Selepas hampir setahun pembangunan, keluaran cawangan stabil baru pelayan mel Postfix telah diterbitkan - 3.10.0. Pada masa yang sama, pengakhiran sokongan untuk cawangan Postfix 3.6, yang dikeluarkan pada awal 2021, diumumkan. Kod projek ditulis dalam C dan diedarkan di bawah lesen EPL 2.0 (Eclipse Public License) dan IPL 1.0 (IBM Public License).
Postfix ialah salah satu projek jarang yang menggabungkan keselamatan tinggi, kebolehpercayaan dan prestasi pada masa yang sama, terima kasih kepada seni bina berbilang proses yang mengasingkan pengendali individu, serta pemformatan kod yang ketat dan dasar pengauditan tampung. Untuk melindungi daripada ralat semasa bekerja dengan memori, projek menggunakan versi fungsi yang dilindungi untuk memperuntukkan dan membebaskan memori, serta satu set fungsi pembungkus abstrak untuk bekerja dengan penimbal (menyemak limpahan penimbal dan mengakses memori yang dibebaskan), operasi fail, pemformatan output, input/output penimbal dan manipulasi rentetan (termasuk keupayaan untuk bekerja dengan rentetan dan diubah suai secara automatik).
Menurut tinjauan automatik Februari terhadap kira-kira 550 pos pelayan, Postfix digunakan pada 37.64% (36.81% setahun yang lalu) pelayan mel, bahagian Exim ialah 56.03% (56.61% setahun yang lalu), Sendmail - 3.39% (3.60%), MailEnable - 1.80% (1.82%), MDaemon - 0.39% (0.40%), Microsoft Exchange - 0.19% (0.19%), OpenSMTPD - 0.10% (0.09%).
Inovasi utama:
- Menambahkan keupayaan untuk menggunakan algoritma kriptografi dalam TLS yang tahan terhadap pemilihan pada komputer kuantum. Menggunakan algoritma ini memerlukan penggunaan cawangan perpustakaan OpenSSL 3.5, yang masih belum keluar dari pembangunan. Untuk memilih algoritma pasca kuantum, Postfix tidak memperkenalkan sintaks kumpulan TLS baharu, tetapi bergantung pada tetapan OpenSSL yang akan digunakan apabila menetapkan parameter "tls_eecdh_auto_curves" dan "tls_ffdhe_auto_groups" kepada nilai kosong.
- Sokongan untuk pengepala mesej "TLS-Required: no" (RFC 8689) telah ditambah, yang memastikan penghantaran walaupun dasar keselamatan TLS yang dinyatakan dalam tetapan tidak dapat dipenuhi. Apabila pengepala ini wujud, klien SMTP beroperasi dalam mod "smtp_tls_security_level = may", bermakna ia tidak mengesahkan sijil. pelayan dan mungkin kembali kepada sambungan cleartext. Cawangan Postfix utama seterusnya berhasrat untuk melaksanakan sambungan SMTP REQUIRETLS.
- Sokongan tambahan untuk protokol TLS-RPT (Pelaporan Keselamatan Lapisan Pengangkutan), yang membenarkan penjejakan kegagalan penghantaran mesej yang berlaku apabila sambungan yang disulitkan tidak dapat diwujudkan seperti yang ditetapkan oleh sambungan DANE (Pengesahan Entiti Dinamakan berasaskan DNS) atau MTA-STS (MTA Strict Transport Security). Pemilik domain mel mentakrifkan parameter untuk TLS-RPT dalam DNS, selepas itu pelayan mel akan menghantar laporan dengan maklumat tentang sambungan TLS yang berjaya dan gagal ke pelayan MX yang menyediakan domain. Pelaksanaan adalah berdasarkan perpustakaan libtlsrpt.
- Menambahkan tetapan "smtpd_hide_client_session = yes" untuk melumpuhkan pemasukan maklumat sesi klien apabila pelayan SMTP menggantikan pengepala "Diterima:". Contoh pengepala terpenggal" "Diterima: melalui mail.example.com (Postfix) id postfix-queue-id untuk ; Hari, hb Isn yyyy hh:mm:ss tz-offset (zon).”
- Menambahkan keupayaan untuk mengekod MIME (RFC 2047) nama dalam pengepala "Dari:" yang dijana Postfix yang termasuk aksara bukan ASCII. Skim pengekodan yang dicadangkan menghapuskan keperluan untuk menggunakan sambungan SMTPUTF8 (RFC 6531), yang tidak disokong oleh semua aplikasi. Hasil pengekodan MIME kelihatan seperti '»=?charset?Q?gibberish?=:'. Untuk menentukan pengekodan asal nama, parameter "full_name_encoding_charset" telah ditambahkan, secara lalai ditetapkan kepada utf8.
- Logik untuk mengendalikan sambungan yang gagal apabila menetapkan hanya satu pelayan dalam tetapan "mysql:" atau "pgsql:" telah ditukar. Pelayan sedemikian kini dianggap sebagai pengimbang beban dan sekiranya berlaku kegagalan tunggal, permintaan berulang dihantar serta-merta, tanpa kelewatan 60 saat.
- Milter kini mencerminkan maklumat dalam log tentang sebab meletakkan mesej dalam kuarantin.
- Pelayan SMTP menyediakan keupayaan untuk mengeluarkan pengecam baris gilir atau nilai "NOQUEUE" ke log apabila sambungan ditamatkan kerana tamat masa, rehat atau melebihi had ralat. Proses pembersihan log "queueid: canceled" untuk mesej dengan transaksi yang dimulakan tetapi belum selesai.
- Dalam klien Dovecot SASL, apabila mengelog mesej "Mekanisme pengesahan tidak sah", mekanisme pengesahan yang tidak boleh digunakan kini ditunjukkan. Pelayan SMTP kini memaparkan nilai tetapan sasl_method, sasl_username dan sasl_sender apabila mengeluarkan entri 'reject' ke log.
- Disebabkan oleh perubahan dalam protokol dalaman yang digunakan oleh ejen penghantaran, mulakan semula dengan perintah "postfix reload" atau arahan "postfix stop" dan "postfix start" diperlukan selepas menaik taraf versi Postfix. Jika tidak, amaran "atribut tidak dijangka smtputf8 daripada soket xxx (menjangkakan: sendopts)" akan dikeluarkan kepada log.
Sumber: opennet.ru
