The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Новая версия почтового сервера Exim 4.90"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Новая версия почтового сервера Exim 4.90"  +/
Сообщение от opennews (??) on 20-Дек-17, 11:42 
Представлен (https://lists.exim.org/lurker/message/20171219.213347.699622...) релиз почтового сервера Exim 4.90 (http://exim.org/), в который внесены накопившиеся исправления (https://git.exim.org/exim.git/blob_plain/HEAD:/doc/doc-txt/C...), добавлены (https://git.exim.org/exim.git/blob_plain/HEAD:/doc/doc-txt/N...) новые  возможности и устранены опасные уязвимости. В соответствии с ноябрьским автоматизированным опросом (http://www.securityspace.com/s_survey/data/man.201711/mxsurv...) более двух миллионов почтовых серверов, доля Exim составляет 56.56% (год назад 55.49%), Postfix используется на 33.79% (33.06%) почтовых серверов, Sendmail - 4.59% (5.42%), Microsoft Exchange - 0.85% (1.24%).


Основные (https://git.exim.org/exim.git/blob_plain/HEAD:/doc/doc-txt/C...) изменения (https://git.exim.org/exim.git/blob_plain/HEAD:/doc/doc-txt/N...):


-  В оператор ${readsocket } добавлена возможность не закрывать соединение после отправки запроса;

-  В smtp-транспорт добавлена опция "hosts_noproxy_tls" для управления, когда несколько доставок через одно TCP-соединение могут поддерживать открытым TLS-соединение;

-  Добавлена возможность использования протокола FPSCAND (http://www.f-prot.com/support/helpfiles/unix/fpscand.html) (F-PROT Antivirus Daemon Scanner) для проверки корреспонденции на наличие вредоносного ПО при помощи антивируса F-PROT;

-  Добавлена опция, позволяющая обработчикам верификации получателя поддерживать соединение открытым для других получателей и доставок;

-  Добавлена поддержка переменной окружения $SOURCE_DATE_EPOCH, применяемой для обеспечения повторяемых сборок;

-  Добавлена поддержка альтернативного формата spool-файлов с данными, аналогичного формату wire, более эффективного для приёма и передачи;

-  В основной блок конфигурации добавлена опция "commandline_checks_require_admin" для явного определения списка пользователей, которые могут использовать средства интроспекции;

-  Для транспорта appendfile в опциях quota и quota_filecount добавлен новый модификатор "no_check";

-  Представлена переменная $smtp_command_history, возвращающая список недавно выполненных команд SMTP;

-  В логах добавлена возможность указания времени с миллисекундной точностью (log_selector "millisec");


-  Возможность использования DKIM с несколькими цифровыми подписями: при определении нескольких цифровых подписей (например, для домена и ключа), соответствующих настройкам dkim_verify_signers, проверка DKIM  ACL теперь запускается для каждой подписи. Также добавлена поддержка проверки нескольких хэшей и альтернативных тегов идентификации. Реализован встроенный макрос с применяемым по умолчанию списком заголовков, к которым применяется цифровая подпись. Через DKIM ACL также теперь можно переопределить состояние верификации;

-  В  exipick добавлена опция "-C" (--config), при помощи которой можно указать альтернативный файл конфигурации;

-  Для SMTP-клиентов, работающих через прокси SOCKS5, для операций ${readsocket } и для проверок через ClamAV обеспечена поддержка механизма быстрого открытия TCP-соединений (TFO - TCP Fast Open, RFC 7413), который позволяет сократить число шагов установки соединения за счёт комбинирования в один запрос первого и второго шагов классического 3-этапного процесса согласования соединения и даёт возможность отправки данных на начальном этапе установки соединения;

-  Добавлена возможность записи в лог данных о быстром открытии TCP-соединений (TCP Fast Open): для сервера при отправке баннера SMTP, не дожидаясь получение подтверждения (состояние SYN_RECV), а для клиента при открытии соединения с TFO cookie;

-  В обработчиках добавлена поддержка макросов в проверочном режиме "-be";

-  Добавлена поддержка двойных стеков сертификатов на стороне сервера (например RSA + ECDSA);

-  Проведена оптимизация TLS-соединений: Активные TLS-соединения теперь каждый раз не закрывается и открывается вновь, а используется уже открытое соединение для обрабатываемых дочерним транспортом запросов. Включена поддержка pipelining для соединений TLS, позволяя упаковывать в одной TLS-записи (как правило, в одном пакете) клиентские запросы (MAIL,RCPT,DATA) и ответы сервера. Для снижения нагрузки в настройках openssl_options по  умолчанию включён режим "+no_ticket"  и отключен сессионный кэш (не эффективен, так как для каждого соединения создаётся новый контекст);

