Nakon 10 mjeseci razvoja, puštena je nova stabilna grana Postfix mail servera, 3.7.0. U isto vrijeme, najavljen je kraj podrške za ogranak Postfix 3.3, objavljen početkom 2018. godine. Postfix je jedan od rijetkih projekata koji kombinira visoku sigurnost, pouzdanost i performanse u isto vrijeme, što je postignuto zahvaljujući dobro promišljenoj arhitekturi i prilično rigidnoj politici kodiranja i revizije zakrpa. Projektni kod se distribuira pod EPL 2.0 (Eclipse javna licenca) i IPL 1.0 (IBM javna licenca).
Prema siječanjskom automatiziranom istraživanju oko 500 tisuća poslužitelja pošte, Postfix se koristi na 34.08% (prije godinu dana 33.66%) poslužitelja pošte, udio Exima je 58.95% (59.14%), Sendmaila - 3.58% (3.6 %), MailEnable - 1.99% ( 2.02%), MDaemon - 0.52% (0.60%), Microsoft Exchange - 0.26% (0.32%), OpenSMTPD - 0.06% (0.05%).
Glavne inovacije:
- Moguće je umetnuti sadržaj malih tablica “cidr:”, “pcre:” i “regexp:” unutar vrijednosti parametara konfiguracije Postfixa, bez povezivanja vanjskih datoteka ili baza podataka. Zamjena na mjestu definirana je pomoću vitičastih zagrada, na primjer, zadana vrijednost parametra smtpd_forbidden_commands sada sadrži niz "CONNECT GET POST regexp:{{/^[^A-Z]/ Thrash}}" kako bi se osiguralo da veze od klijenata šalju smeće umjesto da se ispuštaju naredbe. Opća sintaksa: /etc/postfix/main.cf: parametar = .. tip-mape:{ { pravilo-1 }, { pravilo-2 } .. } .. /etc/postfix/master.cf: .. -o { parametar = .. tip-mape:{ { pravilo-1 }, { pravilo-2 } .. } .. } ..
- Rukovatelj postlogom sada je opremljen zastavom set-gid i, kada se pokrene, izvodi operacije s privilegijama postdrop grupe, što omogućuje da ga koriste neprivilegirani programi za pisanje dnevnika kroz pozadinski proces postlogd, što omogućuje povećanu fleksibilnost u konfiguriranju maillog_file i uključivanju stdout zapisivanja iz spremnika.
- Dodana API podrška za OpenSSL 3.0.0, PCRE2 i Berkeley DB 18 biblioteke.
- Dodana je zaštita od napada za utvrđivanje kolizija u hashovima korištenjem grube sile ključa. Zaštita se provodi randomizacijom početnog stanja hash tablica pohranjenih u RAM-u. Trenutačno je identificirana samo jedna metoda izvođenja takvih napada, koja uključuje nabrajanje IPv6 adresa SMTP klijenata u servisu anvil i zahtijeva uspostavljanje stotina kratkoročnih veza u sekundi dok se ciklički pretražuju tisuće različitih IP adresa klijenata . Ostatak hash tablica, čiji se ključevi mogu provjeriti na temelju napadačevih podataka, nisu osjetljivi na takve napade, budući da imaju ograničenje veličine (nakovanj se čisti jednom svakih 100 sekundi).
- Pojačana zaštita od vanjskih klijenata i poslužitelja koji vrlo sporo prenose podatke bit po bit kako bi SMTP i LMTP veze bile aktivne (na primjer, kako bi blokirali rad stvaranjem uvjeta za iscrpljivanje ograničenja broja uspostavljenih veza). Umjesto vremenskih ograničenja u vezi sa evidencijom, sada se primjenjuje ograničenje u vezi sa zahtjevima, a dodano je i ograničenje na minimalnu moguću brzinu prijenosa podataka u DATA i BDAT blokovima. Sukladno tome, postavke {smtpd,smtp,lmtp}_per_record_deadline zamijenjene su s {smtpd,smtp,lmtp}_per_request_deadline i {smtpd, smtp,lmtp}_min_data_rate.
- Naredba postqueue osigurava da se znakovi koji se ne mogu ispisati, kao što su novi redovi, očiste prije ispisa na standardni izlaz ili formatiranja niza u JSON.
- U tlsproxyju, parametri tlsproxy_client_level i tlsproxy_client_policy zamijenjeni su novim postavkama tlsproxy_client_security_level i tlsproxy_client_policy_maps kako bi se unificirali nazivi parametara u Postfixu (imena postavki tlsproxy_client_xxx sada odgovaraju postavkama smtp_tls_xxx).
- Obrada pogrešaka od klijenata koji koriste LMDB je prerađena.
Izvor: opennet.ru