10 kuukauden kehitystyön jälkeen Postfix-postipalvelimen uusi vakaa haara - 3.7.0 - julkaistiin. Samalla se ilmoitti tuen lopettamisesta Postfix 3.3 -haaralle, joka julkaistiin vuoden 2018 alussa. Postfix on yksi harvoista projekteista, jossa yhdistyvät korkea turvallisuus, luotettavuus ja suorituskyky samaan aikaan, mikä saavutettiin hyvin harkitun arkkitehtuurin ja melko tiukan koodisuunnittelun ja korjaustiedoston auditoinnin ansiosta. Projektikoodia jaetaan EPL 2.0:lla (Eclipse Public License) ja IPL 1.0:lla (IBM Public License).
Tammikuussa tehdyn noin 500 tuhannen sähköpostipalvelimen automaattisen tutkimuksen mukaan Postfixiä käytetään 34.08 %:ssa (vuosi sitten 33.66 %) sähköpostipalvelimista, Eximin osuus on 58.95 % (59.14 %), Sendmailin osuus 3.58 % (3.6) %), MailEnable - 1.99 % (2.02 %), MDaemon - 0.52 % (0.60 %), Microsoft Exchange - 0.26 % (0.32 %), OpenSMTPD - 0.06 % (0.05 %).
Tärkeimmät innovaatiot:
- On mahdollista lisätä pienten taulukkojen "cidr:", "pcre:" ja "regexp:" sisältö Postfix-määritysparametrien arvojen sisään ilman ulkoisten tiedostojen tai tietokantojen yhdistämistä. Paikalla oleva korvaaminen määritellään aaltosulkeilla. Esimerkiksi smtpd_forbidden_commands-parametrin oletusarvo sisältää nyt merkkijonon "CONNECT GET POST regexp:{{/^[^AZ]/ Thrash}}", jotta varmistetaan, että yhteydet lähettävistä asiakkaista roskaa komentojen sijaan pudotetaan. Yleinen syntaksi: /etc/postfix/main.cf: parametri = .. map-type:{ { sääntö-1 }, { sääntö-2 } .. } .. /etc/postfix/master.cf: .. -o { parametri = .. karttatyyppi:{ { sääntö 1 }, { sääntö 2 } .. } .. } ..
- Postilokien käsittelijä on nyt varustettu set-gid-lipulla ja käynnistettäessä suorittaa toimintoja postdrop-ryhmän oikeuksilla, mikä sallii etuoikeutettujen ohjelmien käyttää sitä lokien kirjoittamiseen taustan postlogd-prosessin kautta, mikä lisää joustavuutta. maillog_file-tiedoston määrittämisessä ja stdout-kirjauksen sisällyttämisessä säilöön.
- Lisätty API-tuki OpenSSL 3.0.0-, PCRE2- ja Berkeley DB 18 -kirjastoille.
- Lisätty suoja hyökkäyksiä vastaan törmäysten määrittämiseksi tiivisteissä käyttämällä raakaa voimaa. Suojaus toteutetaan satunnaistamalla RAM-muistiin tallennettujen hash-taulukoiden alkutila. Tällä hetkellä on tunnistettu vain yksi tällaisten hyökkäysten suorittamistapa, joka sisältää SMTP-asiakkaiden IPv6-osoitteiden luetteloimisen alasin palvelussa ja satojen lyhytaikaisten yhteyksien luomisen sekunnissa samalla kun etsitään syklisesti tuhansien eri asiakkaiden IP-osoitteista. . Muut hash-taulukot, joiden avaimet voidaan tarkistaa hyökkääjän tietojen perusteella, eivät ole alttiita tällaisille hyökkäyksille, koska niillä on kokorajoitus (alasin käytettiin puhdistusta 100 sekunnin välein).
- Vahvistettu suojaus ulkoisia asiakkaita ja palvelimia vastaan, jotka siirtävät dataa erittäin hitaasti bitti kerrallaan, jotta SMTP- ja LMTP-yhteydet pysyvät aktiivisina (esimerkiksi työn estämiseksi luomalla olosuhteet muodostettujen yhteyksien rajoituksen täyttämiseksi). Tietueiden aikarajoitusten sijaan sovelletaan nyt pyyntöihin liittyvää rajoitusta ja DATA- ja BDAT-lohkoissa on lisätty rajoitus mahdolliselle tiedonsiirtonopeudelle. Vastaavasti {smtpd,smtp,lmtp}_per_record_deadline-asetukset korvattiin asetuksilla {smtpd,smtp,lmtp}_per_request_deadline ja {smtpd, smtp,lmtp}_min_data_rate.
- Postqueue-komento varmistaa, että ei-tulostettavat merkit, kuten rivinvaihdot, puhdistetaan ennen tulostamista vakiotulostukseen tai merkkijonon muotoilua JSON-muotoon.
- tlsproxyssa tlsproxy_client_level- ja tlsproxy_client_policy-parametrit korvattiin uusilla asetuksilla tlsproxy_client_security_level ja tlsproxy_client_policy_maps, jotta Postfixin parametrien nimet yhdistetään (parametrien nimet tlsproxy_xtpx vastaa_xlstltpx-asetuksia. xxx-asetukset).
- LMDB:tä käyttävien asiakkaiden virheiden käsittelyä on muokattu.
Lähde: opennet.ru