主な新機能
•SecurityGatewayは クラスタリング 環境でのActive-Activeのデータベースレプリケーションに対応しました。ただし、この機能を使用するには、外部のレプリケーション製品が必要で、このヘルプファイルでは詳細を記載してはおりません。クラスタリング環境でActive-Activeのレプリケーションを行うには、次のPDFを参照してください: SecurityGateway: Configuring Active-Active Database Replication
•情報漏えい保護機能-医学用語の検索 医学用語のリストを定義し、それぞれにスコアを割り当てることができます。メッセージをスキャンし、一致する用語すべてのスコアが合算されます。定義した閾値を超えるスコアを持つメッセージに対するアクションを指定できます。
•メッセージの処理中に、カスタムプロセス/スクリプトを実行し、スクリプトの結果に基づいたアクションを選択する機能が追加されました。
•スクリプトは、設定 » システム » ディレクトリ にある "Sieve実行パス"で指定したディレクトリに配置する必要があります。
•実行やテストで使用できる "execute" Sieveキーワードが追加されました。
•最初のパラメータは、スクリプト名です。現時点では、.bat, .exe,そして、PowerShellがサポートされています。
•2つ目のパラメータは、プロセスに渡される引数です。message_filenameには、現在処理されているメッセージのRFC822ソースへのフルパスを指定します。
•例として、 if execute "Test.ps1" "-msg '${message_filename}'" { }
•ドメイン内のすべてのアーカイブメッセージをエクスポートする機能が追加されました。
•変更/監査ログ - 設定の変更や誰がそれを行ったのかを記録する新しいログファイルが追加されました。
•ユーザーと管理者へ 指定日時での隔離レポート送信を行う機能を追加しました。
• メールで送付される隔離レポートへ最後に送った隔離レポートの後で新たに届いたメールのみをレポートするオプションを追加 しました。隔離レポートは対象のメールがない場合は生成されません。
•"パスワードを紛失" を見直し、ユーザーパスワードを変更するリンク情報を持つメールを送信するようになりました。
•LetsEncrypt - 新しい発行者を検索するようにスクリプトを更新しました。
•DKIM署名 に、SHA265ハッシュを使えるように更新しました。
•XMLRPC APIとPowerShellモジュールに、 GetServerSetting と PutServerSetting メソッドを追加しました。
•設定/ユーザ | メール設定 | Emailプロトコル の画面に、SMTP接続とプロトコルタイムアウトの値を指定できる機能を追加しました。
•メッセージログ | メッセージ情報 | メッセージ タブから添付ファイルをダウンロードできる機能を追加しました。
•警告、確認、プロンプトのメッセージボックスを更新しました。
•参考として、いくつかのPowerShellスクリプトのサンプルを docs\API\PowerShell Samples フォルダに用意しました。
•クラスター化された環境で、 HELOドメインを(設定/ユーザ | メール設定 | Emailプロトコル)から、各サーバ毎に指定できるようになりました。この値は、クラスタ内の各サーバ独自に設定できます。
•Webインターフェースからデータベースに対する SQLコマンドを手動で実行できるようになりました。この機能は、技術サポートからの案内があった時のみ使用し、実行前にはデータベースのバックアップを取得することを推奨します。
•隔離レポートの通知メールに、"ブラックリストドメイン"リンクを付けるオプションを追加しました。
すべての変更とバグ修正の一覧については、WindowsスタートメニューのSecurityGatewayプログラムグループにあるリリースノートを参照してください。
•メールプロトコル ページ (設定 » メール設定 » メールプロトコル)で、使用可能な場合ESMTPを使用するとESMTP SIZEコマンドパラメータを隠すの2つのオプションが削除されました。どちらのオプションも周知され、使用できる場合には常に使用されるようになったためです。
•clamd.confファイル内にある設定内容で、多くの変更や廃止項目があったため、インストーラでclamd.confファイルを上書きするようになりました。もし、clamd.confファイルに個別の設定を加えている場合、インストール後にファイル内の再調整をお願いします。
•ログ設定 オプションのoption to "曜日に基づくログファイルを作成する"オプションが削除されました。もし、このオプションを選択されていた場合、バージョンアップ処理によって、"新規ログファイルセットを毎日作成する"オプションへと変更されます。
SecurityGatewayのクラスタリング機能は、ネットワークにある2台以上のSecurityGatewayサーバー間で設定を共有する目的で開発されました。これにより、複数のSecurityGatewayサーバー間で、メールの処理に対するソフトウェア・ハードウェアとしてのロードバランシングを行い、処理速度の向上や効率化を図る事ができるようになります。また、サーバーのハードウェア、ソフトウェアとしての冗長化も行えるため、メールシステムの可用性を向上される事ができます。SecurityGatewayのクラスタリング機能について知っておくべきポイントを紹介します(より詳細な情報はクラスタリングを参照してください):
•クラスタリング機能では、単一のデータベースの共有を複数台のアクティブなSecurityGatewayのインスタンス/サーバで行えるようにします。
•外部のFirebirdバージョン3データベースサーバは、手動でインストールと設定を行う必要があります。
•インストーラ―にオプションが追加され、初期インストール中に外部Firebirdサーバパラメータを指定できるようになりました。既存のインストール環境では、コマンドラインからsgdbtool.exeコマンドを使って外部のFirebirdデータベースサーバへと接続できるように設定できます。
