По 10 месеци развој, беше објавена нова стабилна гранка на серверот за пошта Postfix, 3.7.0. Во исто време, беше објавен крај на поддршката за гранката Postfix 3.3, објавена на почетокот на 2018 година. Postfix е еден од ретките проекти што комбинира висока безбедност, сигурност и перформанси во исто време, што е постигнато благодарение на добро осмислената архитектура и прилично ригидната политика за кодирање и ревизија на закрпи. Кодот на проектот е дистрибуиран под EPL 2.0 (Eclipse Public лиценца) и IPL 1.0 (IBM Public License).
Според јануарското автоматизирано истражување на околу 500 илјади сервери за пошта, Postfix се користи на 34.08% (пред една година 33.66%) од серверите за пошта, учеството на Exim е 58.95% (59.14%), Sendmail - 3.58% (3.6 %), MailEnable - 1.99% ( 2.02%), MDaemon - 0.52% (0.60%), Microsoft Exchange - 0.26% (0.32%), OpenSMTPD - 0.06% (0.05%).
Главните иновации:
- Можно е да се вметне содржината на малите табели „cidr:“, „pcre:“ и „regexp:“ во вредностите на параметарот за конфигурација на Postfix, без поврзување на надворешни датотеки или бази на податоци. Замената на место е дефинирана со помош на кадрави загради, на пример, стандардната вредност на параметарот smtpd_forbidden_commands сега ја содржи низата „CONNECT GET POST regexp:{{/^[^A-Z]/ Thrash}}“ за да се осигура дека врските од клиентите што испраќаат ѓубре наместо команди се исфрлаат. Општа синтакса: /etc/postfix/main.cf: параметар = .. тип на карта:{ { правило-1 }, { правило-2 } .. } .. /etc/postfix/master.cf: .. -o { параметар = .. тип на карта:{ { правило-1 }, { правило-2 } .. } .. } ..
- Управувачот со постлогови сега е опремен со знаменцето set-gid и, кога ќе се стартува, врши операции со привилегиите на групата postdrop, што овозможува да се користи од непривилегирани програми за пишување дневници преку процесот на постлог во заднина, што овозможува зголемена флексибилност при конфигурирање на maillog_file и вклучување на евиденција на stdout од контејнерот.
- Додадена е поддршка за API за библиотеките OpenSSL 3.0.0, PCRE2 и Berkeley DB 18.
- Додадена е заштита од напади за да се одредат судири во хашови со помош на клучна брутална сила. Заштитата се спроведува преку рандомизација на почетната состојба на табелите за хаш складирани во RAM меморијата. Во моментов, идентификуван е само еден метод за извршување на такви напади, кој вклучува набројување на IPv6 адресите на SMTP клиентите во услугата на наковалната и бара воспоставување на стотици краткорочни врски во секунда додека циклично се пребарува низ илјадници различни IP адреси на клиентот . Останатите табели за хаш, чии клучеви може да се проверат врз основа на податоците на напаѓачот, не се подложни на такви напади, бидејќи имаат ограничување на големината (наковалната се користи за чистење еднаш на секои 100 секунди).
- Зајакната заштита од надворешни клиенти и сервери кои многу бавно префрлаат податоци малку по малку за да ги задржат активните SMTP и LMTP конекциите (на пример, за блокирање на работата со создавање услови за исцрпување на ограничувањето на бројот на воспоставени врски). Наместо временски ограничувања во врска со записите, сега се применува ограничување во врска со барањата, а додадено е и ограничување на минималната можна стапка на пренос на податоци во блоковите DATA и BDAT. Според тоа, поставките за {smtpd,smtp,lmtp}_per_record_deadline беа заменети со {smtpd,smtp,lmtp}_per_request_deadline и {smtpd, smtp,lmtp}_min_data_rate.
- Командата postqueue осигурува дека знаците што не можат да се печатат, како што се новите линии, се исчистени пред печатење на стандарден излез или форматирање на низата во JSON.
- Во tlsproxy, параметрите tlsproxy_client_level и tlsproxy_client_policy беа заменети со нови поставки tlsproxy_client_security_level и tlsproxy_client_policy_maps за да се обединат имињата на параметрите во Postfix (имињата на поставките за tlsproxy_client_toxxt).
- Ракувањето со грешки од клиенти кои користат LMDB е преработено.
Извор: opennet.ru