Selepas 10 bulan pembangunan, cawangan stabil baru pelayan mel Postfix - 3.7.0 - telah dikeluarkan. Pada masa yang sama, ia mengumumkan penamatan sokongan untuk cawangan Postfix 3.3, dikeluarkan pada awal tahun 2018. Postfix adalah salah satu projek jarang yang menggabungkan keselamatan tinggi, kebolehpercayaan dan prestasi pada masa yang sama, yang dicapai berkat seni bina yang difikirkan dengan baik dan dasar yang agak ketat untuk reka bentuk kod dan pengauditan tampalan. Kod projek diedarkan di bawah EPL 2.0 (Eclipse Public License) dan IPL 1.0 (IBM Public License).
Menurut tinjauan automatik Januari kira-kira 500 ribu pelayan mel, Postfix digunakan pada 34.08% (setahun yang lalu 33.66%) pelayan mel, bahagian Exim ialah 58.95% (59.14%), Sendmail - 3.58% (3.6). %), MailEnable - 1.99% ( 2.02%), MDaemon - 0.52% (0.60%), Microsoft Exchange - 0.26% (0.32%), OpenSMTPD - 0.06% (0.05%).
Inovasi utama:
- Anda boleh memasukkan kandungan jadual kecil "cidr:", "pcre:" dan "regexp:" di dalam nilai parameter konfigurasi Postfix, tanpa menyambungkan fail atau pangkalan data luaran. Penggantian di tempat ditakrifkan menggunakan pendakap kerinting, contohnya, nilai lalai parameter smtpd_forbidden_commands kini mengandungi rentetan "CONNECT GET POST regexp:{{/^[^A-Z]/ Thrash}}" untuk memastikan sambungan daripada pelanggan menghantar sampah bukannya arahan digugurkan. Sintaks umum: /etc/postfix/main.cf: parameter = .. map-type:{ { rule-1 }, { rule-2 } .. } .. /etc/postfix/master.cf: .. -o { parameter = .. jenis peta:{ { peraturan-1 }, { peraturan-2 } .. } .. } ..
- Pengendali postlog kini dilengkapi dengan bendera set-gid dan, apabila dilancarkan, menjalankan operasi dengan keistimewaan kumpulan postdrop, yang membolehkan ia digunakan oleh program yang tidak mempunyai keistimewaan untuk menulis log melalui proses postlogd latar belakang, yang membolehkan peningkatan fleksibiliti dalam mengkonfigurasi maillog_file dan termasuk pengelogan stdout dari bekas.
- Menambahkan sokongan API untuk perpustakaan OpenSSL 3.0.0, PCRE2 dan Berkeley DB 18.
- Perlindungan tambahan terhadap serangan untuk menentukan perlanggaran dalam cincang menggunakan kekerasan utama. Perlindungan dilaksanakan melalui rawak keadaan awal jadual cincang yang disimpan dalam RAM. Pada masa ini, hanya satu kaedah untuk menjalankan serangan sedemikian telah dikenal pasti, yang melibatkan penghitungan alamat IPv6 pelanggan SMTP dalam perkhidmatan landasan dan memerlukan penubuhan beratus-ratus sambungan jangka pendek sesaat sambil mencari secara kitaran melalui beribu-ribu alamat IP pelanggan yang berbeza. . Selebihnya jadual cincang, yang kuncinya boleh disemak berdasarkan data penyerang, tidak terdedah kepada serangan sedemikian, kerana ia mempunyai had saiz (dahs digunakan pembersihan sekali setiap 100 saat).
- Perlindungan yang diperkukuh terhadap pelanggan dan pelayan luaran yang memindahkan data secara perlahan-lahan sedikit demi sedikit untuk memastikan sambungan SMTP dan LMTP aktif (contohnya, untuk menyekat kerja dengan mewujudkan keadaan untuk meletihkan had bilangan sambungan yang ditetapkan). Daripada sekatan masa yang berkaitan dengan rekod, sekatan berkaitan dengan permintaan kini digunakan dan sekatan pada kadar pemindahan data minimum yang mungkin dalam blok DATA dan BDAT telah ditambahkan. Sehubungan itu, tetapan {smtpd,smtp,lmtp}_per_record_deadline telah digantikan dengan {smtpd,smtp,lmtp}_per_request_deadline dan {smtpd, smtp,lmtp}_min_data_rate.
- Perintah postqueue memastikan bahawa aksara yang tidak boleh dicetak, seperti baris baharu, dibersihkan sebelum mencetak ke output standard atau memformat rentetan ke dalam JSON.
- Dalam tlsproxy, parameter tlsproxy_client_level dan tlsproxy_client_policy telah digantikan dengan tetapan baharu tlsproxy_client_security_level dan tlsproxy_client_policy_maps untuk menyatukan nama parameter dalam Postfix (nama tetapan tlsproxy_client_xxxp kini sepadan dengan tetapan tlsproxy_client_xxxp).
- Ralat pengendalian daripada pelanggan menggunakan LMDB telah diolah semula.
Sumber: opennet.ru