特殊说明事项
已将数据库更新到 Firebird 5.0。此更新要求将数据库文件转换为 Firebird 5.0 格式。
•此转换过程将在安装过程中自动执行,取决于数据库的大小和存储它的磁盘的性能,可能需要几分钟时间才能完成。在此期间,SecurityGateway 将不可用。
•在更新之前,将创建数据库文件的备份。名为 SecurityGateway.fb3 的备份文件将被保存在 SecurityGateway\App 目录下。
•请注意,一旦更新了数据库文件,它将不再与早期版本的 SecurityGateway 兼容。
新功能
新增 AI 分类功能,充分利用人工智能来分析电子邮件内容,并根据可配置的条件对邮件进行分类。
•管理员可以配置来自多个提供商的 AI 模型,包括 OpenAI/ChatGPT、Google Gemini 以及自定义的 API 终端。该系统允许使用邮件数据变量来创建自定义的 AI 提示词,以便让 AI 将邮件分类到管理员预设的类别中。分类规则可用于根据 AI 的分类结果触发特定的操作。
•任何支持 OpenAI API 格式的模型都可以使用,包括在您自有基础设施上运行的本地模型。用户需自行获取所需的 API 密钥,并自行承担使用第三方 AI 服务所产生的费用。
•AI 分类提供了一种先进的方法,用于识别复杂的网络钓鱼攻击、检测诸如个人身份信息(PII)等敏感内容,并过滤传统规则可能遗漏的垃圾邮件。
在登录到 SecurityGateway UI 时,Microsoft 365 用户验证源现在支持 OAUTH Authorization Code Flow。
该方式更安全,并允许使用 Microsoft 365 双重验证。在将用户的域配置成使用 Microsoft 365 用户验证源时,会将用户重定向到 Microsoft 365 验证 URL 来完成登录流程。一旦成功登录到 Microsoft 365,会将用户的浏览器重定向回 SecurityGateway。
注意: SMTP 验证仍然只支持“Resource Owner Password Credentials Grant (身份信息透传授权)”验证流,它不支持双重验证。
其他功能和变更
•自定义仪表板图表现在支持向下挖掘。双击一个图表元素来查看相应的邮件。
•在编辑一名用户时,现在会指示是否设置了本地密码。已新增选项来清除本地密码(若存在)。没有本地密码的用户只能使用支持其域验证的用户验证源来进行验证。不再为新建的用户分配随机强密码。
•邮件日志中的 IP 地址栏现在按八位组 (octet) 排序 IPv4 地址,而不是按字符串排序。
•已将从“Office 365”至“Microsoft 365”的所有引用更新为符合 Microsoft 的当前品牌。
•已为管理界面 HTTP 服务器实施 HTTP/1.1 始终保持活动状态。
•已为管理界面 HTTP 服务器实施 HTTP/1.1 gzip 内容编码。
•已将 SG-API.html 文件中的链接更新为指向更新过的 XML-RPC 资源。
•新增了 Sieve 变量 ${vnd.mdaemon.execute.exit_code},用于获取通过执行 Sieve 命令的进程的退出代码。该变量仅在 execute 命令执行完成后可用。
使用示例:
require ["variables", "securitygateway"];
execute "some-script.bat";
if string "${vnd.mdaemon.execute.exit_code}" "1" {
fileinto "spam";
} elsif string "${vnd.mdaemon.execute.exit_code}" "2" {
reject "This message looks like spam";
}
•已将 ClamAV 更新到 1.4.2 版本。
•已将 SpamAssassin 更新到 4.0.1 版本
有关变更和问题修复的完整列表,请参阅“Windows 开始菜单”下 SecurityGateway 程序组中的发布说明。
版本 10.5 的新功能
特殊说明事项
•不再支持使用 Microsoft Internet Explorer 来访问“管理控制台”。请使用最新版本的 Microsoft Edge、Firefox、Chrome、Safari 或现代的移动浏览器。
新功能
The Authenticated Received Chain (ARC)
ARC 是一种电子邮件身份验证协议,允许中间邮件服务器对邮件的身份验证结果进行数字签名。当下游邮件服务器执行 DMARC 验证,并检测到 SPF 或 DKIM 失败(例如,由于转发或邮件列表修改)时,它可以查看来自可信服务器的 ARC 结果,以确定是否接受邮件。
可以在安全 | 反欺诈 | DMARC 验证中配置 ARC 验证,而且在默认情况下可用。可信 ARC Sealer 是您信任其 ARC 结果的域。在进行 DMARC 验证时,将忽略来自不可信域的 ARC 结果。
可以在安全 | 反欺诈 | DKIM 签名下启用 ARC 签名。不是来自本地域的邮件有资格进行 ARC 签名,并且 ARC 签名使用与 DKIM 签名相同的选择器。默认情况下禁用 ARC 签名。
有关 ARC 协议的更多信息,请参阅: RFC 8617: The Authenticated Received Chain (ARC) 协议.
