Новая версия почтового сервера Exim 4.9020.12.2017 10:15

Представлен релиз почтового сервера Exim 4.90, в который внесены накопившиеся исправления, добавлены новые возможности и устранены опасные уязвимости. В соответствии с ноябрьским автоматизированным опросом более двух миллионов почтовых серверов, доля Exim составляет 56.56% (год назад 55.49%), Postfix используется на 33.79% (33.06%) почтовых серверов, Sendmail — 4.59% (5.42%), Microsoft Exchange — 0.85% (1.24%).

Основные изменения:

  • В оператор ${readsocket } добавлена возможность не закрывать соединение после отправки запроса;
  • В smtp-транспорт добавлена опция «hosts_noproxy_tls» для управления, когда несколько доставок через одно TCP-соединение могут поддерживать открытым TLS-соединение;
  • Добавлена возможность использования протокола FPSCAND (F-PROT Antivirus Daemon Scanner) для проверки корреспонденции на наличие вредоносного ПО при помощи антивируса F-PROT;
  • Добавлена опция, позволяющая обработчикам проверки получателя поддерживать соединение открытым для других получателей и доставок;
  • Добавлена поддержка переменной окружения $SOURCE_DATE_EPOCH, применяемой для обеспечения повторяемых сборок;
  • Добавлена поддержка альтернативного формата spool-файлов с данными, аналогичного формату wire, более эффективного для приёма и передачи;
  • В основной блок конфигурации добавлена опция «commandline_checks_require_admin» для ограничения пользователей, которые могут использовать средства интроспекции;
  • Для транспорта appendfile в опциях quota и quota_filecount добавлен новый модификатор «no_check»;
  • Представлена переменная $smtp_command_history, возвращающая список недавно выполненных команд SMTP;
  • В логах добавлена возможность указания времени с миллисекундной точностью (log_selector «millisec»);
  • Возможность использования DKIM с несколькими цифровыми подписями: при определении нескольких цифровых подписей (например, для домена и ключа), соответствующих настройкам dkim_verify_signers, проверка DKIM ACL теперь запускается для каждой подписи. Также добавлена поддержка проверки нескольких хэшей и альтернативных тегов идентификации. Реализован встроенный макрос с применяемым по умолчанию списком заголовков, к которым применяется цифровая подпись. Через DKIM ACL теперь можно переопределить состояние верификации;
  • В exipick добавлена опция »-C» (--config), при помощи которой можно указать альтернативный файл конфигурации;
  • Для SMTP-клиентов, работающих через прокси SOCKS5, для операций ${readsocket } и проверок через ClamAV обеспечена поддержка механизма быстрого открытия TCP-соединений (TFO — TCP Fast Open, RFC 7413), который позволяет сократить число шагов установки соединения за счёт комбинирования в один запрос первого и второго шагов классического 3-этапного процесса согласования соединения и даёт возможность отправки данных на начальном этапе установки соединения;
  • Добавлена возможность записи в лог данных о быстром открытим TCP-соединений (TCP Fast Open): для сервера при отправке баннера SMTP, не дожидаясь получение подтверждения (состояние SYN_RECV), а для клиента при открытии соединения с TFO cookie;
  • В обработчиках добавлена поддержка макросов в проверочном режиме »-be»;
  • Добавлена поддержка двойных стеков сертификатов на стороне сервера (например RSA + ECDSA);
  • Проведена оптимизация TLS-соединений: При активном TLS-соединении, оно каждый раз не закрывается и открывается вновь, а используется уже открытое соединение для обрабатываемых дочерним транспортом запросов. Включена поддержка pipelining для соединений TLS, позволяя упаковывать в одной TLS-записи (как правило, в одном пакете) клиентские запросы (MAIL, RCPT, DATA) и ответы сервера. Для снижения нагрузки в настройках openssl_options по умолчанию включён режим »+no_ticket» и отключен сессионный кэш (не эффективен, так как для каждого соединения создаётся новый контекст);
  • Устранены уязвимости CVE-2017–16943 и CVE-2017–16944 в реализации команды BDAT и расширения «ESMTP CHUNKING», о которых сообщалось в ноябре. Уязвимости могут привести к удалённому выполнению кода на сервере или истечения свободной памяти при передаче определённым образом оформленных команд по SMTP.
  • Добавлены меры для противодействия уязвимостям CVE-2017–1000369 (Stack Сlash, возможность получения root-доступа через Exim из-за того, что при обработке некоторых аргументов командной строки не выполняется корректное освобождение памяти) и CVE-2017–10140 (перенаправление файла конфигурации DB_CONFIG в Berkeley DB).

© OpenNet