Post 10 monatoj da evoluo, nova stabila branĉo de la poŝtservilo Postfix - 3.7.0 - estis liberigita. Samtempe, ĝi anoncis la finon de subteno por la branĉo Postfix 3.3, publikigita komence de 2018. Postfix estas unu el la maloftaj projektoj, kiuj kombinas altan sekurecon, fidindecon kaj agadon samtempe, kiu estis atingita danke al bone pripensita arkitekturo kaj sufiĉe strikta politiko por koda dezajnado kaj diakilo-reviziado. La projektkodo estas distribuita sub EPL 2.0 (Eclipse Public License) kaj IPL 1.0 (IBM Public License).
Laŭ januaro aŭtomatigita enketo de ĉirkaŭ 500 mil poŝtserviloj, Postfix estas uzata sur 34.08% (antaŭ jaro 33.66%) de poŝtserviloj, la parto de Exim estas 58.95% (59.14%), Sendmail - 3.58% (3.6%) %), MailEnable - 1.99% ( 2.02%), MDaemon - 0.52% (0.60%), Microsoft Exchange - 0.26% (0.32%), OpenSMTPD - 0.06% (0.05%).
Ĉefaj novigoj:
- Eblas enmeti la enhavon de malgrandaj tabeloj "cidr:", "pcre:" kaj "regexp:" ene de agordaj parametrovaloroj de Postfix, sen konekti eksterajn dosierojn aŭ datumbazojn. Surloka anstataŭigo estas difinita per buklaj krampoj, ekzemple, la defaŭlta valoro de la parametro smtpd_forbidden_commands nun enhavas la ĉenon "CONNECT GET POST regexp:{{/^[^AZ]/ Thrash}}" por certigi ke konektoj de klientoj sendantaj. rubo anstataŭ komandoj estas faligitaj. Ĝenerala sintakso: /etc/postfix/main.cf: parametro = .. map-type:{ { rule-1 }, { rule-2 } .. } .. /etc/postfix/master.cf: .. -o { parametro = .. mapo-tipo:{ { regulo-1 }, { regulo-2 } .. } .. } ..
- La postlog-traktilo nun estas ekipita per la set-gid flago kaj, kiam lanĉite, faras operaciojn kun la privilegioj de la postdrop-grupo, kio permesas al ĝi esti uzata de senprivilegiaj programoj por skribi protokolojn per la fona postlogd-procezo, kiu permesas pliigitan flekseblecon. en agordado de maillog_file kaj inkluzive de stdout-protokolo de la ujo.
- Aldonita API-subteno por OpenSSL 3.0.0, PCRE2 kaj Berkeley DB 18 bibliotekoj.
- Aldonita protekto kontraŭ atakoj por determini koliziojn en haŝiŝoj uzante ŝlosilan krudan forton. Protekto estas efektivigita per hazardigo de la komenca stato de hashtabloj stokitaj en RAM. Nuntempe, nur unu metodo por efektivigi tiajn atakojn estis identigita, kiu implikas listigi la IPv6-adresojn de SMTP-klientoj en la ambosa servo kaj postuli la starigon de centoj da mallongperspektivaj konektoj je sekundo dum cikle serĉado tra miloj da malsamaj klientaj IP-adresoj. . La ceteraj hashtabeloj, kies ŝlosiloj povas esti kontrolitaj surbaze de la datumoj de la atakanto, ne estas susceptibles al tiaj atakoj, ĉar ili havas grandlimon ( amboso uzata purigado unufoje ĉiujn 100 sekundojn).
- Plifortigita protekto kontraŭ eksteraj klientoj kaj serviloj, kiuj tre malrapide transdonas datumojn iom post iom por teni SMTP kaj LMTP-konektoj aktivaj (ekzemple, por bloki laboron kreante kondiĉojn por elĉerpi la limon de la nombro de establitaj konektoj). Anstataŭ tempolimigoj rilate rekordojn, limigo rilate al petoj nun estas aplikata, kaj limigo pri la minimuma ebla datumtransigo-rapideco en DATA kaj BDAT-blokoj estis aldonita. Sekve, la {smtpd,smtp,lmtp}_per_record_deadline agordoj estis anstataŭigitaj per {smtpd,smtp,lmtp}_per_request_deadline kaj {smtpd, smtp,lmtp}_min_data_rate.
- La postqueue-komando certigas, ke ne-preseblaj signoj, kiel novlinioj, estas purigitaj antaŭ presado al norma eligo aŭ formatado de la ĉeno en JSON.
- En tlsproxy, la parametroj tlsproxy_client_level kaj tlsproxy_client_policy estis anstataŭigitaj per novaj agordoj tlsproxy_client_security_level kaj tlsproxy_client_policy_maps por unuigi la nomojn de parametroj en Postfix (la nomoj de la tlsproxy_client_client_agordoj nun korespondas_ la xxxls-agordoj_xxxms).
- Pritraktado de eraroj de klientoj uzantaj LMDB estis reverkita.
fonto: opennet.ru