搜索设置
现在,在页面顶部的标题工具栏上有一个“搜索设置”链接。此功能可用于更轻松地查找 SecurityGateway 中许多设置和页面。只需开始输入您要查找的设置或页面中包含的单词,下方将列出指向包含这些位置的链接。此功能可供管理员和用户使用,但不包括“安全邮件”收件人。
已改善的 DKIM 选择器管理
新增对于共享/全局选择器的支持,可用于多个域。
现在可以通过选择共享/全局选择器作为默认值来全局启用 DKIM 签名。这需要为每个域创建指向选择器公钥的 DNS 记录。
新增能够导入和导出选择器的功能。
位置数据增强
发件人 IP 地址的国家和洲现在存储在数据库中。这些字段可以在邮件日志中显示为可选的列,并在查询“邮件日志”时用作搜索条件。
新的报告引入了: 摘要 | 垃圾邮件 - 国家排行,入站电子邮件 | 国家排行,反垃圾邮件 | 国家排行
在创建“自定义仪表板报告”时,可以使用位置数据。
新增隔离区管理员角色。
此角色允许用户配置为管理和(可选)查看用户隔离队列中的邮件,而不允许更改任何设置。
其他功能和变更
•已在邮件日志中将连接 IP 地址添加为可用的列。
•LetsEncrypt 将更改 HTTP 主机名和 AlternateHostNames(备用主机名),以使用所有小写字符。
•在“自定义仪表板报告”中新增一个选项,以“显示 Y 属性的前 X 名”
•已为主机阻止列表新增默认值 ("localhost"、"friend"、"user"、"ylmf-pc"、"-*"、"*_*"、"#.#.#.#"、"*.invalid"、"*/*"、"*|*")。这些主机名通常与僵尸网络关联。
•SPF 检查行为更新: 当反向路径(MAIL FROM)为 null 时,SPF 检查现在将使用 EHLO/HELO 域值进行验证,前提是它是一个有效的域。
有关变更和问题修复的完整列表,请参阅“Windows 开始菜单”下 SecurityGateway 程序组中的发布说明。
版本 10.0 的新功能
新功能
•新增为管理仪表板创建自定义图表/报告的功能。
•已向管理仪表板新增 CPU 和内存计数器,用于 SecurityGateway、SpamAssassin、Ikarus AV 和 ClamAV 进程。
•QR 码检测 - SecurityGateway 新增“反滥用”选项来提供抵御 QR 网络钓鱼 (也叫做 QRshing 或 Quishing) 的选项。当 SecurityGateway 发现附加到邮件的 QR 码图像时,邮件可以被拒收、隔离或接受,但用文本标记并调整其邮件分值。
•加密页面的“选择证书”部分现在包含一个“配置 Let's Encrypt”按钮,这将打开 Let's Encrypt PowerShell 更新页面。此项允许您自动执行从 Let'S Encrypt 下载 SSL 证书的 PowerShell 脚本。Let'S Encrypt 是一个通过自动化流程提供免费证书的证书颁发机构。这旨在简化手动创建、验证、签名、安装和续订证书的传统复杂过程。
•新增 Abusix Mail Intelligence 支持 (安全 | 反垃圾邮件 | Abusix), 这是实时 DNS 阻止列表套件。Abusix Mail Intelligence 需要 Abusix 提供的有效订阅和使用密钥。
其他功能和变更
•加密页面拥有一个新选项: 自动检测并激活更新的证书。启用此选项后,系统将在其夜间维护过程中执行检查。对于每个活动证书,它将检查以查看: 系统上是否有另一个证书稍后到期,它是否针对相同的主机名,以及它是否包括所有备用主机名。如果存在这样的证书,系统将自动激活此证书。当系统上有自动更新证书的调度任务时,例如 Let's Encrypt,特别有用。默认情况下启用这个新选项。
•在被配置为使用的 SSL 证书要过期时,会向全局管理员发送一封警告电子邮件。
•安全邮件收件人可以使用登录页面上的忘记密码链接,即使他们未完成设置过程也是如此。在此情况下,将重新发送账户设置邀请邮件。
•新增日志文件“*-FailedAuth.log”,用于记录失败的验证尝试。
•已为新安装更新了默认的待阻止附件列表。新增操作链接“阻止建议的文件”,允许将这些扩展应用于升级的安装。