•クラスタサーバ間で共有するストレージは、各サーバからUNCパスでアクセスできる共有フォルダの設定が必要です。これによりユーザーアカウンをSecurityGateway Windowsサービスへ変更する必要も生じる場合があります。
•プライマリサーバーで、定期メンテナンスタスクを実行します。
•クラスタ内の各サーバには、それぞれ異なるレジストレーションキーが必要となります。
•SecurityGateway 7.0にはFirebird 2 と 3 のランタイムが含まれており、どちらもインストールされます。
•SecurityGateway 7.0の新規インストールではFirebird 3が使用されます。
•バージョンアップでは、Firebird 2 が継続して使用されます。
•新しいクラスタリング機能にはFirebird 3 データベースが必要です。
•Firebird 3と互換性があるようにデータベースをアップグレードするには、2.xランタイムを使用してバックアップし、3.xランタイムを使用して復元する必要があります。 管理者は、コマンドラインから\SecurityGateway\Appのsgdbtool.exeコマンドを使用して既存のデータベースをアップデートすることができます。データベースを変換するには、SecurityGatewayサービスを停止し、コマンドプロンプトから"sgdbtool.exe convertfb3"を実行します。
ユーザーオプション で管理者は、ドメイン毎に2段階認証(2FA)の使用を許可したり、必須とすることができます。もし2段階認証を必須とした場合、ログイン時に2段階認証の設定画面が表示されます。または、2段階認証のため、メイン -> アカウント -> 2段階認証から設定を行ないます。
SecurityGatewayは、サードパーティーサービスから過去にセキュリティ侵害を受けたパスワードリストを参照し、ユーザーのパスワードが該当していないかをチェックすることができます。サービスにパスワードを送信することなく、このチェックを行なうことができます。ユーザーのパスワードがこのリストに該当しても、アカウントがハッキングされているわけではありません。以前に誰かが同じパスワードを使って攻撃を受けたことがあることを意味しています。表示されたパスワードは、ハッカーの辞書攻撃に使用される可能性があります。他で使われたことの無いユニークなパスワードは、より安全となります。詳しくは、Pwned Passwordsを参照してください。
管理者を編集 ページで新しいオプションが追加され、ドメイン管理者が新しくドメインを作成できるよう許可できるようになりました。管理者は作成したドメインのドメイン管理者として自動登録されます。作成を許可するドメイン数の上限もここで指定できます。
RequireTLSはメールの送信時TLSを必須とするようフラグ付けできるSMTP拡張です。TLSが不可能(またはTLS証明書の交換が不可能)の場合、メールは暗号化されずに送信するのではなく、エラーとして戻されます。RequireTLSはデフォルトで有効ですが、RequireTLSの処理対象となるメッセージは新しいコンテンツフィルタアクションである「REQUIRETLS…のフラグを追加」でコンテンツフィルタによるフラグ付けされたものか、<local-part>+requiretls@domain.tld (例えばarvel+requiretls@mdaemon.com) 宛のメールだけです。他のメールは全て、サービスが無効であるかのように処理されます。RequireTLSの要件と設定についてはREQUIRETLS (RFC 8689)の有効化オプションを参照します。RequireTLSの説明はRFC 8689: SMTP Require TLS Option.を参照してください。
SMTP MTA-STS (RFC 8461) - Strict Transport Security
IETFによる MTA-STS に関する取りまとめが完了したため、この機能を実装しました。SMTP MTA Strict TransportSecurity (MTA-STS)は、メールサービスプロバイダー(SPs)側でメールを受信するにあたり、セキュアなSMTP接続が行えるトランスポート層レベルのセキュリティTransport Layer Security (TLS) に対応していることを宣言し、信頼のできるサーバ証明書を使用していない場合にメール送信側でメールを送信するかしないかを指定できる仕組みです。 MTA-STSは、デフォルトで有効となります。設定についての詳細はMTA-STS (RFC 8461)の有効化を参照してください。MTA-STSについては、RFC 8461: SMTP MTA Strict Transport Security (MTA-STS)にて詳細をご確認頂けます。
TLSレポートは、MTA-STSポリシーの取得やSTARTTLSを使ったセキュアな接続のネゴシエーションに失敗した通知を、MTA-STSを使用するドメインに行ないます。有効にすると、SecurityGatewayは各MTA-STSを使用するドメインへその日の送信した(もしくは送信を試みた)メールのレポートを日次で送ります。 レポートに含む情報について、幾つかの設定が用意されています。TLSレポーティングはデフォルトで無効に設定されており、RFC 8460: SMTP TLS Reportingで議論されています。
•SecurityGatewayの管理画面を、より現代的な表示にアップデートしました。
•FusionCharts 表示コンポーネントをアップデートしました。
•指定した送信者からのメールには、 ウィルススキャンを行わない設定が追加されました。
•ホワイトリストをブラックリストより優先するオプションが追加されました。
•LetsEncryptに、マシンで実行されているPowserShellのバージョンを確認するようにさせ、もし正しいバージョンがインストールされていない場合にはエラーで返すようになりました。
•LetsEncryptは、PSModulePath環境変数をチェックして、SGモジュールパスが含まれているかを確認します。含まれていない場合は、セッションに追加します。
•LetsEncryptは、LetsEncryptシステムのステージングとライブを切り替える際、アカウントを削除し再作成するようになりました。
