Po roku vývoja bola vydaná nová stabilná vetva poštového servera Postfix - 3.6.0. Zároveň oznámila ukončenie podpory pre vetvu Postfix 3.2 vydanú začiatkom roka 2017. Postfix je jedným z mála projektov, ktorý kombinuje vysokú bezpečnosť, spoľahlivosť a výkon zároveň, čo bolo dosiahnuté vďaka premyslenej architektúre a pomerne prísnej politike pre návrh kódu a auditovanie záplat. Kód projektu je distribuovaný pod EPL 2.0 (Eclipse Public License) a IPL 1.0 (IBM Public License).
Podľa aprílového automatizovaného prieskumu na približne 600 tisíc poštových serveroch je Postfix využívaný na 33.66 % (pred rokom 34.29 %) poštových serverov, podiel Eximu je 59.14 % (57.77 %), Sendmail - 3.6 % (3.83 %), MailEnable – 2.02 % (2.12 %), MDaemon – 0.60 % (0.77 %), Microsoft Exchange – 0.32 % (0.47 %).
Hlavné inovácie:
- Kvôli zmenám v interných protokoloch používaných na interakciu medzi komponentmi Postfixu je potrebné pred aktualizáciou zastaviť poštový server príkazom „postfix stop“. V opačnom prípade môže dôjsť k zlyhaniam pri interakcii s procesmi pickup, qmgr, over, tlsproxy a postscreen, čo môže viesť k oneskoreniu odosielania e-mailov, kým sa Postfix nereštartuje.
- Zmienky o slovách „biely“ a „čierny“, ktoré niektorí členovia komunity vnímali ako rasovú diskrimináciu, boli odstránené. Namiesto "whitelist" a "blacklist" by sa teraz mali používať "allowlist" a "denylist" (napríklad parametre postscreen_allowlist_interfaces, postscreen_denylist_action a postscreen_dnsbl_allowlist_threshold). Zmeny ovplyvňujú dokumentáciu, nastavenia postscreen procesu (zabudovaný firewall) a odraz informácií v protokoloch. postfix/postscreen[pid]: ALLOWLIST VETO [adresa]:port postfix/postscreen[pid]: ALLOWLISTED [adresa]:port postfix/postscreen[pid]: ZAKÁZANÉ [adresa]:port
Na zachovanie predchádzajúcich výrazov v protokoloch je poskytnutý parameter „respectful_logging = no“, ktorý by mal byť špecifikovaný v main.cf pred „compatibility_level = 3.6“. Podpora pre staré názvy nastavení po obrazovke bola zachovaná kvôli spätnej kompatibilite. Taktiež konfiguračný súbor “master.cf” zostal zatiaľ nezmenený.
- V režime „compatibility_level = 3.6“ bol predvolený prepínač nastavený na použitie hašovacej funkcie SHA256 namiesto MD5. Ak v parametri compatibility_level nastavíte staršiu verziu, MD5 sa bude naďalej používať, ale pre nastavenia súvisiace s použitím hashov, v ktorých nie je algoritmus explicitne definovaný, sa v protokole zobrazí varovanie. Podpora pre exportnú verziu protokolu výmeny kľúčov Diffie-Hellman bola ukončená (hodnota parametra tlsproxy_tls_dh512_param_file je teraz ignorovaná).
- Zjednodušená diagnostika problémov spojených so špecifikovaním nesprávneho programu handler v master.cf. Na odhalenie takýchto chýb teraz každá backendová služba, vrátane postdrop, inzeruje názov protokolu pred začatím komunikácie a každý klientsky proces, vrátane sendmailu, kontroluje, či sa inzerovaný názov protokolu zhoduje s podporovaným variantom.
- Pridaný nový typ mapovania "local_login_sender_maps" pre flexibilnú kontrolu nad priradením adresy obálky odosielateľa (poskytnutej v príkaze "MAIL FROM" počas relácie SMTP) k procesom sendmail a postdrop. Napríklad, ak chcete povoliť lokálnym používateľom, s výnimkou rootov a postfixov, špecifikovať iba svoje prihlasovacie údaje v sendmaile pomocou väzby UID na meno, môžete použiť nasledujúce nastavenia: /etc/postfix/main.cf: local_login_sender_maps = inline :{ { root = *} , { postfix = * } }, pcre:/etc/postfix/login_senders /etc/postfix/login_senders: # Zadanie prihlasovacích údajov aj formulára login@doména je povolené. /(.+)/ $1 $1…@example.com
- Pridané a štandardne povolené nastavenie „smtpd_relay_before_recipient_restrictions=yes“, v ktorom server SMTP skontroluje obmedzenia smtpd_relay_restrictions pred obmedzeniami smtpd_recipient_restrictions a nie naopak, ako predtým.
- Pridaný parameter "smtpd_sasl_mechanism_list", ktorý je štandardne nastavený na "!external, static:rest", aby sa zabránilo mätúcim chybám v prípade, keď backend SASL tvrdí, že podporuje režim "EXTERNAL", ktorý Postfix nepodporuje.
- Pri prekladaní názvov v DNS je štandardne povolené nové API, ktoré podporuje multithreading (threadsafe). Ak chcete zostaviť pomocou starého API, mali by ste pri zostavovaní zadať „make makefiles CCARGS=”-DNO_RES_NCALLS…”.
- Pridaný režim „enable_threaded_bounces = yes“ na nahradenie upozornení o problémoch s doručením, oneskorenom doručení alebo potvrdení doručenia s rovnakým ID diskusie (upozornenie zobrazí poštový klient v rovnakom vlákne spolu s ostatnými korešpondenčnými správami).
- Štandardne sa systémová databáza /etc/services už nepoužíva na určenie čísel portov TCP pre SMTP a LMTP. Namiesto toho sa čísla portov konfigurujú cez parameter známy_tcp_ports (predvolené lmtp=24, smtp=25, smtps=submissions=465, submit=587). Ak v známych_tcp_ports chýba nejaká služba, naďalej sa používa /etc/services.
- Úroveň kompatibility („compatibility_level“) bola zvýšená na „3.6“ (parameter bol v minulosti zmenený dvakrát, okrem 3.6 sú podporované hodnoty 0 (predvolené), 1 a 2). Odteraz sa „úroveň kompatibility“ zmení na číslo verzie, v ktorej boli vykonané zmeny, ktoré porušujú kompatibilitu. Na kontrolu úrovní kompatibility boli do main.cf a master.cf pridané samostatné porovnávacie operátory, ako napríklad „<=úroveň“ a „<úroveň“ (štandardné porovnávacie operátory nie sú vhodné, pretože budú považovať 3.10 za menej ako 3.9).
Zdroj: opennet.ru