Пасля 10 месяцаў распрацоўкі адбыўся рэліз новай стабільнай галіны паштовага сервера Postfix – 3.7.0. У той жа час абвешчана аб спыненні падтрымкі веткі Postfix 3.3, выпушчанай у пачатку 2018 года. Postfix з'яўляецца адным з рэдкіх праектаў, якія спалучаюць адначасова высокую бяспеку, надзейнасць і прадукцыйнасць, чаго ўдалося дабіцца дзякуючы прадуманай архітэктуры і дастаткова жорсткай палітыцы афармлення кода і аўдыту патчаў. Код праекту распаўсюджваецца пад ліцэнзіямі EPL 2.0 (Eclipse Public license) і IPL 1.0 (IBM Public License).
У адпаведнасці са студзеньскім аўтаматызаваным апытаннем каля 500 тысяч паштовых сервераў, Postfix выкарыстоўваецца на 34.08% (год таму 33.66%) паштовых сервераў, доля Exim складае 58.95% (59.14%), Sendmail – 3.58% (3.6%), MailEnable – 1.99% 2.02%), MDaemon – 0.52% (0.60%), Microsoft Exchange – 0.26% (0.32%), OpenSMTPD – 0.06% (0.05%).
Асноўныя навіны:
- Дадзеная магчымасць устаўкі па месцы змесціва невялікіх табліц "cidr:", "pcre:" і "regexp:" усярэдзіне значэнняў параметраў канфігурацыі Postfix, без падлучэння вонкавых файлаў або БД. Падстаноўка па месцы вызначаецца пры дапамозе фігурных дужак, напрыклад, значэнне па змаўчанні параметру smtpd_forbidden_commands зараз утрымоўвае радок «CONNECT GET POST regexp:{{/^[^AZ]/ Thrash}}», якая забяспечвае скід злучэнняў ад кліентаў, якія адпраўляюць смецце замест каманд. Агульны сінтаксіс: /etc/postfix/main.cf: parameter = .. map-type:{ { rule-1 }, { rule-2 } .. } .. /etc/postfix/master.cf: .. -o { parameter = .. map-type:{ { rule-1 }, { rule-2 } .. } .. } ..
- Апрацоўшчык postlog зараз забяспечаны сцягам set-gid і пры запуску змяняе выконвае аперацыі з прывілеямі групы postdrop, што дазваляе выкарыстоўваць яго непрывілеяванымі праграмамі для запісу логаў праз фонавы працэс postlogd, што дазваляе павысіць гнуткасць налады maillog_file і рэалізаваць у тым ліку лагіраванне stdout з кантэйнера.
- Дададзена падтрымка API бібліятэк OpenSSL 3.0.0, PCRE2 і Berkeley DB 18.
- Дададзена абарона ад нападаў па вызначэнні калізій у хэшах метадам перабору ключоў. Абарона рэалізавана праз рандомизацию пачатковага стану хэш-табліц, якія захоўваюцца ў аператыўнай памяці. У цяперашні час выяўлены толькі адзін спосаб правядзенне падобных нападаў, звязаны з пераборам IPv6-адрасоў SMTP-кліентаў у сэрвісе anvil і які патрабуе ўсталёўкі сотняў кароткачасовых падлучэнняў у секунду пры цыклічным пераборы тысяч розных кліенцкіх IP-адрасоў. Астатнія хэш-табліцы, праверка ключоў у якіх можа вырабляцца на падставе дадзеных атакавалага, не схільныя падобным нападам, бо ў іх ужываецца абмежаванне па памеры (у anvil ужывалася чыстка раз у 100 секунд).
- Узмоцнена абарона ад знешніх кліентаў і сервераў, вельмі павольна па макулінках якія перадаюць дадзеныя для ўтрымання актыўнымі злучэнняў SMTP і LMTP (напрыклад, для блакавання працы праз стварэнне ўмоў вычарпання ліміту на лік усталяваных злучэнняў). Замест абмежаванняў часу ў прывязцы да запісаў зараз ужыта абмежаванне ў прывязцы да запытаў, а таксама дададзена абмежаванне мінімальна магчымай інтэнсіўнасці перадачы дадзеных у блоках DATA і BDAT. Адпаведна, на змену настойкам {smtpd,smtp,lmtp}_per_record_deadline прыйшлі {smtpd,smtp,lmtp}_per_request_deadline і {smtpd, smtp,lmtp}_min_data_rate.
- У камандзе postqueue забяспечана чыстка недрукаваных знакаў, такіх як пераклад радка, на этапе да высновы ў стандартны выходны струмень або фарматавання радка ў JSON.
- У tlsproxy на змену параметрам tlsproxy_client_level і tlsproxy_client_policy дашлі новыя налады tlsproxy_client_security_level і tlsproxy_client_policy_maps для ўніфікацыі наймення параметраў у Postfix (назва налад t .
- Перароблена апрацоўка памылак ад кліентаў, якія выкарыстоўваюць LMDB.
Крыніца: opennet.ru