10 hónapos fejlesztés után megjelent a Postfix levelezőszerver új, stabil ága - a 3.7.0. Ezzel egy időben bejelentette a 3.3 elején kiadott Postfix 2018 ág támogatásának befejezését. A Postfix azon ritka projektek egyike, amely egyszerre ötvözi a magas biztonságot, a megbízhatóságot és a teljesítményt, ami egy jól átgondolt architektúrának, valamint a kódtervezés és a javítások auditálásának meglehetősen szigorú politikájának köszönhetően valósult meg. A projektkód EPL 2.0 (Eclipse Public License) és IPL 1.0 (IBM Public License) alatt kerül terjesztésre.
Egy mintegy 500 ezer levelezőszerverre kiterjedő, januári automatizált felmérés szerint a Postfixet a levelezőszerverek 34.08%-án (egy évvel ezelőtt 33.66%) használják, az Exim részesedése 58.95% (59.14%), a Sendmail 3.58% (3.6%) %), MailEnable - 1.99% (2.02%), MDaemon - 0.52% (0.60%), Microsoft Exchange - 0.26% (0.32%), OpenSMTPD - 0.06% (0.05%).
Főbb újítások:
- Lehetőség van a „cidr:”, „pcre:” és „regexp:” kis táblák tartalmának beszúrására a Postfix konfigurációs paramétereibe, külső fájlok vagy adatbázisok összekapcsolása nélkül. A helyben történő helyettesítés kapcsos zárójelekkel van meghatározva, például az smtpd_forbidden_commands paraméter alapértelmezett értéke mostantól tartalmazza a „CONNECT GET POST regexp:{{/^[^AZ]/ Thrash}}” karakterláncot, hogy biztosítsa, hogy a küldő ügyfelektől származó kapcsolatok parancsok helyett szemetet dobnak ki. Általános szintaxis: /etc/postfix/main.cf: paraméter = .. map-type:{ { szabály-1 }, { szabály-2 } .. } .. /etc/postfix/master.cf: .. -o { paraméter = .. térképtípus:{ { szabály-1 }, { szabály-2 } .. } .. } ..
- A postlog kezelő most fel van szerelve a set-gid jelzővel, és indításkor a postdrop csoport jogosultságaival hajt végre műveleteket, ami lehetővé teszi, hogy jogosulatlan programok használhassák naplók írására a háttérben futó postlogd folyamaton keresztül, ami nagyobb rugalmasságot tesz lehetővé. a maillog_file konfigurálásában és az stdout naplózásban a tárolóból.
- API-támogatás hozzáadva az OpenSSL 3.0.0, PCRE2 és Berkeley DB 18 könyvtárakhoz.
- Hozzáadott védelem a támadások ellen, hogy meghatározza az ütközéseket a hash-ekben, kulcsfontosságú nyers erő használatával. A védelem a RAM-ban tárolt hash táblák kezdeti állapotának véletlenszerűvé tételével valósul meg. Jelenleg egyetlen módszert azonosítottak az ilyen támadások végrehajtására, amely magában foglalja az SMTP-kliensek IPv6-címeinek felsorolását az üllő szolgáltatásban, és másodpercenként több száz rövid távú kapcsolat létrehozását teszi szükségessé, miközben ciklikusan keres több ezer különböző kliens IP-cím között. . A többi hash tábla, amelynek kulcsai a támadó adatai alapján ellenőrizhetőek, nem érzékenyek az ilyen támadásokra, mivel méretkorlátozással rendelkeznek (100 másodpercenként egyszeri üllővel végzett tisztítás).
- Megerősített védelem azon külső kliensek és szerverek ellen, amelyek nagyon lassan, bitenként továbbítják az adatokat, hogy az SMTP- és LMTP-kapcsolatok aktívak maradjanak (például blokkolják a munkát azáltal, hogy feltételeket teremtenek a létrehozott kapcsolatok számának korlátjának kimerítéséhez). A rekordokkal kapcsolatos időkorlátok helyett immár a kérésekre vonatkozó korlátozás lép életbe, illetve a DATA és BDAT blokkokban a lehetséges minimális adatátviteli sebesség korlátozása is bekerült. Ennek megfelelően az {smtpd,smtp,lmtp}_per_record_deadline beállítások helyébe az {smtpd,smtp,lmtp}_per_request_deadline és az {smtpd, smtp,lmtp}_min_data_rate került.
- A postqueue parancs biztosítja, hogy a nem nyomtatható karakterek, például az újsorok megtisztításra kerüljenek a szabványos kimenetre történő nyomtatás vagy a karakterlánc JSON-ba formázása előtt.
- A tlsproxyban a tlsproxy_client_level és tlsproxy_client_policy paramétereket új beállításokra cserélték: tlsproxy_client_security_level és tlsproxy_client_policy_maps, hogy egységesítsék a paraméterek neveit a Postfixben (a tlsproxy_client_stl_beállítások nevei megfelelnek a következőnek: xxx beállítások).
- Az LMDB-t használó ügyfelek hibakezelését átdolgoztuk.
Forrás: opennet.ru