經過10個月的開發,Postfix郵件伺服器的一個新的穩定分支發布了——3.7.0。 同時,它宣布結束對 3.3 年初發布的 Postfix 2018 分支的支援。 Postfix 是罕見的同時兼具高安全性、可靠性和效能的專案之一,這要歸功於深思熟慮的架構以及相當嚴格的程式碼設計和修補程式審核策略。 此專案代碼根據 EPL 2.0(Eclipse 公共授權)和 IPL 1.0(IBM 公共授權)分發。
根據一月份對約 500 萬郵件伺服器的自動調查,Postfix 在 34.08%(一年前為 33.66%)的郵件伺服器上使用,Exim 的份額為 58.95%(59.14%),Sendmail - 3.58%(3.6%) %)、MailEnable - 1.99% (2.02%)、MDaemon - 0.52% (0.60%)、Microsoft Exchange - 0.26% (0.32%)、OpenSMTPD - 0.06% (0.05%)。
主要創新:
- 可以在 Postfix 設定參數值中插入小表「cidr:」、「pcre:」和「regexp:」的內容,而無需連接外部檔案或資料庫。 就地替換是使用大括號定義的,例如,smtpd_forbidden_commands 參數的預設值現在包含字串“CONNECT GET POST regexp:{{/^[^AZ]/ Thrash}}”,以確保來自客戶端發送的連接垃圾而不是命令被丟棄。 一般語法: /etc/postfix/main.cf:parameter = ..map-type:{ {rule-1 }, {rule-2 } .. } .. /etc/postfix/master.cf: .. -o { 參數= .. 地圖類型:{ { 規則-1 }, { 規則-2 } .. } .. } ..
- postlog 處理程序現在配備了 set-gid 標誌,並且在啟動時以 postdrop 群組的權限執行操作,這允許非特權程序使用它通過後台 postlogd 進程寫入日誌,從而提高了靈活性配置maillog_file 並包括來自容器的標準輸出日誌記錄。
- 新增了對 OpenSSL 3.0.0、PCRE2 和 Berkeley DB 18 庫的 API 支援。
- 增加了對使用密鑰暴力確定哈希衝突的攻擊的保護。 保護是透過隨機化儲存在 RAM 中的雜湊表的初始狀態來實現的。 目前,僅發現了一種實施此類攻擊的方法,該方法涉及枚舉anvil 服務中SMTP 用戶端的IPv6 位址,並要求每秒建立數百個短期連接,同時循環搜尋數千個不同的客戶端IP地址。 哈希表的其餘部分(其鍵可以根據攻擊者的資料進行檢查)不易受到此類攻擊,因為它們有大小限制(鐵砧每 100 秒清理一次)。
- 加強了對外部客戶端和伺服器的保護,這些客戶端和伺服器非常緩慢地逐位傳輸數據,以保持SMTP 和LMTP 連接處於活動狀態(例如,透過建立耗盡已建立連線數量限制的條件來阻止工作)。 現在套用與請求相關的限制,而不是與記錄相關的時間限制,並且添加了對 DATA 和 BDAT 區塊中的最小可能資料傳輸速率的限制。 因此,{smtpd,smtp,lmtp}_per_record_deadline 設定已取代為 {smtpd,smtp,lmtp}_per_request_deadline 和 {smtpd, smtp,lmtp}_min_data_rate。
- postqueue 指令可確保在列印到標準輸出或將字串格式化為 JSON 之前清除不可列印的字元(例如換行符)。
- 在 tlsproxy 中,tlsproxy_client_level 和 tlsproxy_client_policy 參數被新設定 tlsproxy_client_security_level 和 tlsproxy_client_policy_maps 取代,以統一 Postfix 中的參數名稱(tlsproxy_client_policy_maps 名稱取代,以統一 Postfix 中的參數名稱(tlsprodid n^mxy)。
- 使用 LMDB 的客戶端的錯誤處理已重新設計。
來源: opennet.ru