Релиз почтового сервера Postfix 3.1.0

26.02.2016 22:13

После года разработки представлен релиз новой стабильной ветки почтового сервера Postfix - 3.1.0. В то же время объявлено о прекращении поддержки ветки Postfix 2.9, выпущенной в начале 2012 года.

Postfix является одним из редких проектов, сочетающих одновременно высокую безопасность, надёжность и производительность, чего удалось добиться благодаря продуманной архитектуре и достаточно жесткой политике оформления кода и аудита патчей. В соответствии с данными, полученными в результате автоматизированного опроса около двух миллионов почтовых серверов, Postfix используется на 32.80% (год назад 28.01%) почтовых серверов, доля Exim составляет 53.62% (50.65%), Sendmail - 6.38% (9.22%), Microsoft Exchange - 1.90% (5.47%).

Основные новшества:

Реализована команда "postfix tls", позволяющая быстро включить TLS-шифрование без аутентификации (opportunistic TLS) в SMTP клиенте и сервере, а также управлять сертификатами и ключами шифрования, включая обработку запросов по формированию цифровых подписей и управление записями TLSA DNS для DANE;
В postscreen, выступающем в роли легковесного межсетевого экрана, предназначенного для первичного блокирования соединений от рассылающих спам зомби-машин, добавлена возможность установки минимального и максимального значений времени жизни (TTL) для ответов DNSBL и DNSWL (черные и белые списки, работающие через формирование DNS-запросов). Ранее параметры TTL управлялись только настройкой "postscreen_dnsbl_ttl = 1h", которая влияла лишь на время кэширования негативных ответов ("not found") DNSBL/DNSWL. В новом выпуске представлены настройки "postscreen_dnsbl_min_ttl" (по умолчанию 60 секунд) и "postscreen_dnsbl_max_ttl" (по умолчанию 1 час), определяющие минимальный и максимальный лимит на удержание в кэше результатов проверки через DNSBL или DNSWL. При этом непосредственно значение времени жизни берётся на основе значения TTL, выдаваемого DNS-сервером для заданных DNSBL и DNSWL зон. Лимиты применяются в случае, если полученный TTL не укладывается в заданный диапазон допустимых значений;
В SMTP-сервере реализована возможность ограничения интенсивности запросов SASL AUTH (параметр "smtpd_client_auth_rate_limit", определяющий интенсивность отправки команды AUTH в привязке к IP-адресу клиента);
Поддержка задания задержки между отправкой сообщений для снижения интенсивности доставки, независимо от пункта назначения (destination-independent). Например, установка "smtp_transport_rate_delay = 20s" приведёт к появлению 20-секундной задержки между доставками через транспорт SMTP, ограничив общую интенсивность доставки в три сообщения в минуту;
Возможность мягкого ограничения числа запросов на проверку адресов в активной очереди сообщений (параметр address_verify_pending_request_limit). По умолчанию значение установлено в 1/4 от максимального размера очереди.
Команда "postqueue -j" для вывода списка элементов в очереди сообщений в формате JSON (выводится отдельный JSON-объект для каждого файла в очереди);
Поддержка задания используемых по умолчанию параметров Milter-фильтров. Через опцию milter_macro_defaults можно перечислить список макросов в формате ключ=значение, которые будут использованы в качестве значений по умолчанию, если параметры не удалось вычислить на основе данных SMTP-сеанса. Например, установка "milter_macro_defaults = auth_type=TLS" приведёт к отправке в Milter параметра auth_type=TLS во всех случаях, кроме использования клиентом аутентификации SASL;
Прекращена поддержка протоколов SSLv2 и SSLv3, а также слабых экспортных шифров. Размер используемых для инициализации алгоритма Диффи—Хеллмана (Diffie-Hellman) простых чисел увеличен с 1024 до 2048 бит.

исправить +19 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/43951-postfix

Ключевые слова: postfix, mail

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (34)

1.1, Аноним (-), 23:28, 26/02/2016 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
Exchange очень популярен, но его редко выставляют наружу. Часто Сендмейл, Эксим, Постфикс это смартхосты для Exchange инфраструктуры. Так что автоматизированный опрос не дает реальной картины.

2.2, Вася (??), 23:41, 26/02/2016 [^] [^^] [^^^] [ответить]	+5 +/–
>Exchange очень популярен, но его редко выставляют наружу Ну и _ПОЧЕМУ_ же его редко выставляют наружу?

