Postfix

[turbo]

[size="3"]Две локальные уязвимости в Postfix[/size]

Обнаружены две локальные уязвимости в Postfix:

 * Некорректная обработка символических ссылок может быть использована для добавления тела пришедшего письма к произвольному файлу в системе, если postfix не запущен в chroot. Для этого нужно создать hardlink указывающий на symlink (возможно в Linux, Solaris, Irix 6.5, в которых создание хардлинков не соответствует требованиям стандартов POSIX и X/Open), владелец которого root, что требует от злоумышленника наличия прав записи в директорию почтового спула и отсутствие почтового ящика root. В итоге, можно отнести данную уязвимость к категории маловероятных и труднореализуемых;
 * Отсутствие должной проверки параметров ящика (проверка только по имени файла, не обращая внимание его владельца), во время доставки почты, может быть использовано для создания злоумышленником, имеющим права создания файлов в почтовом спуле, фиктивного почтового ящика, доступного для чтения другим пользователям.

Проблемы устранены в 2.5.4 Patchlevel 4.
http://secunia.com/advisories/31485/

[ping_Win]

[size="3"]Новые релизы Postfix - 2.5.6, 2.4.10 и 2.3.16[/size]

"Postfix stable release 2.5.6, 2.4.10 and 2.3.16 available" - выпущены новые релизы Postfix - 2.5.6, 2.4.10 и 2.3.16, в которых представлены исправления, внесенные за последние несколько месяцев.

Некоторые исправления:

 * В Postfix 2.5 исправлена проблема запроса сертификата клиента, при активной настройке "smtpd_tls_req_ccert = yes".
 * В Postfix 2.5, 2.4 и 2.3 устранена проблема, приводящая к понижению производительности TCP, в ситуации повторного использования SMTP соединения с размером TCP MSS более 4096 байт. Как правило такое может произойти для loopback интерфейса.
 * В Postfix 2.3 исправлена ошибка мешающая процессу cleanup обновить значение числа получателей в файле очереди, после того как Milter приложение добавило или удалило получателя.

http://www.opennet.r...shtml?num=19654

[turbo]

[size="3"]Представлен релиз Postfix 2.6.0[/size]

Вице Венема (Wietse Venema) представил первый релиз новой ветки почтового сервера Postfix 2.6.0. После того как версия 2.3 была объявлена "полнофункциональной", фокус разработки сместился на улучшение кодовой базы, усовершенствование документации и адаптации postfix для новых программных окружений.

Кроме того, выпущены новые корректирующие релизы Postfix - 2.5.7, 2.4.11 и 2.3.17, в которых представлены исправления, внесенные за последние 5 месяцев.

Основные новшества Postfix 2.6.0:

 * Multi-instance - возможность поддержки нескольких независимых почтовых серверов на базе одного набора установленных компонентов. Для управления добавлена утилита postmulti, которая позволяет создавать, добавлять и удалять дополнительные postfix-окружения. Команды вида "postfix start" автоматически действуют на все доступные окружения. При работе с классической связкой: одна установка postfix - один почтовый сервер, администраторы не заметят изменений;
 * При работе в режиме Multi-instance некоторые управляющие файлы, например, postfix-script, postfix-files и post-install, перемещены из директории конфигурации в общую директорию, заданную параметром $daemon_directory;
 * Поддержка TLS (SSL) расширена возможностью использования алгоритмов эллиптической криптографии, появившихся в OpenSSL 0.9.9. Также SMTP клиент более по умолчанию не использует протокол SSLv2;
 * В Milter-клиенте добавлена поддержка всех типов запросов, поддерживаемых в Sendmail 8.14 Milter, включая запросы на блокирование адреса получателя и запросы на замену адреса отправителя;
 * Postfix более не добавляет заголовки (Resent-) "From:", "Date:", "Message-ID:" и "To:" к сообщениям воспринятым как нелокальные, т.е. не подпадающим под правила $local_header_rewrite_clients. Добавление подобных заголовков приводило к нарушению расчета DKIM сигнатур, которые учитывают и отсутствующие заголовки. Для совместимости с обработчиками логов, в журнале для сообщений без заголовка Message-Id будет отражаться "message-id=<>";
 * По умолчанию теперь активны функции адаптивной настройки параметров в зависимости от нагрузки на сервер, что позволяет postfix временно ужесточить лимиты по времени и числу ошибок, при обнаружении факта перегрузки, например, во время атаки со стороны спамеров или вредоносного ПО.

http://www.opennet.r...shtml?num=21773

[ping_Win]

[size="3"]Mailspect - архивирование и защита почты для почтовых серверов в Linux (реклама) [/size]

Компании Mailspect и Systemline, завершив перевод на русский язык, выводят на рынок России и СНГ новый продукт по управлению почтовым потоком и архивированию почты на базе операционных систем Linux/Unix -- Mailspect MPP.

