Nach einem Jahr der Entwicklung wurde ein neuer stabiler Zweig des Postfix-Mailservers veröffentlicht – 3.6.0. Gleichzeitig wurde das Ende des Supports für den Anfang 3.2 veröffentlichten Postfix 2017-Zweig angekündigt. Postfix ist eines der seltenen Projekte, das gleichzeitig hohe Sicherheit, Zuverlässigkeit und Leistung vereint, was dank einer durchdachten Architektur und einer ziemlich strengen Richtlinie für Code-Design und Patch-Audit erreicht wurde. Der Projektcode wird unter EPL 2.0 (Eclipse Public License) und IPL 1.0 (IBM Public License) vertrieben.
Laut einer automatisierten Umfrage unter etwa 600 Mailservern im April wird Postfix auf 33.66 % (vor einem Jahr 34.29 %) der Mailserver verwendet, der Anteil von Exim beträgt 59.14 % (57.77 %), Sendmail – 3.6 % (3.83 %). %), MailEnable – 2.02 % (2.12 %), MDaemon – 0.60 % (0.77 %), Microsoft Exchange – 0.32 % (0.47 %).
Wichtigste Neuerungen:
- Aufgrund von Änderungen in den internen Protokollen, die für die Interaktion zwischen Postfix-Komponenten verwendet werden, ist es vor der Aktualisierung erforderlich, den Mailserver mit dem Befehl „postfix stop“ zu stoppen. Andernfalls kann es zu Fehlern bei der Interaktion mit den Prozessen Pickup, QMGR, Verify, TLSProxy und Postscreen kommen, was zu einer Verzögerung beim E-Mail-Versand bis zum Neustart von Postfix führen kann.
- Erwähnungen der Wörter „weiß“ und „schwarz“, die von einigen Mitgliedern der Gemeinschaft als Rassendiskriminierung empfunden wurden, wurden gelöscht. Anstelle von „whitelist“ und „blacklist“ sollten nun „allowlist“ und „denylist“ verwendet werden (zum Beispiel die Parameter postscreen_allowlist_interfaces, postscreen_denylist_action und postscreen_dnsbl_allowlist_threshold). Die Änderungen betreffen die Dokumentation, Einstellungen des Postscreen-Prozesses (eingebaute Firewall) und die Wiedergabe von Informationen in Protokollen. postfix/postscreen[pid]: ALLOWLIST VETO [Adresse]:Port postfix/postscreen[pid]: ALLOWLISTED [Adresse]:Port postfix/postscreen[pid]: DENYLISTED [Adresse]:Port
Um die vorherigen Begriffe in den Protokollen beizubehalten, wird der Parameter „respectful_logging = no“ bereitgestellt, der in main.cf vor „compatibility_level = 3.6“ angegeben werden sollte. Die Unterstützung für alte Postscreen-Einstellungsnamen wurde aus Gründen der Abwärtskompatibilität beibehalten. Auch die Konfigurationsdatei „master.cf“ ist vorerst unverändert geblieben.
- Im Modus „compatibility_level = 3.6“ wurde standardmäßig auf die Verwendung der SHA256-Hash-Funktion anstelle von MD5 umgestellt. Wenn Sie im Parameter „compatibility_level“ eine frühere Version festlegen, wird MD5 weiterhin verwendet. Bei Einstellungen im Zusammenhang mit der Verwendung von Hashes, in denen der Algorithmus nicht explizit definiert ist, wird jedoch eine Warnung im Protokoll angezeigt. Die Unterstützung für die Exportversion des Diffie-Hellman-Schlüsselaustauschprotokolls wurde eingestellt (der Wert des Parameters tlsproxy_tls_dh512_param_file wird jetzt ignoriert).
- Vereinfachte Diagnose von Problemen im Zusammenhang mit der Angabe eines falschen Handlerprogramms in master.cf. Um solche Fehler zu erkennen, gibt nun jeder Backend-Dienst, einschließlich Postdrop, den Protokollnamen bekannt, bevor er mit der Kommunikation beginnt, und jeder Client-Prozess, einschließlich Sendmail, prüft, ob der angekündigte Protokollname mit der unterstützten Variante übereinstimmt.
- Ein neuer Zuordnungstyp „local_login_sender_maps“ wurde hinzugefügt, um die Zuordnung der Umschlagadresse des Absenders (bereitgestellt im Befehl „MAIL FROM“ während einer SMTP-Sitzung) zu den Sendmail- und Postdrop-Prozessen flexibel steuern zu können. Um beispielsweise lokalen Benutzern, mit Ausnahme von Root und Postfix, zu erlauben, nur ihre Logins in sendmail anzugeben und dabei eine UID-Bindung an den Namen zu verwenden, können Sie die folgenden Einstellungen verwenden: /etc/postfix/main.cf: local_login_sender_maps = inline :{ { root = *} , { postfix = * } }, pcre:/etc/postfix/login_senders /etc/postfix/login_senders: # Die Angabe beider Anmeldungen und der login@domain-Form ist zulässig. /(.+)/ $1 $1…@example.com
- Standardmäßig wurde die Einstellung „smtpd_relay_before_recipient_restrictions=yes“ hinzugefügt und aktiviert, bei der der SMTP-Server smtpd_relay_restrictions vor smtpd_recipient_restrictions prüft und nicht umgekehrt wie zuvor.
- Parameter „smtpd_sasl_mechanism_list“ hinzugefügt, der standardmäßig „!external, static:rest“ ist, um verwirrende Fehler zu vermeiden, wenn das SASL-Backend behauptet, den „EXTERNAL“-Modus zu unterstützen, der in Postfix nicht unterstützt wird.
- Bei der Namensauflösung im DNS ist standardmäßig eine neue API aktiviert, die Multithreading (Threadsafe) unterstützt. Um mit der alten API zu erstellen, sollten Sie beim Erstellen „make makefiles CCARGS=“-DNO_RES_NCALLS…“ angeben.
- Modus „enable_threaded_bounces = yes“ hinzugefügt, um Benachrichtigungen über Zustellprobleme, verspätete Zustellung oder Zustellbestätigungen durch dieselbe Diskussions-ID zu ersetzen (die Benachrichtigung wird vom E-Mail-Client im selben Thread zusammen mit anderen Korrespondenznachrichten angezeigt).
- Standardmäßig wird die Systemdatenbank /etc/services nicht mehr zur Ermittlung der TCP-Portnummern für SMTP und LMTP verwendet. Stattdessen werden Portnummern über den Parameter „known_tcp_ports“ konfiguriert (Standard lmtp=24, smtp=25, smtps=submissions=465, Einreichung=587). Wenn ein Dienst in „known_tcp_ports“ fehlt, wird /etc/services weiterhin verwendet.
- Der Kompatibilitätsgrad („compatibility_level“) wurde auf „3.6“ angehoben (der Parameter wurde in der Vergangenheit zweimal geändert, mit Ausnahme von 3.6 sind die unterstützten Werte 0 (Standard), 1 und 2). Von nun an ändert sich „compatibility_level“ in die Versionsnummer, in der Änderungen vorgenommen wurden, die die Kompatibilität verletzen. Um die Kompatibilitätsgrade zu überprüfen, wurden main.cf und master.cf separate Vergleichsoperatoren hinzugefügt, z. B. „<=level“ und „<level“ (Standardvergleichsoperatoren sind nicht geeignet, da sie 3.10 als 3.9 berücksichtigen).
Source: opennet.ru