Безопасно ли использовать procmail в 2017 году?

Я только что обнаружил, что сайт procmail ( http://www.procmail.org/ ) не работает. Я провел некоторое исследование о его статусе, и похоже, что разработка procmail была мертвой с 2001 года. Даже старый сопровождающий procmail рекомендует удалить его из портов openbsd, потому что код небезопасен ( https://marc.info/? l = openbsd-port & m = 141634350915839 & w = 2 ). Это немного страшно, потому что нефиксированные ошибки могут привести к эксплойтам при удаленном выполнении кода. Последние дистрибутивы Linux (например, Ubuntu, Debian) по-прежнему предоставляют его, но безопасно ли использовать procmail?

Вы правы в том, что Procmail некоторое время не обслуживался, и его последние сопровождающие предлагают использовать альтернативные инструменты, такие как Maildrop или Sieve.

Причины, по которым многие дистрибутивы не считают это реальной угрозой безопасности, включают:

• Дистрибутивы могут публиковать свои собственные исправления безопасности независимо от фактических разработчиков исходного программного обеспечения. Они делают .
• Почта, которую она обрабатывает, уже прошла целый MTA, включая несколько проверок синтаксиса и содержимого, а также фильтрацию спама. Маловероятно, что будет что-то, что может вызвать уязвимость в заголовках, которые сравнивает Procmail MDA, чтобы решить, куда поместить сообщение.
• Задачи, которые обычно выполняет Procmail, довольно просты.

Так что да и нет. Если у вас есть какие-либо проблемы в вашей среде, у вас есть альтернативы.