Hallo,

Wobei mein häufigster Kritikpunkt der ist, dass dem Programm ein geheimnisvoller Installer beiliegt, der vollautomatisch und möglicherweise korrekt "irgendwas" tut, und man weiß nicht, was dieses "irgendwas" ist. Eine Anleitung, wie die Software alternativ manuell zu installieren wäre, vermisse ich tatsächlich oft.
Das haben Microsoft und die Installer-Hersteller Anwendern und Entwicklern in den letzten 20 Jahren gründlich abgewöhnt. Unter Windows ist eine Installation von Software, die intensiv MS-Technik benutzt, ohnehin mit massiven Eingriffen in die große Müllhalde alias Registry verbunden, da ist ein guter Installer zumindest der stabilere Weg für den Normalanwender.

ja, das sehe ich ein - aber trotzdem kein Grund für die Software-Anbieter, die Vorgänge zu verheimlichen, die bei der automatischen Installation ablaufen. Wenn ich keine akzeptable Alternative zu einem undurchschaubaren Installer sehe, heißt das für mich: Komplettbackup (Image) der Systempartition, Installer starten und sämtliche Änderungen an Registry und Windows-Dateibestand überwachen. Danach habe ich wenigstens ein Protokoll der durchgeführten Eingriffe und kann ggf. manuell korrigieren (z.B. Bibliotheken vom Windows-Verzeichnis ins Programmverzeichnis verschieben und die Registry-Einträge anpassen).

Ich fand die Installation unter klassischem MacOS schon immer elegant: Disk Image bzw. Archiv öffnen, Programm auf die Platte kopieren, fertig.

So ist es optimal.

Einige Software gibt es in beiden Varianten: Als Archiv mit Executables und Doku, und als Installer (EXE oder MSI). Beispiele: PuTTY, Startup Control Panel, TightVNC

Videolan, früher auch Firefox, Apache, mySQL, ...

Mozilla, und dort vor allem Firefox und Thunderbird, hat natürlich ein riesiges Problem, das andere Projekte nicht dermaßen stark haben: Es gibt reichlich Konkurrenz ...

Thunderbird ist meiner Ansicht nach unter Windows konkurrenzlos. Höchstens Outlook Express kam in die Nähe, war in einzelnen Punkten etwas pfiffiger, in anderen weniger raffiniert, aber insgesamt eine Alternative.

Und wie steht es mit der Sicherheit?
Wenn man der Beschreibung glauben darf, ziemlich gut. Aber das ist auch für mich ein nebensächliches Thema ...
Dir ist bewußt, dass Du Daten aus dem Netz verarbeitest?

Ja, und genau das: Daten. Daten, die überall, außer ganz am Ende der Kette im Mailclient, nur durchgereicht werden.

Werden die validiert, bevor sie in Dovecot hineinlaufen? Wohl kaum.

Nein. Aber sie werden ja auch nicht in dem Sinn "benutzt", sondern einfach nur gespeichert und zum Abruf bereitgehalten. Was will ich an e-Mails validieren? Das sind Textfetzen, von denen der Mailclient als letzte Instanz Teile auch noch als Dateianhang interpretieren und speichern kann.
So gesehen könnte es mir sogar egal sein, wenn irgendein anderer Prozess außer dem fetchmail/procmail-Tandem zusätzliche Dateien in die Maildirs schreibt, solange er nicht vorhandene Daten verändert oder löscht.

Aber Dovecot läßt permanent etwas Code mit Root-Rechten laufen, dieser Prozess ist u.a. auch für das Logging zuständig.
Ja. Na und?
Ein Loch an der Stelle und ein Angreifer ist root.

Und wo soll dieser Angreifer herkommen?

Ciao,
 Martin