Etter et år med utvikling ble en ny stabil gren av Postfix-postserveren utgitt - 3.6.0. Samtidig kunngjorde den slutten på støtten for Postfix 3.2-grenen, utgitt tidlig i 2017. Postfix er et av de sjeldne prosjektene som kombinerer høy sikkerhet, pålitelighet og ytelse på samme tid, noe som ble oppnådd takket være en gjennomtenkt arkitektur og en ganske streng policy for kodedesign og patch-revisjon. Prosjektkoden er distribuert under EPL 2.0 (Eclipse Public License) og IPL 1.0 (IBM Public License).
I følge en automatisert undersøkelse i april av rundt 600 tusen e-postservere, brukes Postfix på 33.66% (for et år siden 34.29%) av e-postserverne, andelen til Exim er 59.14% (57.77%), Sendmail - 3.6% (3.83%) %), MailEnable - 2.02 % ( 2.12 %), MDaemon - 0.60 % (0.77 %), Microsoft Exchange - 0.32 % (0.47 %).
Hovedinnovasjoner:
- På grunn av endringer i de interne protokollene som brukes for interaksjon mellom Postfix-komponenter, er det nødvendig å stoppe e-postserveren med kommandoen "postfix stop" før oppdatering. Ellers kan det oppstå feil ved interaksjon med pickup-, qmgr-, verify-, tlsproxy- og postscreen-prosessene, noe som kan resultere i en forsinkelse i å sende e-poster til Postfix startes på nytt.
- Omtaler av ordene «hvit» og «svart», oppfattet av noen medlemmer av samfunnet som rasediskriminering, har blitt renset. I stedet for "whitelist" og "blacklist", skal nå "allowlist" og "denylist" brukes (for eksempel parametrene postscreen_allowlist_interfaces, postscreen_denylist_action og postscreen_dnsbl_allowlist_threshold). Endringene påvirker dokumentasjon, innstillinger av postscreen-prosessen (innebygd brannmur) og refleksjon av informasjon i logger. postfix/postscreen[pid]: ALLOWLIST VETO [adresse]:port postfix/postscreen[pid]: ALLOWLISTED [address]:port postfix/postscreen[pid]: DENYLISTED [adresse]:port
For å bevare de tidligere termene i loggene, er parameteren “respectful_logging = no” gitt, som bør spesifiseres i main.cf før “compatibility_level = 3.6”. Støtte for gamle postscreen-innstillinger har blitt beholdt for bakoverkompatibilitet. Dessuten har konfigurasjonsfilen "master.cf" forblitt uendret foreløpig.
- I modusen "compatibility_level = 3.6" ble standardbryteren gjort for å bruke SHA256-hash-funksjonen i stedet for MD5. Hvis du angir en tidligere versjon i compatibility_level-parameteren, fortsetter MD5 å brukes, men for innstillinger knyttet til bruk av hashes hvor algoritmen ikke er eksplisitt definert, vil en advarsel vises i loggen. Støtte for eksportversjonen av Diffie-Hellman-nøkkelutvekslingsprotokollen er avviklet (verdien av parameteren tlsproxy_tls_dh512_param_file ignoreres nå).
- Forenklet diagnostisering av problemer knyttet til spesifisering av feil behandlerprogram i master.cf. For å oppdage slike feil, annonserer hver backend-tjeneste, inkludert postdrop, nå protokollnavnet før kommunikasjon starter, og hver klientprosess, inkludert sendmail, sjekker at det annonserte protokollnavnet samsvarer med den støttede varianten.
- Lagt til en ny kartleggingstype "local_login_sender_maps" for fleksibel kontroll over tildelingen av avsenderens konvoluttadresse (gitt i "MAIL FROM"-kommandoen under en SMTP-økt) til sendmail- og postdrop-prosessene. For å tillate lokale brukere, med unntak av root og postfix, kun å spesifisere påloggingene sine i sendmail, ved å bruke UID-binding til navnet, kan du bruke følgende innstillinger: /etc/postfix/main.cf: local_login_sender_maps = inline :{ { root = *} , { postfix = * } }, pcre:/etc/postfix/login_senders /etc/postfix/login_senders: # Det er tillatt å spesifisere både pålogginger og login@domene-skjemaet. /(.+)/ $1 $1…@example.com
- Lagt til og aktivert som standard «smtpd_relay_before_recipient_restrictions=yes»-innstillingen, der SMTP-serveren vil sjekke smtpd_relay_restrictions før smtpd_recipient_restrictions, og ikke omvendt, som før.
- Lagt til parameter "smtpd_sasl_mechanism_list", som er standard til "!external, static:rest" for å forhindre forvirrende feil i tilfellet der SASL-backend hevder å støtte "EXTERNAL"-modusen, som ikke støttes i Postfix.
- Når du løser navn i DNS, er et nytt API som støtter multithreading (threadsafe) aktivert som standard. For å bygge med det gamle API, bør du spesifisere "make makefiles CCARGS="-DNO_RES_NCALLS..." når du bygger.
- Lagt til "enable_threaded_bounces = yes"-modus for å erstatte varsler om leveringsproblemer, forsinket levering eller leveringsbekreftelse med samme diskusjons-ID (varselet vil vises av e-postklienten i samme tråd, sammen med andre korrespondansemeldinger).
- Som standard brukes ikke lenger /etc/services-systemdatabasen til å bestemme TCP-portnumre for SMTP og LMTP. I stedet konfigureres portnumre gjennom parameteren known_tcp_ports (standard lmtp=24, smtp=25, smtps=submissions=465, submission=587). Hvis en tjeneste mangler fra kjente_tcp_ports, fortsetter /etc/services å brukes.
- Kompatibilitetsnivået ("compatibility_level") er hevet til "3.6" (parameteren ble endret to ganger tidligere, bortsett fra 3.6 er de støttede verdiene 0 (standard), 1 og 2). Fra nå av vil "compatibility_level" endres til versjonsnummeret der det ble gjort endringer som bryter med kompatibiliteten. For å sjekke kompatibilitetsnivåer er det lagt til separate sammenligningsoperatører i main.cf og master.cf, for eksempel «<=nivå» og «<nivå» (standard sammenligningsoperatorer er ikke egnet, siden de vil vurdere 3.10 mindre enn 3.9).
Kilde: opennet.ru