¿Es seguro usar procmail en 2017?

Acabo de descubrir que el sitio web de procmail ( http://www.procmail.org/ ) está caído. Investigué un poco sobre su estado y parece que el desarrollo de procmail ha estado muerto desde 2001. Incluso el antiguo responsable de procmail recomienda eliminarlo de los puertos de openbsd porque el código no es seguro ( https://marc.info/? l = openbsd-ports & m = 141634350915839 & w = 2 ). Esto da un poco de miedo, porque los errores no corregidos podrían conducir a una explotación remota de la ejecución de código. Las distribuciones recientes de Linux (por ejemplo, Ubuntu, Debian) todavía lo proporcionan, pero ¿es seguro usar procmail?

Tienes razón en que Procmail no se ha mantenido por un tiempo, y sus últimos encargados sugieren usar herramientas alternativas como Maildrop o Sieve.

Las razones por las que muchas distribuciones no han visto esto como un riesgo de seguridad real incluyen:

• Las distribuciones pueden publicar sus propios parches de seguridad independientemente de los desarrolladores reales del software original. Lo hacen .
• El correo que está procesando ya pasó un MTA completo que incluye varias sintaxis y verificaciones de contenido y filtrado de spam. No es probable que haya algo que pueda desencadenar una vulnerabilidad en los encabezados que Procmail MDA compara para decidir dónde colocar el mensaje.
• Las tareas que Procmail suele realizar son bastante simples.

Entonces sí y no. Si tiene alguna inquietud en su entorno, tiene alternativas.