Setelah 10 bulan pengembangan, cabang stabil baru dari server email Postfix - 3.7.0 - dirilis. Pada saat yang sama, diumumkan berakhirnya dukungan untuk cabang Postfix 3.3, yang dirilis pada awal tahun 2018. Postfix adalah salah satu proyek langka yang menggabungkan keamanan, keandalan, dan kinerja tinggi pada saat yang sama, yang dicapai berkat arsitektur yang dipikirkan dengan matang dan kebijakan yang cukup ketat untuk desain kode dan audit patch. Kode proyek didistribusikan di bawah EPL 2.0 (Eclipse Public License) dan IPL 1.0 (IBM Public License).
Menurut survei otomatis bulan Januari terhadap sekitar 500 ribu server email, Postfix digunakan di 34.08% (setahun lalu 33.66%) server email, pangsa Exim adalah 58.95% (59.14%), Sendmail - 3.58% (3.6 %), MailEnable - 1.99% (2.02%), MDaemon - 0.52% (0.60%), Microsoft Exchange - 0.26% (0.32%), OpenSMTPD - 0.06% (0.05%).
Inovasi utama:
- Dimungkinkan untuk memasukkan isi tabel kecil βcidr:β, βpcre:β dan βregexp:β ke dalam nilai parameter konfigurasi Postfix, tanpa menghubungkan file atau database eksternal. Substitusi di tempat ditentukan menggunakan kurung kurawal, misalnya, nilai default parameter smtpd_forbidden_commands sekarang berisi string "CONNECT GET POST regexp:{{/^[^AZ]/ Thrash}}" untuk memastikan koneksi dari klien mengirim sampah alih-alih perintah dibuang. Sintaks umum: /etc/postfix/main.cf: parameter = .. tipe peta:{ { aturan-1 }, { aturan-2 } .. } .. /etc/postfix/master.cf: .. -o { parameter = .. tipe peta:{ { aturan-1 }, { aturan-2 } .. } .. } ..
- Pengendali postlog sekarang dilengkapi dengan flag set-gid dan, ketika diluncurkan, melakukan operasi dengan hak istimewa grup postdrop, yang memungkinkannya digunakan oleh program yang tidak memiliki hak istimewa untuk menulis log melalui proses postlogd latar belakang, yang memungkinkan peningkatan fleksibilitas dalam mengonfigurasi maillog_file dan menyertakan stdout logging dari container.
- Menambahkan dukungan API untuk perpustakaan OpenSSL 3.0.0, PCRE2 dan Berkeley DB 18.
- Menambahkan perlindungan terhadap serangan untuk menentukan tabrakan dalam hash menggunakan kekerasan kunci. Perlindungan diimplementasikan melalui pengacakan keadaan awal tabel hash yang disimpan dalam RAM. Saat ini, hanya satu metode untuk melakukan serangan tersebut yang telah diidentifikasi, yang melibatkan penghitungan alamat IPv6 klien SMTP di layanan landasan dan memerlukan pembuatan ratusan koneksi jangka pendek per detik sambil mencari ribuan alamat IP klien yang berbeda secara siklis. . Tabel hash lainnya, yang kuncinya dapat diperiksa berdasarkan data penyerang, tidak rentan terhadap serangan tersebut, karena memiliki batasan ukuran (landasan digunakan untuk dibersihkan setiap 100 detik sekali).
- Memperkuat perlindungan terhadap klien dan server eksternal yang mentransfer data dengan sangat lambat sedikit demi sedikit untuk menjaga koneksi SMTP dan LMTP tetap aktif (misalnya, untuk memblokir pekerjaan dengan menciptakan kondisi yang melemahkan batas jumlah koneksi yang dibuat). Alih-alih pembatasan waktu sehubungan dengan catatan, pembatasan sehubungan dengan permintaan sekarang diterapkan, dan pembatasan pada kecepatan transfer data minimum yang mungkin dalam blok DATA dan BDAT telah ditambahkan. Oleh karena itu, pengaturan {smtpd,smtp,lmtp}_per_record_deadline digantikan oleh {smtpd,smtp,lmtp}_per_request_deadline dan {smtpd, smtp,lmtp}_min_data_rate.
- Perintah postqueue memastikan bahwa karakter yang tidak dapat dicetak, seperti baris baru, dibersihkan sebelum dicetak ke output standar atau memformat string menjadi JSON.
- Di tlsproxy, parameter tlsproxy_client_level dan tlsproxy_client_policy diganti dengan pengaturan baru tlsproxy_client_security_level dan tlsproxy_client_policy_maps untuk menyatukan nama parameter di Postfix (nama pengaturan tlsproxy_client_xxx sekarang sesuai dengan pengaturan smtp_tls_xxx).
- Penanganan error dari klien yang menggunakan LMDB telah dikerjakan ulang.
Sumber: opennet.ru