Po roce vývoje byla vydána nová stabilní větev poštovního serveru Postfix - 3.6.0. Zároveň oznámila ukončení podpory pro větev Postfix 3.2, vydanou na začátku roku 2017. Postfix je jedním z mála projektů, který kombinuje vysokou bezpečnost, spolehlivost a výkon zároveň, čehož bylo dosaženo díky promyšlené architektuře a poměrně přísné politice pro návrh kódu a auditování oprav. Kód projektu je distribuován pod EPL 2.0 (Eclipse Public License) a IPL 1.0 (IBM Public License).
Podle dubnového automatizovaného průzkumu na zhruba 600 tisících poštovních serverů je Postfix využíván na 33.66 % (před rokem 34.29 %) poštovních serverů, podíl Eximu je 59.14 % (57.77 %), Sendmail - 3.6 % (3.83 %), MailEnable – 2.02 % (2.12 %), MDaemon – 0.60 % (0.77 %), Microsoft Exchange – 0.32 % (0.47 %).
Hlavní inovace:
- Kvůli změnám v interních protokolech používaných pro interakci mezi komponentami Postfixu je před aktualizací vyžadováno zastavení poštovního serveru pomocí příkazu „postfix stop“. V opačném případě může dojít k selhání při interakci s procesy pickup, qmgr, ověření, tlsproxy a postscreen, což může mít za následek zpoždění odesílání e-mailů, dokud nebude Postfix restartován.
- Zmínky o slovech „bílý“ a „černý“, které někteří členové komunity vnímali jako rasovou diskriminaci, byly odstraněny. Místo „whitelist“ a „blacklist“ by se nyní měly používat „allowlist“ a „denylist“ (například parametry postscreen_allowlist_interfaces, postscreen_denylist_action a postscreen_dnsbl_allowlist_threshold). Změny se dotknou dokumentace, nastavení postscreen procesu (vestavěný firewall) a odrazu informací v logech. postfix/postscreen[pid]: ALLOWLIST VETO [adresa]:port postfix/postscreen[pid]: ALLOWLISTED [adresa]:port postfix/postscreen[pid]: DENYLISTED [adresa]:port
Pro zachování předchozích podmínek v protokolech je poskytnut parametr „respectful_logging = no“, který by měl být specifikován v main.cf před „compatibility_level = 3.6“. Podpora starých názvů nastavení po obrazovce byla zachována pro zpětnou kompatibilitu. Také konfigurační soubor “master.cf” zůstal prozatím nezměněn.
- V režimu „compatibility_level = 3.6“ byl výchozí přepínač nastaven na použití hašovací funkce SHA256 namísto MD5. Pokud v parametru compatibility_level nastavíte dřívější verzi, bude se MD5 nadále používat, ale pro nastavení související s použitím hash, ve kterých není algoritmus explicitně definován, se v protokolu zobrazí varování. Podpora pro exportní verzi protokolu výměny klíčů Diffie-Hellman byla ukončena (hodnota parametru tlsproxy_tls_dh512_param_file je nyní ignorována).
- Zjednodušená diagnostika problémů spojených se specifikací nesprávného programu handler v master.cf. Pro detekci takových chyb nyní každá backendová služba, včetně postdrop, inzeruje název protokolu před zahájením komunikace a každý klientský proces, včetně sendmailu, kontroluje, zda inzerovaný název protokolu odpovídá podporované variantě.
- Přidán nový typ mapování "local_login_sender_maps" pro flexibilní kontrolu nad přiřazením adresy obálky odesílatele (poskytnuté v příkazu "MAIL FROM" během relace SMTP) k procesům sendmail a postdrop. Chcete-li například umožnit místním uživatelům, s výjimkou roota a postfixu, zadat pouze svá přihlášení v sendmailu pomocí vazby UID na jméno, můžete použít následující nastavení: /etc/postfix/main.cf: local_login_sender_maps = inline :{ { root = *} , { postfix = * } }, pcre:/etc/postfix/login_senders /etc/postfix/login_senders: # Zadání přihlašovacích údajů a formuláře login@doména je povoleno. /(.+)/ $1 $1…@example.com
- Ve výchozím nastavení přidáno a povoleno nastavení „smtpd_relay_before_recipient_restrictions=yes“, ve kterém server SMTP zkontroluje omezení smtpd_relay_restrictions před omezeními smtpd_recipient_restrictions a ne naopak, jako dříve.
- Přidán parametr "smtpd_sasl_mechanism_list", jehož výchozí hodnota je "!external, static:rest", aby se předešlo matoucím chybám v případě, kdy backend SASL tvrdí, že podporuje režim "EXTERNAL", který Postfix nepodporuje.
- Při překladu názvů v DNS je ve výchozím nastavení povoleno nové rozhraní API, které podporuje vícevláknové zpracování (threadsafe). Chcete-li sestavit pomocí starého API, měli byste při sestavování zadat „make makefiles CCARGS=”-DNO_RES_NCALLS…”.
- Přidán režim "enable_threaded_bounces = yes" pro nahrazení oznámení o problémech s doručením, opožděném doručení nebo potvrzení doručení se stejným ID diskuse (upozornění zobrazí poštovní klient ve stejném vlákně spolu s dalšími korespondenčními zprávami).
- Ve výchozím nastavení se systémová databáze /etc/services již nepoužívá k určení čísel portů TCP pro SMTP a LMTP. Místo toho se čísla portů konfigurují pomocí parametru know_tcp_ports (výchozí lmtp=24, smtp=25, smtps=submissions=465, submit=587). Pokud některá služba chybí ze známých_tcp_portů, bude se nadále používat /etc/services.
- Úroveň kompatibility („compatibility_level“) byla zvýšena na „3.6“ (parametr byl v minulosti změněn dvakrát, kromě 3.6 jsou podporované hodnoty 0 (výchozí), 1 a 2). Od této chvíle se „úroveň kompatibility“ změní na číslo verze, ve které byly provedeny změny porušující kompatibilitu. Pro kontrolu úrovní kompatibility byly do main.cf a master.cf přidány samostatné operátory porovnání, například „<=level“ a „<level“ (standardní operátory porovnání nejsou vhodné, protože budou považovat 3.10 za méně než 3.9).
Zdroj: opennet.ru