Wara 10-il xahar ta 'żvilupp, ġiet rilaxxata fergħa stabbli ġdida tas-server tal-posta Postfix, 3.7.0. Fl-istess ħin, tħabbar it-tmiem tal-appoġġ għall-fergħa Postfix 3.3, rilaxxata kmieni fl-2018. Postfix huwa wieħed mill-proġetti rari li jgħaqqad sigurtà għolja, affidabilità u prestazzjoni fl-istess ħin, li nkiseb grazzi għal arkitettura maħsuba sew u politika pjuttost riġida għall-kodifikazzjoni u l-verifika tal-garża. Il-kodiċi tal-proġett huwa mqassam taħt EPL 2.0 (liċenzja Pubblika Eclipse) u IPL 1.0 (Liċenzja Pubblika IBM).
Skont stħarriġ awtomatizzat ta 'Jannar ta' madwar 500 elf servers tal-posta, Postfix jintuża fuq 34.08% (sena ilu 33.66%) tas-servers tal-posta, is-sehem ta 'Exim huwa 58.95% (59.14%), Sendmail - 3.58% (3.6%) %), MailEnable - 1.99% ( 2.02%), MDaemon - 0.52% (0.60%), Microsoft Exchange - 0.26% (0.32%), OpenSMTPD - 0.06% (0.05%).
Innovazzjonijiet ewlenin:
- Huwa possibbli li tiddaħħal il-kontenut ta 'tabelli żgħar "cidr:", "pcre:" u "regexp:" ġewwa l-valuri tal-parametri tal-konfigurazzjoni ta' Postfix, mingħajr ma tgħaqqad fajls jew databases esterni. Is-sostituzzjoni fil-post hija definita bl-użu ta' ċineg kaboċċi, pereżempju, il-valur default tal-parametru smtpd_forbidden_commands issa fih is-sekwenza "CONNECT GET POST regexp:{{/^[^A-Z]/ Thrash}}" biex tiżgura li l-konnessjonijiet mill-klijenti li jibagħtu żibel minflok kmandi jintrema. Sintassi ġenerali: /etc/postfix/main.cf: parameter = .. map-type:{ { regola-1 }, { regola-2 } .. } .. /etc/postfix/master.cf: .. -o { parameter = .. map-type:{ { regola-1 }, { regola-2 } .. } .. } ..
- Il-postlog handler issa huwa mgħammar bil-bandiera set-gid u, meta jitnieda, iwettaq operazzjonijiet bil-privileġġi tal-grupp postdrop, li jippermettilu li jintuża minn programmi mhux privileġġjati biex jikteb zkuk permezz tal-proċess postlogd fl-isfond, li jippermetti aktar flessibilità fil-konfigurazzjoni tal-maillog_file u inkluż l-illoggjar stdout mill-kontenitur.
- Miżjud appoġġ API għal libreriji OpenSSL 3.0.0, PCRE2 u Berkeley DB 18.
- Protezzjoni miżjuda kontra attakki biex tiddetermina l-ħabtiet f'hashes bl-użu ta 'forza bruta ewlenija. Il-protezzjoni hija implimentata permezz ta 'randomization tal-istat inizjali tat-tabelli tal-hash maħżuna fir-RAM. Bħalissa, ġie identifikat metodu wieħed biss ta’ kif jitwettqu attakki bħal dawn, li jinvolvi l-enumerazzjoni tal-indirizzi IPv6 tal-klijenti SMTP fis-servizz tal-inkwina u li jeħtieġ l-istabbiliment ta’ mijiet ta’ konnessjonijiet għal żmien qasir kull sekonda waqt li jkunu qed ifittxu ċiklikament minn eluf ta’ indirizzi IP tal-klijenti differenti. . Il-bqija tat-tabelli tal-hash, li ċ-ċwievet tagħhom jistgħu jiġu ċċekkjati abbażi tad-dejta tal-attakkant, mhumiex suxxettibbli għal attakki bħal dawn, peress li għandhom limitu ta 'daqs (inkwina użata tindif darba kull 100 sekonda).
- Protezzjoni msaħħa kontra klijenti esterni u servers li jittrasferixxu data bil-mod ħafna bit b'bit biex iżommu l-konnessjonijiet SMTP u LMTP attivi (pereżempju, biex jimblukkaw ix-xogħol billi jinħolqu kundizzjonijiet għall-eżawriment tal-limitu fuq in-numru ta 'konnessjonijiet stabbiliti). Minflok restrizzjonijiet ta’ ħin b’rabta mar-rekords, issa qed tiġi applikata restrizzjoni b’rabta ma’ talbiet, u ġiet miżjuda restrizzjoni fuq ir-rata minima possibbli ta’ trasferiment tad-dejta fil-blokki DATA u BDAT. Għaldaqstant, is-settings ta' {smtpd,smtp,lmtp}_per_record_deadline ġew sostitwiti b'{smtpd,smtp,lmtp}_per_request_deadline u {smtpd, smtp,lmtp}_min_data_rate.
- Il-kmand tal-postqueue jiżgura li karattri mhux stampabbli, bħal linji ġodda, jitnaddfu qabel l-istampar għall-output standard jew l-ifformattjar tas-sekwenza f'JSON.
- F'tlsproxy, il-parametri tlsproxy_client_level u tlsproxy_client_policy ġew sostitwiti b'settings ġodda tlsproxy_client_security_level u tlsproxy_client_policy_maps biex jingħaqdu l-ismijiet tal-parametri f'Postfix (l-ismijiet tat-tlsproxy_client_security_level issa jikkorrispondu għas-settings ta' tlsproxy_client_txxxls_xxxts).
- L-immaniġġjar tal-iżbalji minn klijenti li jużaw l-LMDB inħadem mill-ġdid.
Sors: opennet.ru