-  Устранены уязвимости CVE-2017-16943 и CVE-2017-16944 в реализации команды BDAT и расширения "ESMTP CHUNKING", о которых сообщалось (https://www.opennet.ru/opennews/art.shtml?num=47633)  в ноябре. Уязвимости могут привести к удалённому выполнению кода на сервере или  истечения свободной памяти при передаче определённым образом оформленных команд по SMTP;

-   Блокированы уязвимости CVE-2017-1000369 (https://www.opennet.ru/opennews/art.shtml?num=46724) (Stack Сlash, возможность получения root-доступа через Exim из-за того, что при обработке некоторых аргументов командной строки не выполняется корректное освобождение памяти) и
CVE-2017-10140 (https://security-tracker.debian.org/tracker/CVE-2017-10140) (атака (http://www.openwall.com/lists/oss-security/2017/08/12/1) через перенаправление файла конфигурации DB_CONFIG в Berkeley DB).

URL: https://lists.exim.org/lurker/message/20171219.213347.699622...
Новость: http://www.opennet.ru/opennews/art.shtml?num=47771

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Новая версия почтового сервера Exim 4.90"  +/
Сообщение от Аноним (??) on 20-Дек-17, 11:42 
Еще бы в Debian/Ubuntu/Centos клали свежие версии ПО... А то 4.90 увидим через пару лет, если не через пятилетку.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Новая версия почтового сервера Exim 4.90"  +1 +/
Сообщение от botman (ok) on 20-Дек-17, 12:17 
В debian testing глядеть уже сейчас можно на RC4... отсчитывать дни до релиза 4.90?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Новая версия почтового сервера Exim 4.90"  +2 +/
Сообщение от пох on 20-Дек-17, 14:48 
ждите ебилдов!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Новая версия почтового сервера Exim 4.90"  +3 +/
Сообщение от Аноним (??) on 20-Дек-17, 16:12 
Странное пожелание. Стабильные релизы Debian/Ubuntu/Centos существуют специально для того, чтобы туда НЕ клали свежие версии ПО, чтобы настроенная один раз система работала без сюрпризов весь срок поддержки релиза.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Новая версия почтового сервера Exim 4.90"  +1 +/
Сообщение от Diozan (??) on 20-Дек-17, 16:17 
О чём слёзы? Если надо всё свежее, пользуй Арч, Генту. Уж чего-чего, а выбор всегда есть. Да тот же Дебиан тестинг или сид.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Новая версия почтового сервера Exim 4.90"  –1 +/
Сообщение от xm (ok) on 20-Дек-17, 19:36 
Ага, тут столкнулся - 4.86 в пакетах. ПЦ.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Новая версия почтового сервера Exim 4.90"  +/
Сообщение от XoRe (ok) on 21-Дек-17, 11:33 
> Еще бы в Debian/Ubuntu/Centos клали свежие версии ПО... А то 4.90 увидим
> через пару лет, если не через пятилетку.

Можно держать свою репу для себя, где собирать свежие версии.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "Новая версия почтового сервера Exim 4.90"  +/
Сообщение от Anonim (??) on 20-Дек-17, 18:51 
> Добавлена возможность использования протокола FPSCAND (F-PROT Antivirus Daemon Scanner) для проверки корреспонденции на наличие вредоносного ПО при помощи антивируса F-PROT

А когда добавят возможность использования протоколов KAVSCAND и DWEBSCAND?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Новая версия почтового сервера Exim 4.90"  +/
Сообщение от Андрей (??) on 20-Дек-17, 18:54 
> TCP Fast Open

Пойдёт на пользу DeltaChat для чатика поверх более надёжного но и с большей латентностью SMTP по сравнению с джаббером.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Новая версия почтового сервера Exim 4.90"  +/
Сообщение от xm (ok) on 20-Дек-17, 19:34 
> проверка DKIM ACL теперь запускается для каждой подписи

Надо было просто перевести, а не придумывать. DKIM ACL так и работал (а как иначе, собственно?).

А так новость хорошая. Особенно про спул интересно. При больших нагрузках он давно стал узким местом.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Новая версия почтового сервера Exim 4.90"  +1 +/
Сообщение от serh on 20-Дек-17, 20:02 
если кратко.
1. можно исходящие подписывать больше, чем только 1ой подписью, как раньше.
2. header.b для dkim. как не было переменной, так и нет, от куда достать b= хидер каждой подписи. В коде 5 строчек добавить, чесн слово.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру