[postfix-es] Duda de seguridad

[Simon J Mudd]

hector en bith.net (Hector) writes:

> He leído en las FAQ de la página Web
> (http://www.postfix.org/faq.html#worm) que se puede usar la sintaxis
> "|comando" en las direcciones de correo electrónico introducidas en el
> RCPT TO y en el MAIL FROM de un Postfix: ¿no es esto un problema de
> seguridad que tuvo también en tiempos Sendmail?

Has mal interpretado lo que dice.

1. Postfix NO es vulnerable a este tipo de ataque.

2. El comentario es para evitar que este tipo de dirección llega a
otros mailers que sí lo son (sendmail).  Por esto puede ser prudente
añadir este filtro en Postfix para proteger otros servidores de correo.

3. Postfix _sí_ ejecuta comandos dentro de la expansión de un alias o
   dentro de un archivo .forward, pero siempre con los derechos del
   usuario correspondiente.  Si el usuario es _root_ entonces Postfix
   ejecuta el comando con el usuario definido según default_privs.

Espero que este resuelve tus dudas.

Simon
-- 
Simon J Mudd, Postfix RPM Packager, Amsterdam, The Netherlands.
email: sjmudd en pobox.com, Tel: +31-627-592 627, http://postfix.WL0.org
-
Para ENVIAR mensajes a esta lista tienes que estar SUSCRITO a ella.
.
Envía la linea "unsubscribe postfix-es" en el cuerpo de un mensaje
a majordomo en WL0.org para quitarte de la lista.