Представлен (https://lists.exim.org/lurker/message/20171219.213347.699622...) релиз почтового сервера Exim 4.90 (http://exim.org/), в который внесены накопившиеся исправления (https://git.exim.org/exim.git/blob_plain/HEAD:/doc/doc-txt/C...), добавлены (https://git.exim.org/exim.git/blob_plain/HEAD:/doc/doc-txt/N...) новые  возможности и устранены опасные уязвимости. В соответствии с ноябрьским автоматизированным опросом (http://www.securityspace.com/s_survey/data/man.201711/mxsurv...) более двух миллионов почтовых серверов, доля Exim составляет 56.56% (год назад 55.49%), Postfix используется на 33.79% (33.06%) почтовых серверов, Sendmail - 4.59% (5.42%), Microsoft Exchange - 0.85% (1.24%).

Основные (https://git.exim.org/exim.git/blob_plain/HEAD:/doc/doc-txt/C...) изменения (https://git.exim.org/exim.git/blob_plain/HEAD:/doc/doc-txt/N...):

-  В оператор ${readsocket } добавлена возможность не закрывать соединение после отправки запроса;

-  В smtp-транспорт добавлена опция "hosts_noproxy_tls" для управления, когда несколько доставок через одно TCP-соединение могут поддерживать открытым TLS-соединение;

-  Добавлена возможность использования протокола FPSCAND (http://www.f-prot.com/support/helpfiles/unix/fpscand.html) (F-PROT Antivirus Daemon Scanner) для проверки корреспонденции на наличие вредоносного ПО при помощи антивируса F-PROT;

-  Добавлена опция, позволяющая обработчикам верификации получателя поддерживать соединение открытым для других получателей и доставок;

-  Добавлена поддержка переменной окружения $SOURCE_DATE_EPOCH, применяемой для обеспечения повторяемых сборок;

-  Добавлена поддержка альтернативного формата spool-файлов с данными, аналогичного формату wire, более эффективного для приёма и передачи;

-  В основной блок конфигурации добавлена опция "commandline_checks_require_admin" для явного определения списка пользователей, которые могут использовать средства интроспекции;

-  Для транспорта appendfile в опциях quota и quota_filecount добавлен новый модификатор "no_check";

-  Представлена переменная $smtp_command_history, возвращающая список недавно выполненных команд SMTP;

-  В логах добавлена возможность указания времени с миллисекундной точностью (log_selector "millisec");

-  Возможность использования DKIM с несколькими цифровыми подписями: при определении нескольких цифровых подписей (например, для домена и ключа), соответствующих настройкам dkim_verify_signers, проверка DKIM  ACL теперь запускается для каждой подписи. Также добавлена поддержка проверки нескольких хэшей и альтернативных тегов идентификации. Реализован встроенный макрос с применяемым по умолчанию списком заголовков, к которым применяется цифровая подпись. Через DKIM ACL также теперь можно переопределить состояние верификации;

-  В  exipick добавлена опция "-C" (--config), при помощи которой можно указать альтернативный файл конфигурации;

-  Для SMTP-клиентов, работающих через прокси SOCKS5, для операций ${readsocket } и для проверок через ClamAV обеспечена поддержка механизма быстрого открытия TCP-соединений (TFO - TCP Fast Open, RFC 7413), который позволяет сократить число шагов установки соединения за счёт комбинирования в один запрос первого и второго шагов классического 3-этапного процесса согласования соединения и даёт возможность отправки данных на начальном этапе установки соединения;

-  Добавлена возможность записи в лог данных о быстром открытии TCP-соединений (TCP Fast Open): для сервера при отправке баннера SMTP, не дожидаясь получение подтверждения (состояние SYN_RECV), а для клиента при открытии соединения с TFO cookie;

-  В обработчиках добавлена поддержка макросов в проверочном режиме "-be";

-  Добавлена поддержка двойных стеков сертификатов на стороне сервера (например RSA + ECDSA);

-  Проведена оптимизация TLS-соединений: Активные TLS-соединения теперь каждый раз не закрывается и открывается вновь, а используется уже открытое соединение для обрабатываемых дочерним транспортом запросов. Включена поддержка pipelining для соединений TLS, позволяя упаковывать в одной TLS-записи (как правило, в одном пакете) клиентские запросы (MAIL,RCPT,DATA) и ответы сервера. Для снижения нагрузки в настройках openssl_options по  умолчанию включён режим "+no_ticket"  и отключен сессионный кэш (не эффективен, так как для каждого соединения создаётся новый контекст);

