经过 10 个月的开发,Postfix 邮件服务器的新稳定分支 - 3.7.0 - 发布了。 同时,它宣布结束对 3.3 年初发布的 Postfix 2018 分支的支持。 Postfix 是罕见的同时兼具高安全性、可靠性和性能的项目之一,这要归功于深思熟虑的架构以及相当严格的代码设计和补丁审核策略。 该项目代码根据 EPL 2.0(Eclipse 公共许可证)和 IPL 1.0(IBM 公共许可证)分发。
根据一月份对约 500 万邮件服务器的自动调查,Postfix 在 34.08%(一年前为 33.66%)的邮件服务器上使用,Exim 的份额为 58.95%(59.14%),Sendmail - 3.58%(3.6%) %)、MailEnable - 1.99% (2.02%)、MDaemon - 0.52% (0.60%)、Microsoft Exchange - 0.26% (0.32%)、OpenSMTPD - 0.06% (0.05%)。
主要创新:
- 可以在 Postfix 配置参数值中插入小表“cidr:”、“pcre:”和“regexp:”的内容,而无需连接外部文件或数据库。就地替换是使用大括号定义的,例如,smtpd_forbidden_commands 参数的默认值现在包含字符串“CONNECT GET POST regexp:{{/^[^A-Z]/ Thrash}}”,以确保来自客户端发送的连接垃圾而不是命令被丢弃。一般语法: /etc/postfix/main.cf:parameter = ..map-type:{ {rule-1 }, {rule-2 } .. } .. /etc/postfix/master.cf: .. -o { 参数 = .. 地图类型:{ { 规则-1 }, { 规则-2 } .. } .. } ..
- postlog 处理程序现在配备了 set-gid 标志,并且在启动时以 postdrop 组的权限执行操作,这允许非特权程序使用它通过后台 postlogd 进程写入日志,从而提高了灵活性配置 maillog_file 并包括来自容器的 stdout 日志记录。
- 添加了对 OpenSSL 3.0.0、PCRE2 和 Berkeley DB 18 库的 API 支持。
- 增加了针对使用密钥暴力确定哈希冲突的攻击的保护。保护是通过随机化存储在 RAM 中的哈希表的初始状态来实现的。目前,仅发现了一种实施此类攻击的方法,该方法涉及枚举 anvil 服务中 SMTP 客户端的 IPv6 地址,并要求每秒建立数百个短期连接,同时循环搜索数千个不同的客户端 IP 地址。哈希表的其余部分(其键可以根据攻击者的数据进行检查)不易受到此类攻击,因为它们有大小限制(每 100 秒使用砧清理一次)。
- 加强了对外部客户端和服务器的保护,这些客户端和服务器非常缓慢地逐位传输数据,以保持 SMTP 和 LMTP 连接处于活动状态(例如,通过创建耗尽已建立连接数量限制的条件来阻止工作)。现在应用与请求相关的限制,而不是与记录相关的时间限制,并且添加了对 DATA 和 BDAT 块中的最小可能数据传输速率的限制。因此,{smtpd,smtp,lmtp}_per_record_deadline 设置已替换为 {smtpd,smtp,lmtp}_per_request_deadline 和 {smtpd, smtp,lmtp}_min_data_rate。
- postqueue 命令确保在打印到标准输出或将字符串格式化为 JSON 之前清除不可打印的字符(例如换行符)。
- 在 tlsproxy 中,tlsproxy_client_level 和 tlsproxy_client_policy 参数被新设置 tlsproxy_client_security_level 和 tlsproxy_client_policy_maps 替换,以统一 Postfix 中的参数名称(tlsproxy_client_xxx 设置的名称现在对应于 smtp_tls_xxx 设置)。
- 使用 LMDB 的客户端的错误处理已被重新设计。
来源: opennet.ru