Postfix 3.10 发布：支持后量子加密和新TLS协议，提升邮件传输安全性

在经历了近一年的等待后，广受欢迎的邮件传输代理（MTA）Postfix 终于迎来了全新的稳定版本——Postfix 3.10。随着新版本的发布，旧版的 Postfix 3.6 将不再继续接收更新，管理员们需要尽快升级。值得注意的是，Postfix 3.10 在内部协议方面做出了调整，安装更新后必须重新加载或完全重启 Postfix，才能确保邮件投递协议正常运行。

接下来，让我们详细看看本次更新的主要亮点与新增功能。

主要新特性

1. 支持 OpenSSL 3.5 后量子加密算法

Postfix 3.10 引入了对 OpenSSL 3.5 后量子加密算法的前向兼容性。这意味着管理员现在可以通过新添加的 tls_eecdh_auto_curves 和 tls_ffdhe_auto_groups 配置项来选择加密算法。如果这两个参数为空，Postfix 会默认使用 OpenSSL 配置的算法。这一变化使得系统在未来能够更好地应对量子计算威胁，确保邮件传输的安全性。

2. 支持 RFC 8689 “TLS-Required: no” 消息头

Postfix 3.10 增加了对 RFC 8689 中“TLS-Required: no”消息头的支持。这意味着即使无法完全强制执行理想的 TLS 安全设置，仍然可以请求投递某些邮件。这对于处理像 TLSRPT 摘要报告这类情况非常有用，使得邮件服务的灵活性和兼容性得到了提升。

3. 新增对 TLSRPT 协议的支持

此外，Postfix 3.10 还添加了对 TLSRPT 协议的支持。该协议通过 DNS 发布特定策略，允许域名接收关于邮件服务器 TLS 连接成功与失败的每日汇总报告。这项功能对于使用 DANE 或 MTA-STS 来保护邮件传输安全的域名来说，尤其重要，有助于提高邮件传输的可靠性和透明度。

4. 增强隐私保护

Postfix 3.10 引入了一项新设置——smtpd_hide_client_session，可以隐藏“Received:”头部中客户端会话的详细信息。这项功能特别适用于邮件用户代理（MUA）提交服务，可以有效提升邮件的隐私保护水平。

5. 改进非 ASCII 字符处理

在本次版本中，Postfix 还改进了对非 ASCII 字符的处理，支持在“From:”头部使用 RFC 2047 编码。这意味着 Postfix 现在能够正确地编码包含非 ASCII 字符的完整姓名，从而避免与不支持 SMTPUTF8 的邮件服务器发生兼容性问题，提升了国际邮件的发送稳定性。

6. 数据库性能优化

对于使用 MySQL 或 PostgreSQL 的用户，Postfix 3.10 也做出了性能优化。当数据库出现连接失败时，系统会立即重新连接，而不再等待长达 60 秒的时间。这样一来，邮件传输的稳定性和可靠性得到了进一步提升，减少了因数据库问题带来的延迟。

7. 增强的日志记录功能

Postfix 3.10 还大幅增强了日志记录功能，管理员可以更容易地排查系统问题。例如，Milter 实现现在记录了更详细的日志，明确说明为何触发了隔离操作，而不再仅仅记录“milter triggers HOLD action”。此外，当连接意外断开时，SMTP 服务器现在会更一致地记录队列 ID，简化了日志分析工作。与 Dovecot SASL 相关的日志信息也变得更加详细，准确显示身份验证失败的原因，从而为故障排查提供了更多帮助。

总结

Postfix 3.10 版本为邮件传输带来了多项有力的改进和新功能，特别是在加密、安全性、隐私保护和日志记录等方面的增强，提升了系统的安全性、稳定性和可操作性。对于邮件管理员来说，这一版本的发布不仅意味着更强的防护能力，还能让他们更高效地管理邮件服务器。若您希望详细了解所有更新内容，可以查看官方的更新日志。

总之，Postfix 3.10 是一次重要的更新，建议管理员尽快升级，以便充分享受这些新功能和改进，提高邮件传输的安全性与稳定性。

The post Postfix 3.10 发布：支持后量子加密和新TLS协议，提升邮件传输安全性 first appeared on Linux迷.