-  Устранены уязвимости CVE-2017-16943 и CVE-2017-16944 в реализации команды BDAT и расширения "ESMTP CHUNKING", о которых сообщалось (https://www.opennet.me/opennews/art.shtml?num=47633)  в ноябре. Уязвимости могут привести к удалённому выполнению кода на сервере или  истечения свободной памяти при передаче определённым образом оформленных команд по SMTP;

-   Блокированы уязвимости CVE-2017-1000369 (https://www.opennet.me/opennews/art.shtml?num=46724) (Stack Сlash, возможность получения root-доступа через Exim из-за того, что при обработке некоторых аргументов командной строки не выполняется корректное освобождение памяти) и
CVE-2017-10140 (https://security-tracker.debian.org/tracker/CVE-2017-10140) (атака (http://www.openwall.com/lists/oss-security/2017/08/12/1) через перенаправление файла конфигурации DB_CONFIG в Berkeley DB).

URL: https://lists.exim.org/lurker/message/20171219.213347.699622...
Новость: http://www.opennet.me/opennews/art.shtml?num=47771

• Новая версия почтового сервера Exim 4.90,Аноним, 11:42 , 20-Дек-17
  • Новая версия почтового сервера Exim 4.90,botman, 12:17 , 20-Дек-17
  • Новая версия почтового сервера Exim 4.90,пох, 14:48 , 20-Дек-17
  • Новая версия почтового сервера Exim 4.90,Аноним, 16:12 , 20-Дек-17
  • Новая версия почтового сервера Exim 4.90,Diozan, 16:17 , 20-Дек-17
  • Новая версия почтового сервера Exim 4.90,xm, 19:36 , 20-Дек-17
  • Новая версия почтового сервера Exim 4.90,XoRe, 11:33 , 21-Дек-17
• Новая версия почтового сервера Exim 4.90,Anonim, 18:51 , 20-Дек-17
• Новая версия почтового сервера Exim 4.90,Андрей, 18:54 , 20-Дек-17
• Новая версия почтового сервера Exim 4.90,xm, 19:34 , 20-Дек-17
• Новая версия почтового сервера Exim 4.90,serh, 20:02 , 20-Дек-17

Еще бы в Debian/Ubuntu/Centos клали свежие версии ПО... А то 4.90 увидим через пару лет, если не через пятилетку.

В debian testing глядеть уже сейчас можно на RC4... отсчитывать дни до релиза 4.90?

ждите ебилдов!

Странное пожелание. Стабильные релизы Debian/Ubuntu/Centos существуют специально для того, чтобы туда НЕ клали свежие версии ПО, чтобы настроенная один раз система работала без сюрпризов весь срок поддержки релиза.

О чём слёзы? Если надо всё свежее, пользуй Арч, Генту. Уж чего-чего, а выбор всегда есть. Да тот же Дебиан тестинг или сид.

Ага, тут столкнулся - 4.86 в пакетах. ПЦ.

> Еще бы в Debian/Ubuntu/Centos клали свежие версии ПО... А то 4.90 увидим
> через пару лет, если не через пятилетку.

Можно держать свою репу для себя, где собирать свежие версии.

> Добавлена возможность использования протокола FPSCAND (F-PROT Antivirus Daemon Scanner) для проверки корреспонденции на наличие вредоносного ПО при помощи антивируса F-PROT

А когда добавят возможность использования протоколов KAVSCAND и DWEBSCAND?

> TCP Fast Open

Пойдёт на пользу DeltaChat для чатика поверх более надёжного но и с большей латентностью SMTP по сравнению с джаббером.

> проверка DKIM ACL теперь запускается для каждой подписи

Надо было просто перевести, а не придумывать. DKIM ACL так и работал (а как иначе, собственно?).

А так новость хорошая. Особенно про спул интересно. При больших нагрузках он давно стал узким местом.

если кратко.
1. можно исходящие подписывать больше, чем только 1ой подписью, как раньше.
2. header.b для dkim. как не было переменной, так и нет, от куда достать b= хидер каждой подписи. В коде 5 строчек добавить, чесн слово.