Чи безпечно використовувати procmail у 2017 році?

Щойно я виявив, що веб-сайт procmail ( http://www.procmail.org/ ) не працює. Я провів кілька досліджень щодо його статусу, і, здається, що розробка Prokmail була мертвою з 2001 року. Навіть старий сервіс-сервер Procmail рекомендує видалити його з портів openbsd, оскільки код не в безпеці ( https://marc.info/? l = openbsd-порти & m = 141634350915839 & w = 2 ). Це трохи страшно, тому що непоправлені помилки можуть призвести до віддалених подвигів виконання коду. Останні дистрибутиви Linux (наприклад, Ubuntu, Debian) все ще забезпечують його, але чи все ще безпечно використовувати procmail?

Ви впевнені, що Procmail деякий час не підтримується, і останні його технічні працівники пропонують використовувати такі альтернативні інструменти, як Maildrop або Sieve.

Причини, по яких багато розповсюдження не сприймають це як реальний ризик для безпеки, включають:

• Дистрибутиви можуть публікувати власні патчі безпеки незалежно від реальних розробників оригінального програмного забезпечення. Вони роблять .
• Пошта, яку вона обробляє, вже пройшла цілу MTA, включаючи кілька перевірок синтаксису та вмісту та фільтрацію спаму. Мабуть, не знайдеться нічого, що могло б викликати вразливість у заголовках, які Procmail MDA порівнює, щоб вирішити, куди поставити повідомлення.
• Завдання, які виконує Procmail, досить прості.

Отже, так і ні. Якщо у вас є якісь проблеми у вашому оточенні, у вас є альтернативи.