Après 10 mois de développement, une nouvelle branche stable du serveur de messagerie Postfix - 3.7.0 - est sortie. Dans le même temps, elle a annoncé la fin du support de la branche Postfix 3.3, sortie début 2018. Postfix est l'un des rares projets qui allie à la fois haute sécurité, fiabilité et performances, ce qui a été réalisé grâce à une architecture bien pensée et une politique assez stricte en matière de conception de code et d'audit des correctifs. Le code du projet est distribué sous EPL 2.0 (Eclipse Public License) et IPL 1.0 (IBM Public License).
Selon une enquête automatisée de janvier portant sur environ 500 34.08 serveurs de messagerie, Postfix est utilisé sur 33.66 % (il y a un an 58.95 %) des serveurs de messagerie, la part d'Exim est de 59.14 % (3.58 %), Sendmail - 3.6 % (1.99 %), MailEnable - 2.02 % ( 0.52 %), MDaemon - 0.60 % (0.26 %), Microsoft Exchange - 0.32 % (0.06 %), OpenSMTPD - 0.05 % (XNUMX %).
Principales nouveautés :
- Il est possible d'insérer le contenu de petites tables « cidr : », « pcre : » et « regexp : » dans les valeurs des paramètres de configuration de Postfix, sans connecter de fichiers ou de bases de données externes. La substitution sur place est définie à l'aide d'accolades. Par exemple, la valeur par défaut du paramètre smtpd_forbidden_commands contient désormais la chaîne "CONNECT GET POST regexp:{{/^[^AZ]/ Thrash}}" pour garantir que les connexions des clients envoyant les déchets au lieu des commandes sont supprimés. Syntaxe générale : /etc/postfix/main.cf : paramètre = .. map-type :{ { règle-1 }, { règle-2 } .. } .. /etc/postfix/master.cf : .. -o { paramètre = .. type de carte :{ { règle-1 }, { règle-2 } .. } .. } ..
- Le gestionnaire postlog est désormais équipé de l'indicateur set-gid et, une fois lancé, effectue des opérations avec les privilèges du groupe postdrop, ce qui lui permet d'être utilisé par des programmes non privilégiés pour écrire des journaux via le processus postlogd en arrière-plan, ce qui permet une flexibilité accrue. dans la configuration de maillog_file et l'inclusion de la journalisation stdout à partir du conteneur.
- Ajout de la prise en charge de l'API pour les bibliothèques OpenSSL 3.0.0, PCRE2 et Berkeley DB 18.
- Ajout d'une protection contre les attaques pour déterminer les collisions dans les hachages à l'aide de la force brute des clés. La protection est mise en œuvre via la randomisation de l'état initial des tables de hachage stockées dans la RAM. Actuellement, une seule méthode pour mener de telles attaques a été identifiée, qui consiste à énumérer les adresses IPv6 des clients SMTP dans le service anvil et à nécessiter l'établissement de centaines de connexions à court terme par seconde tout en recherchant cycliquement parmi des milliers d'adresses IP client différentes. . Le reste des tables de hachage, dont les clés peuvent être vérifiées en fonction des données de l'attaquant, ne sont pas sensibles à de telles attaques, car elles ont une limite de taille (l'enclume est utilisée pour nettoyer une fois toutes les 100 secondes).
- Protection renforcée contre les clients et serveurs externes qui transfèrent très lentement les données petit à petit pour maintenir les connexions SMTP et LMTP actives (par exemple, pour bloquer le travail en créant des conditions permettant d'épuiser la limite du nombre de connexions établies). Au lieu de restrictions temporelles liées aux enregistrements, une restriction relative aux demandes est désormais appliquée et une restriction sur le taux de transfert de données minimum possible dans les blocs DATA et BDAT a été ajoutée. En conséquence, les paramètres {smtpd,smtp,lmtp}_per_record_deadline ont été remplacés par {smtpd,smtp,lmtp}_per_request_deadline et {smtpd, smtp,lmtp}_min_data_rate.
- La commande postqueue garantit que les caractères non imprimables, tels que les nouvelles lignes, sont nettoyés avant l'impression sur la sortie standard ou le formatage de la chaîne en JSON.
- Dans tlsproxy, les paramètres tlsproxy_client_level et tlsproxy_client_policy ont été remplacés par de nouveaux paramètres tlsproxy_client_security_level et tlsproxy_client_policy_maps pour unifier les noms des paramètres dans Postfix (les noms des paramètres tlsproxy_client_xxx correspondent désormais aux paramètres smtp_tls_xxx).
- La gestion des erreurs des clients utilisant LMDB a été retravaillée.
Source: opennet.ru