Efter 10 månaders utveckling släpptes en ny stabil gren av Postfix e-postserver - 3.7.0. Samtidigt tillkännagav det slutet på stödet för Postfix 3.3-grenen, släppt i början av 2018. Postfix är ett av de sällsynta projekten som kombinerar hög säkerhet, tillförlitlighet och prestanda på samma gång, vilket uppnåddes tack vare en genomtänkt arkitektur och en ganska strikt policy för koddesign och patch-revision. Projektkoden distribueras under EPL 2.0 (Eclipse Public License) och IPL 1.0 (IBM Public License).
Enligt en automatiserad undersökning i januari av cirka 500 tusen e-postservrar, används Postfix på 34.08% (för ett år sedan 33.66%) av e-postservrarna, andelen Exim är 58.95% (59.14%), Sendmail - 3.58% (3.6%) %), MailEnable - 1.99% (2.02%), MDaemon - 0.52% (0.60%), Microsoft Exchange - 0.26% (0.32%), OpenSMTPD - 0.06% (0.05%).
Huvudsakliga innovationer:
- Det är möjligt att infoga innehållet i små tabeller "cidr:", "pcre:" och "regexp:" i Postfix-konfigurationsparametervärden, utan att ansluta externa filer eller databaser. Ersättning på plats definieras med hjälp av klammerparenteser, till exempel innehåller standardvärdet för parametern smtpd_forbidden_commands nu strängen "CONNECT GET POST regexp:{{/^[^AZ]/ Thrash}}" för att säkerställa att anslutningar från klienter som skickar skräp istället för kommandon tas bort. Allmän syntax: /etc/postfix/main.cf: parameter = .. map-type:{ { rule-1 }, { rule-2 } .. } .. /etc/postfix/master.cf: .. -o { parameter = .. map-type:{ { regel-1 }, { regel-2 } .. } .. } ..
- Postlogghanteraren är nu utrustad med set-gid-flaggan och, när den startas, utför den operationer med postdrop-gruppens privilegier, vilket gör att den kan användas av oprivilegierade program för att skriva loggar genom postlogd-processen i bakgrunden, vilket möjliggör ökad flexibilitet i konfigurering av maillog_file och inklusive stdout-loggning från behållaren.
- Tillagt API-stöd för OpenSSL 3.0.0, PCRE2 och Berkeley DB 18-bibliotek.
- Lade till skydd mot attacker för att avgöra kollisioner i hash med nyckel brute force. Skydd implementeras genom randomisering av initialtillståndet för hashtabeller lagrade i RAM. För närvarande har endast en metod för att utföra sådana attacker identifierats, vilket innebär att man räknar upp IPv6-adresserna för SMTP-klienter i städtjänsten och kräver etablering av hundratals kortsiktiga anslutningar per sekund medan man cykliskt söker igenom tusentals olika klient-IP-adresser . Resten av hashtabellerna, vars nycklar kan kontrolleras baserat på angriparens data, är inte mottagliga för sådana attacker, eftersom de har en storleksgräns (städ använde rengöring en gång var 100:e sekund).
- Förstärkt skydd mot externa klienter och servrar som mycket långsamt överför data bit för bit för att hålla SMTP- och LMTP-anslutningar aktiva (till exempel för att blockera arbete genom att skapa förutsättningar för att uttömma gränsen för antalet etablerade anslutningar). Istället för tidsbegränsningar i samband med poster tillämpas nu en begränsning i samband med förfrågningar och en begränsning av minsta möjliga dataöverföringshastighet i DATA- och BDAT-block har lagts till. Följaktligen ersattes inställningarna för {smtpd,smtp,lmtp}_per_record_deadline av {smtpd,smtp,lmtp}_per_request_deadline och {smtpd, smtp,lmtp}_min_data_rate.
- Postqueue-kommandot säkerställer att tecken som inte kan skrivas ut, som nyrader, rensas upp innan utskrift till standardutdata eller formatering av strängen till JSON.
- I tlsproxy ersattes parametrarna tlsproxy_client_level och tlsproxy_client_policy av de nya inställningarna tlsproxy_client_security_level och tlsproxy_client_policy_maps för att förena parametrarnas namn i Postfix (namnen på tlsproxy_client_client_policyn motsvarar nu inställningarna för smxxxxp).
- Felhantering från klienter som använder LMDB har omarbetats.
Källa: opennet.ru