Po 10 mesecih razvoja je izšla nova stabilna veja poštnega strežnika Postfix - 3.7.0. Hkrati je napovedal konec podpore za vejo Postfix 3.3, izdano v začetku leta 2018. Postfix je eden redkih projektov, ki združuje visoko varnost, zanesljivost in zmogljivost hkrati, kar je bilo doseženo zahvaljujoč dobro premišljeni arhitekturi in dokaj strogi politiki oblikovanja kode in revizije popravkov. Koda projekta se distribuira pod EPL 2.0 (javna licenca Eclipse) in IPL 1.0 (javna licenca IBM).
Po januarski avtomatizirani raziskavi približno 500 tisoč poštnih strežnikov se Postfix uporablja na 34.08% (pred letom dni 33.66%) poštnih strežnikov, delež Exima je 58.95% (59.14%), Sendmail - 3.58% (3.6). %), MailEnable - 1.99 % ( 2.02 %), MDaemon - 0.52 % (0.60 %), Microsoft Exchange - 0.26 % (0.32 %), OpenSMTPD - 0.06 % (0.05 %).
Glavne novosti:
- Možno je vstaviti vsebino majhnih tabel »cidr:«, »pcre:« in »regexp:« znotraj vrednosti konfiguracijskih parametrov Postfix, brez povezovanja zunanjih datotek ali baz podatkov. Zamenjava na mestu je definirana z zavitimi oklepaji, na primer privzeta vrednost parametra smtpd_forbidden_commands zdaj vsebuje niz »CONNECT GET POST regexp:{{/^[^AZ]/ Thrash}}«, da se zagotovi, da povezave odjemalcev pošiljajo odpadejo smeti namesto ukazov. Splošna sintaksa: /etc/postfix/main.cf: parameter = .. map-type:{ { pravilo-1 }, { pravilo-2 } .. } .. /etc/postfix/master.cf: .. -o { parameter = .. vrsta zemljevida: { { pravilo-1 }, { pravilo-2 } .. } .. } ..
- Upravljavec postlog je zdaj opremljen z zastavico set-gid in ob zagonu izvaja operacije s privilegiji skupine postdrop, kar omogoča, da ga neprivilegirani programi uporabljajo za pisanje dnevnikov prek procesa postlogd v ozadju, kar omogoča večjo prilagodljivost pri konfiguriranju datoteke maillog_file in vključitvi beleženja stdout iz vsebnika.
- Dodana podpora za API za knjižnice OpenSSL 3.0.0, PCRE2 in Berkeley DB 18.
- Dodana zaščita pred napadi za ugotavljanje kolizij v zgoščenih vrednostih z uporabo surove sile ključa. Zaščita se izvaja z randomizacijo začetnega stanja zgoščenih tabel, shranjenih v RAM-u. Trenutno je identificiran le en način izvajanja takšnih napadov, ki vključuje naštevanje naslovov IPv6 odjemalcev SMTP v storitvi nakovala in zahteva vzpostavitev na stotine kratkotrajnih povezav na sekundo med cikličnim iskanjem po tisočih različnih naslovih IP odjemalcev . Ostale zgoščevalne tabele, katerih ključe je mogoče preveriti na podlagi podatkov napadalca, niso dovzetne za tovrstne napade, saj imajo omejitev velikosti (nakovalo je čistilo enkrat na 100 sekund).
- Okrepljena zaščita pred zunanjimi odjemalci in strežniki, ki zelo počasi prenašajo podatke bit za bit, da ohranijo aktivne povezave SMTP in LMTP (na primer, da blokirajo delo z ustvarjanjem pogojev za izrabo omejitve števila vzpostavljenih povezav). Namesto časovnih omejitev v povezavi z zapisi je po novem uporabljena omejitev v povezavi z zahtevami, dodana pa je tudi omejitev minimalne možne hitrosti prenosa podatkov v blokih DATA in BDAT. V skladu s tem so bile nastavitve {smtpd,smtp,lmtp}_per_record_deadline zamenjane z {smtpd,smtp,lmtp}_per_request_deadline in {smtpd, smtp,lmtp}_min_data_rate.
- Ukaz postqueue zagotavlja, da se znaki, ki jih ni mogoče natisniti, kot so nove vrstice, očistijo pred tiskanjem v standardni izhod ali oblikovanjem niza v JSON.
- V tlsproxy sta bila parametra tlsproxy_client_level in tlsproxy_client_policy nadomeščena z novima nastavitvama tlsproxy_client_security_level in tlsproxy_client_policy_maps za poenotenje imen parametrov v Postfixu (imena nastavitev tlsproxy_client_xxx zdaj ustrezajo nastavitvam smtp_tls_xxx).
- Obravnava napak odjemalcev, ki uporabljajo LMDB, je bila predelana.
Vir: opennet.ru