•现在,位置屏蔽选项“接受 SMTP 连接,但阻止身份验证”是按国家的选项,而不是全局选项。阻止 SMTP 连接可防止您的服务器接收来自某个国家/地区的邮件。允许禁用验证的 SMTP 连接可让您的服务器接收来自某个国家/地区的邮件,同时阻止来自这些国家/地区的暴力/字典攻击。
•由一个国家的位置屏蔽策略阻止身份验证时,不会通告 ESMTP 对 AUTH 的支持。
•已将 Acme-PS PowerShell 模块更新到 1.5.9 版本,该模块由 Let's Encrypt PowerShell 脚本使用。
•域的 SMTP AUTH 密码现在将匹配任何该域的用户,时机是使用 SMTP 验证要求“身份验证凭证必须与电子邮件发件人的凭证匹配”。
•在“访问控制”下新增一个用户选项,用于“允许用户查看邮件记录”。如果禁用此项,只有管理员可以查看其邮件日志或隔离区中的记录详细信息。默认情况下,此选项对升级启用,但对新安装禁用。
•新建/编辑管理员页面包含一个新选项: “可以查看域用户邮件的来源”。该选项根据您的数据保留设置,应用到 SecurityGateway 已保留的邮件。将始终保留排队等待投递到域邮件服务器的邮件和已隔离的邮件。此项不应用于已归档的邮件。
•SMTP 验证页面有一个新选项: “不允许在 SMTP 端口上进行验证”。如果 SMTP 客户端提供了 AUTH(验证),则不会在 EHLO 响应中提供 AUTH,并且会将 AUTH 视为未知命令。此设置在所有合法账户都使用 MSA 或其他端口来提交经过验证的邮件的配置中很有用。在这种配置中,假定在 SMTP 端口上进行任何验证的尝试都必须来自攻击者。
•增加了“邮件信息”(查看邮件)窗口的默认大小。
•已将 ClamAV 更新到 1.0.6 版本。
有关变更和问题修复的完整列表,请参阅“Windows 开始菜单”下 SecurityGateway 程序组中的发布说明。
版本 9.5 的新功能
特殊说明事项
•请在升级后审核 DNSBL 和 URIBL 列表和分值;已对这两个功能做出大量变化来支持新增的功能。
•将出现的所有“白名单”和“黑名单”分别重命名为“允许列表”和“阻止列表”。
•已删除通过 Vouch by Reference (VBR) 的邮件证书这一功能。因为没有已知的处于活动状态的证书供应商。该标准未被广泛使用,很遗憾它已经名存实亡了。
新功能
MDaemon (XML API) 已被添加为用户验证源的新类型。MDaemon 的 XML API 为 Minger 提供了更好的替代方案,因为它可以使用可逆加密对 MDaemon 未存储密码副本的账户进行身份验证。它还能在一次调用中返回账户的所有别名。注意: 该选项需要 MDaemon 23.0.2 或更高版本。
SecurityGateway 现在可以允许用户使用 Web Authentication API(也称为 WebAuthn)进行登录,该 API 允许用户使用生物识别技术、USB 安全密钥、蓝牙等进行身份验证,从而为用户提供安全、无密码的登录体验,那么请选中此框。它也能被用作“双重验证”的额外验证方式。可以从用户选项页面启用或禁用 WebAuthn 支持。用户可以在我的账户 » 设置页面上注册其无密码登录凭证,可以在我的账户 » 双重验证页面上注册其“双重验证”设备。还请参阅: webauthn.guide 来获取有关 WebAuthn 如何运作的更多详细信息。
新增对于“数据查询服务 (DQS)”的支持,它是一套 DNSBL,它们实时进行更新并由 Spamhaus Technology 运营,以便阻止超过 99% 的由电子邮件带来的威胁。DQS 需要由 Spamhaus Technology 提供的有效订阅和使用密钥。
其他功能和变更
•在各自的页面上新增将邮件日志、用户隔离、管理隔离和邮件队列列表导出到 CSV 文件的选项。
•邮件投递页面现在拥有选项,以便在为暂时或永久的投递失败发送未投递报告 (NDR) 时,“...包含用于通知发件人的完整邮件记录”。默认情况下禁用这些选项;仅会包含来自远程 SMTP 服务器的最终错误消息。
•新增功能来更改 DNSBL 和 URIBL 顺序。列表顶部的条目是查询的第一个条目。
•邮件投递页面现在有一个选项,用来管理 SMTP 连接故障和 SMTP 主机故障缓存。可以启用/禁用这些缓存,并且可以指定条目保留在缓存中的时间。
•已为爆发保护添加 HTTPS 支持。
•新增指向“管理隔离报告”电子邮件模板的链接,以从管理隔离中删除个别邮件。
