Qmail

qmail es un agente de transferencia de correo (MTA) que se ejecuta en Unix. Fue escrito, a partir de diciembre de 1995, por Daniel J. Bernstein como una alternativa más segura al popular programa Sendmail. Originalmente software sin licencia, el código fuente de qmail fue luego dedicado al dominio público por el autor.

Características

Seguridad

Cuando se publicó por primera vez, qmail fue el primer agente de transporte de correo consciente de la seguridad; desde entonces, se han publicado otros MTA conscientes de la seguridad. El predecesor más popular de qmail, Sendmail, no se diseñó con la seguridad como objetivo y, como resultado, ha sido un objetivo permanente para los atacantes. A diferencia de sendmail, qmail tiene una arquitectura modular compuesta de componentes que no confían entre sí; por ejemplo, el componente de escucha SMTP de qmail se ejecuta con diferentes credenciales del administrador de colas o del remitente SMTP. qmail también se implementó con un reemplazo consciente de la seguridad de la biblioteca estándar de C y, como resultado, no ha sido vulnerable a desbordamientos de pilas y montones, ataques de cadenas de formato o condiciones de carrera de archivos temporales.

Rendimiento

Cuando se lanzó, qmail era significativamente más rápido que Sendmail, especialmente para tareas de correo masivo como servidores de listas de correo. qmail se diseñó originalmente como una forma de administrar grandes listas de correo.

Simplicidad

En el momento de la introducción de qmail, la configuración de Sendmail era notoriamente compleja, mientras que qmail era fácil de configurar e implementar.

Innovaciones

qmail fomenta el uso de varias innovaciones en el correo (algunas originadas por Bernstein, otras no):

Maildir

Bernstein inventó el formato Maildir para qmail, que divide mensajes de correo electrónico individuales en archivos separados. A diferencia de de facto formato mbox estándar, que almacenaba todos los mensajes en un solo archivo, Maildir evita muchos problemas de bloqueo y concurrencia, y puede proporcionarse de forma segura sobre NFS. qmail también entrega a buzones mbox.

Cajas de correo de Wildcard

qmail introdujo el concepto de comodines controlados por el usuario. Fuera de la caja, correo dirigido a "usuario-Wildcard"en qmail hosts se entrega a buzones separados, permitiendo a los usuarios publicar múltiples direcciones de correo para listas de correo y gestión de spam.

qmail también presenta el Protocolo de transporte de correo rápido (QMTP), un protocolo de transmisión de correo electrónico que está diseñado para tener un mejor rendimiento que el Protocolo simple de transferencia de correo (SMTP), el estándar de facto; y Quick Mail Queuing Protocol (QMQP), un protocolo de red diseñado para compartir colas de correo electrónico entre varios hosts.

Modularidad

qmail es casi un sistema completamente modular en el que cada función principal está separada de las otras funciones principales. Es fácil reemplazar cualquier parte del sistema qmail con un módulo diferente siempre que el nuevo módulo conserve la misma interfaz que el original.

Controversia

Recompensa de seguridad y vulnerabilidad de Georgi Guninski

En 1997, Bernstein ofreció una recompensa de 500 dólares estadounidenses a la primera persona que publicara un agujero de seguridad verificable en la última versión del software.

En 2005, el investigador de seguridad Georgi Guninski encontró un desbordamiento de enteros en qmail. En plataformas de 64 bits, en configuraciones predeterminadas con suficiente memoria virtual, la entrega de grandes cantidades de datos a ciertos componentes de qmail puede permitir la ejecución remota de código. Bernstein niega que se trate de un ataque práctico, argumentando que ningún despliegue de qmail en el mundo real sería susceptible. La configuración de los límites de recursos para los componentes de qmail mitiga la vulnerabilidad.

El 1 de noviembre de 2007, Bernstein aumentó la recompensa a 1000 USD. En una presentación de diapositivas al día siguiente, Bernstein afirmó que había 4 "errores conocidos" en el qmail-1.03 de diez años, ninguno de los cuales eran "agujeros de seguridad". Caracterizó el error encontrado por Guninski como un "desbordamiento potencial de un contador no verificado". "Afortunadamente, el crecimiento del contador estaba limitado por la memoria y, por lo tanto, por la configuración, pero esto fue pura suerte."

El 19 de mayo de 2020, Qualys publicó un exploit funcional para la vulnerabilidad de Guninski, pero los autores del exploit' afirman que se les negó la recompensa porque contiene restricciones ambientales adicionales.

Frecuencia de actualizaciones

El paquete principal de qmail no se ha actualizado durante muchos años. Inicialmente, las nuevas características fueron proporcionadas por parches de terceros, de los cuales los más importantes en ese momento se reunieron en un único meta-parche llamado netqmail.

Cumplimiento de estándares

qmail no se diseñó como un reemplazo directo de Sendmail y no se comporta exactamente como lo hizo Sendmail en todas las situaciones. En algunos casos, estas diferencias de comportamiento se han convertido en motivos de crítica. Por ejemplo, el enfoque de qmail para los mensajes devueltos (un formato llamado QSBMF) difiere del formato estándar de las notificaciones de estado de entrega especificadas por el IETF en RFC 1894, mientras tanto se avanzó al borrador del estándar como RFC 3464 y se recomienda en la especificación SMTP..

Además, algunas características de qmail han sido criticadas por introducir complicaciones en el reenvío de correo; por ejemplo, el "comodín" de qmail El mecanismo de entrega y el diseño de seguridad evitan que rechace mensajes de remitentes falsificados o inexistentes durante las transacciones SMTP. En el pasado, estas diferencias pueden haber hecho que qmail se comporte de manera diferente cuando se abusa de él como retransmisor de spam, aunque las técnicas modernas de entrega de spam están menos influenciadas por el comportamiento de rebote.

Estado de los derechos de autor

qmail se lanzó al dominio público en noviembre de 2007. Hasta noviembre de 2007, qmail era un software sin licencia, con permiso otorgado para su distribución en forma de fuente o en forma precompilada (un "paquete var-qmail&# 34;) solo si se cumplieron ciertas restricciones (principalmente relacionadas con la compatibilidad). Este acuerdo de licencia inusual hizo que qmail no fuera libre de acuerdo con algunas pautas (como la DFSG) y fue motivo de controversia.

qmail es el único agente de transferencia de mensajes (MTA) de software de dominio público ampliamente implementado.