3.4, Вареник (?), 23:44, 26/02/2016 [^] [^^] [^^^] [ответить]	+/–
Потому что мышкой дыры не закроешь, а по умолчанию все закрыть - мышкодавы потом открыть фичи не смогут, служба поддержки загнется им объяснять "что делать".

3.6, Аноним (-), 23:52, 26/02/2016 [^] [^^] [^^^] [ответить]	+/–
Раньше MS предоставляла продукт EDGE который был смартхостом. Потом решили что не выгодно его то ли поддерживать дорого то ли в принципе фильтрация национального спама для всего мира дорогая затея и локальные решения на национальных рынках выигрывают и поэтому решили снять его с продаж и объявили де "используйте сторонние решения". В результате популярным решением на смартхосте стал например постфикс с каспером. Как то так.

4.16, mcshel (ok), 09:02, 27/02/2016 [^] [^^] [^^^] [ответить]	+/–
Все гораздо проще, M$ пошли в облака и начали продовать сервис.

5.26, i_stas (ok), 23:40, 27/02/2016 [^] [^^] [^^^] [ответить]	+2 +/–
Этот сервис? http://www.theregister.co.uk/2016/01/25/office_365_imap_outage/

6.27, й (?), 02:12, 28/02/2016 [^] [^^] [^^^] [ответить]	+1 +/–
> Этот сервис? > http://www.theregister.co.uk/2016/01/25/office_365_imap_outage/ да не ходят к нему реальные пользователи по imap, что и позволило закрывать глаза на это аж неделю

5.32, Аноним (-), 09:32, 29/02/2016 [^] [^^] [^^^] [ответить]	+/–
я так говорю потому что знаю почтовую специфику и давно в этом варюсь. Ничего "простого" тут нет. Все реально сложно. Особенно когда гос.органы начинают наезжать на МС в стиле "мы купили ваш фильтр спама, а он не работает. Чините или будут санкции". Дело пахнет керосином.

4.21, all_glory_to_the_hypnotoad (ok), 15:32, 27/02/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Всё это дерьмище от m$ в принципе не способно конкурировать с Postfix, ну просто потому, что мастдайники в принципе не умеют делать продукты такого уровня. Как начинаются работы, так сразу проект превращается в кривую монолитную блоатварь с кучей дыр.

5.29, trader2k4 (ok), 09:11, 29/02/2016 [^] [^^] [^^^] [ответить]	+/–
Спокойно выставляется Exchange наружу, в роли Edge Transport Server, уже 9 лет как. И не чего сравнивать Groupware типа Exchange, с обычным MTA. Не говоря уж о том, что Exchange модульный давно. Очередные теоретики, блин, видевшие только 5.5 ...

6.42, Fomalhaut (?), 15:16, 06/12/2016 [^] [^^] [^^^] [ответить]	+/–
И логи у него понятные и пишутся оперативно? И не тупит оснастка при подгрузке туевы-хучи юзверей?

4.31, trader2k4 (ok), 09:26, 29/02/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Роль Edge Transport Server есть начиная с 2007-го Exchange. Вылезайте из криокамеры!

3.22, Michael Shigorin (ok), 17:17, 27/02/2016 [^] [^^] [^^^] [ответить]	–3 +/–
>>Exchange очень популярен, но его редко выставляют наружу > Ну и _ПОЧЕМУ_ же его редко выставляют наружу? Потому что "очень популярен".

3.33, Юрий (??), 12:49, 29/02/2016 [^] [^^] [^^^] [ответить]	+/–
ПОТОМУ ЧТО те у кого есть деньги на Exchange, обычно находят деньги и на внешний обработчик спама/вирусов и прочего dlp, например cisco ironport, pineapp и т.п.

3.35, . (?), 18:51, 29/02/2016 [^] [^^] [^^^] [ответить]

+1 +/–

потому что сложной корпоративной системе и незачем туда торчать неаутентифицируемыми дырками.
(хотя, на самом деле, полно и таких, которые торчат, forefront'ом кое-как прикрытые - обычно у мелких лавочек с лишними деньгами)

У нормальной корпорации наружу будет смотреть что-то вроде ironport/макафя/фортинет кто там еще не знаю и знать не хочу.
А сендмэйлы с поцфиксами фронтендом к эсченджу - решения для бедных. Спрашивается, а откуда у этих бедных возьмутся деньги платить хорошим админам?

Проверка на вшивость, кстати, простая: попросить показать, как обрабатывается unexisting recipient.

