Na een jaar ontwikkeling werd een nieuwe stabiele tak van de Postfix-mailserver uitgebracht - 3.6.0. Tegelijkertijd kondigde het het einde aan van de ondersteuning voor de Postfix 3.2-tak, die begin 2017 werd uitgebracht. Postfix is een van de zeldzame projecten die tegelijkertijd hoge veiligheid, betrouwbaarheid en prestaties combineert, wat werd bereikt dankzij een goed doordachte architectuur en een vrij strikt beleid voor codeontwerp en patch-auditing. De projectcode wordt gedistribueerd onder EPL 2.0 (Eclipse Public License) en IPL 1.0 (IBM Public License).
Volgens een geautomatiseerd onderzoek uit april onder ongeveer 600 duizend mailservers wordt Postfix gebruikt op 33.66% (een jaar geleden 34.29%) van de mailservers, het aandeel van Exim is 59.14% (57.77%), Sendmail - 3.6% (3.83%) %), MailEnable - 2.02% (2.12%), MDaemon - 0.60% (0.77%), Microsoft Exchange - 0.32% (0.47%).
Belangrijkste innovaties:
- Vanwege veranderingen in de interne protocollen die worden gebruikt voor de interactie tussen Postfix-componenten, is het stoppen van de mailserver met de opdracht “postfix stop” vereist voordat de update wordt uitgevoerd. Anders kunnen er fouten optreden bij de interactie met de pick-up-, qmgr-, verificatie-, tlsproxy- en postscreen-processen, wat kan resulteren in een vertraging bij het verzenden van e-mails totdat Postfix opnieuw is opgestart.
- Vermeldingen van de woorden ‘wit’ en ‘zwart’, die door sommige leden van de gemeenschap als rassendiscriminatie worden ervaren, zijn geschrapt. In plaats van "whitelist" en "blacklist" moeten nu "allowlist" en "denylist" worden gebruikt (bijvoorbeeld de parameters postscreen_allowlist_interfaces, postscreen_denylist_action en postscreen_dnsbl_allowlist_threshold). De wijzigingen hebben invloed op de documentatie, instellingen van het postscreen-proces (ingebouwde firewall) en weergave van informatie in logs. postfix/postscreen[pid]: ALLOWLIST VETO [adres]:port postfix/postscreen[pid]: ALLOWLISTED [adres]:port postfix/postscreen[pid]: DENYLISTED [adres]:port
Om de voorgaande termen in de logs te behouden, is de parameter “respectful_logging = no” opgegeven, die in main.cf moet worden opgegeven vóór “compatibility_level = 3.6”. Ondersteuning voor oude namen van instellingen na het scherm is behouden voor achterwaartse compatibiliteit. Ook het configuratiebestand “master.cf” is voorlopig ongewijzigd gebleven.
- In de modus “compatibility_level = 3.6” werd standaard overgeschakeld naar het gebruik van de SHA256-hashfunctie in plaats van MD5. Als u een eerdere versie instelt in de parameter compatibiliteit_niveau, wordt MD5 nog steeds gebruikt, maar voor instellingen die verband houden met het gebruik van hashes waarin het algoritme niet expliciet is gedefinieerd, wordt een waarschuwing weergegeven in het logboek. Ondersteuning voor de exportversie van het Diffie-Hellman-sleuteluitwisselingsprotocol is stopgezet (de waarde van de parameter tlsproxy_tls_dh512_param_file wordt nu genegeerd).
- Vereenvoudigde diagnose van problemen die verband houden met het opgeven van een onjuist handlerprogramma in master.cf. Om dergelijke fouten te detecteren, maakt elke backend-service, inclusief postdrop, nu de protocolnaam bekend voordat de communicatie begint, en controleert elk clientproces, inclusief sendmail, of de geadverteerde protocolnaam overeenkomt met de ondersteunde variant.
- Een nieuw toewijzingstype "local_login_sender_maps" toegevoegd voor flexibele controle over de toewijzing van het envelopadres van de afzender (opgegeven in de opdracht "MAIL FROM" tijdens een SMTP-sessie) aan de sendmail- en postdrop-processen. Om bijvoorbeeld lokale gebruikers, met uitzondering van root en postfix, alleen hun logins in sendmail te laten specificeren, met behulp van UID-binding aan de naam, kunt u de volgende instellingen gebruiken: /etc/postfix/main.cf: local_login_sender_maps = inline :{ { root = *} , { postfix = * } }, pcre:/etc/postfix/login_senders /etc/postfix/login_senders: # Het opgeven van zowel logins als het login@domain-formulier is toegestaan. /(.+)/ $1 $1…@voorbeeld.com
- De instelling “smtpd_relay_before_recipient_restrictions=yes” is standaard toegevoegd en ingeschakeld, waarbij de SMTP-server smtpd_relay_restrictions controleert vóór smtpd_recipient_restrictions, en niet andersom, zoals voorheen.
- Parameter "smtpd_sasl_mechanism_list" toegevoegd, die standaard is ingesteld op "!external, static:rest" om verwarrende fouten te voorkomen in het geval waarin de SASL-backend beweert de "EXTERNE" modus te ondersteunen, wat niet wordt ondersteund in Postfix.
- Bij het omzetten van namen in DNS wordt standaard een nieuwe API ingeschakeld die multithreading (threadsafe) ondersteunt. Om met de oude API te bouwen, moet je tijdens het bouwen “make makefiles CCARGS=”-DNO_RES_NCALLS… specificeren.
- "enable_threaded_bounces = yes"-modus toegevoegd om meldingen over leveringsproblemen, vertraagde bezorging of bezorgingsbevestiging te vervangen door dezelfde discussie-ID (de melding wordt door de e-mailclient in dezelfde thread weergegeven, samen met andere correspondentieberichten).
- Standaard wordt de systeemdatabase /etc/services niet langer gebruikt om TCP-poortnummers voor SMTP en LMTP te bepalen. In plaats daarvan worden poortnummers geconfigureerd via de parameterknown_tcp_ports (standaard lmtp=24, smtp=25, smtps=submissions=465, submission=587). Als er een service ontbreekt in bekende_tcp_ports, blijft /etc/services gebruikt worden.
- Het compatibiliteitsniveau (“compatibility_level”) is verhoogd naar “3.6” (de parameter is in het verleden twee keer gewijzigd, behalve voor 3.6 zijn de ondersteunde waarden 0 (standaard), 1 en 2). Vanaf nu verandert “compatibility_level” in het versienummer waarin wijzigingen zijn aangebracht die de compatibiliteit schenden. Om de compatibiliteitsniveaus te controleren zijn er afzonderlijke vergelijkingsoperatoren toegevoegd aan main.cf en master.cf, zoals “<=level” en “<level” (standaardvergelijkingsoperatoren zijn niet geschikt, aangezien zij 3.10 als minder dan 3.9 beschouwen).
Bron: opennet.ru