•已在隔离配置页面上新增选项,以便不在用户隔离报告邮件中包含“始终允许”这个链接。
有关变更和问题修复的完整列表,请参阅“Windows 开始菜单”下 SecurityGateway 程序组中的发布说明。
9.0.2 版本的新功能
特殊说明事项
•9.0.3 — 爆发保护已在 SecurityGateway 中恢复使用。
•9.0.2 — Cyren Anti-Virus 已被 IKARUS Anti-Virus 取代。我们的安全技术合作伙伴之一 Cyren 最近宣布对公司及其产品进行快速清算。这就需要我们找到一个新的反病毒合作伙伴。经过彻底的评估,IKARUS Anti-Virus 以其出色的检测率和速度脱颖而出。它提供了可靠的保护,防止恶意和潜在的敌对程序,并将传统的防病毒防御措施与最新的前瞻式技术相结合。IKARUS Anti-Virus 每 10 分钟自动更新其定义。
•9.0.0 — 默认情况下,包含加号(+)的邮箱名称现在将被视为子寻址。用户验证进程将会将子寻址视为别名。例如,user+folder@example.com 将被解析成 user@example.com 和一个别名,其中 user+folder@example.com = user@example.com。无法创建其邮箱名称包含加号的新用户。邮箱名称包含加号的现有用户不会被自动删除。可以通过在用户验证源页面上运行“验证用户”进程来修复它们。新增一个用来恢复之前行为的选项(名为“允许用户邮箱名包好加号(+)字符”)位于用户选项页面上。启用后,这些邮箱名称将不会被视为别名/子寻址。例如,user+folder@example.com 将被视为其自己的用户,而不是 user@example.com 的别名。
主要新功能
新的发件人报头屏蔽页面被添加到反欺诈部分,位于安全下,它有助于揭露垃圾邮件发送者发送的邮件中存在欺骗性的“发件人”报头, 这可能诱使用户相信邮件是从合法来源发送的。
已增强网络界面的实用性
•已将“搜索”对话框更改成使用“显示/隐藏搜索”工具,并在主工具栏中新增一个“取消搜索”按钮。
•新增 4 个额外的搜索报头模式,其中“结果”和“原因”位于邮件页面上。可以使用按钮切换,由 AND/OR 来分隔报头模式。“结果”和“原因”始终由 OR 分隔。
•您现在可以调整大小,移动或最大化弹出窗口。
•新增对移动端很友好的列表编辑器。
•已将“上一个/下一个”按钮添加到已归档邮件视图中。
•已将“已恢复邮件”这种状态邮件添加到搜索归档页面的右下角。
已改进管理仪表板页面
•当前,在仪表板页面上向全局管理员显示可用磁盘空间,位于“设置/用户 » 系统”下的磁盘空间页面上。
•处于活动状态的 SMTP 入站和出站会话已被添加到仪表板上。
•已将管理和用户隔离队列中的邮件计数添加到面向全局管理员的仪表板页面。
•您现在可以从“仪表板”冻结入站和远程投递队列。
其他功能和变更
•当前“设置 » 系统 » HTTP 服务器”页面有一些选项,用来将 HTTP Strict Transport Security (HSTS) 报头 包含在 HTTPS 响应中。默认情况下,启用该选项。当支持 HSTS 的浏览器收到 HSTS 报头,并且 SSL 证书有效时,以后对同一域发出的任何 HTTP 请求将自动升级为 HTTPS。
•SecurityGateway 现在支持较新的 Windows 版本中的 TLS 1.3。Windows Server 2022 和 Windows 11 默认启用 TLS 1.3。Windows 10 版本 2004(OS 版本 19041)和更高版本具有实验性的 TLS 1.3 支持,可以通过在注册表中设置以下内容来启用入站连接:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Server
DisabledByDefault (DWORD) = 0
Enabled (DWORD) = 1
•新增一个选项,允许用户查看隔离报告中列出的邮件。全局管理员可以在: 设置/用户 » 邮件配置 » 隔离配置 或主页 » 我的账户 » 设置中启用它。
•只要“记住我”选项在当前设备或浏览器上处于活动状态,在用户的我的账户 » 设置页面上就提供“在该设备/浏览器上不记住我”这个选项。他们可以点击该链接来停用该设备上的“记住我”状态,然后该链接将消失。在他们下次登录 SecurityGateway 时,他们仍然能够使用“在该设备上记住我”这个选项。在“记住我”当前处于活动状态时,也向安全通信用户提供该选项。
•在账户 » 用户选项和安全通信 » 收件人选项页面上提供新选项,允许您分别在 SecurityGateway 的登录页面和 Secure Messaging 登录页面上添加一些管理员联系信息。
•已在用户验证源编辑器中新增“保存和测试”按钮。
•已在登录页面新增 CSRF 令牌,并向 web 界面 URL 添加了辅助会话 ID,以缓解 CSRF 攻击。
•新增公共/私人密钥验证方式,作为记住我功能的一部分。
•已使用新样式和略有不同的语言更新了安全消息通知电子邮件。
•已减少数据库事务处理数量。这有助于防止数据库变大。
•已在归档 » 合规页面新增一个选项,由此来“仅删除活动的归档储库中的邮件”。该选项控制是否将删除非活动归档储库中的较旧的已归档邮件,以及活动的储库中的旧归档邮件。默认情况下启用此选项,这意味着只会删除活动储库中的旧邮件。此行为与以前的版本保持不变。
•现在如果在 IP 阶段,SIEVE 行为发生“错误”或“拒收”,则断开 SMTP 套接字连接。
•在启动时,现在已将入站队列中被锁定的邮件移动到“CrashDumps\InboundQueue”目录。当向发件人发送响应时,将解锁入站队列中的邮件。如果 SecurityGateway 进程崩溃或在有机会关闭之前终止,则被锁定的邮件可能会在入站队列中成为孤立邮件。由于发件人没有收到针对 SMTP DATA 命令的响应,他们应该再次发送邮件。投递该邮件可能导致收件人接收多个副本。不过,这些邮件的内容可能有助于调试崩溃。任何移到此目录的邮件将在30天后被自动删除。
•LetsEncrypt - 已更改“日志”功能来使用 add-content 而不是 out-file。Add-content 使用默认的系统代码页面,应该能使用户在 SecurityGateway 中查看日志文件。在创建新的日志文件之前,不会对日志文件的编码进行任何更改。
有关变更和问题修复的完整列表,请参阅“Windows 开始菜单”下 SecurityGateway 程序组中的发布说明。
8.5.0 版本的新功能
特殊说明事项
已弃用 32 位版本并停止对 32 位操作系统的支持。从 SecurityGateway 8.5.0 开始,只提供 64 位版本。这使我们能够简化开发和测试,并使用仅适用于 64 位的库。如果您当前正在我们支持的 64 位操作系统上运行 32 位版本,您只需下载 64 位版本,并覆盖安装即可。
主要新功能
SecurityGateway 新的“安全通信”功能为您的用户提供了一种向其域外的收件人发送安全邮件的方式,通过这种方式,邮件绝不会离开 SecurityGateway 服务器。它通过使用安全的通信网络门户来实现这一点。发送邮件后,收件人会收到一封电子邮件通知,告知他们有可用的安全邮件,其中包含用于创建安全邮件收件人账户的链接,以便他们可以查看位于您 SecurityGateway 服务器上的邮件。通过收件人的浏览器访问安全邮件,并通过 HTTPS 加密在 SecurityGateway 服务器和收件人之间维护端到端的加密。安全通信需要有效的 SSL 证书并启用 HTTPS(还请参阅: HTTPS 服务器)。收件人可以查看和答复 SecurityGateway 门户中的邮件,并且他们可以选择性地向指定的用户列表编写新的安全邮件。还请参阅: 收件人和收件人选项来获取有关安全邮件收件人账户的更多信息。
基于用户的邮件路由
•借助用户编辑页面上新的“邮件投递”部分,您可以为用户的邮件选择特定的域邮件服务器,而不是使用分配给域的默认邮件服务器。
•已将一个新选项添加到“域属性”对话框: "不使用此邮件服务器投递域邮件,仅可将其分配给特定的域用户"。
•这些设置允许异构式部署,其中一些本地用户的邮箱托管在云中,而其他用户则位于本地。这也使您可以使用单个域和单个 SecurityGateway 服务器,将邮件路由到在您企业的每个位置运行的邮件服务器。
SecurityGateway 现在还提供各种“性能计数器”,供“Windows 性能监控器”使用,使您可以实时监控 SecurityGateway 的状态。提供许多计数器,例如活动的入站和出站 SMTP 会话数、排队等待投递的邮件数、隔离的邮件数、SecurityGateway 已运行多长时间、域和用户计数等。
