Po 10 miesiącach rozwoju wydano nową stabilną gałąź serwera pocztowego Postfix - 3.7.0. Jednocześnie ogłosił zakończenie wsparcia dla wydanej na początku 3.3 roku gałęzi Postfix 2018. Postfix to jeden z nielicznych projektów, który łączy w sobie jednocześnie wysokie bezpieczeństwo, niezawodność i wydajność, co zostało osiągnięte dzięki przemyślanej architekturze i dość rygorystycznej polityce projektowania kodu i audytu poprawek. Kod projektu jest rozpowszechniany na licencji EPL 2.0 (licencja publiczna Eclipse) i IPL 1.0 (licencja publiczna IBM).
Według styczniowej automatycznej ankiety przeprowadzonej na około 500 tysiącach serwerów pocztowych Postfix jest używany na 34.08% (rok temu 33.66%) serwerów pocztowych, udział Exima wynosi 58.95% (59.14%), Sendmail - 3.58% (3.6%). %), MailEnable – 1.99% (2.02%), MDaemon – 0.52% (0.60%), Microsoft Exchange – 0.26% (0.32%), OpenSMTPD – 0.06% (0.05%).
Główne innowacje:
- Możliwe jest wstawienie zawartości małych tabel „cidr:”, „pcre:” i „regexp:” do wartości parametrów konfiguracyjnych Postfixa, bez konieczności podłączania zewnętrznych plików lub baz danych. Podstawianie lokalne definiuje się za pomocą nawiasów klamrowych, na przykład domyślna wartość parametru smtpd_forbidden_commands zawiera teraz ciąg „CONNECT GET POST regexp:{{/^[^AZ]/ Thrash}}”, aby zapewnić, że połączenia od klientów wysyłających śmieci zamiast poleceń są usuwane. Ogólna składnia: /etc/postfix/main.cf: parametr = .. typ-mapy:{ { reguła-1 }, { reguła-2 } .. } .. /etc/postfix/master.cf: .. -o { parametr = .. typ-mapy:{ { reguła-1 }, { reguła-2 } .. } .. } ..
- Moduł obsługi postlogu jest teraz wyposażony w flagę set-gid i po uruchomieniu wykonuje operacje z uprawnieniami grupy postdrop, co pozwala na używanie go przez nieuprzywilejowane programy do zapisywania logów poprzez proces postlogd w tle, co pozwala na większą elastyczność podczas konfigurowania pliku maillog_file i włączania logowania na standardowe wyjście z kontenera.
- Dodano obsługę API dla bibliotek OpenSSL 3.0.0, PCRE2 i Berkeley DB 18.
- Dodano ochronę przed atakami w celu określenia kolizji w skrótach przy użyciu kluczowej siły brute-force. Ochrona realizowana jest poprzez randomizację stanu początkowego tablic skrótów przechowywanych w pamięci RAM. Obecnie zidentyfikowano tylko jedną metodę realizacji tego typu ataków, która polega na wyliczaniu adresów IPv6 klientów SMTP w usłudze anvil i wymaganiu ustanawiania setek krótkotrwałych połączeń na sekundę podczas cyklicznego przeszukiwania tysięcy różnych adresów IP klientów . Pozostałe tablice mieszające, których klucze można sprawdzić na podstawie danych atakującego, nie są podatne na tego typu ataki, gdyż mają ograniczony rozmiar (kowadło używane do czyszczenia raz na 100 sekund).
- Wzmocniona ochrona przed zewnętrznymi klientami i serwerami, które bardzo wolno przesyłają dane krok po kroku, aby utrzymać aktywne połączenia SMTP i LMTP (np. aby zablokować pracę tworząc warunki do wyczerpania limitu liczby nawiązywanych połączeń). Zamiast ograniczeń czasowych w związku z zapisami zastosowano teraz ograniczenie w związku z żądaniami oraz dodano ograniczenie dotyczące minimalnej możliwej szybkości przesyłania danych w blokach DATA i BDAT. W związku z tym ustawienia {smtpd,smtp,lmtp}_per_record_deadline zostały zastąpione przez {smtpd,smtp,lmtp}_per_request_deadline i {smtpd, smtp,lmtp}_min_data_rate.
- Polecenie postqueue zapewnia, że znaki niedrukowalne, takie jak znaki nowej linii, zostaną oczyszczone przed wydrukowaniem na standardowe wyjście lub sformatowaniem ciągu do formatu JSON.
- W tlsproxy parametry tlsproxy_client_level i tlsproxy_client_policy zostały zastąpione nowymi ustawieniami tlsproxy_client_security_level i tlsproxy_client_policy_maps w celu ujednolicenia nazw parametrów w Postfixie (nazwy ustawień tlsproxy_client_xxx odpowiadają teraz ustawieniom smtp_tls_xxx).
- Przerobiono obsługę błędów klientów korzystających z LMDB.
Źródło: opennet.ru