•LetsEncryptは、チャレンジが失敗したときにLetsEncryptからエラーを取得し、ログと画面にデータを書き込むようになりました。
•LetsEncryptは、コマンドラインから使用できる新しい -Stagingスイッチを持っています。このスイッチが使用されると、スクリプトはLetsEncryptステージングシステムへ証明書の要求行ないます。
•JSTreeライブラリーをバージョン3.3.8へとアップデートしました。
•SecurityGateway Windowsサービス に、実行するユーザーアカウントの指定ができるようになりました。
•SIEVE Variables Extension RFC-5229に対応しました。
•SIEVE Variables Extensionに、:eval修飾子を追加し、シンプルに設定できるようになりました。
例:
require "securitygateway";
require "variables";
require "fileinto";
if header :matches "from" "*" {
set :length "length" "${1}";
set :eval "fileintovar" "${length} * 25 - 1 / 8+3";
fileinto "${fileintovar}";
}
• "曜日に基づくログファイルを作成する"オプションが削除されました。もし、このオプションを選択されていた場合、バージョンアップ処理によって、"新規ログファイルセットを毎日作成する" オプションへと変更されます。
•パスワード入力時に、入力したパスワードの表示をする/しないのオプションが追加されました。ユーザーオプション 画面にて、このオプションを無効にすることもできます。
•Cyren AVアップデータが、ウィルス定義ファイルのダウンロード時にTLSを使用するようになりました。
•ログファイル名にコンピューター名を含む オプションを追加しました。 このオプションは、クラスタ構成にある複数のサーバがUNCパスを使って、同一のログ保存場所を使用する場合に必要です。
•インストーラへ、初期インストール時に外部のFirebirdサーバを指定するパラメータオプションが追加されました。
•Chilkatライブラリーをバージョン9.5.0.82へとアップデートしました。
•ログオプション へ指定したIPアドレスからのSMTP/HTTP接続ログを記録しないオプションが追加されました。指定したIPアドレスからの不完全もしくは、拒否したSMTPメッセージはデータベースにも記録されません。もしメッセージの配信が行えた際には、データベースに記録されます。
• Sieveスクリプトの処理へ、SecurityGatewayがメッセージを配信するにあたり変更や特定をおこなうためのSMTPエンベロープSenderの指定に、"changesender"を使用することができるようになりました。
•Cyren AVエンジンをバージョン6.3.0r2へとアップデートしました。
•ClamAVをバージョン 0.102.4へと更新しました。
すべての変更とバグ修正の一覧については、WindowsスタートメニューのSecurityGatewayプログラムグループにあるリリースノートを参照してください。
LetsEncrypt機能が、ACME v2を使用するようにアップデートされました。このアップデートにより、LetsEncryptのご使用にあたりまして、ACME v1,PowerShell 5.1, Net Framework 4.7.2の使用ができる環境が必要となりました。
•ClamAVのバージョンを0.102.0へとアップデートしました。
•Cyren AV エンジンが、Version 6.2.2 へとアップデートしました。
•添付ファイルのフィルタリング機能において、RAR形式の検索も行えるようになりました。
•アーカイブオプションとして、特定のメールアドレスとの内部メールと外部メール、全てのメールを含む ジャーナルレポート 送信オプションが追加されました。
•RMail 処理を行なうためにトリガーとして使用される件名タグを削除する機能が追加されました。
•RMail 処理から予定表への会議招集メッセージを除外することができるようになりました。
• 外部サーバのFirebirdサーバを使用できるようになりました。sgdbtool.exeから、"-setdbconnect"パラメータを使って、データベースへのアクセスのためのIPアドレスやパス/エイリアス、ユーザー名、パスワードを指定できるようになりました。
•Webインターフェース内の「隔離メールに"ブラックリスト"リンクを含める」の記述を「隔離リストとメールに"ブラックリスト"オプションを含める」へと変更し、ユーザーの隔離メールリスト表示に反映しました。
•XML API機能において、Sieve スクリプトを管理できるようになりました。
•XML API機能において、アーカイブ機能の有効化やアーカイブストアの管理を行えるようになりました。
•DKIM ADSPに関連する全ての設定項目が削除されました。
•TNEF (winmail.dat)形式のファイル内にある制限された添付ファイルのウィルスチェックが行えるようになりました。
•ドメインメールサーバからのメッセージであれば、SMTPセッションの認証が行われていなくても、DKIM署名(機能が有効になっていれば)を行うようになりました。
•ウィルススキャンにおいて、ドキュメント内のマクロの検出を行なうオプションが追加されました。
•レジストリへの反映が無効になっているため、64bitのWindowsOS上で稼働する32bit版のSecurityGatewayでも、"64bit版用としてのWindowsレジストリ"が使用されます。そのため、Wow6432bitノードに存在する可能性のあるレジストリキーと値は、HKEY_LOCAL_MACHINE\SOFTWARE\ALT-N Technologies\SecurityGatewayにもコピーされるようになりました。
•すべての変更とバグ修正の一覧については、WindowsスタートメニューのSecurityGatewayプログラムグループにあるリリースノートを参照してください。
新しいアーカイブ画面ではアーカイブメールの保存や特定のユーザーが送信(オプションで受信)したメールを削除するまでの期間をコントロールするのに使用でき、「訴訟ホールド」オプションで、SecurityGatewayで指定した権限に関わらず、一時的にアーカイブメールが削除するのを防ぐ事ができるようになりました。
