Після 10 місяців розробки відбувся реліз нової стабільної гілки поштового сервера Postfix - 3.7.0. Водночас оголошено про припинення підтримки гілки Postfix 3.3, випущеної на початку 2018 року. Postfix є одним з рідкісних проектів, що поєднують одночасно високу безпеку, надійність і продуктивність, чого вдалося досягти завдяки продуманій архітектурі та досить жорсткій політиці оформлення коду та аудиту патчів. Код проекту поширюється під ліцензіями EPL 2.0 (Eclipse Public license) та IPL 1.0 (IBM Public License).
Відповідно до січневого автоматизованого опитування близько 500 тисяч поштових серверів, Postfix використовується на 34.08% (рік тому 33.66%) поштових серверів, частка Exim складає 58.95% (59.14%), Sendmail - 3.58% (3.6%), MailEnable - 1.99%. 2.02%), MDaemon – 0.52% (0.60%), Microsoft Exchange – 0.26% (0.32%), OpenSMTPD – 0.06% (0.05%).
Основні нововведення:
- Надана можливість вставки за місцем вмісту невеликих таблиць «cidr:», «pcre:» та «regexp:» усередині значень параметрів конфігурації Postfix без підключення зовнішніх файлів або БД. Підстановка за місцем визначається за допомогою фігурних дужок, наприклад, значення за замовчуванням параметра smtpd_forbidden_commands тепер містить рядок "CONNECT GET POST regexp:{{/^[^AZ]/ Thrash}}", що забезпечує скидання з'єднань від клієнтів, які відправляють сміття замість команд. Загальний синтаксис: /etc/postfix/main.cf: parameter = .. map-type:{ { rule-1 }, { rule-2 } .. } .. /etc/postfix/master.cf: .. -o { parameter = .. map-type:{ { rule-1 }, { rule-2 } .. } .. } ..
- Обробник postlog тепер має прапор set-gid і при запуску змінює виконує операції з привілеями групи postdrop, що дозволяє використовувати його непривілейованими програмами для запису логів через фоновий процес postlogd, що дозволяє підвищити гнучкість налаштування maillog_file і реалізувати в тому числі логування stdout з контейнера.
- Додана підтримка API бібліотек OpenSSL 3.0.0, PCRE2 та Berkeley DB 18.
- Додано захист від атак щодо визначення колізій у хешах методом перебору ключів. Захист реалізований через рандомізацію початкового стану хеш-таблиць, що зберігаються в оперативній пам'яті. В даний час виявлено лише один спосіб проведення подібних атак, пов'язаний з перебором IPv6-адрес SMTP-клієнтів у сервісі anvil і вимагає встановлення сотень короткочасних підключень за секунду при циклічному переборі тисяч різних клієнтських IP-адрес. Інші хеш-таблиці, перевірка ключів у яких може проводитися на підставі даних атакуючого, не схильні до подібних атак, тому що в них застосовується обмеження за розміром (в anvil застосовувалася чистка раз на 100 секунд).
- Посилено захист від зовнішніх клієнтів і серверів, що дуже повільно по крихтах передають дані для утримання активними з'єднань SMTP і LMTP (наприклад, для блокування роботи через створення умов вичерпання ліміту на кількість встановлених з'єднань). Замість обмежень часу у прив'язці до записів тепер застосовано обмеження у прив'язці до запитів, а також додано обмеження мінімально можливої інтенсивності передачі даних у блоках DATA та BDAT. Відповідно, на зміну настойкам {smtpd,smtp,lmtp}_per_record_deadline прийшли {smtpd,smtp,lmtp}_per_request_deadline та {smtpd, smtp,lmtp}_min_data_rate.
- У команді postqueue забезпечено чищення недрукованих символів, таких як переклад рядка, на етапі до виведення стандартного вихідного потоку або форматування рядка в JSON.
- У tlsproxy на зміну параметрам tlsproxy_client_level та tlsproxy_client_policy прийшли нові налаштування tlsproxy_client_security_level та tlsproxy_client_policy_maps для уніфікації найменування параметрів у Postfix (найменування налаштувань tl .
- Перероблено обробку помилок від клієнтів, які використовують LMDB.
Джерело: opennet.ru