Система позволяет средним и крупным предприятиям обеспечить соблюдение законности в области хранения почтовой переписки, осуществлять полнотекстовый поиск по почте и почтовым вложениям, а также легко контролировать безопасность переписки как из внешних источников, так и из внутренних. Отличительными качествами Mailspect, по сравнению с продуктами подобными Microsoft Exchange, является высокая производительность и более низкая стоимость поддержки и внедрения.

Mailspect осуществляет взаимодействие со наиболее популярными почтовыми серверами: Postfix, Qmail, Zimbra, Communigate Pro, Sendmail, Axigen.

Mailspect MPP состоит из двух частей:

 1. Архивирование
 Архив MPP позволяет компании централизованно хранить всю электронную почту и соблюдать правила ее хранения. Решение сочетает революционные функции, в частности, политики по автоматическому сохранению почты и очистке почтового хранилища, цифровые подписи почтового хранилища, быстрый полнотекстовый поиск и извлечение почты, а также "интуитивный" web-интерфейс, средства создания запросов для аудита, расширенные настройки и возможности изменения интерфейса.
 2. Защита E-Mail
 Для тех клиентов, которым требуется самый высокий уровень быстродействия при фильтрации вирусов и спама, MPP может быть интегрирован с наиболее популярными коммерческими и открытыми технологиями обнаружения вирусов и спама. Так же система имеет сервер политик. Например, можно задать ключевые слова или тип вложений в почтовых сообщениях, с которыми будут немедленно производиться различные действия: удаление, пересылка, карантин и многое другое.

Узнать более подробно о продукте, а также загрузить пробную версию Вы можете на сайте mailspect.ru.

http://www.opennet.r...shtml?num=23067

[turbo]

[size="3"]Новый стабильный релиз почтового сервера Postfix - 2.7.0[/size]

Анонсирован релиз новой стабильной ветки почтового сервера Postfix - 2.7.0. Сообщается, что при подготовке новой ветки основные усилия были сосредоточены на улучшении кодовой базы, усовершенствовании документации и адаптации postfix для новых программных окружений.

Из новшеств можно отметить:

 * Увеличена производительность работы фильтра контента, вызываемого на этапе до помещения сообщения в очередь. При указании в конфигурации "smtpd_proxy_options = speed_adjust" SMTP-сервер инициирует соединение с фильтром контента только после полного получения текста сообщения, что позволяет уменьшить число активных процессов для фильтрации контента. По умолчанию возможность отключена, так как нет уверенности, что подобное нововведение не вызовет неожиданных проблем;
 * Увеличена производительность кода обратной проверки почтовых адресов. Кэш с данными предыдущих проверок теперь по умолчанию остается в памяти и автоматически очищается через определенные промежутки времени (в переменной address_verify_cache_cleanup_interval по умолчанию установлено значение 12h). При перегрузке, SMTP-серверу более не приходится до 6 секунд ждать окончания проверочного запроса;
 * В списках доступа, правилах проверки заголовков/тела сообщения и в определенных через файл master.cf правилах доставки добавлена поддержка действия "FILTER transportname:", позволяющего использовать схемы оценки репутации отправителя для динамического выбора исходного IP адреса сервера, с которого должен быть сформирован запрос (из списка smtp_bind_address). Также добавлена возможность выбора типа альтернативного транспорта для доставки сообщений от заданных отправителей ( управление через директиву sender_dependent_default_transport_maps);
 * Поддержка демона postscreen, выступающего в роли динамического межсетевого экрана для блокирования сообщений от ботов из зомби-сетей, будет доведена до полностью стабильного состояния в следующей ветке Postfix 2.8. Тем не менее эту возможность уже можно использовать в Postfix 2.7, просто скопировав исполняемые файлы postscreen и dnsblog из экспериментальной сборки Postfix 2.8 и прописав их в master.cf. Суть работы postscreen сводится к выявлению аномально активных клиентов и проведении над ними серии тестов, нацеленных на определения фактов подключения неполноценного SMTP-сервера/клиента. Если клиент успешно проходит тесты, то его адрес на 24 часа помещается в белый список, иначе при провале определенных проверок соединение с клиентом завершается.

http://www.opennet.r...shtml?num=25575

[Радость]

Выпуск Postfix 2.7.0, состоявшийся не так давно, был незаслуженно обойден вниманием. Во исправление сего досадного факта, сообщаем, что:

• в версии 2.7.0 увеличена производительность фильтров типа "before-queue" (фильтрующих SMTP-прокси, вызываемых до помещения письма в очередь). При задействовании опции "smtpd_proxy_options = speed_adjust" Postfix принимает сообщение целиком, прежде чем инициирует соединение с фильтром. Как правило, это позволяет обслуживать тот же объем почты меньшим количеством процессов-фильтров;
• улучшена процедура верификации адреса. База данных сервера verify( отныне является персистентной и претерпевает периодические очистки;
• поддерживается управление репутацией на основании локальных IP-адресов SMTP-клиентов;
• компонент postscreen (который "отсеивает" клиентов-зомби, не создавая при этом дополнительных процессов и разгружая тем самым сервер) не был включен в релиз из-за недостаточной, по мнению автора, стабильности. Тем не менее, желающие могут испытать postscreen в бою, не дожидаясь выхода версии 2.8.0 (установив snapshot 2.8-20100213).

Postfix - модульный современный SMTP-сервер с мощной функциональностью, гибкой конфигурацией и понятным форматом последней. По данным на 2007 год, занимал 2-е место в рейтинге популярности почтовых серверов, и вряд ли за три года сдал свои позиции.


linux.org.ru

[Zhek@Ch]

[size="3"]Стабильные релизы SMTP-сервера Postfix: 2.7.2, 2.6.8, 2.5.11 и 2.4.15 [/size]

Доступна для загрузки порция корректирующих релизов почтового сервера Postfix: 2.7.2, 2.6.8, 2.5.11 и 2.4.15. Ветка Postfix 2.3 объявлена неподдерживаемой, выпуск обновлений для ветки Postfix 2.4 прекратится в 2011 году.

Из исправленных в новых версиях ошибок можно отметить:

• Postfix более не добавляет автоматически CA (certificate authority) сертификаты, используемые в системе по умолчанию, при загрузке сертификатов через директивы {smtp, lmtp, smtpd}_tls_CAfile и {smtp, lmtp, smtpd}_tls_CApath. Данный шаг предотвращает предоставление прав на релеинг почты для сторонних сертификатов, при использовании возможности permit_tls_all_clientcerts. Для возвращения старого поведения необходимо указать "tls_append_default_CA = yes";
• Внесены исправления, повышающие совместимость со старыми версиями Postfix (до 2.3). При отмене выполнения операции передачи данных из пайпа в команду (pipe-to-command) из-за получения сигнала, почта теперь корректно откладывается для повторных попыток, а не отправляется обратно отправителю;
• Устранены проблемы с низкой производительностью работы smtpd_proxy_filter по TCP через loopback-интерфейс (127.0.0.1);
• SMTP-сервер более не применяет опцию reject_rhsbl_helo к формам без имен домена, таким как сетевой адрес, что приводило к ложным срабатываниям при использовании dbl.spamhaus.org;
• При ошибке работы Milter SMTP-сервер вместо возвращения ошибки "421" и разрыва соединения, теперь выводит "503 Access denied" и оставляет соединение открытым;
• В версии Postfix 2.7.2 дополнительно исправлена проблема с работой парсера milter_header_checks, при выполнении действий не влияющих на доставку сообщения (warn, replace, prepend, ignore, dunno и ok).

