După 10 luni de dezvoltare, a fost lansată o nouă ramură stabilă a serverului de e-mail Postfix - 3.7.0. În același timp, a anunțat sfârșitul suportului pentru ramura Postfix 3.3, lansată la începutul anului 2018. Postfix este unul dintre rarele proiecte care combină securitatea ridicată, fiabilitatea și performanța în același timp, care a fost realizat datorită unei arhitecturi bine gândite și unei politici destul de stricte pentru proiectarea codului și auditarea patch-urilor. Codul proiectului este distribuit sub EPL 2.0 (Eclipse Public License) și IPL 1.0 (IBM Public License).
Potrivit unui sondaj automatizat din ianuarie, pe aproximativ 500 de mii de servere de e-mail, Postfix este utilizat pe 34.08% (cu un an în urmă 33.66%) dintre serverele de e-mail, ponderea Exim este de 58.95% (59.14%), Sendmail - 3.58% (3.6%) %), MailEnable - 1.99% ( 2.02%), MDaemon - 0.52% (0.60%), Microsoft Exchange - 0.26% (0.32%), OpenSMTPD - 0.06% (0.05%).
Principalele inovații:
- Este posibil să inserați conținutul tabelelor mici „cidr:”, „pcre:” și „regexp:” în interiorul valorilor parametrilor de configurare Postfix, fără a conecta fișiere externe sau baze de date. Substituția pe loc este definită folosind acolade, de exemplu, valoarea implicită a parametrului smtpd_forbidden_commands conține acum șirul „CONNECT GET POST regexp:{{/^[^A-Z]/ Thrash}}” pentru a se asigura că conexiunile de la clienții care trimit gunoi în loc de comenzi sunt abandonate. Sintaxă generală: /etc/postfix/main.cf: parameter = .. map-type:{ { rule-1 }, { rule-2 } .. } .. /etc/postfix/master.cf: .. -o { parameter = .. map-type:{ { rule-1 }, { rule-2 } .. } .. } ..
- Managerul de postlog este acum echipat cu steag-ul set-gid și, atunci când este lansat, efectuează operațiuni cu privilegiile grupului postdrop, ceea ce îi permite să fie folosit de programe neprivilegiate pentru a scrie jurnalele prin procesul de postlogd de fundal, ceea ce permite o flexibilitate crescută. în configurarea maillog_file și inclusiv în logare stdout din container.
- S-a adăugat suport API pentru bibliotecile OpenSSL 3.0.0, PCRE2 și Berkeley DB 18.
- S-a adăugat protecție împotriva atacurilor pentru a determina coliziunile în hashes folosind forța brută cheie. Protecția este implementată prin randomizarea stării inițiale a tabelelor hash stocate în RAM. În prezent, a fost identificată o singură metodă de a efectua astfel de atacuri, care implică enumerarea adreselor IPv6 ale clienților SMTP în serviciul nicovală și necesitatea stabilirii a sute de conexiuni pe termen scurt pe secundă în timp ce se caută ciclic prin mii de adrese IP diferite ale clientului. . Restul tabelelor hash, ale căror chei pot fi verificate pe baza datelor atacatorului, nu sunt susceptibile la astfel de atacuri, deoarece au o limită de dimensiune (nicovala folosită curățarea o dată la 100 de secunde).
- Protecție consolidată împotriva clienților și serverelor externe care transferă foarte lent datele bit cu bit pentru a menține conexiunile SMTP și LMTP active (de exemplu, pentru a bloca lucrul prin crearea condițiilor pentru epuizarea limitei numărului de conexiuni stabilite). În loc de restricții de timp în legătură cu înregistrări, acum se aplică o restricție în legătură cu cereri și a fost adăugată o restricție privind rata minimă posibilă de transfer de date în blocurile DATA și BDAT. În consecință, setările {smtpd,smtp,lmtp}_per_record_deadline au fost înlocuite cu {smtpd,smtp,lmtp}_per_request_deadline și {smtpd, smtp,lmtp}_min_data_rate.
- Comanda postqueue asigură că caracterele care nu pot fi imprimate, cum ar fi liniile noi, sunt curățate înainte de imprimare la ieșire standard sau de formatare a șirului în JSON.
- În tlsproxy, parametrii tlsproxy_client_level și tlsproxy_client_policy au fost înlocuiți cu noi setări tlsproxy_client_security_level și tlsproxy_client_policy_maps pentru a unifica numele parametrilor din Postfix (numele setărilor tlsproxy_client_client_tlsproxy_client_security_level acum corespunzând setărilor tlsproxys_xxxt_tlsproxy_client_policy_maps).
- Gestionarea erorilor de la clienții care folosesc LMDB a fost reproiectată.
Sursa: opennet.ru