Релиз почтового сервера Postfix 2.11.0

16.01.2014 09:15

После одиннадцати месяцев разработки представлен релиз новой стабильной ветки почтового сервера Postfix - 2.11.0. Postfix является одним из редких проектов, сочетающих одновременно высокую безопасность, надёжность и производительность, чего удалось добиться благодаря продуманной архитектуре и достаточно жесткой политике оформления кода и аудита патчей. Одновременно с выходом новой ветки, объявлено о прекращении поддержки ветки Postfix 2.7, выпущенной в начале 2010 года.

Из особенностей новой ветки можно отметить:

  • Поддержка верификации серверных сертификатов TLS с использованием DANE (DNS-based Authentication of Named Entities) без привлечения инфраструктуры открытых ключей (PKI, Public Key Infrastructure), т.е. без оценки валидности на основе заверения удостоверяющим центром. При использовании DANE для подтверждения достоверности сервера применяется метод непосредственной передачи публичного ключа или сертификата сервера через DNS с проверкой подлинности переданных данных при помощи DNSSEC. Основной проблемой PKI является большое разрастание доверительной сети, в которой любой удостоверяющий центр может выписать валидный сертификат для любого домена, что подрывает всю систему при компрометации хотябы одного удостоверяющего центра. В случае DANE за подтверждение сертификатов отвечает непосредственно владелец доменной зоны, права которого подтверждаются владельцем родительского домена более высокого уровня.
  • Поддержка постоянного хранения локальных баз данных в формате LMDB, развиваемом проектом OpenLDAP. Поддерживается LMDB 0.9.11 и более новые выпуски. В отличие от других форматов хранения БД (например, btree, hash, dbm, cdb, sdbm ) при использовании LMDB обеспечена возможность одновременной записи в базу из нескольких процессов, таких как postscreen. Ранее поддержка совместной записи из параллельно выполняемых процессов могла быть реализована только при помощи memcached.
  • Добавлена опция postscreen_dnsbl_whitelist_threshold, позволяющая клиентам пропустить тесты postscreen (выполняет роль легковесного межсетевого экрана, предназначенного для первичного блокирования соединений от рассылающих спам зомби-машин) в зависимости от результатов проверки по белому списку через DNSBL. Применение postscreen_dnsbl_whitelist_threshold позволяет избавиться от заметных задержек в доставке почты от заведомо валидных почтовых систем, в которых повторные запросы не отправляются с одного и того же IP (задержка возникает из-за теста с использованием повторного реконнекта), например, так поступает Google.
  • В директиве recipient_delimiter теперь возможно указание нескольких символов-разделителей, например, можно одновременно использовать как разделители "+" и "-".
  • В master.cf реализованы расширенные операции запроса и обновления при доступе к атрибутам сервисов в формате ключ/значение. Например, для выключения помещения в chroot всех сервисов можно использовать "postconf -F '*/*/chroot = n'", а для добавления значения параметра сразу для нескольких серивисов - "postconf -P smtp/inet/name = value". Указанная возможность позволяет разработчикам автоматизированных инструментов организовать управление почтовым сервером без разбора файлов конфигурации.