Dopo 14 mesi di sviluppo, è stato rilasciato un nuovo ramo stabile del server di posta Postfix, 3.8.0. Allo stesso tempo è stata annunciata la fine del supporto per il ramo Postfix 3.4, rilasciato all’inizio del 2019. Postfix è uno dei rari progetti che combina allo stesso tempo elevata sicurezza, affidabilità e prestazioni, ottenuto grazie ad un'architettura ben congegnata e ad una politica piuttosto rigida per la codifica e il controllo delle patch. Il codice del progetto è distribuito sotto EPL 2.0 (licenza pubblica Eclipse) e IPL 1.0 (licenza pubblica IBM).
Secondo un sondaggio automatizzato di gennaio condotto su circa 400mila server di posta, Postfix è utilizzato sul 33.18% (un anno fa 34.08%) dei server di posta, la quota di Exim è del 60.27% (58.95%), Sendmail - 3.62% (3.58 %), MailEnable - 1.86% (1.99%), MDaemon - 0.39% (0.52%), Microsoft Exchange - 0.19% (0.26%), OpenSMTPD - 0.06% (0.06%).
Principali innovazioni:
- Il client SMTP/LMTP ha la capacità di controllare i record DNS SRV per determinare l'host e la porta del server di posta che verrà utilizzato per trasferire i messaggi. Ad esempio, se specifichi "use_srv_lookup = submission" e "relayhost = example.com:submission" nelle impostazioni, il client SMTP richiederà il record host SRV _submission._tcp.example.com per determinare l'host e la porta della posta porta. La funzionalità proposta può essere utilizzata in infrastrutture in cui i servizi con numeri di porta di rete allocati dinamicamente vengono utilizzati per consegnare messaggi di posta elettronica.
- L'elenco degli algoritmi utilizzati per impostazione predefinita nelle impostazioni TLS esclude le cifre SEED, IDEA, 3DES, RC2, RC4 e RC5, l'hash MD5 e gli algoritmi di scambio di chiavi DH ed ECDH, che sono classificati come obsoleti o inutilizzati. Quando si specificano i tipi di crittografia "export" e "low" nelle impostazioni, ora viene effettivamente impostato il tipo "medium", poiché il supporto per i tipi "export" e "low" è stato interrotto in OpenSSL 1.1.1.
- Aggiunta una nuova impostazione "tls_ffdhe_auto_groups" per abilitare il protocollo di negoziazione di gruppo FFDHE (Finite-Field Diffie-Hellman Ephemeral) in TLS 1.3 quando creato con OpenSSL 3.0.
- Per proteggersi dagli attacchi volti a esaurire la memoria disponibile, viene fornita l'aggregazione delle statistiche “smtpd_client_*_rate” e “smtpd_client_*_count” nel contesto dei blocchi di rete, la cui dimensione è specificata dalle direttive “smtpd_client_ipv4_prefix_length” e “smtpd_client_ipv6_prefix_length” ( per impostazione predefinita /32 e /84)
- Aggiunta protezione contro gli attacchi che utilizzano una richiesta di rinegoziazione della connessione TLS all'interno di una connessione SMTP già stabilita per creare un carico non necessario sulla CPU.
- Il comando postconf fornisce un avviso per i commenti specificati immediatamente dopo i valori dei parametri nel file di configurazione Postfix.
- È possibile configurare la codifica del client per PostgreSQL specificando l'attributo “encoding” nel file di configurazione (per impostazione predefinita, il valore è ora impostato su “UTF8” e in precedenza veniva utilizzata la codifica “LATIN1”).
- Nei comandi postfix e postlog, l'output del log su stderr viene ora prodotto indipendentemente dalla connessione del flusso stderr al terminale.
- Nell'albero dei sorgenti, i file “global/mkmap*.[hc]” sono stati spostati nella directory “util”, solo i file “global/mkmap_proxy.*” sono stati lasciati nella directory principale.
Fonte: opennet.ru