Barrapunto

Sólo conozco dos bugs que realmente merezcan importancia por su relativa gravedad para esos dos MTA, que en mi opinión deberían ser los "estándar" ahora en cualquier distribución (algunas ya han empezado a verlo), no sólo de Linux, sino de cualquier cosa, debido a que se han concentrado en su concepción en la seguridad. Recordemos que el sendmail sigue siendo la vía favorita de entrada de muchos "jéiquer" en los sistemas.

Para postfix, hay uno viejo, bastante grave en máquinas que tengan cuentas shell de usuario. Si lo configuras en su forma "ningún programa se ejecuta como root", entonces se cumplen ciertas condiciones para que cualquier usuario del sistema pueda cargarse todo el correo entrante y saliente de cualquier otro. El problema es que eso le hace perder rendimiento, de manera que se le va cierto atractivo. Por este motivo, en tal configuración sólo es apropiado en máquinas que se dediquen exclusivamente a correo, sin cuentas de ningún usuario que no sea el administrador (Atención, no sigo el desarrollo de postfix, y no sé si Venema habrá arreglado de alguna manera esto en los 3 últimos años).

Como de costumbre, un problema relativamente sencillo de solucionar, y que sólo depende de que el administrador de la máquina esté un poco atento a lo que hacen y dejan de hacer los programas que administra. Se duerme muy tranquilo cuando confías en tu soft.

Para qmail, uno relativamente reciente, y que ayuda a hacer ataques DoS (eso sí, bien orquestados), y es que (Bernstein aduce cuestiones de portabilidad, que pueden ser más o menos discutidas), qmail se desarrolla en OBSD, y OBSD te hace el signo del pajarito cuando intentas hacer una conexión a 0.0.0.0, lo cual no pasa con el resto de los sistemas (que te devolverán la IP del primer dispositivo de red, como buenos chicos). Como qmail busca sólo interfaces reales (lo también) para meterlas en su lista de IP "locales", entonces pasa por alto 0.0.0.0 como tal. Esto produce una condición muy curiosa en la que, enviando un mensaje a una dirección que el DNS resuelva como 0.0.0.0, hace que qmail se lo envíe a sí mismo, considerándolo como mensaje externo (en contraposición a mensaje local, lo cual activaría sobre la marcha los controles de bucle), y lo encola de nuevo, sin darse cuenta.

En realidad, esto no es MUY perjudicial, ya que el mensaje acabará muriendo (por una especie de TTL), pero significa que alguien que se haya preocupado de preparar un DNS para que resuelva cierta dirección a 0.0.0.0 (una idiotez si es un DNS que tú controles, pero puede ser que fuera un BIND al que hayan comprometido }:) jiajia), puede enviarte par de miles de mensajes que se quedarán en tu cola de correo durante bastaaaaante tiempo, ocupando disco, y entorpeciendo el tráfico de salida de mensajes.

Solución: Un parche de una línea que hace que 0.0.0.0 esté en la lista de IP locales, para que los mensajes a 0.0.0.0 sean tratados como tal. Luego, a seguir durmiendo tranquilo.

Lo mismo que dije para postfix, lo aplicamos a qmail: si confías en el software que administras, mucho mejor para tu estrés.

P.D.: Yo he sustituido el bind en mi casa por el paquete djbdns (del mismo creador que qmail), y me estoy planteando el cambio para mi empresa (si no me pegan muchos los jefes). Cierto que no escucha al exterior, pero cada vez duermo más a pierna suelta. :-)