Después de casi un año de desarrollo, se lanzó una nueva rama estable del servidor de correo Postfix: la 3.9.0. Al mismo tiempo, anunció el fin del soporte para la rama Postfix 3.5, lanzada a principios de 2020. Postfix es uno de esos pocos proyectos que combina alta seguridad, confiabilidad y rendimiento al mismo tiempo, lo que se logró gracias a una arquitectura bien pensada y una política bastante estricta de diseño de código y auditoría de parches. El código del proyecto está escrito en lenguaje C y se distribuye bajo EPL 2.0 (Licencia pública Eclipse) e IPL 1.0 (Licencia pública IBM).
Según una encuesta automatizada de enero de alrededor de 400 mil servidores de correo, Postfix se utiliza en el 36.81% (hace un año 33.18%) de los servidores de correo, la participación de Exim es del 56.61% (hace un año 60.27%), Sendmail - 3.60 % (3.62%), MailEnable - 1.82% (1.86%), MDaemon - 0.40% (0.39%), Microsoft Exchange - 0.19% (0.19%), OpenSMTPD - 0.09% (0.06%).
Principales novedades:
- Se ha agregado un cliente para MongoDB, que le permite almacenar una base de datos de usuarios virtuales, alias, listas de coincidencias de direcciones y varias tablas de verificación en este DBMS. Para configurar el acceso a MongoDB se ha añadido el tipo de tabla “mongodb”. Por ejemplo, "alias_maps = proxy:mongodb:/etc/postfix/mongo.cf", donde mongo.cf es un archivo con configuraciones para conectarse a MongoDB y un filtro de consulta.
- Se agregó la exportación al agente de entrega local del ID de reenvío pasado durante una sesión SMTP a través del parámetro ENVID (ID de sobre) en el comando ESMTP MAIL (RFC 3461). El identificador se escribe en la variable de entorno ENVID y se pasa al agente de entrega de tuberías a través del parámetro de línea de comando “${envid}”.
- Se han agregado los siguientes parámetros a los clientes para almacenar datos en MySQL (“mysql:”) y PostgreSQL (“pgsql:”): “idle_interval” para determinar el tiempo de inactividad antes de cerrar la conexión y “retry_interval” para configurar el temporizador para reenviar peticiones. De forma predeterminada, los parámetros están configurados en 60 segundos. El valor “retry_interval” se puede reducir, por ejemplo, para reducir el tiempo de recuperación de errores, en el caso de utilizar solo un servidor en el atributo “hosts”.
- Se ha agregado una configuración de "juego de caracteres" al cliente MySQL para especificar la codificación de caracteres predeterminada. El valor predeterminado es "utf8mb4", correspondiente a la configuración predeterminada en MySQL 8.0 (en versiones anteriores el valor era "latin1"). Se ha descontinuado el soporte para versiones anteriores a MySQL 4.0 (es decir, versiones lanzadas antes de 2003).
- Se ha proporcionado una opción opcional para solicitar una clave pública autofirmada (sin procesar) para TLS que no esté vinculada a una autoridad de certificación, en lugar de un certificado X.509. El uso de claves sin formato para autenticar clientes y servidores se habilita a través de los parámetros “smtpd_tls_enable_rpk = yes” y “smtp_tls_enable_rpk = yes”, pero el comportamiento durante la verificación depende en gran medida del nivel de seguridad establecido y del soporte de claves sin formato en la implementación TLS local. (ver documentación).
- Se agregó soporte inicial para archivos de configuración OpenSSL. Para especificar un enlace a un archivo con configuraciones TLS, se propone el parámetro tls_config_file, y para especificar el nombre de la sección con configuraciones del archivo de configuración, se propone el parámetro "tls_config_name". La vinculación a archivos de configuración de OpenSSL se puede utilizar para reducir la dependencia de la configuración de distribución, donde cambiar el nivel de seguridad puede llevar a un aumento en la proporción de mensajes enviados sin cifrado.
- En los encabezados de los mensajes, se ha cambiado el formato de los números de los días en las fechas: los días 1 a 9 ahora se rellenan con un cero en lugar de un espacio (es decir, “01”, “02”, etc.). El cambio se realizó porque RFC 5322 recomienda usar espacios simples como delimitadores en las fechas.
- Se agregó protección contra ciertos tipos de ataques "ciegos" (ataques SSRF a clientes web destinados a acceder al servidor a través de SMTP), que se aplica cuando la configuración "smtpd_forbid_unauth_pipelining = yes" está configurada (predeterminada).
- De forma predeterminada, la configuración "smtpd_forbid_bare_newline = normalize" está habilitada, que protege al servidor de ataques de "contrabando SMTP", que permiten dividir un mensaje en varios mensajes diferentes mediante el uso de una secuencia no estándar para separar letras. También se ha agregado protección contra ataques de contrabando SMTP salientes, en los que un atacante utiliza un servidor basado en Postfix para atacar a otro servidor SMTP. De forma predeterminada, la configuración "cleanup_replace_stray_cr_lf = yes" está habilitada, reemplazando caracteres adicionales Y Al espacio.
- La implementación del cliente DNS ahora limita el tamaño de los resultados de la consulta DNS devueltos a 100 registros, que es 20 veces el número máximo admitido de direcciones IP por servidor del cliente SMTP.
- Los parámetros “disable_dns_lookup” y “permit_mx_backup”, así como algunos parámetros de configuración TLS, han quedado obsoletos.
- Se ha suspendido el soporte para configuraciones que quedaron obsoletas hace unos 20 años: "permit_naked_ip_address", "check_relay_domains" y "reject_maps_rbl".
Fuente: opennet.ru