2.5, Stax (ok), 23:48, 26/02/2016 [^] [^^] [^^^] [ответить]	+11 +/–
Т.е. вы совершенно не различаете почтовые системы предприятия (типа Exchange, Domino, Sun Java Communications Suite и проч., и к которым postfix не имеет отношения - разве что в составе связки с пачкой других софтин) и MTA, которые передают/принимают почту? Тогда что вы вообще делаете в этом треде...

3.7, Вася (??), 23:57, 26/02/2016 [^] [^^] [^^^] [ответить]	+6 +/–
>Тогда что вы вообще делаете в этом треде... Доставляет нам "the Facts"

3.23, DeadLoco (ok), 17:49, 27/02/2016 [^] [^^] [^^^] [ответить]	–11 +/–
Вы всерьез полагаете, что "почтовые системы предприятия" обязаны быть монструозным комбайном типа "все в одном", а не должны быть функционально декомпозированы на обособленные сервисы, вроде SMTP, LDA, POP/IMAP? Я бы вас к почтовой системе предприятия на пушечный выстрел не подпустил бы.

4.24, Stax (ok), 19:01, 27/02/2016 [^] [^^] [^^^] [ответить]	+3 +/–
Хорошо, что не вам принимать решения о подпуске меня к чему-либо По существу ... большой текст свёрнут, показать

5.25, DeadLoco (ok), 20:03, 27/02/2016 [^] [^^] [^^^] [ответить]

+5 +/–

> боюсь, вы плохо представляете себе требования к почте крупных
> предприятий, провайдеров, больших университетов и подобного.

Так уж получилось, что я занимался ИТ вообще и почтой в частности в местном горисполкоме, университете, на крупном заводе, а сейчас аутсорсю для разных фирм от 20 до 2000 почтовых аккаунтов в них. И требования представляю себе ооочень хорошо - за 20+ лет сисадминства.

Мне доводилось выкорчевывать кривые поделия рукожопов и ставить нормальный почтовый сервис более десятка раз. Это было что угодно - от постфикса/экзима, зимбры/колаба и до эксченджа включительно. В двух особо тяжелых случаях - winroute mail server.

Знаете, что нужно бизнесу?
Вовсе не свистелки-перделки, и, как ни странно, вовсе не поддержка. Нужна стабильность, надежность, доступность сервиса, чтобы нужды в поддержке вообще не возникало. Чтобы сервис просто работал, как часы. Годами. Или десятилетиями, как это имеет место с двумя моими клиентами.

А знаете, в чем главная проблема бизнеса в ИТ-сфере?
Это не дефицит грамотных инженеров, админов и программеров. Главная, если не единственная проблема - это отсутствие грамотного ИТ-менеджмента, способного взвешенно и рационально выбрать инструментарий и принять обоснованное решение. Обычный менеджмент собирает буклеты от проприетарщиков, и внедряет очередное монструозище за безумные деньги лишь потому, что это "энтерпрайз", и никто потом не станет винить менеджера в плохом качестве сервиса.

Именно потому в энтерпрайзе буйно цветут решения, слабо соотносящиеся со здравым рассудком. Просто потому, что это надежный способ для менеджмента спихнуть с себя ответственность. Даром, что такое решение обходится предприятию в 5 баксов с учетки в месяц. Ну и что, что дорого - все так делают, так принято... Хотя почтовик типа гугломыла вполне может обходиться предприятию в 30 центов на аккаунт в месяц, не более. Просто нужно знать, уметь и быть готовым нести ответственность за решения.

6.30, trader2k4 (ok), 09:20, 29/02/2016 [^] [^^] [^^^] [ответить]

+2 +/–

> требования представляю себе ооочень хорошо - за 20+ лет сисадминства.

Вот и видно, что за 20 лет вы ничего нового не узнали и не поняли. Exchange давно уже модульный, с внятной ролевой моделью, отлично кластеризуется и прекрасно масштабируется.

Требования? О! Это песня просто! "Стабильность, надежность, доступность" - очередные сказки линуксоида, не видевшего никогда ПО уровня Notes или Outlook, считающего тормозной и глюкавый Thunderbird вершиной творения?

Люди, реально пользующиеся в бизнесе общими календарями, адресными книгами и прочими прелестями, типа доступа к своему ящику из любого места не через убогий WEB-интерфейс, почему-то совсем не хотят от них отказываться, и многие даже платить за это готовы по $60 за тот же Outlook - сюрприз?

