Dopo un anno di sviluppo, è stata rilasciata la nuova versione stabile del server di posta Postfix, la 3.12.0. Contemporaneamente, è stato interrotto il supporto per Postfix 3.7, rilasciato all'inizio del 2022. Il codice del progetto è scritto in C ed è distribuito con licenza EPL 2.0 (Eclipse Public License) e IPL 1.0 (IBM Public License).
Postfix è uno dei rari progetti che combina elevati livelli di sicurezza, affidabilità e prestazioni, ottenuti attraverso un'architettura multiprocesso che isola i singoli gestori, nonché una rigorosa struttura del codice e una politica di controllo delle patch. Per proteggersi dagli errori di memoria, il progetto utilizza versioni protette delle funzioni di allocazione e deallocazione della memoria, nonché un set di funzioni wrapper astratte per la gestione del buffer (controllo dei buffer overrun e accesso alla memoria liberata), operazioni sui file, formattazione dell'output, I/O bufferizzato e manipolazione delle stringhe (incluse funzionalità per lavorare con stringhe di dimensioni arbitrarie e ridimensionamento automatico delle stringhe).
Secondo l'indagine automatizzata finale su circa 500 mila postali server (la pubblicazione del rapporto verrà interrotta dopo luglio 2025), Postfix è utilizzato sul 37.88% (36.81% un anno fa) dei server di posta, la quota di Exim è del 55.59% (56.61% un anno fa), Sendmail - 3.55% (3.60%), MailEnable - 1.81% (1.82%), MDaemon - 0.40% (0.40%), Microsoft Exchange - 0.20% (0.19%), OpenSMTPD - 0.12% (0.09%).
Principali innovazioni:
- Sono stati svolti lavori per semplificare la migrazione dalle tabelle di ricerca "hash:" e "btree:" a "lmdb:" o "cdb:" a causa dell'interruzione delle librerie BerkeleyDB in alcune distribuzioni Linux. Per mantenere la compatibilità con gli strumenti Mailman che eseguono il comando "postmap hash:/path/to/file" durante l'aggiunta o la rimozione di mailing list, Postfix ora supporta il reindirizzamento automatico di tali comandi alle varianti con tipi di database supportati.
- Per impostazione predefinita, le connessioni ai server SMTP che utilizzano la crittografia TLS sono abilitate. Nelle impostazioni del client SMTP, il parametro smtp_tls_security_level è impostato su "may" se Postfix è stato creato con il supporto TLS. Il valore "may" abilita TLS per i server che supportano la crittografia, ma consente il fallback al trasferimento di dati in chiaro se il server non supporta TLS.
- ESMTP supporta l'estensione "REQUIRETLS" (RFC 8689), che consente al mittente di richiedere la crittografia TLS garantita lungo l'intero percorso di consegna del messaggio. In questa modalità, qualsiasi server SMTP o LMTP che partecipa all'inoltro dei messaggi deve supportare REQUIRETLS e l'autenticazione forte tramite DANE o STS. Anche quando il messaggio viene inoltrato lungo la catena ad altri server, è necessario utilizzare REQUIRETLS.
- Il livello di sicurezza TLS viene ora riflesso nei registri, il che significa che se è richiesto il livello REQUIRETLS per trasmettere un messaggio, le informazioni sull'uso di REQUIRETLS verranno ora salvate nel registro.
- È stato aggiunto il parametro smtp_tls_enforce_sts_mx_patterns. Questo parametro abilita la compatibilità tra il client SMTP Postfix e i plugin MTA-STS (MTA Strict Transport Security) che richiedono il supporto TLSRPT per il reindirizzamento degli attributi STS. Quando questo parametro è abilitato per impostazione predefinita, il client SMTP Postfix si connetterà al server MX solo se il suo nome corrisponde al pattern specificato nelle policy STS. In caso contrario, verrà utilizzato il comportamento legacy, ovvero la connessione ai server MX in base ai record MX DNS se il certificato del server è conforme alle policy STS. Il meccanismo MTA-STS consente di informare un client che si connette su un canale non sicuro sulla possibilità e sui parametri per stabilire una connessione TLS sicura. Il supporto per questo parametro è stato aggiunto anche alle utility postfix-tlspol e postfix-mta-sts-resolver.
- Aggiunto il supporto per algoritmi di crittografia resistenti ai quanti durante la compilazione con OpenSSL 3.5 e versioni successive.
- Sedici parametri di configurazione sono stati deprecati e, se utilizzati, verrà visualizzato un avviso nel registro che ne indicherà la rimozione in una versione futura. Questi parametri deprecati includono "virtual_maps", "fallback_relay", "postscreen_whitelist_interfaces" e "smtpd_client_connection_limit_exceptions".
- Aggiunto supporto per l'output di dati in formato JSON per i comandi: "postconf -j|-jM|-jF|-jP", "postalias -jq|-js", "postmap -jq|-js" e "postmulti -jl".
- Migliorata la gestione degli errori nei filtri Milter che si verificano durante l'elaborazione di messaggi ricevuti tramite connessioni SMTP consolidate. Il parametro #milter_default_action è stato modificato da "tempfail" a "shutdown", il che significa che la connessione al client viene chiusa.
Fonte: opennet.ru
