پس از 10 ماه توسعه، یک شاخه پایدار جدید از سرور پست الکترونیکی Postfix - 3.7.0 - منتشر شد. در همان زمان، پایان پشتیبانی از شعبه Postfix 3.3 را که در ابتدای سال 2018 منتشر شد، اعلام کرد. Postfix یکی از پروژههای نادری است که امنیت، قابلیت اطمینان و عملکرد بالا را به طور همزمان ترکیب میکند، که به لطف یک معماری سنجیده و سیاست نسبتاً سختگیرانه برای طراحی کد و ممیزی وصله به دست آمد. کد پروژه تحت EPL 2.0 (مجوز عمومی Eclipse) و IPL 1.0 (مجوز عمومی IBM) توزیع شده است.
طبق یک نظرسنجی خودکار ژانویه از حدود 500 هزار ایمیل سرور، Postfix در 34.08٪ (یک سال پیش 33.66٪) از سرورهای ایمیل استفاده می شود، سهم Exim 58.95٪ (59.14٪)، Sendmail - 3.58٪ (3.6) است. ٪، MailEnable - 1.99٪ (2.02٪)، MDaemon - 0.52٪ (0.60٪)، Microsoft Exchange - 0.26٪ (0.32٪)، OpenSMTPD - 0.06٪ (0.05٪).
نوآوری های اصلی:
- امکان درج محتویات جداول کوچک «cidr:»، «pcre:» و «regexp:» در مقادیر پارامترهای پیکربندی Postfix، بدون اتصال فایلهای خارجی یا پایگاههای داده وجود دارد. جایگزینی در محل با استفاده از مهاربندها تعریف میشود، برای مثال، مقدار پیشفرض پارامتر smtpd_forbidden_commands اکنون حاوی رشته «CONNECT GET POST regexp:{{/^[^AZ]/ Thrash}}» است تا اطمینان حاصل شود که اتصالات از کلاینتهایی که ارسال میکنند زباله به جای دستورات رها شده است. نحو عمومی: /etc/postfix/main.cf: پارامتر = .. map-type:{ { rule-1 }, { rule-2 } .. } .. /etc/postfix/master.cf: .. -o { پارامتر = .. map-type:{ { rule-1 }, { rule-2 } .. } .. } ..
- کنترل کننده postlog اکنون به پرچم set-gid مجهز شده است و هنگامی که راه اندازی می شود، عملیات را با امتیازات گروه postdrop انجام می دهد، که به آن اجازه می دهد تا توسط برنامه های غیرمجاز برای نوشتن گزارش ها از طریق فرآیند postlogd پس زمینه استفاده شود، که امکان افزایش انعطاف پذیری را فراهم می کند. در پیکربندی maillog_file و شامل ورود stdout از کانتینر.
- پشتیبانی API برای کتابخانههای OpenSSL 3.0.0، PCRE2 و Berkeley DB 18 اضافه شد.
- محافظت در برابر حملات برای تعیین برخورد در هش ها با استفاده از نیروی بی رحم کلیدی اضافه شده است. حفاظت از طریق تصادفی سازی حالت اولیه جداول هش ذخیره شده در RAM اجرا می شود. در حال حاضر، تنها یک روش برای انجام چنین حملاتی شناسایی شده است، که شامل برشمردن آدرس های IPv6 مشتریان SMTP در سرویس سندان و نیاز به برقراری صدها اتصال کوتاه مدت در ثانیه در حین جستجوی چرخه ای از طریق هزاران آدرس IP مشتری مختلف است. . بقیه جداول هش، که کلیدهای آنها را می توان بر اساس داده های مهاجم بررسی کرد، در معرض چنین حملاتی نیستند، زیرا دارای محدودیت اندازه هستند (از سندان هر 100 ثانیه یک بار تمیز می شود).
- تقویت حفاظت در برابر کلاینتها و سرورهای خارجی که به آرامی دادهها را به صورت بیت به بیت انتقال میدهند تا اتصالات SMTP و LMTP را فعال نگه دارند (به عنوان مثال، برای مسدود کردن کار با ایجاد شرایطی برای از بین بردن محدودیت تعداد اتصالات ایجاد شده). اکنون به جای محدودیت زمانی در ارتباط با رکوردها، محدودیتی در ارتباط با درخواست ها اعمال می شود و محدودیتی در حداقل نرخ انتقال داده ممکن در بلوک های DATA و BDAT اضافه شده است. بر این اساس، تنظیمات {smtpd,smtp,lmtp}_per_record_deadline با {smtpd,smtp,lmtp}_per_request_deadline و {smtpd,smtp,lmtp}_min_data_rate جایگزین شدند.
- دستور postqueue تضمین می کند که کاراکترهای غیر قابل چاپ، مانند خطوط جدید، قبل از چاپ به خروجی استاندارد یا قالب بندی رشته به JSON پاک می شوند.
- در tlsproxy، پارامترهای tlsproxy_client_level و tlsproxy_client_policy با تنظیمات جدید tlsproxy_client_security_level و tlsproxy_client_policy_maps جایگزین شدند تا نام پارامترها در Postfix یکسان شود (نام تنظیمات tlsproxy_client_toxxt مربوط می شود. ).
- رسیدگی به خطا از سوی مشتریان با استفاده از LMDB دوباره کار شده است.
منبع: opennet.ru