Després de 10 mesos de desenvolupament, es va llançar una nova branca estable del servidor de correu Postfix - 3.7.0. Al mateix temps, va anunciar el final del suport per a la branca Postfix 3.3, llançada a principis de 2018. Postfix és un dels pocs projectes que combina alta seguretat, fiabilitat i rendiment al mateix temps, fet que es va aconseguir gràcies a una arquitectura ben pensada i una política força estricta de disseny de codi i auditoria de pedaços. El codi del projecte es distribueix sota EPL 2.0 (llicència pública Eclipse) i IPL 1.0 (llicència pública IBM).
Segons una enquesta automatitzada de gener d'uns 500 mil servidors de correu, Postfix s'utilitza en el 34.08% (fa un any 33.66%) dels servidors de correu, la quota d'Exim és del 58.95% (59.14%), Sendmail - 3.58% (3.6%) %), MailEnable - 1.99% (2.02%), MDaemon - 0.52% (0.60%), Microsoft Exchange - 0.26% (0.32%), OpenSMTPD - 0.06% (0.05%).
Principals innovacions:
- És possible inserir el contingut de taules petites "cidr:", "pcre:" i "regexp:" dins dels valors dels paràmetres de configuració de Postfix, sense connectar fitxers o bases de dades externes. La substitució al lloc es defineix mitjançant claus, per exemple, el valor predeterminat del paràmetre smtpd_forbidden_commands ara conté la cadena "CONNECT GET POST regexp:{{/^[^AZ]/Trash}}" per garantir que les connexions dels clients que envien les escombraries en lloc de les ordres s'eliminen. Sintaxi general: /etc/postfix/main.cf: paràmetre = .. map-type:{ { rule-1 }, { rule-2 } .. } .. /etc/postfix/master.cf: .. -o { paràmetre = .. tipus de mapa:{ { regla-1 }, { regla-2 } .. } .. } ..
- El controlador de postlog ara està equipat amb la marca set-gid i, quan s'inicia, realitza operacions amb els privilegis del grup postdrop, la qual cosa permet que sigui utilitzat per programes sense privilegis per escriure registres mitjançant el procés de postlogd en segon pla, que permet una major flexibilitat. en configurar maillog_file i incloure el registre stdout des del contenidor.
- S'ha afegit suport d'API per a les biblioteques OpenSSL 3.0.0, PCRE2 i Berkeley DB 18.
- S'ha afegit protecció contra atacs per determinar col·lisions en hash mitjançant la força bruta clau. La protecció s'implementa mitjançant l'aleatorització de l'estat inicial de les taules hash emmagatzemades a la memòria RAM. Actualment, només s'ha identificat un mètode per dur a terme aquests atacs, que consisteix a enumerar les adreces IPv6 dels clients SMTP al servei d'enclusa i requerir l'establiment de centenars de connexions a curt termini per segon mentre es cerquen cíclicament a través de milers d'adreces IP de clients diferents. . La resta de taules hash, les claus de les quals es poden comprovar a partir de les dades de l'atacant, no són susceptibles d'aquest tipus d'atac, ja que tenen un límit de mida (enclusa utilitzada netejant un cop cada 100 segons).
- Protecció reforçada contra clients i servidors externs que transfereixen dades molt a poc a poc per mantenir actives les connexions SMTP i LMTP (per exemple, per bloquejar el treball creant condicions per esgotar el límit del nombre de connexions establertes). En lloc de restriccions de temps en relació amb els registres, ara s'aplica una restricció en relació amb les sol·licituds i s'ha afegit una restricció a la velocitat de transferència de dades mínima possible als blocs DATA i BDAT. En conseqüència, la configuració de {smtpd,smtp,lmtp}_per_record_deadline es va substituir per {smtpd,smtp,lmtp}_per_request_deadline i {smtpd, smtp,lmtp}_min_data_rate.
- L'ordre postqueue garanteix que els caràcters no imprimibles, com ara les línies noves, es netejaran abans d'imprimir a la sortida estàndard o formatar la cadena en JSON.
- A tlsproxy, els paràmetres tlsproxy_client_level i tlsproxy_client_policy es van substituir per nous paràmetres tlsproxy_client_security_level i tlsproxy_client_policy_maps per unificar els noms dels paràmetres a Postfix (els noms de la configuració tlsproxy_client_client_tlsproxy_xxxxls ara corresponen a la configuració de tlsproxy_client_xxxxls_xxx).
- S'ha reelaborat la gestió d'errors dels clients que utilitzen LMDB.
Font: opennet.ru