Nakon 10 mjeseci razvoja, puštena je nova stabilna grana Postfix mail servera - 3.7.0. Istovremeno je najavio kraj podrške za Postfix 3.3 granu, objavljenu početkom 2018. godine. Postfix je jedan od rijetkih projekata koji kombinira visoku sigurnost, pouzdanost i performanse u isto vrijeme, što je postignuto zahvaljujući dobro osmišljenoj arhitekturi i prilično strogoj politici dizajna koda i revizije zakrpa. Kod projekta se distribuira pod EPL 2.0 (Eclipse javna licenca) i IPL 1.0 (IBM javna licenca).
Prema januarskom automatizovanom istraživanju od oko 500 hiljada mail servera, Postfix se koristi na 34.08% (pre godinu dana 33.66%) mail servera, udeo Exima je 58.95% (59.14%), Sendmail - 3.58% (3.6%) %), MailEnable - 1.99% (2.02%), MDaemon - 0.52% (0.60%), Microsoft Exchange - 0.26% (0.32%), OpenSMTPD - 0.06% (0.05%).
Glavne inovacije:
- Moguće je ubaciti sadržaj malih tabela “cidr:”, “pcre:” i “regexp:” unutar vrijednosti Postfix konfiguracijskih parametara, bez povezivanja vanjskih datoteka ili baza podataka. Zamjena na mjestu je definirana korištenjem vitičastih zagrada, na primjer, zadana vrijednost parametra smtpd_forbidden_commands sada sadrži niz "CONNECT GET POST regexp:{{/^[^AZ]/ Thrash}}" kako bi se osiguralo da veze sa klijenata šalju smeće umjesto naredbi se ispušta. Opća sintaksa: /etc/postfix/main.cf: parametar = .. tip-mape:{ { pravilo-1 }, { pravilo-2 } .. } .. /etc/postfix/master.cf: .. -o { parametar = .. tip-mape:{ { pravilo-1 }, { pravilo-2 } .. } .. } ..
- Obrađivač postlog sada je opremljen zastavicom set-gid i, kada se pokrene, obavlja operacije s privilegijama grupe postdrop, što omogućava da ga neprivilegirani programi koriste za pisanje dnevnika kroz pozadinski postlogd proces, što omogućava veću fleksibilnost u konfiguraciji maillog_file i uključivanju stdout logovanja iz kontejnera.
- Dodata API podrška za OpenSSL 3.0.0, PCRE2 i Berkeley DB 18 biblioteke.
- Dodata zaštita od napada za utvrđivanje sudara u hashovima korištenjem grube sile ključa. Zaštita je implementirana kroz randomizaciju početnog stanja hash tablica pohranjenih u RAM-u. Trenutno je identificiran samo jedan način izvođenja ovakvih napada, koji uključuje nabrajanje IPv6 adresa SMTP klijenata u anvil servisu i zahtijeva uspostavljanje stotina kratkoročnih veza u sekundi uz ciklično pretraživanje hiljada različitih IP adresa klijenata. . Ostatak hash tablica, čiji se ključevi mogu provjeriti na osnovu podataka napadača, nisu podložni takvim napadima, jer imaju ograničenje veličine (nakovnja se čisti svakih 100 sekundi).
- Pojačana zaštita od eksternih klijenata i servera koji vrlo sporo prenose podatke bit po bit kako bi SMTP i LMTP veze održale aktivne (na primjer, da blokiraju rad stvaranjem uslova za iscrpljivanje ograničenja broja uspostavljenih veza). Umjesto vremenskih ograničenja u vezi sa zapisima, sada se primjenjuje ograničenje u vezi sa zahtjevima, a dodato je i ograničenje minimalne moguće brzine prijenosa podataka u DATA i BDAT blokovima. Shodno tome, postavke {smtpd,smtp,lmtp}_per_record_deadline su zamijenjene sa {smtpd,smtp,lmtp}_per_request_deadline i {smtpd, smtp,lmtp}_min_data_rate.
- Naredba postqueue osigurava da se znakovi koji se ne mogu ispisati, kao što su novi redovi, očistiti prije ispisa na standardni izlaz ili formatiranja stringa u JSON.
- U tlsproxyju, parametri tlsproxy_client_level i tlsproxy_client_policy zamijenjeni su novim postavkama tlsproxy_client_security_level i tlsproxy_client_policy_maps kako bi se ujedinili nazivi parametara u Postfix-u (tmpspro postavke sada odgovaraju sxx imenima sx _tls_xxx postavke).
- Rukovanje greškama od klijenata koji koriste LMDB je prerađeno.
izvor: opennet.ru