beste redactie maar de laatste was van juli vorig jaar en zo hebben ze er de afgelopen jaren wel vaker een aantal per jaar.
Ik ben recent niet voor niets van EXIm overgestapt naar het veel veiliger Postfix.
Exim security is al jaren een drama verhaal.
Kijk volgende keer eerst even de hoeveelheid CVE's door voor dat je zo'n opmerking maakt waarbij je de suggestie wekt dat Exim een veilig product is, dat is het niet echt.

Lezen is ook een vak. Jij interpreteert de zin als dat de redactie hiermee zegt dat het een veilig product is omdat er weinig security releases zijn terwijl het daar helemaal niks over zegt. Daarnaast met die logica kan je ook zeggen dat Exim veiliger is omdat er juist meer CVE van zijn want mogelijk wordt er minder gecontroleert in Postfix op problemen.

Beide zijn verkeerde interpretaties van informatie maar komen wel op zelfde neer je geeft je eigen draai er aan die past in je narratief. Exim heeft weinig security releases dat is een feit de rest is je eigen mening en die wordt niet ontkracht nog bijgestaan door de tekst die is geplaatst.

Aangaande betere MTA dat ligt aan je kennis, je leveranciers, wat je doel is en een beetje geluk wat er nu weer stuk gaat in de wereld. Dat kan en zal door de tijd heen veranderen in je voor of nadeel.

Als je particulier bent of kleine partij dan is Exim niet slim in bijna alle scenarios mogelijk. Als je grotere partij bent en je leverancier maakt hun eigen patches en je hebt daar een contract en een eigen SOC dan is Exim waarschijnlijk handiger wegens dat er veel meer commerciele producten gekoppeld kunnen worden eraan waar je users gebruik van willen maken. Naast je bedrijfs kanalen met andere sector genoten.

Verder een CVE zegt niks over de veiligheid van een product enkel dat er iets is gevonden en is opgelost. Toen wij deze melding twee weken geleden al kregen intern wisten we al dat het niet ons zou raken omdat we geen sqllite voor hints draaien. En daarmee dus lage prio geen interne patch meteen nodig, geen aangepast maintenance window opstellen en simpel wachten op pubieke release. Kortom geen impact geen verhoogd risico geen tijd besteding.
Als elke ITer moest geven om elke CVE dan zaten ze allemaal met een burnout thuis.

Dat zelfde geldt ook voor software wisseling. Als ik een pakket verandering wil introduceren dan ben ik eerst een half jaar bezig met vooronderzoek tegelijk gesprekken met bestaande leverancier wat verbetering traject er mogelijk is welke garanties gegeven kunnen worden waardoor een pakket wissel mogelijk overbodig is. Kosten plaatje moet uitgezocht worden waaronder training van gebruikers en beheerders. Interoperabiliteit moet uitgezocht worden de implementatie tijd etc etc. Meestal ben ik een jaar verder voor er een knoop doorgehakt wordt en dan nog eens een jaar extra voor er een pillot is gedraaid nog niet te spreken over beindiging van lopende contracten.

Dus ja leuke opmerking die je geeft met "Ik ben recent niet voor niets van EXIm overgestapt naar het veel veiliger Postfix.
" maar jou situatie is absoluut niet de realiteit voor het gros van de mensen die een MTA moet beheren. Wees blij dat het zo makkelijk blijkbaar voor je gaat want zo gaat het voor heel veel bedrijven en ISP's dus zeker niet.

En voor je komt met ik vind Exim beter dan Postfix dan is het antwoord dus nee.

Ja, want software vendors die minder patches uitbrengen zijn absoluut veel minder veilig dan software venders die er veel meer releasen. Nietwaar, toch?

Postfix is meestal default geïnstalleerd als je iets met mail wilt doen, hoezo dan overstappen op exim?