その他の新しいアーカイブ機能
•アカウント » ユーザーオプション » アクセスコントロール へ、ユーザーはアカウント宛又はアカウントから送信したメールアーカイブを削除できるというオプションを新たに追加しました。このオプションはデフォルトで無効になっています。
•ユーザー設定 ページへ新しいリンクを追加し、ユーザー宛のメールやユーザーから送信した全てのアーカイブ済メールを削除できるようになりました。メールを削除する前に、確認ボックスが表示されます。
ユーザー検証ソース としてOffice 365/Azure Active これによりSecurityGatewayがOffice 365/Azure Active Directoryのユーザーを直接クエリしたり、関連するエイリアスを取得したり、パスワード認証する事ができるようになりました。Office 365/Azure Active Directoryのクエリを実行するには、最初に https://www.altn.com/Support/KnowledgeBase/KnowledgeBaseResults/?Number=1229の手順に沿って権限を付与する必要があります。
•ブラックリストとホワイトリストの検索が行えるようになりました。
•隔離レポートをスコアでソートする機能を追加しました。スパムスコアが低いものや誤検知と思われるメールはレポートの上位に表示されます。
•LetsEncryptで指定した証明書を削除するためのオプションを追加しました。SecurityGatewayと同じFQDNをサブジェクトとして保有しており、期限切れから30日を経過した証明書が対象となります。このオプションを使用するには、コマンドラインパラメータで -RemoveOldCertificatesを渡してください。
•LetsEncrypt: デフォルトでPowershellではSSLv3とTLS1.0のみに対応しています。アクティブセッションで TLS1.0,1.1, 1.2へ対応するための新しいコードを追加しました。PowerShellでクライアントのオペレーティングシステムで SSL/TLSプロトコルの対応を許可する事ができるようになりました。オペレーティングシステムのクライアントプロトコルでTLS1.0を無効化すると、PowerShellはTLS1.0を使用しなくなります。
•Chilkatライブラリをバージョン9.5.0.78へアップデートしました。
SecurityGatewayは、Windows Vista または Windows Server 2008 以上で稼働するようになりました。マイクロソフト社によるセキュリティ修正プログラムの廃止や、必要な機能が搭載されていないことから、Windows XPやWindows 2003上での稼働ができなくなりました。
長期間のメールアーカイブを行えるようになりました。アーカイブされたメールは、全文検索が可能になります。アーカイブされたメッセージは、設定可能なアーカイブストアに格納されます。
64bit版のオペレーティングシステム上で、SecurityGatewayの64bit版をご使用頂けるようになりました。64bit版では、搭載されたメモリーを有効に使用し、より多くの数のセッションを張れるようになりました。
情報漏洩保護 に向けたルールのテンプレートを60以上に増やし、ご利用頂けるようになりました。
•Google G suiteへの対応が強化されました。ドメインメールサーバーが、Google G Suite (aspmx.l.google.com)へメール送信を行なう設定となっていた場合、Google G Suiteからの接続をドメインメールサーバからとして扱うことになりました。 これにより、SecurityGatewayをGoogle G Suiteの アウトバウントゲートウェイ として、使用できるようになりました。
•RFCに準拠していないメッセージや"'From' がDMARCと互換性がない場合、受信メッセージを拒否する"といったメッセージの受信を拒否するオプションが追加されました。
•メッセージログでの表示において、インバウンド/アウトバウンドのアイコンを更新しました。
•IPアドレスが異なっていても、各ドメイン毎に異なるサーバ証明書の使用が可能な、TLS Server Name Indication (SNI)に対応しました。複数のサーバ証明書が有効になっている場合、SecurityGatewayでは、サブジェクトの別名の項目に記載されたホスト名で対応するようになりました。
•自己発行するサーバ証明書のキューサイズが大きくなりました。これは、SHA1に変わりSHA2を使用したり、サブジェクトの別名に実体のホスト名を自動的に含めるようになったからです。
•Cyren AVエンジンをバージョン 6.2.0r2 へと更新しました。このバージョンにより、これまでいくつかのスキャンエラーが発生していた問題が修正されます。
•SMTPコールバック検証において、STARTTLSを使った暗号化通信を行えるようになりました。
•ClamAV をバージョン 0.101.1 へと更新しました。
IPv6に対応しました。SecurityGatewayは、OSがサポートするIPv6機能のレベルを検出し、可能な場合はデュアルスタックを検出します。 それ以外の場合、SecurityGatewayは両方のネットワークを個別に監視します。 「可能な限りIPv6の送信用ホストへ接続する」を選択すると、外部へのSMTP接続は可能な限りIPv4よりもIPv6での接続を優先します。
IPv6のご使用に関連する設定は、設定 | システム | IPv6から行えます。
•Cyren AV エンジンを AVSDK 5.4.30.7 へと更新しました。これにより、スキャンエラーが発生する場合がある問題への修正となります。
•ClamAV のバージョンを 0.99.4 へと更新しました。
•すべての変更とバグ修正の一覧については、WindowsスタートメニューのSecurityGatewayプログラムグループにあるリリースノートを参照してください。
•SecurityGateway が参照するDNSサーバー を追加できる機能を追加しました。デフォルトでは、Windows OSが参照しているDNSサーバを参照していました。
