Pagkatapos ng 10 na buwan ng pag-unlad, isang bagong matatag na sangay ng Postfix mail server - 3.7.0 - ay inilabas. Kasabay nito, inihayag nito ang pagtatapos ng suporta para sa sangay ng Postfix 3.3, na inilabas sa simula ng 2018. Ang Postfix ay isa sa mga bihirang proyekto na pinagsasama ang mataas na seguridad, pagiging maaasahan at pagganap sa parehong oras, na nakamit salamat sa isang pinag-isipang mabuti na arkitektura at isang medyo mahigpit na patakaran para sa disenyo ng code at pag-audit ng patch. Ang code ng proyekto ay ipinamamahagi sa ilalim ng EPL 2.0 (Eclipse Public License) at IPL 1.0 (IBM Public License).
Ayon sa isang awtomatikong survey ng Enero ng halos 500 libong mail server, ang Postfix ay ginagamit sa 34.08% (isang taon na ang nakalipas 33.66%) ng mga mail server, ang bahagi ng Exim ay 58.95% (59.14%), Sendmail - 3.58% (3.6). %), MailEnable - 1.99% ( 2.02%), MDaemon - 0.52% (0.60%), Microsoft Exchange - 0.26% (0.32%), OpenSMTPD - 0.06% (0.05%).
Mga pangunahing inobasyon:
- Posibleng ipasok ang mga nilalaman ng maliliit na talahanayan na "cidr:", "pcre:" at "regexp:" sa loob ng mga value ng parameter ng configuration ng Postfix, nang hindi kumukonekta sa mga panlabas na file o database. Ang pagpapalit sa lugar ay tinukoy gamit ang mga kulot na brace, halimbawa, ang default na halaga ng parameter na smtpd_forbidden_commands ay naglalaman na ngayon ng string na "CONNECT GET POST regexp:{{/^[^AZ]/ Thrash}}" upang matiyak na ang mga koneksyon mula sa mga kliyenteng nagpapadala basura sa halip na mga utos ay ibinabagsak. Pangkalahatang syntax: /etc/postfix/main.cf: parameter = .. uri ng mapa:{ { rule-1 }, { rule-2 } .. } .. /etc/postfix/master.cf: .. -o { parameter = .. uri ng mapa:{ { rule-1 }, { rule-2 } .. } .. } ..
- Ang postlog handler ay nilagyan na ngayon ng set-gid flag at, kapag inilunsad, ay nagsasagawa ng mga operasyon na may mga pribilehiyo ng postdrop group, na nagbibigay-daan dito na magamit ng mga walang pribilehiyong programa upang magsulat ng mga log sa pamamagitan ng background na proseso ng postlogd, na nagbibigay-daan para sa mas mataas na kakayahang umangkop. sa pag-configure ng maillog_file at kasama ang stdout logging mula sa container.
- Nagdagdag ng suporta sa API para sa OpenSSL 3.0.0, PCRE2 at Berkeley DB 18 na mga aklatan.
- Nagdagdag ng proteksyon laban sa mga pag-atake upang matukoy ang mga banggaan sa mga hash gamit ang pangunahing brute force. Ipinapatupad ang proteksyon sa pamamagitan ng randomization ng paunang estado ng mga hash table na nakaimbak sa RAM. Sa kasalukuyan, isang paraan lamang ng pagsasagawa ng mga naturang pag-atake ang natukoy, na kinabibilangan ng pag-enumerate ng mga IPv6 address ng mga SMTP client sa serbisyo ng anvil at nangangailangan ng pagtatatag ng daan-daang panandaliang koneksyon sa bawat segundo habang paikot-ikot na naghahanap sa libu-libong iba't ibang IP address ng kliyente. . Ang iba pang mga talahanayan ng hash, na ang mga susi ay maaaring suriin batay sa data ng umaatake, ay hindi madaling kapitan ng mga naturang pag-atake, dahil mayroon silang limitasyon sa laki (ginamit ang anvil na paglilinis nang isang beses bawat 100 segundo).
- Pinalakas na proteksyon laban sa mga panlabas na kliyente at server na napakabagal na naglilipat ng data nang paunti-unti upang panatilihing aktibo ang mga koneksyon sa SMTP at LMTP (halimbawa, upang harangan ang trabaho sa pamamagitan ng paglikha ng mga kundisyon para maubos ang limitasyon sa bilang ng mga naitatag na koneksyon). Sa halip na mga paghihigpit sa oras na may kaugnayan sa mga talaan, ang isang paghihigpit na may kaugnayan sa mga kahilingan ay inilapat na ngayon, at isang paghihigpit sa pinakamababang posibleng rate ng paglipat ng data sa mga bloke ng DATA at BDAT ay idinagdag. Alinsunod dito, ang mga setting ng {smtpd,smtp,lmtp}_per_record_deadline ay pinalitan ng {smtpd,smtp,lmtp}_per_request_deadline at {smtpd, smtp,lmtp}_min_data_rate.
- Tinitiyak ng postqueue command na ang mga hindi napi-print na character, tulad ng mga bagong linya, ay nililinis bago mag-print sa karaniwang output o i-format ang string sa JSON.
- Sa tlsproxy, ang tlsproxy_client_level at tlsproxy_client_policy na mga parameter ay pinalitan ng mga bagong setting na tlsproxy_client_security_level at tlsproxy_client_policy_maps upang pag-isahin ang mga pangalan ng mga parameter sa Postfix (ang mga pangalan ng mga setting ng tlsproxy_client_xxx ay tumutugma na ngayon sa mga setting ng tlsproxy_client_xxxp).
- Ang error sa pangangasiwa mula sa mga kliyente gamit ang LMDB ay muling ginawa.
Pinagmulan: opennet.ru