Pärast 10 kuud kestnud arendustööd lasti välja Postfixi meiliserveri uus stabiilne haru – 3.7.0. Samal ajal teatas ta 3.3. aasta alguses välja antud Postfix 2018 haru toe lõppemisest. Postfix on üks haruldasi projekte, mis ühendab korraga kõrge turvalisuse, töökindluse ja jõudluse, mis saavutati tänu hästi läbimõeldud arhitektuurile ning üsna rangele koodikujunduse ja plaastri auditeerimise poliitikale. Projekti koodi levitatakse EPL 2.0 (Eclipse Public License) ja IPL 1.0 (IBM Public License) all.
Jaanuaris läbi viidud umbes 500 tuhande meiliserveri automatiseeritud uuringu kohaselt kasutatakse Postfixi 34.08% (aasta tagasi 33.66%) meiliserveritest, Eximi osakaal on 58.95% (59.14%), Sendmaili - 3.58% (3.6%). %), MailEnable - 1.99% (2.02%), MDaemon - 0.52% (0.60%), Microsoft Exchange - 0.26% (0.32%), OpenSMTPD - 0.06% (0.05%).
Peamised uuendused:
- Väikeste tabelite “cidr:”, “pcre:” ja “regexp:” sisu on võimalik sisestada Postfixi konfiguratsiooniparameetrite väärtuste sisse ilma väliseid faile või andmebaase ühendamata. Kohapealne asendus määratletakse lokkis sulgude abil, näiteks parameetri smtpd_forbidden_commands vaikeväärtus sisaldab nüüd stringi "CONNECT GET POST regexp:{{/^[^AZ]/ Thrash}}", et tagada, et saatvate klientide ühendused käskude asemel visatakse prügi. Üldine süntaks: /etc/postfix/main.cf: parameeter = .. map-type:{ { reegel-1 }, { reegel-2 } .. } .. /etc/postfix/master.cf: .. -o { parameeter = .. kaardi tüüp:{ { reegel-1 }, { reegel-2 } .. } .. } ..
- Postilogi töötleja on nüüd varustatud lipuga set-gid ja käivitamisel teostab toiminguid postdrop grupi õigustega, mis võimaldab seda kasutada privilegeerimata programmidel logide kirjutamiseks taustal postlogd protsessi, mis võimaldab suuremat paindlikkust maillog_file seadistamisel ja konteinerist stdout logimise kaasamisel.
- Lisatud API tugi OpenSSL 3.0.0, PCRE2 ja Berkeley DB 18 teekide jaoks.
- Lisatud kaitse rünnete eest, et määrata räsides kokkupõrkeid, kasutades toorest jõudu. Kaitse rakendatakse RAM-i salvestatud räsitabelite algoleku randomiseerimise teel. Praegu on selliste rünnakute läbiviimiseks tuvastatud ainult üks meetod, mis hõlmab SMTP-klientide IPv6-aadresside loetlemist alasi teenuses ja sadade lühiajaliste ühenduste loomist sekundis, tsükliliselt tuhandete erinevate klientide IP-aadresside kaudu otsides. . Ülejäänud räsitabelid, mille võtmeid saab kontrollida ründaja andmete põhjal, ei ole sellistele rünnakutele vastuvõtlikud, kuna neil on suurusepiirang (alasi kasutas puhastus kord 100 sekundi jooksul).
- Tugevdatud kaitse väliste klientide ja serverite eest, mis edastavad väga aeglaselt andmeid biti haaval, et hoida SMTP- ja LMTP-ühendused aktiivsena (näiteks töö blokeerimiseks, luues tingimused loodud ühenduste arvu piirangu ammendamiseks). Kirjetega seotud ajapiirangute asemel rakendub nüüd päringutega seonduv piirang ning lisatud on piirang võimalikule minimaalsele andmeedastuskiirusele DATA ja BDAT plokkides. Vastavalt sellele asendati sätted {smtpd,smtp,lmtp}_per_record_deadline seadetega {smtpd,smtp,lmtp}_per_request_deadline ja {smtpd, smtp,lmtp}_min_data_rate.
- Käsk postqueue tagab, et mitteprinditavad märgid, näiteks reavahetused, puhastatakse enne standardväljundisse printimist või stringi JSON-i vormindamist.
- Tlsproxys asendati parameetrid tlsproxy_client_level ja tlsproxy_client_policy uute sätetega tlsproxy_client_security_level ja tlsproxy_client_policy_maps, et ühtlustada parameetrite nimesid Postfixis (sätete tlsproxy_client_policy nimed vastavad sättele_xllstls now xxx seaded).
- LMDB-d kasutavate klientide vigade käsitlemine on ümber töötatud.
Allikas: opennet.ru