Na 10 maande se ontwikkeling is 'n nuwe stabiele tak van die Postfix-posbediener - 3.7.0 - vrygestel. Terselfdertyd het dit die einde van ondersteuning vir die Postfix 3.3-tak aangekondig, wat aan die begin van 2018 vrygestel is. Postfix is een van die seldsame projekte wat hoë sekuriteit, betroubaarheid en werkverrigting terselfdertyd kombineer, wat behaal is danksy 'n weldeurdagte argitektuur en 'n taamlik streng beleid vir kodeontwerp en pleisteroudit. Die projekkode word versprei onder EPL 2.0 (Eclipse Public License) en IPL 1.0 (IBM Public License).
Volgens 'n outomatiese opname van Januarie van ongeveer 500 duisend posbedieners word Postfix op 34.08% ('n jaar gelede 33.66%) van posbedieners gebruik, die aandeel van Exim is 58.95% (59.14%), Sendmail - 3.58% (3.6) %), MailEnable - 1.99% (2.02%), MDaemon - 0.52% (0.60%), Microsoft Exchange - 0.26% (0.32%), OpenSMTPD - 0.06% (0.05%).
Belangrikste innovasies:
- Dit is moontlik om die inhoud van klein tabelle "cidr:", "pcre:" en "regexp:" binne Postfix-konfigurasieparameterwaardes in te voeg, sonder om eksterne lêers of databasisse te koppel. Plaasvervanging word gedefinieer deur krulhakies, byvoorbeeld, die verstekwaarde van die smtpd_forbidden_commands-parameter bevat nou die string "CONNECT GET POST regexp:{{/^[^AZ]/ Thrash}}" om te verseker dat verbindings van kliënte wat stuur vullis in plaas van opdragte word laat val. Algemene sintaksis: /etc/postfix/main.cf: parameter = .. kaarttipe:{ { reël-1 }, { reël-2 } .. } .. /etc/postfix/master.cf: .. -o { parameter = .. kaart-tipe:{ { reël-1 }, { reël-2 } .. } .. } ..
- Die postlog-hanteerder is nou toegerus met die set-gid-vlag en, wanneer dit geloods word, voer dit bewerkings uit met die voorregte van die post-drop-groep, wat dit toelaat om deur onbevoorregte programme gebruik te word om logs deur die agtergrond postlogd-proses te skryf, wat groter buigsaamheid moontlik maak. in die opstel van maillog_file en die insluiting van stdout-aantekening vanaf die houer.
- Bygevoeg API ondersteuning vir OpenSSL 3.0.0, PCRE2 en Berkeley DB 18 biblioteke.
- Bygevoeg beskerming teen aanvalle om botsings in hashes met behulp van sleutel brute krag te bepaal. Beskerming word geïmplementeer deur ewekansige verdeling van die aanvanklike toestand van hash-tabelle wat in RAM gestoor is. Tans is slegs een metode geïdentifiseer om sulke aanvalle uit te voer, wat die opsomming van die IPv6-adresse van SMTP-kliënte in die aambeelddiens behels en die vestiging van honderde korttermynverbindings per sekonde vereis terwyl daar siklies deur duisende verskillende kliënt-IP-adresse gesoek word. . Die res van die hash-tabelle, waarvan die sleutels gekontroleer kan word op grond van die aanvaller se data, is nie vatbaar vir sulke aanvalle nie, aangesien hulle 'n groottelimiet het (aambeeld word een keer elke 100 sekondes skoongemaak).
- Versterkte beskerming teen eksterne kliënte en bedieners wat baie stadig data bietjie vir bietjie oordra om SMTP- en LMTP-verbindings aktief te hou (byvoorbeeld om werk te blokkeer deur voorwaardes te skep om die limiet op die aantal gevestigde verbindings uit te put). In plaas van tydsbeperkings in verband met rekords, word 'n beperking in verband met versoeke nou toegepas, en 'n beperking op die minimum moontlike data-oordragtempo in DATA- en BDAT-blokke is bygevoeg. Gevolglik is die {smtpd,smtp,lmtp}_per_record_deadline-instellings vervang deur {smtpd,smtp,lmtp}_per_request_deadline en {smtpd, smtp,lmtp}_min_data_rate.
- Die postqueue-opdrag verseker dat nie-drukbare karakters, soos nuwe reëls, skoongemaak word voordat dit na standaarduitvoer gedruk word of die string in JSON geformateer word.
- In tlsproxy is die tlsproxy_client_level en tlsproxy_client_policy parameters vervang deur nuwe instellings tlsproxy_client_security_level en tlsproxy_client_policy_maps om die name van parameters in Postfix te verenig (die name van die tlsproxy_client_policy-instellings stem nou ooreen met die_xxxxxp-instellings).
- Fouthantering van kliënte wat LMDB gebruik, is herwerk.
Bron: opennet.ru