其他功能和变更
•已在“用户选项”页面上新增一个选项来要求强密码。可以在“用户编辑”页面上按用户禁用此项。
•如果使用服务提供商/私有云注册密钥,现在将显示仪表盘和注册页面。
•用于附件过滤的收件人允许列表。新增针对附件过滤的收件人允许列表。用户能为绕过相关过滤的附件阻止和隔离定义收件人地址列表,支持通配符。
•Lets Encrypt - 该脚本将不会在每次运行时删除日志文件。
有关变更和问题修复的完整列表,请参阅“Windows 开始菜单”下 SecurityGateway 程序组中的发布说明。
版本 8.0.0 新功能
主要新功能
•SecurityGateway 现在支持您集群环境中的 active/active 数据库复制,但它需要外部的复制工具,其配置超出了本帮助文件的范围。有关如何配置集群来使用 active/active 复制的要求和指南,请参阅 PDF 文档: SecurityGateway: Configuring Active-Active Database Replication。
•数据泄露防护 - 搜索医学术语。可以定义医学术语列表,并为每个术语分配分数。扫描邮件来查找匹配的术语,并计算找到的所有术语的分数总和。对计算的分数超过定义阈值的邮件,执行指定的操作。
•添加了在邮件处理期间,运行自定义进程/脚本,并根据脚本结果选择操作的功能。
•该脚本必须放在“Sieve Executable Path”目录中,可以从“设置 » 系统 » 目录”进行配置。
•已新增“execute”这个 sieve 关键字,可以用作操作和测试。
• 第一个参数是脚本的名称。现在支持 .bat、.exe 和 PowerShell。
•第二个参数是将传递给进程的参数。“message_filename”这个 sieve 变量填充了当前正在处理的邮件的 RFC822 源的完整路径。
•例如 ... if execute "Test.ps1" "-msg '${message_filename}'" { }
•新增为域导出所有已归档邮件的功能。
•变更/审计日志 - 新增一个新的日志文件,其中记录了对配置的变更以及更改者。
•新增按照定义的调度将隔离报告发送给用户和管理员的功能。
•为通过邮件发送的隔离报告ÐÂÔöÒöÑ¡Ïî,以便仅包括自上次发送隔离报告电子邮件以来已被隔离的新邮件。如果隔离报告中没有要包含的新邮件,则不会生成隔离报告。
其他功能和变更
•已更新“忘记密码”进程来发送含有链接的邮件,以便更改用户的密码。
•LetsEncrypt - 已更新脚本来查找由 LetsEncrypt 使用的新颁发者。
•已更新 DKIM 签名来使用 SHA256 Hash。
•已为 XMLRPC API 和 PowerShell 模块新增 GetServerSetting 和 PutServerSetting 方式。
•已为“设置 » 邮件配置 » 邮件协议”页面新增 SMTP 连接和协议超时。
•新增从“邮件日志 » 邮件信息 » 邮件”选项卡下载附件的功能。
•已更新警报、确认和提示消息框。
•在 docs\API\PowerShell Samples 目录中添加了几个 PowerShell 脚本示例,以供参考。
•现在,HELO 域名值(“设置 » 邮件配置 » 邮件协议)是 集群环境中按服务器的设置。可以将该值设置为集群中每个服务器上的唯一值。
•新增对照 web 界面的数据库,手动执行 SQL 语句的功能。此功能只能在技术支持的指导下使用,建议先进行数据库备份。
•新增选项来将“将域列入阻止列表”这个链接包含于隔离报告邮件中。
有关变更和问题修复的完整列表,请参阅“Windows 开始菜单”下 SecurityGateway 程序组中的发布说明。
版本 7.0.0 新功能
特殊说明事项
•在邮件协议页面上(位于“设置 » 邮件配置 » 邮件协议),删除了两个选项: 尽可能使用 ESMTP 和 隐藏 ESMTP SIZE 命令参数。现在,这两个选项将很显眼,并尽可能使用 ESMTP。
•因为已改变并弃用 clamd.conf 中的许多设置,现在安装程序将覆盖现有的 clamd.conf。如果您已定制了 clamd.conf,您可能需要在安装后审核和更改它。
•已删除日志配置选项,用来“基于星期几创建日志文件”。如果选中此项,升级进程会将其更改成“每天创建一套新的日志文件”。
新功能和变更
集群
