Após 10 meses de desenvolvimento, um novo branch estável do servidor de e-mail Postfix - 3.7.0 - foi lançado. Ao mesmo tempo, anunciou o fim do suporte ao branch Postfix 3.3, lançado no início de 2018. Postfix é um dos raros projetos que combina alta segurança, confiabilidade e desempenho ao mesmo tempo, o que foi alcançado graças a uma arquitetura bem pensada e a uma política bastante rígida de design de código e auditoria de patches. O código do projeto é distribuído sob EPL 2.0 (Licença Pública Eclipse) e IPL 1.0 (Licença Pública IBM).
De acordo com uma pesquisa automatizada de janeiro com cerca de 500 mil servidores de correio, o Postfix é usado em 34.08% (há um ano 33.66%) dos servidores de correio, a participação do Exim é de 58.95% (59.14%), Sendmail - 3.58% (3.6 %), MailEnable - 1.99% (2.02%), MDaemon - 0.52% (0.60%), Microsoft Exchange - 0.26% (0.32%), OpenSMTPD - 0.06% (0.05%).
Principais inovações:
- É possível inserir o conteúdo de pequenas tabelas “cidr:”, “pcre:” e “regexp:” dentro dos valores dos parâmetros de configuração do Postfix, sem conectar arquivos externos ou bancos de dados. A substituição no local é definida usando chaves, por exemplo, o valor padrão do parâmetro smtpd_forbidden_commands agora contém a string "CONNECT GET POST regexp:{{/^[^A-Z]/ Thrash}}" para garantir que as conexões de clientes enviando lixo em vez de comandos são descartados. Sintaxe geral: /etc/postfix/main.cf: parâmetro = .. tipo de mapa:{ { regra-1 }, { regra-2 } .. } .. /etc/postfix/master.cf: .. -o {parâmetro = .. tipo de mapa:{ { regra-1 }, { regra-2 } .. } .. } ..
- O manipulador postlog agora está equipado com o sinalizador set-gid e, quando iniciado, executa operações com os privilégios do grupo postdrop, o que permite que ele seja usado por programas sem privilégios para gravar logs através do processo postlogd em segundo plano, o que permite maior flexibilidade na configuração do maillog_file e na inclusão do log stdout do contêiner.
- Adicionado suporte de API para bibliotecas OpenSSL 3.0.0, PCRE2 e Berkeley DB 18.
- Adicionada proteção contra ataques para determinar colisões em hashes usando força bruta de chave. A proteção é implementada através da randomização do estado inicial das tabelas hash armazenadas na RAM. Atualmente, apenas um método de realizar tais ataques foi identificado, o que envolve enumerar os endereços IPv6 dos clientes SMTP no serviço bigorna e requer o estabelecimento de centenas de conexões de curto prazo por segundo enquanto pesquisa ciclicamente em milhares de endereços IP de clientes diferentes. . As demais tabelas hash, cujas chaves podem ser verificadas com base nos dados do invasor, não são suscetíveis a tais ataques, pois possuem um limite de tamanho (a bigorna utiliza a limpeza uma vez a cada 100 segundos).
- Proteção reforçada contra clientes e servidores externos que transferem dados bit a bit muito lentamente para manter ativas as conexões SMTP e LMTP (por exemplo, para bloquear o trabalho criando condições para esgotar o limite do número de conexões estabelecidas). Em vez de restrições de tempo em relação aos registros, agora é aplicada uma restrição em relação às solicitações, e foi adicionada uma restrição à taxa mínima possível de transferência de dados em blocos DATA e BDAT. Assim, as configurações de {smtpd,smtp,lmtp}_per_record_deadline foram substituídas por {smtpd,smtp,lmtp}_per_request_deadline e {smtpd, smtp,lmtp}_min_data_rate.
- O comando postqueue garante que os caracteres não imprimíveis, como novas linhas, sejam limpos antes de imprimir na saída padrão ou formatar a string em JSON.
- No tlsproxy, os parâmetros tlsproxy_client_level e tlsproxy_client_policy foram substituídos pelas novas configurações tlsproxy_client_security_level e tlsproxy_client_policy_maps para unificar os nomes dos parâmetros no Postfix (os nomes das configurações tlsproxy_client_xxx agora correspondem às configurações smtp_tls_xxx).
- O tratamento de erros de clientes que usam LMDB foi reformulado.
Fonte: opennet.ru