Despois de 10 meses de desenvolvemento, lanzouse unha nova rama estable do servidor de correo Postfix - 3.7.0. Ao mesmo tempo, anunciou o fin do soporte para a rama Postfix 3.3, lanzado a principios de 2018. Postfix é un dos poucos proxectos que combina alta seguridade, fiabilidade e rendemento ao mesmo tempo, que se conseguiu grazas a unha arquitectura ben pensada e unha política bastante estrita de deseño de código e auditoría de parches. O código do proxecto distribúese baixo EPL 2.0 (Eclipse Public License) e IPL 1.0 (IBM Public License).
Segundo unha enquisa automatizada de xaneiro de preto de 500 mil servidores de correo, Postfix úsase no 34.08% (hai un ano 33.66%) dos servidores de correo, a participación de Exim é do 58.95% (59.14%), Sendmail - 3.58% (3.6%) %), MailEnable - 1.99% (2.02%), MDaemon - 0.52% (0.60%), Microsoft Exchange - 0.26% (0.32%), OpenSMTPD - 0.06% (0.05%).
Principais novidades:
- É posible inserir o contido de pequenas táboas "cidr:", "pcre:" e "regexp:" dentro dos valores dos parámetros de configuración de Postfix, sen conectar ficheiros ou bases de datos externas. A substitución no lugar defínese usando chaves, por exemplo, o valor predeterminado do parámetro smtpd_forbidden_commands contén agora a cadea "CONNECT GET POST regexp:{{/^[^AZ]/ Thrash}}" para garantir que as conexións dos clientes que envían bótanse o lixo en lugar de comandos. Sintaxe xeral: /etc/postfix/main.cf: parámetro = .. tipo de mapa:{ { regra-1 }, { regra-2 } .. } .. /etc/postfix/master.cf: .. -o { parámetro = .. tipo de mapa: { { regra-1 }, { regra-2 } .. } .. } ..
- O controlador de postlog está agora equipado coa marca set-gid e, cando se inicia, realiza operacións cos privilexios do grupo postdrop, o que permite que programas sen privilexios o usen para escribir rexistros a través do proceso postlogd en segundo plano, o que permite unha maior flexibilidade. ao configurar maillog_file e incluír o rexistro stdout do contedor.
- Engadido soporte API para bibliotecas OpenSSL 3.0.0, PCRE2 e Berkeley DB 18.
- Engadiuse protección contra ataques para determinar colisións en hash mediante a forza bruta clave. A protección realízase mediante a aleatorización do estado inicial das táboas hash almacenadas na memoria RAM. Na actualidade, só se identificou un método para levar a cabo este tipo de ataques, que consiste en enumerar os enderezos IPv6 dos clientes SMTP no servizo de yunque e esixir o establecemento de centos de conexións a curto prazo por segundo mentres se buscan cíclicamente a través de miles de enderezos IP de clientes diferentes. . O resto das táboas de hash, cuxas claves poden comprobarse en función dos datos do atacante, non son susceptibles a este tipo de ataques, xa que teñen un límite de tamaño (limpeza a yunque unha vez cada 100 segundos).
- Protección reforzada contra clientes e servidores externos que transfiren datos moi lentamente pouco a pouco para manter activas as conexións SMTP e LMTP (por exemplo, para bloquear o traballo creando condicións para esgotar o límite no número de conexións establecidas). En lugar de restricións de tempo en relación cos rexistros, agora aplícase unha restrición en relación coas solicitudes e engadiuse unha restrición á taxa de transferencia de datos mínima posible nos bloques DATA e BDAT. En consecuencia, a configuración de {smtpd,smtp,lmtp}_per_record_deadline substituíuse por {smtpd,smtp,lmtp}_per_request_deadline e {smtpd, smtp,lmtp}_min_data_rate.
- O comando postqueue garante que os caracteres non imprimibles, como as novas liñas, se limpen antes de imprimir a saída estándar ou formatar a cadea en JSON.
- En tlsproxy, os parámetros tlsproxy_client_level e tlsproxy_client_policy foron substituídos por novas configuracións tlsproxy_client_security_level e tlsproxy_client_policy_maps para unificar os nomes dos parámetros en Postfix (os nomes do tlsproxy_client_client_security_level agora corresponden á configuración de xxxls_xxxlsms).
- Reelaborouse o tratamento de erros dos clientes que usan LMDB.
Fonte: opennet.ru