Вышел почтовый хост Postfix 3.11.0

5 марта 2026 года состоялся выпуск новой стабильной ветки почтового сервера Postfix 3.11.0. Также разработчики объявили о прекращении поддержки ветки Postfix 3.7 от 2021 года. Исходный код проекта написан на C и опубликован на GitHub под лицензиями EPL 2.0 (Eclipse Public license) и IPL 1.0 (IBM Public License). Версия Postfix 3.0 вышла в марте 2015 года. Выпуск Postfix 3.10.0 произошёл в феврале 2025 года.

Postfix является одним из немногих стабильных и популярных открытых проектов, сочетающих одновременно высокую защита, надёжность и производительность. Этого команде разработчиков удалось добиться благодаря многопроцессой архитектуре, изолирующей отдельные обработчики, а также жёсткой политике оформления кода и аудита патчей.

По информации OpenNET, в соответствии с февральским автоматизированным опросом приблизительно 500 тысяч почтовых серверов, Postfix используется на 34.08% (год назад 33.66%) почтовых серверов, доля Exim составляет 58.95 процентов (59.14 процентов), Sendmail - 3.58% (3.6%), MailEnable - 1.99% (2.02%), MDaemon - 0.52% (0.60%), Microsoft Exchange - 0.26 процентов (0.32%), OpenSMTPD - 0.06 процентов (0.05%).

Основные изменения и дополнения в Postfix 3.11.0:

• предоставлена возможность вставки по месту содержимого небольших таблиц «cidr:», «pcre:» и «regexp:» внутри значений параметров конфигурации Postfix, без подключения внешних файлов или БД. Подстановка по месту определяется при помощи фигурных скобок, в частности, значение по умолчанию параметра smtpd_forbidden_commands теперь содержит строку «CONNECT GET POST regexp:{{/^[^A‑Z]/ Thrash}}», обеспечивающую сброс соединений от клиентов, отправляющих мусор вместо команд;

• обработчик postlog теперь снабжён флагом set‑gid и при запуске меняет выполняет операции с привилегиями группы postdrop, что позволяет применять его непривилегированными программами для записи логов через фоновый процесс postlogd, что позволяет повысить гибкость настройки maillog_file и реализовать в том числе логгирование stdout из контейнера;

• добавлена сопровождение api библиотек OpenSSL 3.0.0, PCRE2 и Berkeley DB 18;

• добавлена безопасность от атак по определению коллизий в хэшах методом перебора ключей. Защита реализована через рандомизацию начального состояния хэш‑таблиц, хранимых в оперативной памяти. В настоящее время выявлен только один способ проведения подобных атак, связанный с перебором IPv6-адресов SMTP‑клиентов в сервисе anvil и требующий установки сотен кратковременных подключений в секунду при цикличном переборе тысяч разных клиентских IP‑адресов. Остальные хэш‑таблицы, проверка ключей в которых может производиться на основании данных атакующего, не подвержены подобным атакам, так как в них применяется ограничение по размеру (в anvil применялась чистка раз в 100 секунд);

• усилена защита от внешних клиентов и серверов, весьма медленно по крупицам передающих информация для удержания активными соединений SMTP и LMTP (например, для блокирования работы через разработка условий исчерпания лимита на число установленных соединений). Вместо ограничений времени в привязке к записям теперь применено ограничение в привязке к запросам, а также добавлено ограничение минимально возможной интенсивности передачи данных в блоках DATA и BDAT. Соответственно, на смену настойкам {smtpd,smtp,lmtp}_per_record_deadline пришли {smtpd,smtp,lmtp}_per_request_deadline и {smtpd, smtp,lmtp}_min_data_rate;

• в команде postqueue обеспечена чистка непечатных символов, таких как перевод строки, на этапе до вывода в стандартный выходной поток или форматирования строки в JSON.

• в tlsproxy на смену параметрам tlsproxy_client_level и tlsproxy_client_policy пришли новые настройки tlsproxy_client_security_level и tlsproxy_client_policy_maps для унификации наименования параметров в Postfix (наименование настроек tlsproxy_client_xxx теперь соответствует настройкам smtp_tls_xxx);

• переделана обработка ошибок от клиентов, использующих LMDB.