SecurityGateway 新的集群功能的设计旨在:在网络上的两个或多个 SecurityGateway 服务器之间共享您的配置。这使您可以使用负载均衡硬件或软件,在多个 SecurityGateway 服务器之间分配电子邮件负载,从而可以通过减少网络拥塞和过载,并最大化电子邮件资源来提高速度和效率。如果一台服务器发生硬件或软件故障,该功能还有助于确保电子邮件系统中的冗余。以下是有关 SecurityGateway 集群功能的许多要点(有关更多详细信息和设置说明,请参阅: 集群):
•集群允许多个处于活动状态的 SecurityGateway 实例/服务器共享一个数据库。
•必须手动安装和配置外部的 Firebird 版本3数据库服务器。
•安装程序中已添加一个选项,允许在初始安装期间指定外部的 Firebird 服务器参数。可以将现有的安装配置为通过 sgdbtool.exe 命令行工具连接到外部的 Firebird 数据库服务器。
•需要共享存储,并且共享目录必须设置为集群中所有服务器都可以访问的 UNC 路径。这可能需要为 SecurityGateway Windows 服务更改用户账户。
•主服务器负责调度的维护任务。
•集群中的每个服务器必须具有自己的唯一注册密钥。
Firebird 3 数据库升级
•Firebird 2 和 3 运行时已包含并安装在 SecurityGateway 7.0 中。
•SecurityGateway 7.0 或更高版本的新安装将使用 Firebird 3。
•将现有的 SecurityGateway 安装更新到 SecurityGateway 7 版本或更高版本时,将继续使用 Firebird 2。
•使用新的集群功能需要 Firebird 3 数据库。
•升级数据库以使其与 Firebird 3 兼容,要求使用 2.x 运行时进行备份,并使用 3.x 运行时进行还原。管理员可以使用 sgdbtool.exe 命令行工具(位于 \SecurityGateway\App 文件夹)来将现有的数据库从 2 版本升级到 3 版本。要转换数据库,请停止 SecurityGateway 服务,打开命令提示符,然后运行: "sgdbtool.exe convertfb3”。
双重验证
在“用户选项”下,管理员可以全局或按域允许并要求双重验证(2FA)。如果需要 2FA,则首次登录时会向用户显示“设置 2FA”页面。否则用户可以前往“主页 » 我的账户 » 双重验证”来设置 2FA。
检查泄露的密码
SecurityGateway 可以对照来自第三方服务的已泄露密码列表来检查用户的密码,并且无需将密码传输到该服务即可执行此操作。如果用户的密码出现在列表中,并不表示该账户已被黑客入侵。而是意味着某人在某处使用了与他们的密码相同的字符,并且发生了数据泄露事件。从未在其他任何位置使用过的唯一密码更加安全,因为黑客在字典攻击中可能会使用已公开的密码。请参阅 Pwned Passwords(已泄露密码)获取更多信息。
域管理员可以创建新域
这是“编辑管理员”页面上的新选项,允许您授予域管理员创建新域的权限。管理员将被自动添加为他或她创建的任何域的“域管理员”。还有一个选项可以设置允许管理员创建的域数限制。
新的 SMTP 扩展
IETF 中的 RequireTLS 工作终于完成,并且已经实现了对此的支持。RequireTLS 允许您标记必须使用 TLS 的邮件。如果无法使用 TLS(或者 TLS 证书交换的参数不可接受),则退回邮件,而不是不安全地投递邮件。默认情况下,启用 RequireTLS,但是将受 RequireTLS 进程约束的唯一邮件是被使用新的内容过滤器操作“为 REQUIRETLS 标记邮件...”的“内容过滤器”规则特别标记的邮件,或发送至<local-part>+requiretls@domain.tld (例如, arvel+requiretls@mdaemon.com)的邮件。将所有其他邮件视为已禁用该服务。此外,必须满足几个要求才能使用 RequireTLS 发送邮件。如果它们中的任何一个失败,该邮件将弹回,而不是以明文形式发送。有关这些要求以及如何设置 RequireTLS 的更多信息,请参阅启用 REQUIRETLS (RFC 8689) 选项。有关 RequireTLS 的完整说明,请参阅: RFC 8689: SMTP Require TLS Option.