И насчет стандартных решений в Enterprise - логика так же проста, не все готовы ждать по полгода после увольнения старого админа, пока новый в его костылях разберется и всё по своему переделает.

7.34, DeadLoco (ok), 17:47, 29/02/2016 [^] [^^] [^^^] [ответить]

–2 +/–

> Люди, реально пользующиеся в бизнесе общими календарями, адресными книгами

фейспалм.тхт

> прочими прелестями, типа доступа к своему ящику из любого места
> не через убогий WEB-интерфейс

даблфейспалм.тхт

Друг мой!
Все, вами перечисленное - и общие календари, и общие адресные книги, и общие подкаталоги в инбоксах, и масштабирование, и модульность, и отправка из любых сетей через SMTPS, и доступ к ящику через POP3S/IMAPS/TLS с любого устройства и клиентского софта - будь то "убогий веб-интерфейс", или аутлук, или цундерберд, или зебат, или любой андроид/иос/винмобайл клиент - все это настолько тривиально и настолько давно и КАЧЕСТВЕННО реализовано в опенсорсе, что выставлять эти "достижения", как преимущества эксченджа, можно только от полного невладения предметом.

Если вы настолько уверены в преимуществах эксченджа, вот вам домашнее задание:

Есть отдел продаж, где сидит надцать человек сейлзов.
Свежий клиент пишет письмо на сейлз@домен.
Письмо видят во входящих все сейлзы ровно до момента, пока один из них (и.и.иванов@домен) не ответит на него. После этого вся переписка идет напрямую между клиентом и этим сейлом.

Придумаете, как эту крайне полезную в бизнесе схему можно реализовать в эксчендже штатными - да хрен с ним! - ЛЮБЫМИ возможными средствами, приходите. Мы тут все посмеемся.

8.37, tiv (ok), 14:33, 01/03/2016 [^] [^^] [^^^] [ответить]	+/–
Помнится, давно, сталкивался с такой задачей и единственным решением, которое на... текст свёрнут, показать

8.39, анонимус (??), 16:35, 01/03/2016 [^] [^^] [^^^] [ответить]	+3 +/–
Оставляя за скобками логичный вопрос Зачем такие извращения, где нормальная CRM... текст свёрнут, показать

8.40, Anonimka (?), 20:29, 06/03/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Such butthurt ok ... текст свёрнут, показать

8.41, trader2k4 (ok), 19:02, 07/03/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Неужели _это_ у линуксоидов уже считается достижением Не то что не смешно, пла... текст свёрнут, показать

6.38, Michael Shigorin (ok), 15:46, 01/03/2016 [^] [^^] [^^^] [ответить]	–1 +/–
> энтерпрайз [...] способ для менеджмента спихнуть с себя ответственность Именно. Причём похоже, теперь по мотивам столкновений с клиническими случаями будет вспоминаться "вы хоть понимаете, что натворили?"...

2.10, commiethebeastie (ok), 00:51, 27/02/2016 [^] [^^] [^^^] [ответить]	+/–
Просто сайтов с MTA больше, чем компаний со своей почтой.

2.20, all_glory_to_the_hypnotoad (ok), 15:28, 27/02/2016 [^] [^^] [^^^] [ответить]	+2 +/–
Балбес глуповатый, Postfix это MTA, а exchange больше не MTA и как MTA он полное дерьмище. Этим и объясняется почему мордой в общественные места торчат прочие альтернативы.

1.17, Dkg (?), 10:29, 27/02/2016 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Пользуюсь в составе Iredmail.

2.18, Аноним (-), 10:51, 27/02/2016 [^] [^^] [^^^] [ответить]	+17 +/–
Держи в курсе. Переживал за тебя.

2.28, Аноним (-), 15:35, 28/02/2016 [^] [^^] [^^^] [ответить]	+/–
Есть опасение, что выход новой версии Postfix на твою инфсталяцию iredmail вообще никак не влияет. Ну то есть там решение готовое, так что что там внутри - никого не волнует, это и назвается - "у меня работает iredmail".

1.19, Аноним88 (?), 14:57, 27/02/2016 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
кто-то пользуется здесь postscreen, есть ли реальный профит?

2.36, serh (?), 21:48, 29/02/2016 [^] [^^] [^^^] [ответить]	+/–
тк щас модно реджектить в дата стейдж или еом, то вряд ли..

игнорирование участников | лог модерирования

Добавить комментарий

Текст: