Представлен релиз почтового сервера Exim 4.90, в который внесены накопившиеся исправления, добавлены новые возможности и устранены опасные уязвимости. В соответствии с ноябрьским автоматизированным опросом более двух миллионов почтовых серверов, доля Exim составляет 56.56% (год назад 55.49%), Postfix используется на 33.79% (33.06%) почтовых серверов, Sendmail - 4.59% (5.42%), Microsoft Exchange - 0.85% (1.24%).

Основные изменения:

• В оператор ${readsocket } добавлена возможность не закрывать соединение после отправки запроса;
• В smtp-транспорт добавлена опция "hosts_noproxy_tls" для управления, когда несколько доставок через одно TCP-соединение могут поддерживать открытым TLS-соединение;
• Добавлена возможность использования протокола FPSCAND (F-PROT Antivirus Daemon Scanner) для проверки корреспонденции на наличие вредоносного ПО при помощи антивируса F-PROT;
• Добавлена опция, позволяющая обработчикам верификации получателя поддерживать соединение открытым для других получателей и доставок;
• Добавлена поддержка переменной окружения $SOURCE_DATE_EPOCH, применяемой для обеспечения повторяемых сборок;
• Добавлена поддержка альтернативного формата spool-файлов с данными, аналогичного формату wire, более эффективного для приёма и передачи;
• В основной блок конфигурации добавлена опция "commandline_checks_require_admin" для явного определения списка пользователей, которые могут использовать средства интроспекции;
• Для транспорта appendfile в опциях quota и quota_filecount добавлен новый модификатор "no_check";
• Представлена переменная $smtp_command_history, возвращающая список недавно выполненных команд SMTP;
• В логах добавлена возможность указания времени с миллисекундной точностью (log_selector "millisec");
• Возможность использования DKIM с несколькими цифровыми подписями: при определении нескольких цифровых подписей (например, для домена и ключа), соответствующих настройкам dkim_verify_signers, проверка DKIM ACL теперь запускается для каждой подписи. Также добавлена поддержка проверки нескольких хэшей и альтернативных тегов идентификации. Реализован встроенный макрос с применяемым по умолчанию списком заголовков, к которым применяется цифровая подпись. Через DKIM ACL также теперь можно переопределить состояние верификации;
• В exipick добавлена опция "-C" (--config), при помощи которой можно указать альтернативный файл конфигурации;
• Для SMTP-клиентов, работающих через прокси SOCKS5, для операций ${readsocket } и для проверок через ClamAV обеспечена поддержка механизма быстрого открытия TCP-соединений (TFO - TCP Fast Open, RFC 7413), который позволяет сократить число шагов установки соединения за счёт комбинирования в один запрос первого и второго шагов классического 3-этапного процесса согласования соединения и даёт возможность отправки данных на начальном этапе установки соединения;
• Добавлена возможность записи в лог данных о быстром открытии TCP-соединений (TCP Fast Open): для сервера при отправке баннера SMTP, не дожидаясь получение подтверждения (состояние SYN_RECV), а для клиента при открытии соединения с TFO cookie;
• В обработчиках добавлена поддержка макросов в проверочном режиме "-be";
• Добавлена поддержка двойных стеков сертификатов на стороне сервера (например RSA + ECDSA);
• Проведена оптимизация TLS-соединений: Активные TLS-соединения теперь каждый раз не закрывается и открывается вновь, а используется уже открытое соединение для обрабатываемых дочерним транспортом запросов. Включена поддержка pipelining для соединений TLS, позволяя упаковывать в одной TLS-записи (как правило, в одном пакете) клиентские запросы (MAIL,RCPT,DATA) и ответы сервера. Для снижения нагрузки в настройках openssl_options по умолчанию включён режим "+no_ticket" и отключен сессионный кэш (не эффективен, так как для каждого соединения создаётся новый контекст);
• Устранены уязвимости CVE-2017-16943 и CVE-2017-16944 в реализации команды BDAT и расширения "ESMTP CHUNKING", о которых сообщалось в ноябре. Уязвимости могут привести к удалённому выполнению кода на сервере или истечения свободной памяти при передаче определённым образом оформленных команд по SMTP;
• Блокированы уязвимости CVE-2017-1000369 (Stack Сlash, возможность получения root-доступа через Exim из-за того, что при обработке некоторых аргументов командной строки не выполняется корректное освобождение памяти) и CVE-2017-10140 (атака через перенаправление файла конфигурации DB_CONFIG в Berkeley DB).