È sicuro usare procmail nel 2017?

Ho appena scoperto che il sito Web procmail ( http://www.procmail.org/ ) non funziona. Ho fatto alcune ricerche sul suo stato e sembra che lo sviluppo di procmail sia morto dal 2001. Anche il vecchio manutentore di procmail raccomanda di rimuoverlo dalle porte di openbsd perché il codice non è sicuro ( https://marc.info/? l = porte openbsd & m = 141634350915839 & w = 2 ). Questo è un po 'spaventoso, perché i bug non corretti potrebbero portare a exploit di esecuzione di codice in modalità remota. Le recenti distribuzioni Linux (es. Ubuntu, Debian) lo forniscono ancora, ma è ancora sicuro usare procmail?

Hai ragione sul fatto che Procmail non è stato mantenuto per un po ', e i suoi ultimi manutentori suggeriscono di usare strumenti alternativi come Maildrop o Sieve.

Le ragioni per cui molte distribuzioni non hanno visto questo come un vero rischio per la sicurezza includono:

• Le distribuzioni possono pubblicare le proprie patch di sicurezza indipendentemente dagli sviluppatori reali del software originale. Lo fanno .
• La posta che sta elaborando ha già superato un intero MTA, inclusi numerosi controlli di sintassi e contenuti e filtri antispam. Non è probabile che ci sia qualcosa che possa innescare una vulnerabilità nelle intestazioni MDA comparate da Procmail per decidere dove inserire il messaggio.
• Le attività che Procmail esegue normalmente sono abbastanza semplici.

Quindi sì e no. Se hai dubbi nel tuo ambiente, hai alternative.