หลังจากการพัฒนาเป็นเวลา 10 เดือน เมลเซิร์ฟเวอร์ Postfix สาขาใหม่ที่มีความเสถียร - 3.7.0 - ก็ได้เปิดตัวแล้ว ในเวลาเดียวกัน ได้ประกาศสิ้นสุดการสนับสนุนสำหรับสาขา Postfix 3.3 ซึ่งเปิดตัวเมื่อต้นปี 2018 Postfix เป็นหนึ่งในโปรเจ็กต์หายากที่รวมความปลอดภัย ความน่าเชื่อถือ และประสิทธิภาพสูงเข้าด้วยกัน ซึ่งทำได้สำเร็จด้วยสถาปัตยกรรมที่คิดมาอย่างดีและนโยบายที่ค่อนข้างเข้มงวดสำหรับการออกแบบโค้ดและการตรวจสอบแพตช์ โค้ดโปรเจ็กต์ถูกแจกจ่ายภายใต้ EPL 2.0 (Eclipse Public License) และ IPL 1.0 (IBM Public License)
จากการสำรวจอัตโนมัติในเดือนมกราคมเกี่ยวกับเมลเซิร์ฟเวอร์ประมาณ 500 ตัว Postfix ใช้กับเมลเซิร์ฟเวอร์ 34.08% (ปีที่แล้ว 33.66%) ส่วนแบ่งของ Exim คือ 58.95% (59.14%), Sendmail - 3.58% (3.6 %), MailEnable - 1.99% (2.02%), MDaemon - 0.52% (0.60%), Microsoft Exchange - 0.26% (0.32%), OpenSMTPD - 0.06% (0.05%)
นวัตกรรมหลัก:
- สามารถแทรกเนื้อหาของตารางขนาดเล็ก “cidr:”, “pcre:” และ “regexp:” ภายในค่าพารามิเตอร์การกำหนดค่า Postfix โดยไม่ต้องเชื่อมต่อไฟล์หรือฐานข้อมูลภายนอก การทดแทนแบบแทนที่ถูกกำหนดโดยใช้เครื่องหมายปีกกา ตัวอย่างเช่น ค่าเริ่มต้นของพารามิเตอร์ smtpd_forbidden_commands ขณะนี้มีสตริง "CONNECT GET POST regexp:{{/^[^AZ]/ Thrash}}" เพื่อให้แน่ใจว่าการเชื่อมต่อจากไคลเอ็นต์ที่ส่ง ขยะแทนคำสั่งจะถูกทิ้ง ไวยากรณ์ทั่วไป: /etc/postfix/main.cf: parameter = .. map-type:{ {กฎ-1 }, { กฎ-2 } .. } .. /etc/postfix/master.cf: .. -o { พารามิเตอร์ = .. ประเภทแผนที่:{ { กฎ-1 }, { กฎ-2 } .. } .. } ..
- ขณะนี้ตัวจัดการ postlog ได้รับการติดตั้งแฟล็ก set-gid และเมื่อเปิดใช้งาน จะดำเนินการด้วยสิทธิ์ของกลุ่ม postdrop ซึ่งช่วยให้โปรแกรมที่ไม่มีสิทธิ์ใช้งานเพื่อเขียนบันทึกผ่านกระบวนการ postlogd พื้นหลัง ซึ่งช่วยเพิ่มความยืดหยุ่น ในการกำหนดค่า maillog_file และรวมถึงการบันทึก stdout จากคอนเทนเนอร์
- เพิ่มการรองรับ API สำหรับไลบรารี OpenSSL 3.0.0, PCRE2 และ Berkeley DB 18
- เพิ่มการป้องกันการโจมตีเพื่อระบุการชนกันของแฮชโดยใช้คีย์เดรัจฉาน การป้องกันจะดำเนินการผ่านการสุ่มสถานะเริ่มต้นของตารางแฮชที่จัดเก็บไว้ใน RAM ขณะนี้มีเพียงวิธีเดียวในการดำเนินการโจมตีดังกล่าว ซึ่งเกี่ยวข้องกับการแจกแจงที่อยู่ IPv6 ของไคลเอนต์ SMTP ในบริการทั่งตีเหล็ก และต้องมีการสร้างการเชื่อมต่อระยะสั้นหลายร้อยรายการต่อวินาที ในขณะที่ค้นหาที่อยู่ IP ไคลเอนต์ที่แตกต่างกันหลายพันรายการแบบวนรอบ . ตารางแฮชที่เหลือ ซึ่งสามารถตรวจสอบคีย์ตามข้อมูลของผู้โจมตีได้ จะไม่ไวต่อการโจมตีดังกล่าว เนื่องจากมีขีดจำกัดขนาด (ทั่งตีใช้ทำความสะอาดทุกๆ 100 วินาที)
- การป้องกันที่แข็งแกร่งยิ่งขึ้นต่อไคลเอนต์และเซิร์ฟเวอร์ภายนอกที่ถ่ายโอนข้อมูลช้ามากทีละบิตเพื่อให้การเชื่อมต่อ SMTP และ LMTP ทำงานอยู่ (เช่น เพื่อบล็อกงานโดยการสร้างเงื่อนไขสำหรับการหมดขีดจำกัดของจำนวนการเชื่อมต่อที่สร้างขึ้น) แทนที่จะมีการจำกัดเวลาที่เกี่ยวข้องกับบันทึก ตอนนี้มีการใช้ข้อจำกัดที่เกี่ยวข้องกับคำขอ และข้อจำกัดเกี่ยวกับอัตราการถ่ายโอนข้อมูลขั้นต่ำที่เป็นไปได้ในบล็อก DATA และ BDAT ได้ถูกเพิ่มเข้าไป ดังนั้น การตั้งค่า {smtpd,smtp,lmtp__per_record_deadline จึงถูกแทนที่ด้วย {smtpd,smtp,lmtp__per_request_deadline และ {smtpd, smtp,lmtp__min_data_rate)
- คำสั่ง postqueue ทำให้แน่ใจว่าอักขระที่ไม่สามารถพิมพ์ได้ เช่น บรรทัดใหม่ จะถูกล้างก่อนที่จะพิมพ์ไปยังเอาต์พุตมาตรฐาน หรือจัดรูปแบบสตริงลงใน JSON
- ใน tlsproxy พารามิเตอร์ tlsproxy_client_level และ tlsproxy_client_policy ถูกแทนที่ด้วยการตั้งค่าใหม่ tlsproxy_client_security_level และ tlsproxy_client_policy_maps เพื่อรวมชื่อของพารามิเตอร์ใน Postfix (ตอนนี้ชื่อของการตั้งค่า tlsproxy_client_xxx สอดคล้องกับการตั้งค่า smtp_tls_xxx)
- การจัดการข้อผิดพลาดจากไคลเอนต์ที่ใช้ LMDB ได้รับการแก้ไขแล้ว
ที่มา: opennet.ru