMIT=true toe te voegen.

Los daarvan, exim is (helaas) nog steeds de default op Debian, zelfs in bookworm. Dus dan komt het vrij gemakkelijk op servers terecht.

De Exim config wordt gemanaged door Direct Admin. het gaat niet alleen om verzenden maar ook om ontvangen van mail dus beheer van wel of niet spf check, rbls, dkim etc.
Daarnaast is Exim heel goed als anti spam filter te configureren, beter dan Postfix en dus best nog populair.

Waarom zou je dat willen? leest de andere berichten ook, ineens zie je dan het licht.

Klopt, maar Postfix en Sendmail voegen zonder mogelijkheid tot uitschakelen een uitroepteken in lange regels, waarbij ze dus de integriteit van het bericht breken, waaronder dat van base64 regels, spam strings en 8bit berichtonderdelen. Elke wijziging in de content van een bericht en in de originele headers zorgt voor ernstig nadelige consequenties voor de detecteerbaarheid van spam en malware. Postfix herschrijft date headers, past ook andere headers aan, voegt ze toe als ze er niet zijn, en dat is ook zeer slecht voor de detecteerbaarheid. Een MTA moet het bericht met rust laten en eigen headers aan de bovenzijde voorvoegen.

De auteur van Postfix wilde de ongewenste aanpassingen destijds niet achterwege laten. De bron van de inbreuk is een pedantisch en onrechtmatig straffend Sendmail dat het zo doet, maar er is natuurlijk geen plicht om een slecht voorbeeld te volgen. Het is sowieso al meer dan 30 jaar niet meer zo dat berichten plat etnocentrisch Engelstalig US-ASCII zijn (MIME) en en de tijd dat er geen spam en malware bestond ligt ook meer dan 25 jaar achter ons.

Ik gebruik postfix nu net om email headers te herschrijven/verwijderen zodat mijn interne netwerk informatie niet naar buiten lekt. Iedereen kan deze info opvragen via een "undelivered message"-mail door een mail te sturen naar een onbestaand email adres in mijn domein...

Op het moment dat een mail aangeleverd krijgt, is hij trouwens van jouw, en pas jij/Postfix aan wat je wil in de content, o.a. spam markeren en virussen verwijderen.
Als dit een probleem is, dan wil dat meestal zeggen dat je de checks in een verkeerde volgorde laat uitvoeren. Digital signatures checken (DKIM / GPG) doe je natuurlijk niet meer nadat de content werd aangepast.
(Bij het uitsturen van mail doe je dat juist wel erna.)

Als het om een eerdere clientside signature gaat, dan zorg je dat de aanpassingen buiten het ondertekende bericht vallen. Jij krijgt toch ook meldingen dat een email bericht van "buiten de organisatie" komt? Die zijn niet destructief breken de mail signature niet. Je moet gewoon goed configureren wat en waar er iets aangepast mag worden.

Dat kan elke MTA die filtering/rewriting ondersteunt.


Je zult onvermijdelijk minder spam en malware detecteren omdat de berichten zijn aangepast (zonder noodzaak) door de MTA.

Berichten met malware moet je blokkeren. Nooit verwijderen, dat introduceert een beveiligingsrisico.

Spam kun je markeren in headers (proprietary bij voorkeur). Het is niet nodig daarvoor iets aan te passen aan content.


De content wordt onvermijdbaar aangepast door Postfix voordat die wordt aangeboden aan de scanner.



Goed configureren: dat kan dus niet in Postfix. De wijzigingen die ik noemde zijn niet optioneel. De detecteerbaarheid van spam en malware gaat omlaag door de wijzigingen die Postfix ongevraagd uitvoert.

Aanpassingen van content zoals jij noemt moet inderdaad na scannen gebeuren als je daarvoor kiest. Maar dat houd je niet veilig als er een kapot bericht binnenkomt (malwareschrijvers zijn slordig), die als zodanig (nog) niet gevaarlijk is. Stuur dat door een "fixing" MTA (of client) zoals Exchange en het bericht komt met malware bijlage gerestaureerd (en uitvoerbaar) aan. Dit is overigens niets nieuws, het gebeurde 20 jaar geleden ook al.

Wat je dus beter kan doen is je mailclient aanpassen en die de content van een header laten tonen. Daarin kun je de waarschuwing zonder problemen plaatsen. Die proprietary header filter je eruit in uitgaande mail (ook in bijlagen). Dan hoef je ook niet te vertrouwen op de constructie van content. Het is tamelijk ingewikkeld te beveiligen tegen onbedoelde content creatie (lees: malware) doordat de input onverwacht is. De gebruikelijke low level buffer en integer checks zijn onvoldoende als input check.

Door het herstelgedrag van Exchange kun je niet vertrouwen dat de voorgaande MTA de malware (en spam) wel verwijderd heeft.