Основные изменения:
- Устранена уязвимость (CVE-2024-39929), вызванная некорректным разбором имён файлов в почтовых вложениях. Уязвимость позволяет обойти фильтры, в которых используется переменная $mime_filename, и добиться передачи исполняемых файлов во вложениях, несмотря на их блокировку в настройках.
- В ACL, применимым к данным, переменным командой DATA, разрешено использование условия dkim_status, позволяющего оценить результат проверки через механизм DKIM (DomainKeys Identified Mail).
- При включении настройки dkim_verbose, выводящей в лог дополнительную отладочную информацию о работе DKIM, обеспечен вывод сведений о цифровых подписях.
- В опции dkim_timestamps, управляющей включением в подпись информации о времени, разрешено указание значения "0" для добавления текущего времени.
- В опции recipients_max, задающей лимит на число получателей для одного сообщения, разрешено использование подстановок и шаблонов.
- При тестировании выражений через команду "exim -be" предоставлена возможность выставления tainted-значений (значения, полученные извне, например, выставленные отправителем письма).
- Добавлена поддержка обработки и отражения в логах события "dns:fail", возникающего при сбое запроса к DNSBL-спискам.
- В lookup-блоки dsearch добавлена поддержка поиска по неполному файловому пути ("${lookup {foo/bar} dsearch,key=path {/etc}}").
- В состав включена утилита mailtest для проверки и диагностики SMTP-соединения.
- Реализована поддержка SMTP-расширения WELLKNOWN, при помощи которого SMTP-сервер может передавать клиенту публичную информацию, например, контактные данные или параметры верификации при получении TLS-сертификата, используя протокол ACME.
- Добавлена возможность использования SQLite3 для хранения внутренних БД, в дополнение к DBD, NDB, GBDM и TDB. Для использования SQLite3 перед сборкой в Local/Makefile необходимо указать "USE_SQLITE = y" и "DBMLIB = -lsqlite3".
Источник: https://www.opennet.ru/opennews/art.shtml?num=61527
(opennet.ru, основная лента)