Na 10 maande se ontwikkeling is 'n nuwe stabiele tak van die Postfix-posbediener - 3.7.0 - vrygestel. Terselfdertyd het dit die einde van ondersteuning vir die Postfix 3.3-tak aangekondig, wat aan die begin van 2018 vrygestel is. Postfix is een van die seldsame projekte wat hoë sekuriteit, betroubaarheid en werkverrigting terselfdertyd kombineer, wat behaal is danksy 'n weldeurdagte argitektuur en 'n taamlik streng beleid vir kodeontwerp en pleisteroudit. Die projekkode word versprei onder EPL 2.0 (Eclipse Public License) en IPL 1.0 (IBM Public License).
Volgens 'n outomatiese opname in Januarie van ongeveer 500 000 posbesoekers bedienersPostfix word op 34.08% (33.66% 'n jaar gelede) van posbedieners gebruik, die aandeel van Exim is 58.95% (59.14%), Sendmail - 3.58% (3.6%), MailEnable - 1.99% (2.02%), MDaemon - 0.52% (0.60%), Microsoft Exchange - 0.26% (0.32%), OpenSMTPD - 0.06% (0.05%).
Belangrikste innovasies:
- Dit is moontlik om die inhoud van klein tabelle "cidr:", "pcre:" en "regexp:" binne Postfix-konfigurasieparameterwaardes in te voeg, sonder om eksterne lêers of databasisse te koppel. Plaasvervanging word gedefinieer deur krulhakies, byvoorbeeld, die verstekwaarde van die smtpd_forbidden_commands-parameter bevat nou die string "CONNECT GET POST regexp:{{/^[^AZ]/ Thrash}}" om te verseker dat verbindings van kliënte wat stuur vullis in plaas van opdragte word laat val. Algemene sintaksis: /etc/postfix/main.cf: parameter = .. kaarttipe:{ { reël-1 }, { reël-2 } .. } .. /etc/postfix/master.cf: .. -o { parameter = .. kaart-tipe:{ { reël-1 }, { reël-2 } .. } .. } ..
- Die postlog-hanteerder is nou toegerus met die set-gid-vlag en, wanneer dit geloods word, voer dit bewerkings uit met die voorregte van die post-drop-groep, wat dit toelaat om deur onbevoorregte programme gebruik te word om logs deur die agtergrond postlogd-proses te skryf, wat groter buigsaamheid moontlik maak. in die opstel van maillog_file en die insluiting van stdout-aantekening vanaf die houer.
- Bygevoeg API ondersteuning vir OpenSSL 3.0.0, PCRE2 en Berkeley DB 18 biblioteke.
- Bygevoegde beskerming teen brute-force-aanvalle teen hash-botsings. Hierdie beskerming word geïmplementeer deur die aanvanklike toestand van hash-tabelle wat in RAM gestoor word, te ewekansig te rangskik. Tans is slegs een metode geïdentifiseer om sulke aanvalle uit te voer, naamlik brute-force-aanvalle teen IPv6-adresse van SMTP-kliënte in die anvil-diens. Dit vereis die vestiging van honderde korttermynverbindings per sekonde terwyl duisende verskillende kliëntadresse siklies probeer word. IP-adresseAnder hash-tabelle, waarvan die sleutels met behulp van aanvallerdata geverifieer kan word, is nie vatbaar vir sulke aanvalle nie, aangesien hulle 'n groottebeperking het (anvil het 'n 100-sekonde suiwering gebruik).
- Versterkte beskerming teen eksterne kliënte en bedieners wat baie stadig data bietjie vir bietjie oordra om SMTP- en LMTP-verbindings aktief te hou (byvoorbeeld om werk te blokkeer deur voorwaardes te skep om die limiet op die aantal gevestigde verbindings uit te put). In plaas van tydsbeperkings in verband met rekords, word 'n beperking in verband met versoeke nou toegepas, en 'n beperking op die minimum moontlike data-oordragtempo in DATA- en BDAT-blokke is bygevoeg. Gevolglik is die {smtpd,smtp,lmtp}_per_record_deadline-instellings vervang deur {smtpd,smtp,lmtp}_per_request_deadline en {smtpd, smtp,lmtp}_min_data_rate.
- Die postqueue-opdrag verseker dat nie-drukbare karakters, soos nuwe reëls, skoongemaak word voordat dit na standaarduitvoer gedruk word of die string in JSON geformateer word.
- In tlsproxy is die tlsproxy_client_level en tlsproxy_client_policy parameters vervang deur nuwe instellings tlsproxy_client_security_level en tlsproxy_client_policy_maps om die name van parameters in Postfix te verenig (die name van die tlsproxy_client_policy-instellings stem nou ooreen met die_xxxxxp-instellings).
- Fouthantering van kliënte wat LMDB gebruik, is herwerk.
Bron: opennet.ru