•ClamAVのバージョンを0.99.3へと更新しました。
•社名変更に伴い、Alt-N Technologies から MDaemon Technologiesへと製品内での表記を変更しました。
•RMailを使用し送信されたメールには、ToやCCフィールドに "rpost.biz"のサフィックスドメインが追加されるようになりました。これは、正しくRMailレポートのレポートを収集し、表示するために必要な変更となります。
•ドメイン毎に特定のブランド設定/イメージを設定していた場合、カスタムイメージをドメインIPにも割り当てることができるようになりました。
•LetsEncryptが Acme-ChallengeとPEMディレクトリから180日よりも古いファイルをクリーンアップするようになりました。SecurityGatewayで設定されたデフォルトドメインで始まるファイル名の.PFXファイルだけが削除対象となります。削除されたファイル名はLetsEncrypt Logファイルへ記録されます。
•すべての変更とバグ修正の一覧については、WindowsスタートメニューのSecurityGatewayプログラムグループにあるリリースノートを参照してください。
地域を元にしたブロッキングシステムの開発により、世界の無許可の地域からのSMTPやRemote Administration接続を制御できるようになりました。新しい設定画面が セキュリティ|不正使用対策|国別スクリーニングへ追加されました。
•EUのデータ保護規制などの法令遵守を支援するために、管理者はユーザーオプションに利用規約を追加できるようになりました。 SecurityGatewayにログインする度、ユーザーがこれを承認できるようにするには、このオプションを有効にします。 ユーザーはボックスをクリックする事で利用規約を承認できます。
•メッセージの詳細ビューへハイパーリンクを追加し、ホワイトリストとブラックリストに一致したエントリを確認できるようになりました。
•Office 365対応が強化されました。 ドメインメールサーバーがOffice 365(mail.protection.outlook.com)にメールを配信するよう構成されていた場合、Office 365メールコネクタからの接続はドメインメールサーバーからの接続として扱われます。
•メッセージログ | メッセージソースビューへボタンを追加し、メールをEML形式でダウンロードできるようにしました。このオプションはメールのコンテンツがSecurityGatewayデータベースで利用可能な場合のみ利用できます。
•LetsEncryptログにトラブルシューティングを容易にする詳細が追加されるようになりました。 ログには、LetsEncrypt.comへのURLが含まれていて、これは問題を説明するのに役立ちます。
•すべての変更とバグ修正の一覧については、WindowsスタートメニューのSecurityGatewayプログラムグループにあるリリースノートを参照してください。
設定/ユーザ » メール設定 » メールプロトコルにある"CRAM-MD5認証方式を受け付ける" オプションはセキュリティ及び技術的な理由からデフォルトで無効化されました。パスワードをクリアテキストで送信しないようにするには、TLSを使用することをお勧めします。
RMail™ はRPost®が提供するサービスで、直感的に使用する事ができ、受信者側で特別なソフトウェアなども必要ありません。RMail™ は企業規模、業界、職種を問わずご利用頂けます。
RMailサービスはRPostの Registered Email Emailテクノロジを基にした、メールの配信証明における世界標準サービスです。RMailサービスは、貴社のメールシステムへ次の機能を追加します:
•重要なメールを記録し配信時や開封時に通知します。
•配信、時間、内容を証明します。
•セキュリティや法令順守のため、機密メールや添付ファイルを簡単に暗号化します。
•RMail™で操作、配送、開封の処理やE-署名の付与を簡単に行えるようになります。
RPostのトライアルアカウントでは、ユーザー毎に月5通までの暗号化メールを送受信できます。追加が必要な場合はRPostから購入できます。メールの数に応じた料金については、RPost.comから詳しい情報を確認して下さい。
RMail™サービスはセキュリティ | RMailページからか、メッセージコンテンツフィルタルールの処理として設定できます。
SecurityGatewayで SSL/TLSとHTTPS を使用するためには、 SSL/TLS証明書 が必要です。証明書は 認証局 (CA) で発行される小さなファイルで、サーバーへ接続するクライアントやブラウザから検証を行ったり、サーバーへの接続にSSL/TLS/HTTPSで安全な接続を行ったりするのに使用します。Let's Encrypt は手動での証明書作成、署名、検証、インストール、更新にかかる複雑な処理を自動化できる無償の証明書を発行している認証局です。
Let's Encryptで証明書の管理を自動化するため、SecurityGatewayでは"SecurityGateway\LetsEncrypt"フォルダへPowerShellスクリプトを用意しています。スクリプトへ依存する、ACMESharpモジュールにはPowerShell 3.0 が必要で、スクリプトはWindows2003では動作しません。さらに、SecurityGateway HTTPサービスはポート80番を使用する必要があり、HTTPチャレンジが完了しないとスクリプトが動作しません。使用する際にはスクリプトを実行する前にPowerShellの実行ポリシーを設定しておく必要があります。スクリプトを実行すると、http-01にチャレンジに必要なファイルをSecurityGateway HTTP (テンプレート)フォルダへ格納するといった Let's Encryptで必要な全ての処理が行われます。SecurityGatewayで設定されたデフォルトドメインのFQDNは証明書用のドメインとして、証明書の取得、Windowsへのインポート、SecurityGatewayのXMLRPC APIを使った証明書の設定で使用されます。
