Setelah 10 bulan pengembangan, cabang stabil baru dari server email Postfix, versi 3.7.0, telah dirilis. Bersamaan dengan itu, dukungan untuk Postfix 3.3, yang dirilis pada awal 2018, telah dihentikan. Postfix merupakan salah satu proyek langka yang menggabungkan keamanan, keandalan, dan kinerja tinggi, yang dicapai melalui arsitektur yang dirancang dengan matang serta kebijakan format kode dan audit patch yang ketat. Kode proyek ini dilisensikan di bawah EPL 2.0 (Lisensi Publik Eclipse) dan IPL 1.0 (Lisensi Publik IBM).
Menurut survei otomatis bulan Januari terhadap sekitar 500 petugas pos serverPostfix digunakan pada 34.08% (33.66% tahun lalu) server email, pangsa Exim adalah 58.95% (59.14%), Sendmail - 3.58% (3.6%), MailEnable - 1.99% (2.02%), MDaemon - 0.52% (0.60%), Microsoft Exchange - 0.26% (0.32%), OpenSMTPD - 0.06% (0.05%).
Inovasi utama:
- Kemampuan untuk memasukkan isi tabel "cidr:", "pcre:", dan "regexp:" kecil ke dalam nilai parameter konfigurasi Postfix kini tersedia, tanpa memerlukan berkas eksternal atau koneksi basis data. Substitusi di tempat ditentukan menggunakan kurung kurawal; misalnya, nilai default parameter smtpd_forbidden_commands sekarang berisi string "CONNECT GET POST regexp:{{/^[^AZ]/Thrash}}", yang memastikan bahwa koneksi dari klien yang mengirimkan sampah alih-alih perintah akan dihapus. Sintaks umumnya adalah: /etc/postfix/main.cf: parameter = .. map-type:{ { rule-1 }, { rule-2 } .. } .. /etc/postfix/master.cf: .. -o { parameter = .. map-type:{ { rule-1 }, { rule-2 } .. } .. } ..
- Penangan postlog sekarang dilengkapi dengan tanda set-gid dan, saat diluncurkan, menjalankan operasi dengan hak istimewa grup postdrop, yang memungkinkannya digunakan oleh program yang tidak memiliki hak istimewa untuk menulis log melalui proses postlogd latar belakang, yang memungkinkan fleksibilitas lebih besar dalam mengonfigurasi maillog_file dan, di antara hal lainnya, memungkinkan pencatatan stdout dari kontainer.
- Menambahkan dukungan untuk OpenSSL 3.0.0, PCRE2, dan API pustaka Berkeley DB 18.
- Perlindungan tambahan terhadap serangan brute-force yang melibatkan tabrakan hash. Perlindungan ini diimplementasikan dengan merandomisasi keadaan awal tabel hash yang disimpan di RAM. Saat ini, hanya satu metode untuk melakukan serangan tersebut yang telah diidentifikasi, yaitu serangan brute-force terhadap alamat IPv6 klien SMTP di layanan anvil. Hal ini membutuhkan pembentukan ratusan koneksi jangka pendek per detik sambil secara siklik mencoba ribuan alamat klien yang berbeda. alamat IPTabel hash lainnya, yang kuncinya dapat diverifikasi menggunakan data penyerang, tidak rentan terhadap serangan semacam itu, karena memiliki batasan ukuran (anvil menggunakan pembersihan 100 detik).
- Perlindungan terhadap klien dan server eksternal yang mentransfer data sangat lambat, sedikit demi sedikit, untuk menjaga koneksi SMTP dan LMTP tetap aktif (misalnya, untuk memblokir eksekusi koneksi dengan menciptakan kondisi yang membatasi jumlah koneksi yang dibuat) telah diperkuat. Batas waktu yang terkait dengan rekaman telah digantikan oleh batas berbasis permintaan, dan batas kecepatan transfer data minimum telah ditambahkan ke blok DATA dan BDAT. Dengan demikian, pengaturan {smtpd,smtp,lmtp}_per_record_deadline telah digantikan oleh {smtpd,smtp,lmtp}_per_request_deadline dan {smtpd, smtp,lmtp}_min_data_rate.
- Perintah postqueue memastikan bahwa karakter non-cetak seperti baris baru dihapus sebelum menulis ke keluaran standar atau memformat string ke JSON.
- Dalam tlsproxy, parameter tlsproxy_client_level dan tlsproxy_client_policy telah digantikan oleh pengaturan tlsproxy_client_security_level dan tlsproxy_client_policy_maps baru untuk menyatukan penamaan parameter di Postfix (pengaturan tlsproxy_client_xxx sekarang sesuai dengan pengaturan smtp_tls_xxx).
- Penanganan kesalahan dari klien yang dikerjakan ulang menggunakan LMDB.
Sumber: opennet.ru
