Est-il sûr d'utiliser procmail en 2017?

Je viens de découvrir que le site Web de procmail ( http://www.procmail.org/ ) est en panne. J'ai fait quelques recherches sur son statut et il semble que le développement de procmail soit mort depuis 2001. Même l'ancien responsable de procmail recommande de le supprimer des ports openbsd car le code n'est pas sûr ( https://marc.info/? l = ports openbsd & m = 141634350915839 & w = 2 ). C'est un peu effrayant, car des bogues non corrigés pourraient conduire à des exploits d'exécution de code à distance. Les distributions Linux récentes (par exemple Ubuntu, Debian) le fournissent toujours, mais est-il toujours sûr d'utiliser procmail?

Vous avez raison de dire que Procmail n'a pas été maintenu depuis un certain temps, et ses derniers responsables suggèrent d'utiliser des outils alternatifs comme Maildrop ou Sieve.

De nombreuses distributions n'ont pas considéré cela comme un véritable risque pour la sécurité:

• Les distributions peuvent publier leurs propres correctifs de sécurité quels que soient les développeurs réels du logiciel d'origine. Ils le font .
• Le courrier qu'il traite a déjà passé tout un MTA, y compris plusieurs contrôles de syntaxe et de contenu et un filtrage du spam. Il est peu probable que quelque chose puisse déclencher une vulnérabilité dans les en-têtes que Procmail MDA compare afin de décider où placer le message.
• Les tâches que Procmail effectue généralement sont assez simples.

Alors oui et non. Si vous avez des préoccupations dans votre environnement, vous avez des alternatives.