もしもデフォルトドメインとしてSecurityGatewayサーバー以外を指しているFQDNを使っている場合は、このスクリプトは機能しません。証明書で使っているホスト名を使用する事もできます。その場合はコマンドラインで対象のホスト名を渡す必要があります。
使用例:
..\SGLetsEncrypt.ps1 -UserName admin@domain.com -Password Password1 -AlternateHostNames mail.domain.com,imap.domain.com,wc.domain.com -EmailErrorsTo admin@domain.com
AlternateHostNames の一覧へデフォルトドメインのFQDNを入れる必要はありません。例えば、デフォルトドメインが "example.com"で、FQDNが "mail.example.com"だった場合、関連するホスト名として"imap.example.com"を指定したとします。スクリプトを実行すると、"imap.example.com" だけが関連するホスト名として認識されます。さらに、関連するホスト名は、それぞれがHTTPチャレンジをパスする必要が生じます。チャレンジが完了しないと、処理が完了しません。
関連するホストを使用しない場合は、コマンドラインへ –AlternateHostNames パラメータを使用する事ができません。エラー発生時にメール通知が送信されないようにするには、コマンドラインで–EmailErrorsToを使用しないでください。
•Cyrenアンチウィルスエンジンを5.4.28-r1へバージョンアップしました。
•Cyren Outbreak Protection SDKをバージョン8.00.0125へアップデートしました。
•SpamAssassinエンジン (SGSpamD.exe) へ文字コード変換と標準化を行うためのエンコードモジュールを追加したものへアップデートしました。
•Firebirdデータベースへの書き込みモードを非同期から同期へ変更しました。これによりデータベース破損を引き起こす問題の幾つかが解消されます。ただし、この変更によりパフォーマンスにかかる負荷が大きくなります。これはほとんどの場合問題にはなりません。設定 |データベース へ新しい設定画面を追加し、データベースの書き込みモードを指定できるようにしました。非同期書き込みモードは同期書き込みモードで問題がある場合にのみ選択して下さい。システムが信頼性のあるUPSで保護されていて、データベースのバックアップが適切に管理されている事が非常に重要です。
•ビルドインのクラッシュメモリーダンプ生成コードをWindows Error Reporting用のレジストリエントリを生成するコードへ入れ替えました。この機能にはWindows Server 2008/Windows Vista以上が必要です。securitygateway.exeがクラッシュした場合のメモリーダンプファイルは「CrashDumps」フォルダへ生成されます。 このフォルダの場所は設定/ユーザー |システム | ディレクトリページにて変更する事ができます。
•配信用のキュー 画面へ「結果」カラムを追加しました。
•Sieveの「allof」テスト用の「proximity」タグ拡張を導入しました。これにより指定数毎のproximity内に複数の検索文字を持つスクリプトを使用できるようになりました。
•XML-RPC APIへGetSettingとPutSettingのメソッドを追加しました。
•設定 » メール設定 » メールプロトコル へ「Received:ヘッダの応答でソフトウェアバージョン情報を非表示にする」オプションを追加しました。このオプションはデフォルトで無効に設定されています。
•SecurityGatewayはライセンス情報の更新リクエストをMDaemon Technologiesへ送る際、稼働しているOSバージョンを報告します。この情報は対応OSの決定を行う際非常に役に立つ情報です。この情報を報告しないようにするには、ウェブ画面の設定 » 登録 より、「ライセンス要求の際オプションの利用状況や環境データを送信」のオプションを無効化して下さい。
•セキュリティ » アンチスパム » Backscatter Protection へ、バックスキャッタ保護のreturn-path署名の対象から除外するサイトのIPアドレスやドメイン名を指定するオプションを追加しました。
•許可する最大のSMTPメッセージサイズをドメイン毎に指定するオプションを追加しました。
•すべての変更については、WindowsスタートメニューのSecurityGatewayプログラムグループにあるリリースノートを参照してください。
ウェブインターフェイスをアップデートし、モバイルファーストのレスポンシブデザインを採用しました。対応ブラウザはIE10以上、最新版のChrome、最新版のFirefox、MacとiOSの最新版Safariに限定されます。 Androidの標準ブラウザはスクロールにおける既知の問題が確認されていますが、Android端末に搭載したChromeでは正常動作を確認しています。
このデザインは使用しているウィンドウサイズを元に生成されています。ユーザーが、電話、タブレット、PCのどれを使っていても、ウィンドウサイズに合わせて表示されます。最も重要な変更点はメニューです。 956pixelを境目として、左側のメニューが隠れた状態になります。このメニューを表示するには2つの方法があります。タッチデバイスを使用している場合は、右側でスワイプする事で2つ目のメニューが表示されます。タッチデバイスがどうかに関わらず、左上の画面端にあるメニューボタンを押す事で、2つ目のメニュー表示が行えます。左向きの矢印付で表示されているメニュータイトルをタップ又はクリックする事でメインメニューが表示されます。画面右端にあるヘルプ、about、サインアウトメニューも、画面の幅を元に表示が異なります。768pixelを境目に、ヘルプ、About、サインアウトの文字が表示され、481から767pixelはアイコンのみが表示されます。480pixel以下ではギアアイコンだけの表示になり、これをクリックすると、ヘルプ、About、サインアウトのオプションが表示されます。1行を超える列を表示する場合は、オン/オフボタンを使用します。
