بعد 10 شهرًا من التطوير ، تم إطلاق فرع جديد مستقر لخادم بريد Postfix ، 3.7.0. في الوقت نفسه ، تم الإعلان عن انتهاء دعم فرع Postfix 3.3 ، الذي تم إصداره في أوائل عام 2018. Postfix هو أحد المشاريع النادرة التي تجمع بين الأمان العالي والموثوقية والأداء في نفس الوقت ، والذي تم تحقيقه بفضل بنية مدروسة جيدًا وسياسة صارمة إلى حد ما للتدقيق في الترميز والتصحيح. يتم توزيع رمز المشروع بموجب EPL 2.0 (ترخيص Eclipse Public) و IPL 1.0 (ترخيص IBM العام).
وفقًا لمسح آلي تم إجراؤه في شهر يناير لحوالي 500 ألف خادم بريد، يتم استخدام Postfix على 34.08% (قبل عام 33.66%) من خوادم البريد، وحصة Exim هي 58.95% (59.14%)، وSendmail - 3.58% (3.6%) %)، MailEnable - 1.99% (2.02%)، مديمون - 0.52% (0.60%)، Microsoft Exchange - 0.26% (0.32%)، OpenSMTPD - 0.06% (0.05%).
الابتكارات الرئيسية:
- من الممكن إدراج محتويات الجداول الصغيرة "cidr:" و"pcre:" و"regexp:" داخل قيم معلمات تكوين Postfix، دون توصيل ملفات أو قواعد بيانات خارجية. يتم تعريف الاستبدال الموضعي باستخدام الأقواس المتعرجة، على سبيل المثال، تحتوي القيمة الافتراضية لمعلمة smtpd_forbidden_commands الآن على السلسلة "CONNECT GET POST regexp:{{/^[^AZ]/ Thrash}}" لضمان إرسال الاتصالات من العملاء يتم إسقاط القمامة بدلا من الأوامر. بناء الجملة العام: /etc/postfix/main.cf: المعلمة = .. نوع الخريطة:{ { القاعدة-1 }، { القاعدة-2 } .. } .. /etc/postfix/master.cf: .. -o { المعلمة = .. نوع الخريطة: { { القاعدة 1 }، { القاعدة 2 } .. } .. } ..
- تم تجهيز معالج postlog الآن بعلامة set-gid، وعند تشغيله، يقوم بتنفيذ العمليات بامتيازات مجموعة postdrop، مما يسمح باستخدامه من قبل البرامج غير المميزة لكتابة السجلات من خلال عملية postlogd في الخلفية، مما يسمح بزيادة المرونة في تكوين maillog_file بما في ذلك تسجيل الخروج القياسي من الحاوية.
- تمت إضافة دعم واجهة برمجة التطبيقات (API) لمكتبات OpenSSL 3.0.0 وPCRE2 وBerkeley DB 18.
- تمت إضافة حماية ضد الهجمات لتحديد الاصطدامات في التجزئة باستخدام القوة الغاشمة الرئيسية. يتم تنفيذ الحماية من خلال التوزيع العشوائي للحالة الأولية لجداول التجزئة المخزنة في ذاكرة الوصول العشوائي. حاليًا، تم تحديد طريقة واحدة فقط لتنفيذ مثل هذه الهجمات، والتي تتضمن تعداد عناوين IPv6 لعملاء SMTP في خدمة السندان والمطالبة بإنشاء مئات الاتصالات قصيرة المدى في الثانية أثناء البحث بشكل دوري عبر آلاف عناوين IP المختلفة للعملاء . بقية جداول التجزئة، التي يمكن التحقق من مفاتيحها بناءً على بيانات المهاجم، ليست عرضة لمثل هذه الهجمات، نظرًا لأن لها حدًا للحجم (يستخدم السندان للتنظيف مرة واحدة كل 100 ثانية).
- حماية معززة ضد العملاء والخوادم الخارجية التي تنقل البيانات ببطء شديد شيئًا فشيئًا للحفاظ على اتصالات SMTP وLMTP نشطة (على سبيل المثال، لمنع العمل عن طريق تهيئة الظروف لاستنفاد الحد الأقصى لعدد الاتصالات القائمة). بدلاً من القيود الزمنية المتعلقة بالسجلات، يتم الآن تطبيق قيود تتعلق بالطلبات، كما تمت إضافة قيود على الحد الأدنى المحتمل لمعدل نقل البيانات في كتل DATA وBDAT. وفقًا لذلك، تم استبدال إعدادات {smtpd,smtp,lmtp}_per_record_deadline بـ {smtpd,smtp,lmtp}_per_request_deadline و{smtpd, smtp,lmtp}_min_data_rate.
- يضمن أمر postqueue تنظيف الأحرف غير القابلة للطباعة، مثل الأسطر الجديدة، قبل الطباعة إلى الإخراج القياسي أو تنسيق السلسلة في JSON.
- في tlsproxy، تم استبدال معلمات tlsproxy_client_level وtlsproxy_client_policy بإعدادات جديدة tlsproxy_client_security_level وtlsproxy_client_policy_maps لتوحيد أسماء المعلمات في Postfix (تتوافق أسماء إعدادات tlsproxy_client_xxx الآن مع إعدادات smtp_tls_xxx).
- تمت إعادة صياغة معالجة الأخطاء من العملاء الذين يستخدمون LMDB.
المصدر: opennet.ru