# opennet.ru

[Zhek@Ch]

[size="3"]Обновление Postfix с исправлением уязвимости в реализации команды STARTTLS [/size]

Доступны для загрузки корректирующие релизы почтового сервера Postfix 2.7.3, 2.6.9, 2.5.12 и 2.4.16 в которых устранена уязвимость в реализации команды STARTTLS, дающая возможность подстановки SMTP-команды в SMTP-сессию, работающую по защищенному TLS-каналу. Причиной проблемы является особенность буферизации входных данных, переданных сразу после SMTP-команды "STARTTLS". Иными словами переданная без шифрования SMTP-команда воспринимается в рамках шифрованной сессии.

Уязвимость может быть использована при осуществлении атаки "человек посередине", при которой злоумышленник пропускает через себя запросы между клиентом и сервером. При проверке серверных сертификатов на стороне клиента злоумышленник при осуществлении подобной атаки не имеет возможности вклиниться в TLS-трафик, но используя рассматриваемую уязвимость, он может отправить свою команду в незашифрованном виде, сразу после команды "STARTTLS" (т.е. в рамках одной пересылки), при этом эта незашифрованная команда будет воспринята в контексте шифрованного TLS-соединения. Например, заменив "STARTTLS\r\n" на "STARTTLS\r\nRSET\r\n" злоумышленник отменит шифрование сессии и сможет получить доступ к почте или перехватить пароль пользователя.

Стабильная ветка Postfix 2.8 и экспериментальная ветка Postfix 2.9 проблеме не подвержены. Кроме Postfix уязвимость присутствует и в других продуктах с реализацией команды STARTTLS, список которых находится на стадии формирования. Более того, проблема не является специфичной для протокола SMTP и в равной мере проявляется для других протоколов, использующих подобную схему перехода на шифрованный канал связи, например, для POP3, IMAP, NNTP и FTP.

# opennet.ru

[Zhek@Ch]

[size="3"]Корректирующий релиз почтового сервера Postfix 2.8.2 [/size]
 
Доступен корректирующий релиз почтового сервера Postfix 2.8.2 в котором отмечено 4 изменения:

• исправлена ошибка с расчетом веса DNSBL в postscreen;
• в SMTP-клиенте добавлена поддержка отправки почты по маршруту "[ipv6:ipv6addr]";
• налажена возможность сборки во FreeBSD 7.4, проблема возникла из-за портирования в ветку FreeBSD 7 функции closefrom();
• налажена возможность сборки компилятором SUN compiler.

# opennet.ru

[Zhek@Ch]

[size="3"]Критическая уязвимость в конфигурациях Postfix, использующих SASL-библиотеку Cyrus [/size]

В почтовом сервере Postfix обнаружена одна из самых серьезных проблем безопасности за всю историю существования проекта. Уязвимость проявляется только при использовании Postfix совместно с SASL-библиотекой Cyrus и задействовании методов аутентификации, отличных от PLAIN, LOGIN и ANONYMOUS, например, проблема присутствует при использовании методов CRAM-MD5, DIGEST-MD5, EXTERNAL, GSSAPI, KERBEROS_V4, NTLM, OTP, PASSDSS-3DES-1 и SRP. Уязвимость не затрагивает код SMTP-клиента и проявляется только для сервера, в настройках которого активированы параметры "smtpd_sasl_auth_enable = yes" и "smtpd_sasl_type = cyrus".

Разработчики не исключают возможность создания эксплоита, который позволит организовать выполнение кода злоумышленника на почтовом сервере с правами непривилегированного пользователя "postfix". Пользователь postfix ограничен в своих правах и не может влиять на работу рабочих процессов почтового сервера, но теоретически может быть использован для эксплуатации незакрытых системных уязвимостей. Поэтому для усиления защиты рекомендуется активировать в конфигурации функцию дополнительной изоляции рабочих процессов, через их помещение в chroot. В качестве временного решения проблемы, можно запретить использование методов аутентификации, отличных от PLAIN и LOGIN (в конфигурации Cyrus (smtpd.conf) нужно указать "mech_list: PLAIN LOGIN").

Уязвимость присутствует во всех версиях Postfix, выпущенных начиная с 13 марта 2000 года. Уязвимость исправлена в оперативно выпущенных обновлениях 2.5.13, 2.6.10, 2.7.4 и 2.8.3, а также в тестовых сборках Postfix 2.9, выпущенных начиная с 1 мая. Дополнительно подготовлены патчи для всех ранее выпущенных версий Postfix, начиная с релиза Postfix 1.1. Обновления с исправлением уязвимости уже выпущены для FreeBSD, но пока недоступны для Linux-дистрибутивов. Статус выхода исправлений можно отследить на следующих страницах: Slackware, Gentoo, Mandriva, openSUSE, CentOS, Fedora, RHEL, Debian, Ubuntu.