Domain-Based Message Authentication,レポーティング & Conformance (DMARC)とは、メールのFrom:ヘッダを偽装したスパムやフィッシングメールを減らす目的で設計された標準規格です。DMARCを使う事で、ドメイン所有者は宛先サーバーにDNSを通して、自分のドメインを名乗ってはいるものの実際の情報とは異なっているメールをどのように扱うか、といったポリシーを通達できるようになります。宛先サーバーへメール受信時のDNSクエリによる送られるこのポリシーでは、ポリシーに準拠していないメールを隔離するのか、拒否するのか、何もしない(つまり通常通り処理する)のかを定義するのに使用します。ポリシーに加え、ドメインのDMARC用DNSレコードには、サーバーに対して自社ドメインの名乗る偽装メールの数や失敗した認証の回数や、それぞれの詳細情報をDMARCレポートとして送信するようリクエストも含まれています。DMARCのレポート機能はメールの認証処理の効果やドメインがどの位の頻度で偽装されているのかを検証するのに大変役立つ機能です。
セキュリティ » 不正使用対策 以下には、SecurityGatewayのDMARCの検証とレポートに関連した3つの設定画面, DMARC検証, DMARCレポート, DMARC設定をご用意しています。
複数のIPアドレスを割り当てられたサーバーで、ドメイン毎に使用するIPアドレスを割り当てられるようになりました。対象ドメインからのメールは関連付けられたIPアドレスから送信されます。SMTPホスト名もドメイン毎に指定できるようになります。この値は Fully Qualified Domain Name (FQDN)で、ドメインからのメール送信時にSMTP HELO/EHLOで利用されます。受信時の接続において、複数ドメインがこのIPアドレスを使用していた場合、アルファベット順で最初のFQDNが、SMTPホスト名として使用されます。
•従来のDomainKeysメッセージ認証システムへの対応を終了しました。Domainkeysは現在では使われなくなった技術であり、SecurityGatewayでも対応しているDKIMが今では代わりに使われています。セキュリティ | 不正利用対策の中のDomainKeysやDKIMに関連したダイアログの中の幾つかを再構成し、DomainKeys関連のオプションの削除や、既存オプションの再配置を行いました。インストール処理の中ではDomainKeys.dllの削除が行われます。
•Sender-IDの対応を終了しました。Sender-IDは普及する事のないまま、古い技術となりました。
•ダッシュボード と 開始ページ で統計グラフを表示するタイミングの設定が行えるようになりました。設定 と ユーザーオプション ページから設定が行えます。「自動」(デフォルト)、「常に」、「手動」、「非表示」の4つの選択肢があります。
•ディスク容量 の監視ページで表示する値をKBではなくMBへ変更し、デフォルト値を変更しました。
•フィルタダイアログへIPアドレスとしてCIDRパターンを入力するだけで、 CIDR表記 を使った送信元IPアドレスでメッセージログのフィルタが行えるようになりました。
•すべての変更については、WindowsスタートメニューのSecurityGatewayプログラムグループにあるリリースノートを参照してください。
•Outbreak ProtectionとCYREN AntiVirus がSecurityGatewayに標準パッケージされました!これに伴い、SecurityGatewayの別レイヤーのセキュリティとしてアンチウィルスやアンチスパムであったProtectionPlusは販売終了となりました。
3.0.3の新機能
•圧縮されたアーカイブファイル(.zip and .rar)内からも制限された拡張子を検出できるようになりました。アーカイブファイル内の16階層までスキャンすることができます。
•暗号化 ページへ"STARTTLSホワイトリスト"や"STARTTLS要求リスト"オプションを追加し、特定のドメイン、ホスト、IPアドレスをSTARTTLSの使用対象から除外できるようになりました。
•暗号化ページへ SSLを使ったSMTP接続ができない場合に一時的にホワイトリストに登録を行ない、送信できるようになりました。この場合のホワイトリストは、1時間毎に更新されます。
•SecurityGatewayは、TLS 1.1と1.2に対応しました。Windows 7 / Server 2008 R2 よりも新しいOSが必要となります。
•Outbreak Protection SDK が version 8.0.110 にアップデートしました。
•チャート表示のコンポーネントにおいて、Adobe Flashを使わずに表示できるようにしました。
•ユーザーオプション に、"新しいユーザーが作成された際、グローバル管理者へ通知メッセージを送信する"オプションを追加しました。
•不正メッセージキュー に"すべてのメッセージを削除"ボタンを追加しました。"削除"ボタンを押して表示されるメニューから"選択したメッセージを削除"または"すべてのメッセージを削除"を選択できます。
•SpamAssassin をバージョン3.4.1に更新しました。
•設定 と 隔離設定 隔離レポートメール内のリストのソート条件を指定できるオプションを追加しました。デフォルトでは、隔離レポートは、受信日時でソートされます。その他、送信者や件名でもソートを行うことができます。
•Cyren Antivirus を バージョン5.4.6-r1に更新しました。
•libdkimライブラリーを最新版に更新しました。
3.0.2の新機能
•スキャンできないメッセージを隔離 機能へ特定のファイル名を除外するオプションを追加しました。これによりSecurityGatewayは特定のファイル名についてはパスワード保護されていても受信できるようになります。
•RFC 3848 (SMTP and LMTP Transmission Type Registration)に対応するようになりました。これによりReceivedヘッダの「WITH」の値に準拠するようになりました。つまり、SSLではない認証されていないセッションでは「ESMTP」、認証済セッションでは「ESMTPA」、SSLセッションについては「ESMTPS」、認証済であり且つSSLセッションについては「SEMTPSA」で処理されるようになりました。
