Setelah satu tahun pengembangan, cabang stabil baru dari server email Postfix dirilis - 3.6.0. Pada saat yang sama, diumumkan berakhirnya dukungan untuk cabang Postfix 3.2, yang dirilis pada awal tahun 2017. Postfix adalah salah satu proyek langka yang menggabungkan keamanan, keandalan, dan kinerja tinggi pada saat yang sama, yang dicapai berkat arsitektur yang dipikirkan dengan matang dan kebijakan yang cukup ketat untuk desain kode dan audit patch. Kode proyek didistribusikan di bawah EPL 2.0 (Eclipse Public License) dan IPL 1.0 (IBM Public License).
Menurut survei otomatis bulan April terhadap sekitar 600 ribu server email, Postfix digunakan di 33.66% (setahun lalu 34.29%) server email, pangsa Exim adalah 59.14% (57.77%), Sendmail - 3.6% (3.83 %), MailEnable - 2.02% ( 2.12%), MDaemon - 0.60% (0.77%), Microsoft Exchange - 0.32% (0.47%).
Inovasi utama:
- Karena perubahan dalam protokol internal yang digunakan untuk interaksi antar komponen Postfix, penghentian server email dengan perintah “postfix stop” diperlukan sebelum memperbarui. Jika tidak, mungkin terjadi kegagalan saat berinteraksi dengan proses pengambilan, qmgr, verifikasi, tlsproxy, dan postscreen, yang dapat mengakibatkan penundaan pengiriman email hingga Postfix dimulai ulang.
- Penyebutan kata “putih” dan “hitam”, yang dianggap oleh sebagian anggota masyarakat sebagai diskriminasi rasial, telah dihapus. Alih-alih "daftar putih" dan "daftar hitam", "daftar yang diizinkan" dan "daftar tolak" sekarang harus digunakan (misalnya, parameter postscreen_allowlist_interfaces, postscreen_denylist_action, dan postscreen_dnsbl_allowlist_threshold). Perubahan tersebut mempengaruhi dokumentasi, pengaturan proses postscreen (firewall bawaan) dan refleksi informasi dalam log. postfix/postscreen[pid]: DAFTAR VETO [alamat]:port postfix/postscreen[pid]: DIIZINKAN [alamat]:port postfix/postscreen[pid]: DENYLISTED [alamat]:port
Untuk mempertahankan istilah sebelumnya di log, parameter “respectful_logging = no” disediakan, yang harus ditentukan di main.cf sebelum “compatibility_level = 3.6”. Dukungan untuk nama pengaturan postscreen lama tetap dipertahankan untuk kompatibilitas ke belakang. Selain itu, file konfigurasi “master.cf” tetap tidak berubah untuk saat ini.
- Dalam mode “compatibility_level = 3.6”, saklar default dibuat untuk menggunakan fungsi hash SHA256, bukan MD5. Jika Anda menyetel versi sebelumnya di parameter tingkat_kompatibilitas, MD5 tetap digunakan, tetapi untuk pengaturan yang terkait dengan penggunaan hash yang algoritmenya tidak ditentukan secara eksplisit, peringatan akan ditampilkan di log. Dukungan untuk versi ekspor protokol pertukaran kunci Diffie-Hellman telah dihentikan (nilai parameter tlsproxy_tls_dh512_param_file sekarang diabaikan).
- Diagnosis yang disederhanakan untuk masalah yang terkait dengan penentuan program pengendali yang salah di master.cf. Untuk mendeteksi kesalahan tersebut, setiap layanan backend, termasuk postdrop, sekarang mengiklankan nama protokol sebelum memulai komunikasi, dan setiap proses klien, termasuk sendmail, memeriksa apakah nama protokol yang diiklankan cocok dengan varian yang didukung.
- Menambahkan jenis pemetaan baru "local_login_sender_maps" untuk kontrol fleksibel atas penetapan alamat amplop pengirim (disediakan dalam perintah "MAIL FROM" selama sesi SMTP) ke proses sendmail dan postdrop. Misalnya, untuk mengizinkan pengguna lokal, kecuali root dan postfix, untuk menentukan hanya login mereka di sendmail, menggunakan pengikatan UID ke nama tersebut, Anda dapat menggunakan pengaturan berikut: /etc/postfix/main.cf: local_login_sender_maps = inline :{ { root = *} , { postfix = * } }, pcre:/etc/postfix/login_senders /etc/postfix/login_senders: # Menentukan login dan formulir login@domain diperbolehkan. /(.+)/ $1 $1…@example.com
- Menambahkan dan mengaktifkan secara default pengaturan “smtpd_relay_before_recipient_restrictions=yes”, di mana server SMTP akan memeriksa smtpd_relay_restrictions sebelum smtpd_recipient_restrictions, dan bukan sebaliknya, seperti sebelumnya.
- Menambahkan parameter "smtpd_sasl_mechanism_list", yang defaultnya adalah "!external, static:rest" untuk mencegah kesalahan yang membingungkan jika backend SASL mengklaim mendukung mode "EXTERNAL", yang tidak didukung di Postfix.
- Saat menyelesaikan nama di DNS, API baru yang mendukung multithreading (threadsafe) diaktifkan secara default. Untuk membangun dengan API lama, Anda harus menentukan “make makefiles CCARGS=”-DNO_RES_NCALLS…” saat membangun.
- Menambahkan mode "enable_threaded_bounces = yes" untuk menggantikan notifikasi tentang masalah pengiriman, keterlambatan pengiriman, atau konfirmasi pengiriman dengan ID diskusi yang sama (pemberitahuan akan ditampilkan oleh klien email di thread yang sama, bersama dengan pesan korespondensi lainnya).
- Secara default, database sistem /etc/services tidak lagi digunakan untuk menentukan nomor port TCP untuk SMTP dan LMTP. Sebaliknya, nomor port dikonfigurasi melalui parameter unknown_tcp_ports (default lmtp=24, smtp=25, smtps=submissions=465, submission=587). Jika beberapa layanan hilang dari unknown_tcp_ports, /etc/services terus digunakan.
- Tingkat kompatibilitas (“tingkat_kompatibilitas”) telah dinaikkan menjadi “3.6” (parameter diubah dua kali di masa lalu, kecuali untuk 3.6, nilai yang didukung adalah 0 (default), 1 dan 2). Mulai sekarang, “compatibility_level” akan berubah menjadi nomor versi di mana perubahan dilakukan yang melanggar kompatibilitas. Untuk memeriksa tingkat kompatibilitas, operator perbandingan terpisah telah ditambahkan ke main.cf dan master.cf, seperti “<=level” dan “<level” (operator perbandingan standar tidak cocok, karena mereka akan menganggap 3.10 kurang dari 3.9).
Sumber: opennet.ru