Después de 10 meses de desarrollo, se lanzó una nueva rama estable del servidor de correo Postfix, 3.7.0. Al mismo tiempo, se anunció el fin del soporte para la rama Postfix 3.3, lanzada a principios de 2018. Postfix es uno de los raros proyectos que combina alta seguridad, confiabilidad y rendimiento al mismo tiempo, lo que se logró gracias a una arquitectura bien pensada y una política bastante rígida para la codificación y la auditoría de parches. El código del proyecto se distribuye bajo EPL 2.0 (licencia pública de Eclipse) e IPL 1.0 (licencia pública de IBM).
Según una encuesta automatizada de enero de alrededor de 500 mil servidores de correo, Postfix se utiliza en el 34.08% (hace un año 33.66%) de los servidores de correo, la participación de Exim es del 58.95% (59.14%), Sendmail - 3.58% (3.6 %), MailEnable - 1.99% (2.02%), MDaemon - 0.52% (0.60%), Microsoft Exchange - 0.26% (0.32%), OpenSMTPD - 0.06% (0.05%).
Principales novedades:
- Es posible insertar el contenido de las pequeñas tablas “cidr:”, “pcre:” y “regexp:” dentro de los valores de los parámetros de configuración de Postfix, sin conectar archivos o bases de datos externos. La sustitución in situ se define mediante llaves; por ejemplo, el valor predeterminado del parámetro smtpd_forbidden_commands ahora contiene la cadena "CONNECT GET POST regexp:{{/^[^AZ]/ Thrash}}" para garantizar que las conexiones de los clientes que envían Se elimina basura en lugar de comandos. Sintaxis general: /etc/postfix/main.cf: parámetro = .. tipo-mapa:{ { regla-1 }, { regla-2 } .. } .. /etc/postfix/master.cf: .. -o { parámetro = .. tipo de mapa: { { regla-1 }, { regla-2 } .. } .. } ..
- El controlador de postlog ahora está equipado con el indicador set-gid y, cuando se inicia, realiza operaciones con los privilegios del grupo postdrop, lo que permite que programas sin privilegios lo utilicen para escribir registros a través del proceso postlogd en segundo plano, lo que permite una mayor flexibilidad. en la configuración de maillog_file e incluyendo el registro de salida estándar desde el contenedor.
- Se agregó soporte API para las bibliotecas OpenSSL 3.0.0, PCRE2 y Berkeley DB 18.
- Se agregó protección contra ataques para determinar colisiones en hashes usando fuerza bruta clave. La protección se implementa mediante la aleatorización del estado inicial de las tablas hash almacenadas en la RAM. Actualmente, solo se ha identificado un método para llevar a cabo este tipo de ataques, que implica enumerar las direcciones IPv6 de los clientes SMTP en el servicio yunque y requerir el establecimiento de cientos de conexiones de corta duración por segundo mientras se buscan cíclicamente miles de direcciones IP de clientes diferentes. . El resto de las tablas hash, cuyas claves se pueden comprobar en función de los datos del atacante, no son susceptibles a este tipo de ataques, ya que tienen un límite de tamaño (el yunque se utiliza para limpiar una vez cada 100 segundos).
- Protección reforzada contra clientes y servidores externos que transfieren datos muy lentamente bit a bit para mantener activas las conexiones SMTP y LMTP (por ejemplo, para bloquear el trabajo creando condiciones para agotar el límite en el número de conexiones establecidas). En lugar de restricciones de tiempo en relación con los registros, ahora se aplica una restricción en relación con las solicitudes y se ha agregado una restricción en la velocidad de transferencia de datos mínima posible en los bloques DATA y BDAT. En consecuencia, las configuraciones de {smtpd,smtp,lmtp}_per_record_deadline fueron reemplazadas por {smtpd,smtp,lmtp}_per_request_deadline y {smtpd, smtp,lmtp}_min_data_rate.
- El comando postqueue garantiza que los caracteres no imprimibles, como las nuevas líneas, se limpien antes de imprimir en la salida estándar o formatear la cadena en JSON.
- En tlsproxy, los parámetros tlsproxy_client_level y tlsproxy_client_policy fueron reemplazados por nuevas configuraciones tlsproxy_client_security_level y tlsproxy_client_policy_maps para unificar los nombres de los parámetros en Postfix (los nombres de las configuraciones tlsproxy_client_xxx ahora corresponden a las configuraciones smtp_tls_xxx).
- Se ha modificado el manejo de errores de los clientes que utilizan LMDB.
Fuente: opennet.ru