•SMTP認証へ ...ホワイトリストに登録されたIPアドレスやホストからのメッセージは除く オプションを追加しました。
3.0.0の新機能
•従来ProtectionPlusアドオンへ搭載されていたKaspersky AV連携がSecurityGateway用のCYREN AntiVirusへ置き換わりました。
•Commtouch® が CYRENへと社名変更したため、管理画面でもこれを反映しました。
•すべての変更については、WindowsスタートメニューのSecurityGatewayプログラムグループにあるリリースノートを参照してください。
SecurityGateway for Email Serversのバージョン2.0には様々な新機能、、変更点、修正点があります。次の一覧は主な新機能と変更点です。全ての変更点とバグ修正については、Windowsのスタートメニューの中にあるSecurityGatewayの中のリリースノートを参照してください。
•定期的な統計レポート
これは、サーバの状況やフィルタリングの有効性を確認するために用いることができる全般的な統計レポートです。このレポートは、グローバルの管理者、ドメイン管理者、および指定したメールアドレスへ毎晩または週単位で送信することができます。ドメイン管理者に対しては、ドメイン管理者が持つ管理上の権限についての統計情報のみ含まれます。
•免責事項(ヘッダ/フッタ)
SecurityGatewayでインバウンド、アウトバウンドおよびローカルメールメッセージにヘッダやフッタを追加することができます。 例えば、この機能で、メッセージの下部に"--- このメッセージは SecurityGateway for Email Serversによりスキャンされています ---" を追加することができます。
•添付ファイルからテキストを抽出
コンテンツフィルタルールおよびカスタムSieveスクリプトで、添付ファイルのコンテンツによって措置を行うことができます。Sieve本文テスト"text"タグは、いくつかの一般に普及している添付ファイル形式からテキストを自動抽出します。
•iFilterインタフェースは、プレーンテキストをMicrosoft OfficeおよびPDF文書から抽出する使用します。PDF文書を検索するために、Adobe ReaderをSecurityGatewayサーバ上にインストールする必要があります。 Office 2007 ドキュメントでは 2007 Office System Converter: Microsoft Filter Pack をインストールする必要があります。
•ドメイン管理者用のダッシュボード
ドメイン管理者がSecurityGatewayアカウントでログインする場合、管理者が持つ管理権限についての統計情報を持つダッシュボードを閲覧できます。
•POP3メールボックスからメールを収集
リモートPOPアカウントオプションで、ドメインユーザに再配送用にリモートPOPメールボックスからメールをダウンロードするために、POP3プロトコルの使用を行う設定をします。収集されると、メッセージは、POPアカウント編集画面で提供される設定に従って解析され、実際にメッセージが従来のSMTPトランザクションを使用したサーバに到着したかのように有効なユーザに配信されます。
•ドメインエイリアス
エイリアスは、現在ドメイン用に定義することができます。ドメインのユーザのすべては、各ドメインエイリアスについて有効であるとみなされます。ドメインが登録された複数のドメイン名(例えばaltn.com、altn.us、altn.biz、など)を持つ場合、これは役に立ちます。
•1つのコンテントフィルタ条件について複数の検索文字列を定義
コンテントフィルタは、Sieveスクリプトを組み込むためのグラフィックインタフェースです。複数の検索文字列を、現在一つの条件について定義することができます。ユーザは、条件が一部または全部が定義した文字列に一致する必要があるかどうか指定することができます。これは、キーワードリストに対してメッセージヘッダまたは本文を検索するために役に立ちます。
•"My Account"ページへ統計グラフを追加
アカウントページには、現在ユーザ用に4つの統計レポートを持ちます。これは管理者ダッシュボードと類似し、過去24時間のアカウント統計を表示します。
•ヒューリスティック更新処理を改善
ヒューリスティックルール更新処理は、現在、MDaemon Technologiesからのアップデートに加え、updates.spamassassin.orgから更新を取り出す機能があります。これは、SpamAssassinルールセットが常に最新にすることを確実にします。SGSpamD構成画面は、このオプションを管理する新規のチェックボックスを持ちます。
•メッセージログからメッセージを再配信するオプションを追加しました。このオプションは、データベースから削除されていないメッセージ内容が必要です。
•ユーザごとに言語オプションを追加しました。 。ユーザに送信されるシステム生成のメッセージは、この言語に翻訳されます。デフォルト値は、サーバおよび個々のドメイン条件に適用することができます。
•グローバル管理者を作成するためのSGDBTool.exe用に機能を追加しました。これは、インストール中に作成されるグローバルな管理者アカウントが利用できない場合で実用的です。
•グローバル管理者にユーザを昇格する機能をSGDBTool.exeに追加しました。
•SGSpamD、ClamAVおよびCommTouch Outbreak Protectionエンジンを更新しました。
•メッセージスコアをコンテンツフィルタに追加しました。
•グレーリストは、現在、DATAイベント中に実行するSieveスクリプトをサポートします。RCPTでグレーリスト化するために優先権を与えられるとき、メッセージが移動される前にDATAコマンドに対する応答の条件つきのグレーリストは実用的なツールとすることができます。これは、中間のスコアリングメッセージを隔離することへの魅力的な代替手段とするができます。Sieveの柔軟性で、重要なメッセージは除外することができます。
•数値的なレポートのためにトータルサマリ行を追加しました。
•すべての変更点およびバグ修正の内容については、WindowsスタートメニューのSecurityGatewayのプログラムグループにあるSecurityGateway Release 注意点sをご覧ください。