Après 14 mois de développement, une nouvelle branche stable du serveur de messagerie Postfix - 3.8.0 - est sortie. Dans le même temps, elle a annoncé la fin du support de la branche Postfix 3.4, sortie début 2019. Postfix est l'un des rares projets qui allie à la fois haute sécurité, fiabilité et performances, ce qui a été réalisé grâce à une architecture bien pensée et une politique assez stricte en matière de conception de code et d'audit des correctifs. Le code du projet est distribué sous EPL 2.0 (Eclipse Public License) et IPL 1.0 (IBM Public License).
Selon une enquête automatisée de janvier portant sur environ 400 33.18 serveurs de messagerie, Postfix est utilisé sur 34.08 % (il y a un an 60.27 %) des serveurs de messagerie, la part d'Exim est de 58.95 % (3.62 %), Sendmail - 3.58 % (1.86 %), MailEnable - 1.99 % ( 0.39 %), MDaemon - 0.52 % (0.19 %), Microsoft Exchange - 0.26 % (0.06 %), OpenSMTPD - 0.06 % (XNUMX %).
Principales nouveautés :
- Le client SMTP/LMTP a la capacité de vérifier les enregistrements DNS SRV pour déterminer l'hôte et le port du serveur de messagerie qui sera utilisé pour transférer les messages. Par exemple, si vous spécifiez "use_srv_lookup = submit" et "relayhost = example.com:submission" dans les paramètres, le client SMTP demandera l'enregistrement d'hôte SRV _submission._tcp.example.com pour déterminer l'hôte et le port du courrier. passerelle. La fonctionnalité proposée peut être utilisée dans des infrastructures dans lesquelles des services avec des numéros de port réseau alloués dynamiquement sont utilisés pour transmettre des messages électroniques.
- La liste des algorithmes utilisés par défaut dans les paramètres TLS exclut les chiffrements SEED, IDEA, 3DES, RC2, RC4 et RC5, le hachage MD5 et les algorithmes d'échange de clés DH et ECDH, qui sont classés comme obsolètes ou inutilisés. Lors de la spécification des types de chiffrement « export » et « low » dans les paramètres, le type « medium » est en fait désormais défini, puisque la prise en charge des types « export » et « low » a été interrompue dans OpenSSL 1.1.1.
- Ajout d'un nouveau paramètre "tls_ffdhe_auto_groups" pour activer le protocole de négociation de groupe FFDHE (Finite-Field Diffie-Hellman Ephemeral) dans TLS 1.3 lorsqu'il est construit avec OpenSSL 3.0.
- Pour se protéger contre les attaques visant à épuiser la mémoire disponible, une agrégation des statistiques « smtpd_client_*_rate » et « smtpd_client_*_count » est prévue dans le cadre de blocs réseau dont la taille est précisée par les directives « smtpd_client_ipv4_prefix_length » et « smtpd_client_ipv6_prefix_length » ( par défaut /32 et /84)
- Ajout d'une protection contre les attaques qui utilisent une demande de renégociation de connexion TLS au sein d'une connexion SMTP déjà établie pour créer une charge CPU inutile.
- La commande postconf fournit un avertissement pour les commentaires spécifiés immédiatement après les valeurs des paramètres dans le fichier de configuration Postfix.
- Il est possible de configurer l'encodage client pour PostgreSQL en spécifiant l'attribut « encoding » dans le fichier de configuration (par défaut, la valeur est désormais définie sur « UTF8 », et auparavant l'encodage « LATIN1 » était utilisé).
- Dans les commandes postfix et postlog, la sortie du journal vers stderr est désormais produite quelle que soit la connexion du flux stderr au terminal.
- Dans l'arborescence des sources, les fichiers « global/mkmap*.[hc] » ont été déplacés vers le répertoire « util », seuls les fichiers « global/mkmap_proxy.* » ont été laissés dans le répertoire principal.
Source: opennet.ru