Tras un año de desarrollo, se ha lanzado la nueva rama estable del servidor de correo Postfix, la versión 3.12.0. Simultáneamente, se ha interrumpido la compatibilidad con Postfix 3.7, lanzada a principios de 2022. El código del proyecto está escrito en C y se distribuye bajo las licencias EPL 2.0 (Licencia Pública Eclipse) e IPL 1.0 (Licencia Pública IBM).
Postfix es uno de los pocos proyectos que combina alta seguridad, fiabilidad y rendimiento, gracias a una arquitectura multiproceso que aísla los controladores individuales, además de una estricta estructura de código y una política de auditoría de parches. Para protegerse contra errores de memoria, el proyecto utiliza versiones protegidas de las funciones de asignación y desasignación de memoria, así como un conjunto de funciones abstractas de contenedor para la gestión del búfer (comprobación de saturaciones del búfer y acceso a la memoria liberada), operaciones con archivos, formateo de salida, E/S en búfer y manipulación de cadenas (incluidas las capacidades para trabajar con cadenas de tamaño arbitrario y redimensionarlas automáticamente).
Según la encuesta automatizada final de aproximadamente 500 mil correos servidores (la publicación del informe se interrumpirá después de julio de 2025), Postfix se utiliza en el 37.88% (36.81% hace un año) de los servidores de correo, la cuota de Exim es del 55.59% (56.61% hace un año), Sendmail - 3.55% (3.60%), MailEnable - 1.81% (1.82%), MDaemon - 0.40% (0.40%), Microsoft Exchange - 0.20% (0.19%), OpenSMTPD - 0.12% (0.09%).
Principales novedades:
- Se ha trabajado para simplificar la migración de las tablas de búsqueda "hash:" y "btree:" a "lmdb:" o "cdb:" debido a la discontinuación de las bibliotecas BerkeleyDB en algunas distribuciones de Linux. Para mantener la compatibilidad con las herramientas Mailman que ejecutan el comando "postmap hash:/path/to/file" al agregar o eliminar listas de correo, Postfix ahora admite la redirección automática de dichos comandos a variantes con tipos de bases de datos compatibles.
- De forma predeterminada, las conexiones a servidores SMTP que utilizan cifrado TLS están habilitadas. En la configuración del cliente SMTP, el parámetro smtp_tls_security_level se establece en "may" si Postfix es compatible con TLS. Este valor habilita TLS para servidores que admiten cifrado, pero permite la transferencia de datos en texto plano si el servidor no lo admite.
- ESMTP admite la extensión "REQUIRETLS" (RFC 8689), que permite al remitente solicitar cifrado TLS garantizado durante toda la ruta de entrega del mensaje. En este modo, cualquier servidor SMTP o LMTP que participe en el reenvío de mensajes debe ser compatible con REQUIRETLS y la autenticación robusta mediante DANE o STS. Al transmitir el mensaje a otros servidores a lo largo de la cadena, también se debe utilizar REQUIRETLS.
- El nivel de seguridad TLS ahora se refleja en los registros, lo que significa que si se requiere el nivel REQUIRETLS para transmitir un mensaje, la información sobre el uso de REQUIRETLS ahora se guardará en el registro.
- Se ha añadido el parámetro smtp_tls_enforce_sts_mx_patterns. Este parámetro habilita la compatibilidad entre el cliente SMTP de Postfix y los complementos MTA-STS (Seguridad de Transporte Estricta de MTA) que requieren compatibilidad con TLSRPT para la redirección de atributos STS. Cuando este parámetro está habilitado por defecto, el cliente SMTP de Postfix se conectará al servidor MX solo si su nombre coincide con el patrón especificado en las políticas STS. De lo contrario, se utilizará el comportamiento heredado: la conexión a los servidores MX se basa en los registros MX de DNS si el certificado del servidor cumple con las políticas STS. El mecanismo MTA-STS permite informar a un cliente que se conecta a través de un canal inseguro sobre la posibilidad y los parámetros para establecer una conexión TLS segura. También se ha añadido compatibilidad con este parámetro a las utilidades postfix-tlspol y postfix-mta-sts-resolver.
- Se agregó soporte para algoritmos de cifrado resistentes a lo cuántico al compilar con OpenSSL 3.5 y versiones posteriores.
- Dieciséis parámetros de configuración han quedado obsoletos y, al usarlos, se mostrará una advertencia en el registro indicando su eliminación en una versión futura. Estos parámetros obsoletos incluyen "virtual_maps", "fallback_relay", "postscreen_whitelist_interfaces" y "smtpd_client_connection_limit_exceptions".
- Se agregó soporte para generar datos en formato JSON para los comandos: "postconf -j|-jM|-jF|-jP", "postalias -jq|-js", "postmap -jq|-js" y "postmulti -jl".
- Se mejoró la gestión de errores en los filtros Milter que ocurren al procesar mensajes recibidos a través de conexiones SMTP establecidas hace tiempo. El parámetro #milter_default_action se ha cambiado de "tempfail" a "shutdown", lo que significa cerrar la conexión con el cliente.
Fuente: opennet.ru
