ну, справедливости ради, разработчикам там изначально достался весьма трудный код с кучей проблем

и если код постфикса вот просто читаешь с удовольствием, то у Exim везде прут какие-то приветы из 70-х

у потсфикса не хватает git или аналога, с просто тарболлами неудобно работать

но не критично

ну и всем известный ${expand} всего подряд

​​Мы никак не можем сформировать свое отношение к инфосек компании Qualys. С одной стороны, ребята весьма скилованые и способны раскапывать древние уязвимости, на которые никто не обращал внимание многие годы, к примеру Baron Samedit.

С другой - они постоянно сами становятся жертвами хакеров. То Sunburst на свой SolarWinds Orion подцепят, то оператор ransomware Cl0p на них набежит и ограбит корованы.

К счастью в этот раз Qualys проявили себя со своей хорошей стороны и раскопали целую 21 уязвимость в опенсорсном почтовом севере Exim, который в настоящее время является самым распространенным в Интернет.

Набор уязвимостей получил название 21Nails, 10 из входящих в него ошибок могут эксплуатироваться удаленно. По итогу с использованием этих дырок хакер может полностью захватить контроль над сервером Exim и, в том числе, получить доступ к проходящему через него почтовому трафику.

А теперь наберите побольше воздуха... приготовились?! Ну?! Уязвимостям из набора 21Nails подвержены ВСЕ версии Exim, выпущенные за последние 17 лет (sic!), вплоть до 4.94.2, в которой они были исправлены намедни.

Qualys заявили, что эксплойты уязвимостей из 21Nails они публиковать не будут, но, с другой стороны, имеющихся технических заметок вполне достаточно квалифицированному хакеру для их собственной разработки.

Поэтому помним про золотые 72 часа и срочно обновляем свои Exim, если таковые имеются в использовании.

(я знаю, что выше про 21 гвоздь уже писали, просто не мог удержаться)

мне было достаточно поверхностного знакомства с кодом Exim, чтобы держаться от него подальше, как от торфяных болот и овсянки Берримора

а толковые хакеры про эти гвозди наверняка знали и раньше, просто ломали лохов тихонько, не афишируя

а postfix может менять значение заголовка From? Просто менять, всегда, без условий, как exim таким правилом?
email_old@domain.tld email_another@domain.tld Ffrs
Буду переделывать почтовый сервер, уйти бы с exim-a

Rspamd может, а, значит, может и Postfix через мильтр

ага, отлично. А я слышал, что вы очень не любите, как rspamd собран в разных дистрах, а насколько адекватна такая сборка?
https://abf.io/import/rspamd/blob/rosa2019.1/rspamd.spec#lc-165

  CC="${CC:-gcc}" ; export CC ; 
  CXX="${CXX:-g++}" ; export CXX ; 
  CFLAGS="${CFLAGS:--O2 -fomit-frame-pointer -gdwarf-4 -Wstrict-aliasing=2 -pipe -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -fPIC -fstack-protector-strong --param=ssp-buffer-size=4 -m64 -mtune=generic}" ; export CFLAGS ; 
  CXXFLAGS="${CXXFLAGS:--O2 -fomit-frame-pointer -gdwarf-4 -Wstrict-aliasing=2 -pipe -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -fPIC -fstack-protector-strong --param=ssp-buffer-size=4 -m64 -mtune=generic}" ; export CXXFLAGS ; 
  FFLAGS="${FFLAGS:--O2 -fomit-frame-pointer -gdwarf-4 -Wstrict-aliasing=2 -pipe -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -fPIC -fstack-protector-strong --param=ssp-buffer-size=4 -m64 -mtune=generic -I/usr/lib64/gfortran/modules}" ; export FFLAGS ; 
  FCFLAGS="${FCFLAGS:--O2 -fomit-frame-pointer -gdwarf-4 -Wstrict-aliasing=2 -pipe -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -fPIC -fstack-protector-strong --param=ssp-buffer-size=4 -m64 -mtune=generic -I/usr/lib64/gfortran/modules}" ; export FCFLAGS ; 
  LDFLAGS="${LDFLAGS:--O2 -fomit-frame-pointer -gdwarf-4 -Wstrict-aliasing=2 -pipe -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -fPIC -fstack-protector-strong --param=ssp-buffer-size=4 -m64 -mtune=generic -Wl,-O2   }"; export LDFLAGS ; 
    CROSSCOMPILE="--target=x86_64-openmandriva-linux-gnu --build=x86_64-openmandriva-linux-gnu" ; 
   
  export CROSSCOMPILE ; 
   
    mkdir -p build 
    cd build 
    /usr/bin/cmake .. \
        -DCMAKE_INSTALL_PREFIX:PATH=/usr \
        -DCMAKE_INSTALL_LIBDIR:PATH=/usr/lib64 \
        -DINCLUDE_INSTALL_DIR:PATH=/usr/include \
        -DLIB_INSTALL_DIR:PATH=/usr/lib64 \
        -DSYSCONF_INSTALL_DIR:PATH=/etc \
        -DSHARE_INSTALL_PREFIX:PATH=/usr/share \
        -DLIB_SUFFIX=64 \
        -DCMAKE_SKIP_RPATH:BOOL=ON \
        -DCMAKE_VERBOSE_MAKEFILE:BOOL=ON \
        -DBUILD_SHARED_LIBS:BOOL=ON \
        -DBUILD_STATIC_LIBS:BOOL=OFF \
        -DCMAKE_MODULE_LINKER_FLAGS="-O2 -fomit-frame-pointer -gdwarf-4 -Wstrict-aliasing=2 -pipe -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -fPIC -fstack-protector-strong --param=ssp-buffer-size=4 -m64 -mtune=generic -Wl,-O2    -Wl,--unresolved-symbols=ignore-all" .. \
        -DCMAKE_BUILD_TYPE=Release \
        -DCMAKE_C_OPT_FLAGS="-O2 -fomit-frame-pointer -gdwarf-4 -Wstrict-aliasing=2 -pipe -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -fPIC -fstack-protector-strong --param=ssp-buffer-size=4 -m64 -mtune=generic" \
        -DINCLUDEDIR=/usr/include \
        -DMANDIR=/usr/share/man \
        -DSYSTEMDDIR=/lib/systemd/system \
        -DCONFDIR=/etc/rspamd \
        -DDBDIR=/var/lib/rspamd \
        -DEXAMPLESDIR=/usr/share/examples/rspamd \
        -DLIBDIR=/usr/lib64/rspamd/ \
        -DLOGDIR=/var/log/rspamd \
        -DPLUGINSDIR=/usr/share/rspamd \
        -DRUNDIR=/run/rspamd \
        -DENABLE_LUAJIT=ON \
        -DWANT_SYSTEMD_UNITS=ON \
        -DENABLE_SNOWBALL=ON \
        -DENABLE_JEMALLOC=ON \
        -DNO_SHARED=ON \
        -DDEBIAN_BUILD=1 \
        -DRSPAMD_GROUP=_rspamd \
        -DRSPAMD_USER=_rspamd
/usr/bin/make -O -j4 V=1 VERBOSE=1

?

с ходу не скажу

rpm собирать обычно проще из-за devtoolset, а в дебиане вечные проблемы с этим

тут в Росе 2019.1 gcc 11, devtoolset не нужен

luajit тоже лучше использовать кастомный, т.к. 2.1 никто не зарелизил с GC64

ну и не вижу hyperscan и blas

кастомный - это сбандленный с rspamd?

а без первого не работают толком регулярки (в плане производительности), а без второго - весь ML, типа нейросетки