Po 10 mesiacoch vývoja bola vydaná nová stabilná vetva poštového servera Postfix - 3.7.0. Zároveň oznámila ukončenie podpory pre vetvu Postfix 3.3 vydanú začiatkom roka 2018. Postfix je jedným z mála projektov, ktorý kombinuje vysokú bezpečnosť, spoľahlivosť a výkon zároveň, čo bolo dosiahnuté vďaka premyslenej architektúre a pomerne prísnej politike pre návrh kódu a auditovanie záplat. Kód projektu je distribuovaný pod EPL 2.0 (Eclipse Public License) a IPL 1.0 (IBM Public License).
Podľa januárového automatizovaného prieskumu na približne 500 tisíc poštových serveroch je Postfix využívaný na 34.08 % (pred rokom 33.66 %) poštových serverov, podiel Exim je 58.95 % (59.14 %), Sendmail - 3.58 % (3.6 %), MailEnable – 1.99 % (2.02 %), MDaemon – 0.52 % (0.60 %), Microsoft Exchange – 0.26 % (0.32 %), OpenSMTPD – 0.06 % (0.05 %).
Hlavné inovácie:
- Do hodnôt konfiguračných parametrov Postfixu je možné vložiť obsah malých tabuliek „cidr:“, „pcre:“ a „regexp:“ bez pripojenia externých súborov alebo databáz. Náhrada na mieste je definovaná pomocou zložených zátvoriek, napríklad predvolená hodnota parametra smtpd_forbidden_commands teraz obsahuje reťazec "CONNECT GET POST regexp:{{/^[^AZ]/ Thrash}}", aby sa zabezpečilo, že pripojenia od klientov odosielajúcich odpadky namiesto príkazov sú vypustené. Všeobecná syntax: /etc/postfix/main.cf: parameter = .. typ-mapy:{ { pravidlo-1 }, { pravidlo-2 } .. } .. /etc/postfix/master.cf: .. -o { parameter = .. typ-mapy:{ { pravidlo-1 }, { pravidlo-2 } .. } .. } ..
- Obslužný program postlogu je teraz vybavený príznakom set-gid a po spustení vykonáva operácie s oprávneniami skupiny postdrop, čo umožňuje jeho použitie neprivilegovanými programami na zapisovanie protokolov prostredníctvom procesu postlogd na pozadí, čo umožňuje zvýšenú flexibilitu. pri konfigurácii súboru maillog_file a vrátane protokolovania stdout z kontajnera.
- Pridaná podpora API pre knižnice OpenSSL 3.0.0, PCRE2 a Berkeley DB 18.
- Pridaná ochrana proti útokom na určenie kolízií v hashoch pomocou kľúčovej hrubej sily. Ochrana je implementovaná prostredníctvom randomizácie počiatočného stavu hash tabuliek uložených v RAM. V súčasnosti bol identifikovaný iba jeden spôsob vykonávania takýchto útokov, ktorý zahŕňa vymenovanie adries IPv6 klientov SMTP v službe kovadliny a vyžaduje vytvorenie stoviek krátkodobých spojení za sekundu pri cyklickom prehľadávaní tisícok rôznych adries IP klientov. . Zvyšné hašovacie tabuľky, ktorých kľúče je možné skontrolovať na základe údajov útočníka, nie sú náchylné na takéto útoky, pretože majú limit veľkosti (nákova používa čistenie raz za 100 sekúnd).
- Posilnená ochrana pred externými klientmi a servermi, ktoré veľmi pomaly prenášajú dáta bit po bite, aby zostali aktívne pripojenia SMTP a LMTP (napríklad na zablokovanie práce vytvorením podmienok na vyčerpanie limitu počtu vytvorených pripojení). Namiesto časového obmedzenia v súvislosti so záznamami sa teraz uplatňuje obmedzenie v súvislosti s požiadavkami a pribudlo obmedzenie na minimálnu možnú rýchlosť prenosu dát v blokoch DATA a BDAT. V súlade s tým boli nastavenia {smtpd,smtp,lmtp}_per_record_deadline nahradené nastaveniami {smtpd,smtp,lmtp}_per_request_deadline a {smtpd, smtp,lmtp}_min_data_rate.
- Príkaz postqueue zaisťuje, že netlačiteľné znaky, ako napríklad nové riadky, budú vyčistené pred tlačou na štandardný výstup alebo pred formátovaním reťazca do JSON.
- V tlsproxy boli parametre tlsproxy_client_level a tlsproxy_client_policy nahradené novými nastaveniami tlsproxy_client_security_level a tlsproxy_client_policy_maps, aby sa zjednotili názvy parametrov v Postfixe (názvy nastavení tlsproxy_client_xxx teraz zodpovedajú nastaveniam smp_tlsxx).
- Ošetrenie chýb od klientov používajúcich LMDB bolo prepracované.
Zdroj: opennet.ru