Nach 10 Monaten Entwicklungszeit wurde ein neuer stabiler Zweig des Postfix-Mailservers, 3.7.0, veröffentlicht. Gleichzeitig wurde das Ende des Supports für den Anfang 3.3 veröffentlichten Postfix-2018-Zweig angekündigt. Postfix ist eines der seltenen Projekte, das gleichzeitig hohe Sicherheit, Zuverlässigkeit und Leistung vereint, was dank einer durchdachten Architektur und einer eher strengen Richtlinie für Codierung und Patch-Auditing erreicht wurde. Der Projektcode wird unter EPL 2.0 (Eclipse Public License) und IPL 1.0 (IBM Public License) vertrieben.
Laut einer automatisierten Umfrage im Januar unter etwa 500 Mailservern wird Postfix auf 34.08 % (33.66 % vor einem Jahr) der Mailserver verwendet, der Anteil von Exim beträgt 58.95 % (59.14 %), Sendmail – 3.58 % (3.6 %), MailEnable – 1.99 % (2.02 %), MDaemon – 0.52 % (0.60 %), Microsoft Exchange – 0.26 % (0.32 %), OpenSMTPD – 0.06 % (0.05 %).
Wichtigste Neuerungen:
- Es wurde die Möglichkeit hinzugefügt, den Inhalt der kleinen Tabellen „cidr:“, „pcre:“ und „regexp:“ in Postfix-Konfigurationsparameterwerte einzufügen, ohne externe Dateien oder Datenbanken einzubeziehen. Die direkte Ersetzung wird mit geschweiften Klammern definiert. Der Standardwert des Parameters smtpd_forbidden_commands enthält jetzt beispielsweise die Zeichenfolge „CONNECT GET POST regexp:{{/^[^AZ]/ Thrash}}“, was dazu führt, dass Verbindungen getrennt werden von Clients, die Müll anstelle von Befehlen senden. Allgemeine Syntax: /etc/postfix/main.cf: Parameter = .. Kartentyp:{ { Regel-1 }, { Regel-2 } .. } .. /etc/postfix/master.cf: .. -o { Parameter = .. Kartentyp:{ { Regel-1 }, { Regel-2 } .. } .. } ..
- Der Postlog-Handler ist jetzt mit dem Set-Gid-Flag ausgestattet und führt beim Start Vorgänge mit den Privilegien der Postdrop-Gruppe aus, wodurch er von nichtprivilegierten Programmen zum Schreiben von Protokollen über den Postlogd-Hintergrundprozess verwendet werden kann, was mehr ermöglicht Flexibilität beim Festlegen von maillog_file und Implementieren unter anderem der Protokollierung von stdout aus dem Container.
- API-Unterstützung für OpenSSL 3.0.0-, PCRE2- und Berkeley DB 18-Bibliotheken hinzugefügt.
- Zusätzlicher Schutz vor Angriffen zur Erkennung von Kollisionen in Hashes durch Brute-Force-Schlüssel. Der Schutz wird durch Randomisierung des Anfangszustands der im RAM gespeicherten Hash-Tabellen implementiert. Derzeit gibt es nur eine Möglichkeit, solche Angriffe durchzuführen, die mit der Aufzählung der IPv6-Adressen von SMTP-Clients im Amboss-Dienst verbunden ist und den Aufbau Hunderter kurzfristiger Verbindungen pro Sekunde erfordert, während Tausende verschiedener Client-IPs durchlaufen werden Adressen. Die übrigen Hash-Tabellen, deren Schlüssel anhand der Daten des Angreifers überprüft werden können, sind solchen Angriffen nicht ausgesetzt, da sie eine Größenbeschränkung haben (in Amboss wurde alle 100 Sekunden eine Reinigung durchgeführt).
- Verbesserter Schutz vor externen Clients und Servern, die Daten Stück für Stück sehr langsam übertragen, um aktive SMTP- und LMTP-Verbindungen aufrechtzuerhalten (z. B. um die Arbeit zu blockieren, indem Bedingungen für die Erschöpfung der Begrenzung der Anzahl der hergestellten Verbindungen geschaffen werden). Anstelle von zeitlichen Begrenzungen in Bezug auf Datensätze wurde nun eine Begrenzung in Bezug auf Anfragen angewendet und eine Begrenzung der minimal möglichen Datenübertragungsrate in DATA- und BDAT-Blöcken hinzugefügt. Dementsprechend wurden die Einstellungen für {smtpd,smtp,lmtp}_per_record_deadline durch {smtpd,smtp,lmtp}_per_request_deadline und {smtpd, smtp,lmtp}_min_data_rate ersetzt.
- Der Postqueue-Befehl bereinigt nicht druckbare Zeichen, z. B. Zeilenumbrüche, bevor er auf der Standardausgabe ausgegeben oder die Zeichenfolge in JSON formatiert wird.
- In tlsproxy wurden die Parameter tlsproxy_client_level und tlsproxy_client_policy durch die neuen Einstellungen tlsproxy_client_security_level und tlsproxy_client_policy_maps ersetzt, um die Parameternamen in Postfix zu vereinheitlichen (der Einstellungsname tlsproxy_client_xxx stimmt jetzt mit den Einstellungen smtp_tls_xxx überein).
- Überarbeitete Fehlerbehandlung von Clients, die LMDB verwenden.
Source: opennet.ru