Pēc 10 mēnešu izstrādes tika izlaists jauns stabils Postfix pasta servera atzars - 3.7.0. Tajā pašā laikā tā paziņoja par atbalsta beigām Postfix 3.3 filiālei, kas tika izlaista 2018. gada sākumā. Postfix ir viens no retajiem projektiem, kas apvieno augstu drošību, uzticamību un veiktspēju vienlaikus, kas tika panākts, pateicoties pārdomātai arhitektūrai un diezgan stingrai koda izstrādes un ielāpu audita politikai. Projekta kods tiek izplatīts saskaņā ar EPL 2.0 (Eclipse Public License) un IPL 1.0 (IBM Public License).
Saskaņā ar janvāra automatizēto aptauju par aptuveni 500 tūkstošiem pasta serveru, Postfix tiek izmantots 34.08% (pirms gada 33.66%) pasta serveru, Exim īpatsvars ir 58.95% (59.14%), Sendmail - 3.58% (3.6). %), MailEnable - 1.99% (2.02%), MDaemon - 0.52% (0.60%), Microsoft Exchange - 0.26% (0.32%), OpenSMTPD - 0.06% (0.05%).
Galvenie jauninājumi:
- Postfix konfigurācijas parametru vērtībās ir iespējams ievietot nelielu tabulu “cidr:”, “pcre:” un “regexp:” saturu, nepievienojot ārējos failus vai datu bāzes. Vietējā aizstāšana tiek definēta, izmantojot krokainas figūriekavas, piemēram, parametra smtpd_forbidden_commands noklusējuma vērtība tagad satur virkni "CONNECT GET POST regexp:{{/^[^AZ]/ Thrash}}", lai nodrošinātu, ka savienojumi no klientiem sūta atkritumi, nevis komandas tiek nomestas. Vispārējā sintakse: /etc/postfix/main.cf: parametrs = .. map-type:{ { noteikums-1 }, { noteikums-2 } .. } .. /etc/postfix/master.cf: .. -o { parametrs = .. kartes tips:{ { noteikums-1 }, { noteikums-2 } .. } .. } ..
- Pastloga apstrādātājs tagad ir aprīkots ar karodziņu set-gid, un, palaižot, tas veic darbības ar postdrop grupas privilēģijām, kas ļauj to izmantot nepievilcīgām programmām, lai rakstītu žurnālus, izmantojot fona postlogd procesu, kas nodrošina lielāku elastību. konfigurējot maillog_file un iekļaujot stdout reģistrēšanu no konteinera.
- Pievienots API atbalsts OpenSSL 3.0.0, PCRE2 un Berkeley DB 18 bibliotēkām.
- Pievienota aizsardzība pret uzbrukumiem, lai noteiktu sadursmes jaucējkodos, izmantojot galveno brutālo spēku. Aizsardzība tiek īstenota, randomizējot RAM saglabāto jaucējtabulu sākotnējo stāvokli. Pašlaik ir identificēta tikai viena šādu uzbrukumu veikšanas metode, kas ietver SMTP klientu IPv6 adrešu uzskaiti anvil pakalpojumā un pieprasa izveidot simtiem īstermiņa savienojumu sekundē, vienlaikus cikliski meklējot tūkstošiem dažādu klientu IP adrešu. . Pārējās hash tabulas, kuru atslēgas var pārbaudīt, pamatojoties uz uzbrucēja datiem, nav pakļautas šādiem uzbrukumiem, jo tām ir izmēra ierobežojums (laktas tīrīšana tiek izmantota reizi 100 sekundēs).
- Pastiprināta aizsardzība pret ārējiem klientiem un serveriem, kas ļoti lēni pārsūta datus bitu pa bitam, lai SMTP un LMTP savienojumi būtu aktīvi (piemēram, lai bloķētu darbu, radot apstākļus izveidoto savienojumu skaita ierobežojuma izsmelšanai). Laika ierobežojumu vietā saistībā ar ierakstiem tagad tiek piemērots ierobežojums saistībā ar pieprasījumiem, kā arī pievienots minimālā iespējamā datu pārraides ātruma ierobežojums DATA un BDAT blokos. Attiecīgi {smtpd,smtp,lmtp}_per_record_deadline iestatījumi tika aizstāti ar {smtpd,smtp,lmtp}_per_request_deadline un {smtpd, smtp,lmtp}_min_data_rate.
- Postqueue komanda nodrošina, ka nedrukājamas rakstzīmes, piemēram, jaunas rindiņas, tiek notīrītas pirms drukāšanas standarta izvadē vai virknes formatēšanas JSON formātā.
- Programmā tlsproxy parametri tlsproxy_client_level un tlsproxy_client_policy tika aizstāti ar jauniem iestatījumiem tlsproxy_client_security_level un tlsproxy_client_policy_maps, lai vienotu parametru nosaukumus programmā Postfix (iestatījuma tlsproxy_xltp nosaukumi atbilst the_xllstpx_xlstpx xxx iestatījumi).
- Kļūdu apstrāde no klientiem, kuri izmanto LMDB, ir pārstrādāta.
Avots: opennet.ru