Μετά από 10 μήνες ανάπτυξης, κυκλοφόρησε ένας νέος σταθερός κλάδος του διακομιστή αλληλογραφίας Postfix, 3.7.0. Παράλληλα, ανακοινώθηκε το τέλος της υποστήριξης για τον κλάδο Postfix 3.3, που κυκλοφόρησε στις αρχές του 2018. Το Postfix είναι ένα από τα σπάνια έργα που συνδυάζει υψηλή ασφάλεια, αξιοπιστία και απόδοση ταυτόχρονα, το οποίο επιτεύχθηκε χάρη σε μια καλά μελετημένη αρχιτεκτονική και μια μάλλον άκαμπτη πολιτική για την κωδικοποίηση και τον έλεγχο επιδιορθώσεων. Ο κωδικός του έργου διανέμεται σύμφωνα με το EPL 2.0 (άδεια Eclipse Public License) και το IPL 1.0 (IBM Public License).
Σύμφωνα με μια αυτοματοποιημένη έρευνα του Ιανουαρίου σε περίπου 500 χιλιάδες διακομιστές αλληλογραφίας, το Postfix χρησιμοποιείται στο 34.08% (πριν από ένα χρόνο 33.66%) των διακομιστών αλληλογραφίας, το μερίδιο των Exim είναι 58.95% (59.14%), Sendmail - 3.58% (3.6 %), MailEnable - 1.99% ( 2.02%), MDaemon - 0.52% (0.60%), Microsoft Exchange - 0.26% (0.32%), OpenSMTPD - 0.06% (0.05%).
Βασικές καινοτομίες:
- Είναι δυνατή η εισαγωγή των περιεχομένων των μικρών πινάκων «cidr:», «pcre:» και «regexp:» στις τιμές παραμέτρων διαμόρφωσης Postfix, χωρίς σύνδεση εξωτερικών αρχείων ή βάσεων δεδομένων. Η αντικατάσταση επί τόπου ορίζεται χρησιμοποιώντας σγουρά άγκιστρα, για παράδειγμα, η προεπιλεγμένη τιμή της παραμέτρου smtpd_forbidden_commands περιέχει τώρα τη συμβολοσειρά "CONNECT GET POST regexp:{{/^[^AZ]/ Thrash}}" για να διασφαλιστεί ότι οι συνδέσεις από πελάτες που στέλνουν σκουπίδια αντί για εντολές πέφτουν. Γενική σύνταξη: /etc/postfix/main.cf: parameter = .. map-type:{ { rule-1 }, { rule-2 } .. } .. /etc/postfix/master.cf: .. -o { parameter = .. map-type:{ { κανόνας-1 }, { κανόνας-2 } .. } .. } ..
- Ο χειριστής postlog είναι πλέον εξοπλισμένος με τη σημαία set-gid και, όταν εκκινηθεί, εκτελεί λειτουργίες με τα δικαιώματα της ομάδας postdrop, η οποία επιτρέπει τη χρήση του από μη προνομιούχα προγράμματα για την εγγραφή αρχείων καταγραφής μέσω της διαδικασίας postlogd στο παρασκήνιο, η οποία επιτρέπει αυξημένη ευελιξία στη διαμόρφωση του maillog_file και στη συμπερίληψη της καταγραφής stdout από το κοντέινερ.
- Προστέθηκε υποστήριξη API για βιβλιοθήκες OpenSSL 3.0.0, PCRE2 και Berkeley DB 18.
- Προστέθηκε προστασία από επιθέσεις για τον προσδιορισμό των συγκρούσεων σε κατακερματισμούς χρησιμοποιώντας βασική ωμή βία. Η προστασία υλοποιείται μέσω της τυχαιοποίησης της αρχικής κατάστασης των πινάκων κατακερματισμού που είναι αποθηκευμένοι στη μνήμη RAM. Επί του παρόντος, έχει εντοπιστεί μόνο μία μέθοδος διεξαγωγής τέτοιων επιθέσεων, η οποία περιλαμβάνει την απαρίθμηση των διευθύνσεων IPv6 των πελατών SMTP στην υπηρεσία αμόνι και την απαίτηση δημιουργίας εκατοντάδων βραχυπρόθεσμων συνδέσεων ανά δευτερόλεπτο κατά την κυκλική αναζήτηση σε χιλιάδες διαφορετικές διευθύνσεις IP πελατών . Οι υπόλοιποι πίνακες κατακερματισμού, τα κλειδιά των οποίων μπορούν να ελεγχθούν με βάση τα δεδομένα του εισβολέα, δεν υπόκεινται σε τέτοιες επιθέσεις, καθώς έχουν όριο μεγέθους (το αμόνι χρησιμοποιούσε καθαρισμό μία φορά κάθε 100 δευτερόλεπτα).
- Ενισχυμένη προστασία έναντι εξωτερικών πελατών και διακομιστών που μεταφέρουν πολύ αργά δεδομένα κομμάτι-κομμάτι για να διατηρούν ενεργές τις συνδέσεις SMTP και LMTP (για παράδειγμα, να εμποδίζουν την εργασία δημιουργώντας συνθήκες εξάντλησης του ορίου στον αριθμό των εγκατεστημένων συνδέσεων). Αντί για χρονικούς περιορισμούς σε σχέση με τις εγγραφές, εφαρμόζεται πλέον ένας περιορισμός σε σχέση με αιτήματα και έχει προστεθεί περιορισμός στον ελάχιστο δυνατό ρυθμό μεταφοράς δεδομένων σε μπλοκ DATA και BDAT. Αντίστοιχα, οι ρυθμίσεις {smtpd,smtp,lmtp}_per_record_deadline αντικαταστάθηκαν από {smtpd,smtp,lmtp}_per_request_deadline και {smtpd, smtp,lmtp}_min_data_rate.
- Η εντολή postqueue διασφαλίζει ότι οι μη εκτυπώσιμοι χαρακτήρες, όπως οι νέες γραμμές, καθαρίζονται πριν από την εκτύπωση σε τυπική έξοδο ή τη μορφοποίηση της συμβολοσειράς σε JSON.
- Στο tlsproxy, οι παράμετροι tlsproxy_client_level και tlsproxy_client_policy αντικαταστάθηκαν από νέες ρυθμίσεις tlsproxy_client_security_level και tlsproxy_client_policy_maps για να ενοποιηθούν τα ονόματα των παραμέτρων στο Postfix (τα ονόματα των ρυθμίσεων tlsproxy_client_toxxt ).
- Ο χειρισμός σφαλμάτων από πελάτες που χρησιμοποιούν LMDB έχει επεξεργαστεί εκ νέου.
Πηγή: opennet.ru