Новая версия почтового сервера Exim 4.98

После восьми месяцев разработки опубликован релиз почтового сервера Exim 4.98, в который внесены накопившиеся исправления и добавлены новые возможности. Код проекта написан на языке Си и распространяется под лицензией GPLv2+. В соответствии с июньским автоматизированным опросом около 400 тысяч почтовых серверов, доля Exim составляет 59.06% (год назад 55.93%), Postfix используется на 34.68% (37.40%) почтовых серверов, Sendmail — 3.42% (3.45%), MailEnable — 1.81% (1.86%), MDaemon — 0.37% (0.48%), Microsoft Exchange — 0.17% (0.25%).

Основные изменения:

• Устранена уязвимость (CVE-2024-39929), вызванная некорректным разбором имён файлов в почтовых вложениях. Уязвимость позволяет обойти фильтры, в которых используется переменная $mime_filename, и добиться передачи исполняемых файлов во вложениях, несмотря на их блокировку в настройках.
• В ACL, применимым к данным, переменным командой DATA, разрешено использования условия dkim_status, позволяющего оценить результат проверки через механизм DKIM (DomainKeys Identified Mail).
• При включении настройки dkim_verbose, выводящей в лог дополнительную отладочную информацию о работе DKIM, обеспечен вывод сведений о цифровых подписях.
• В опции dkim_timestamps, управляющей включением в подпись информации о времени, разрешено указание значения «0» для добавления текущего времени.
• В опции recipients_max, задающей лимит на число получателей для одного сообщения, разрешено использование подстановок и шаблонов.
• При тестировании выражений через команду «exim -be» предоставлена возможность выставления tainted-значений (значения, полученные извне, например, выставленные отправителем письма).
• Добавлена поддержка обработки и отражения в логах события «dns:fail», возникающего при сбое запроса к DNSBL-спискам.
• В lookup-блоки dsearch добавлена поддержка поиска по неполному файловому пути («${lookup {foo/bar} dsearch,key=path {/etc}}»).
• В состав включена утилита mailtest для проверки и диагностики SMTP-соединения.
• Реализована поддержка SMTP-расширения WELLKNOWN, при помощи которого SMTP-сервер может передавать клиенту публичную информацию, например, контактные данные или параметры верификации при получении TLS-сертификата, используя протокол ACME.
• Добавлена возможность использования SQLite3 для хранения внутренних БД, в дополнение к DBD, NDB, GBDM и TDB. Для использования SQLite3 перед сборкой в Local/Makefile необходимо указать «USE_SQLITE = y» и «DBMLIB = -lsqlite3».

Источник: opennet.ru