Уязвимость вызвана ошибкой, приводящей к выходу за допустимые границы памяти, в коде разработанного в недрах проекта патча для обеспечения работы SASL на базе библиотеки Cyrus. Ошибка проявляется в случае, если после сбоя аутентификации, в рамках той же сессии осуществлена попытка использования другого метода аутентификации. Проблема связана с тем, что в соответствии с рекомендациями по использованию кода Cyrus SASL, в случае сбоя аутентификации необходимо инициализировать новый обработчик, который следует использовать для обслуживания следующего запроса клиента. В ситуации с Postfix, создание нового обработчика завершалось сбоем и последующие попытки аутентификации приводили к повреждению используемых другими подсистемами областей памяти.

Код [Выделить] Expand

1 S: 220 server.example.com ESMTP
 2 C: EHLO client.example.com
 3 S: 250-server.example.com
 4 S: ...other server output skipped...
 5 S: 250-AUTH DIGEST-MD5 LOGIN PLAIN CRAM-MD5
 6 S: 250-AUTH=DIGEST-MD5 LOGIN PLAIN CRAM-MD5
 7 S: ...other server output skipped...
 8 C: AUTH CRAM-MD5
 9 S: 334 PDg5ODE0OTI3MS4xMDQyMTg1OUBzZXJ2ZXIuZXhhbXBsZS5jb20+Cg==
 10 C: *
 11 S: 501 5.7.0 Authentication aborted
 12 C: AUTH DIGEST-MD5
 13 Connection closed by foreign host.

# opennet.ru

[Zhek@Ch]

[size="3"]Корректирующий релиз почтового сервера Postfix 2.8.4 [/size]

Доступен корректирующий релиз почтового сервера Postfix 2.8.4 в котором отмечено 6 изменений:

• Обеспечена поддержка новой нумерации версий Linux-ядра (3.x). Ранее при определении типа ОС в util/sys_defs.h была привязка к нумерации 2.x ("#ifdef LINUX2");
• Решена проблема с замедлением менеджера разбора очередей (queue manager) при большом объеме DSN-уведомлений об успешной доставке. Для ускорения работы Trace-клиент переведен на асинхронный режим работы, уже используемый в bounce- и defer-клиентах;
• Локальный агент доставки игнорировал ошибки при проверке по спискам mailbox_command_maps, mailbox_transport_maps, fallback_transport_maps, а также ошибки проверки владельца алиаса;
• Добавлен обходной путь решения проблемы с выводом ошибки "No IP queries" при проверке в DNSBL-списке dbl.spamhaus.org имен хостов, в которых содержатся цифры после точки (spamhaus воспринимает как IP имена вида mail.123test.ru);
• В реализации команды "sendmail -t" всегда выводилась ошибка "protocol error" вместо "file too large", "no space left on device" и т.п..
• В Milter-клиенте Postfix в некоторых ситуациях выводилась временная ошибка вместо ошибки "file too large".

# opennet.ru

[Zhek@Ch]

[size="3"]Корректирующие релизы Postfix 2.8.6, 2.7.7, 2.6.13, 2.5.16 [/size]

Представлены корректирующие выпуски почтового сервера Postfix - 2.8.6, 2.7.7, 2.6.13, 2.5.16, в которых исправлено 4 ошибки:

• SMTP-демон отправлял "голую" новую строку вместо последовательности CR+LF в ситуации когда REJECT-маска header_checks срабатывала на многострочном заголовке или когда smtpd_proxy_filter возвращал многострочный ответ;
• Устранена несовместимость с будущими реализациями EAI (email-адреса с не ASCII-символами): обработчик MIME больше не выполняет проверку strict_mime_encoding_domain для неизвестных MIME-подтипов, таких как message/global*;
• Управляющий master-процесс мог выводить критическую ошибку "master_spawn: at process limit" после выполнения "postfix reload" при понижении лимитов для некоторых сервисов.

# opennet.ru