5 Haziran 2026’da yayımlanan Rspamd 4.1.0, geliştirici ekibinin “tüm kullanıcılara önerilen güncelleme” olarak nitelendirdiği büyük bir sürüm. İçeriğine bakınca bu önerinin abartı olmadığı görülüyor; posta sunucusu işleten herkesin körü körüne geçiş yapmadan önce değişiklik notlarını incelemesi gerekiyor.

Güvenlik yamaları

Bu sürüm, gelen postayla tetiklenebilen birkaç bellek güvenliği açığını kapatıyor.

S/MIME ile yığın tükenmesi (DoS): Derin biçimde iç içe geçmiş application/pkcs7-mime içeren bir ileti, rspamd’ın ayrıştırıcısını max_nested sayacını artırmadan yeniden giriyordu. Sonuç: kötü niyetli bir gönderici, özel hazırlanmış tek bir iletiyle çalışan worker sürecinin yığınını tüketebiliyordu. Düzeltme, S/MIME yeniden girişini mevcut max_nested sınırına bağlıyor.

S/MIME NULL referans hatası: S/MIME imzalı bir iletide sıfır uzunluklu pkcs7-data OCTET STRING geldiğinde ayrıştırıcı direkt çöküyordu. Bu açık için derin iç içe geçmiş yapı bile gerekmiyor — biçimsel olarak geçerli görünen bozuk bir imzalı ileti yeterli.

URL sorgu iç içe geçişi ile DoS: Birkaç kat yüzde-kaçışlı iç içe sorgu URL’si içeren özel hazırlanmış iletiler, çok desenli hyperscan havuzunu tüketiyor ve worker’ı assertion ile durduruyordu. Düzeltildi; artık havuz tükenmesi ölümcül sayılmıyor.

DNS etiket sınır aşımı: rdns_parse_labels işlevi, etiket verisinin pakete sığıp sığmadığını hiç doğrulamıyordu. Kötü amaçlı bir DNS yanıtı, bir memcpy çağrısının tampon sınırını aşmasına yol açabiliyordu. Hem düz hem de sıkıştırılmış etiketler artık doğrulanıyor.

Bu açıkların henüz CVE numarası yok; ancak S/MIME sorunlarının “posta alınca çök” niteliğinde olması — bu tür açıkların nasıl istismar edildiğini bilenler için — acil güncelleme gerekçesi olarak yeterli.

Kırıcı değişiklik: MX kontrolü sembol adı değişti

MX_NXDOMAIN veya MX_MISSING üzerine özel puanlar tanımladıysanız dikkat: bu iki sembol kaldırıldı. Yerini tek bir MX_NONE sembolü aldı. Aynı zamanda modülün Redis önbelleği, tek bir alan adı anahtarından üç katmanlı bir tasarıma geçirildi (d:, m:, i: ön ekleri). Artık aynı MX sunucusunu paylaşan alan adları — Google Workspace kiracılarının tamamı, Microsoft 365 müşterileri, ortak IP havuzu kullanan her ESP — önbellekteki girişleri yeniden kullanıyor; gereksiz DNS ve TCP işlemi ortadan kalkıyor.

Geçiş öncesinde: MX_NXDOMAIN veya MX_MISSING referans alan özel bileşik kurallarınızı ve puan ayarlarınızı gözden geçirin.

ARC ve DKIM düzeltmeleri

İki teslim edilebilirlik düzeltmesi dikkat çekiyor.

ARC başlık sırası: rspamd, ARC kümelerini sözleşmeye uygun ARC-Seal / ARC-Message-Signature / ARC-Authentication-Results sırasında değil, karma tablosu sırasında yazıyordu. Microsoft 365 bu sırayı katı biçimde denetliyor; sunucunuz ARC zinciri üzerinden O365 alıcılarına ileti iletiyorsa bir kısım posta reddedilmiş veya yanlış yönlendirilmiş olabilir. Düzeltildi.

DKIM kalıcı hata eşlemesi: Geçersiz bir DKIM kaydı, Authentication-Results başlığında dkim=permerror yerine dkim=none olarak gösteriliyordu. Bu önemli çünkü dkim=none (“imza bulunamadı”) ile dkim=permerror (“kayıt var ama bozuk”), DMARC değerlendirmesinde farklı anlamlara geliyor. Yanlış yapılandırılmış bir DNS kaydı, sessiz sedasız “eksik” olarak değerlendiriliyordu.

Dikkat çeken diğer eklemeler

ISPConfig veya cPanel kullanan ve rspamd çalıştıran sistem yöneticileri için birkaç kullanışlı yenilik:

  • Takılı tarama tanılaması: Zaman aşımı durumunda artık hangi kuralın taramayı durdurduğu (DNS, Redis, fuzzy, Lua HTTP) ve hangi sembollerin başlayıp bitmediği loglara yazılıyor. Yavaş tarayıcı hata ayıklaması artık çok daha az acı verici.
  • Konteyner dostu yapılandırma: RSPAMD_LOG_TYPE=console ve RSPAMD_PIDFILE ortam değişkenleri, rspamd’ı Docker’da PID 1 olarak yapılandırma dosyalarına dokunmadan çalıştırmaya olanak tanıyor.
  • Çok-kovaklı hız sınırı hatası düzeltildi: Birden fazla kovaya sahip bir hız sınırı kuralı (örneğin 200/1h artı 30/1m) yalnızca son kovayı takip ediyordu; diğerleri sessizce yok sayılıyordu. Çıkış kuyruğu kontrolü için çok-kovaklı hız sınırına güveniyorsanız, bu sessiz arıza bir süredir mevcuttu.

kalfaoglu.net müşterileri için ne anlama geliyor?

rspamd, altyapımızın spam filtreleme katmanının bir parçası. 4.1.0’daki S/MIME ve URL ayrıştırma güvenlik düzeltmeleri teorik değil — özel hazırlanmış posta herhangi bir gelen kutusuna ulaşabilir ve bu açıklar istemciyi değil, filtreleme katmanını etkiliyor. Güncellemeyi kısa süre içinde yayıma alacağız.

Kendi posta altyapınızı yönetiyorsanız ve rspamd çalıştırıyorsanız: 4.1.0’a geçin ve geçiş öncesinde mx_check sembol adlarını kontrol edin.