SMTP MTA-STS (RFC 8461) - 严格传输安全
IETF 中的 MTA-STS 工作完成了,并且已经实现了对此的支持。SMTP MTA 严格传输安全(MTA-STS)是一种机制,使邮件服务供应商(SP)能够声明其接收传输层安全(TLS)和保护 SMTP 连接的能力,并指定发件 SMTP 服务器是否应拒绝投递给不为 TLS 提供受信任的服务器证书的 MX 主机。默认启用 MTA-STS 支持。请参阅启用 MTA-STS (RFC 8461) 选项来获取有关设置的更多信息。SMTP MTA-STA 的完整描述请参阅 RFC 8461: SMTP MTA Strict Transport Security (MTA-STS).
TLS 报告功能允许使用 MTA-STS 的域收到有关检索 MTA-STS 策略或使用 STARTTLS 协商安全通道的任何失败的通知。启用后,SecurityGateway 会每天向已在当天向其发送(或尝试发送)邮件的每个启用 STS 的域发送报告。提供了多个选项来配置报告将包含的信息。默认情况下禁用 TLS 报告功能,更多详细信息请参阅RFC 8460: SMTP TLS Reporting.
其他功能和变更
•已使用更现代的外观更新了 SecurityGateway GUI。
•已更新 FusionCharts 图形组件。
•新增功能来从病毒扫描排除特定的发件人。
•新增选项来使允许列表优于阻止列表。
•现在,LetsEncrypt 将检查计算机上运行的 PowerShell 的版本,如果尚未安装正确的版本,则返回错误。
•LetsEncrypt 将检查 PSModulePath 环境变量,以确保包括了 SG 模块路径,如果不包含,则会为会话添加该路径。
•当在暂存和实时 LetsEncrypt 系统之间进行切换时,LetsEncrypt 将删除并重新创建账户。
•当挑战失败时,LetsEncrypt 将从 LetsEncrypt 检索错误,并将数据写入日志和屏幕。
•LetsEncrypt 有一个新的 -Staging 参数,可以在命令行上传递它。如果通过了此参数,脚本将使用 LetsEncrypt 暂存系统请求证书。
•已将 JSTree 库更新到 3.3.8 版本。
•新增功能来指定 SecurityGateway Windows 服务在哪个用户账户下运行。
•新增 SIEVE 变量扩展 RFC-5229 支持。
•在“SIEVE 变量扩展”中添加了:eval 修饰符,帮助您进行简单的计算。
示例:
require "securitygateway";
require "variables";
require "fileinto";
if header :matches "from" "*" {
set :length "length" "${1}";
set :eval "fileintovar" "${length} * 25 - 1 / 8+3";
fileinto "${fileintovar}";
}
•已删除“基于星期几创建日志文件”这个选项。如果选中此项,升级进程会将其更改成“每天创建一套新的日志文件”。
•新增一个选项,可以在输入密码时切换密码查看。在用户选项页面上新增一个访问控制选项, 允许禁用此功能。
•在下载病毒定义时,将 Cyren AV 更新程序更改为使用 TLS。
•新增选项以在日志文件名中包含计算机名。如果日志目录被设置成 UNC 路径,则此项为必要选项,而且它允许一个集群中的多个服务器记录到同一个位置。
•已向安装程序新增选项,以在初始安装期间指定外部的 Firebird 服务器参数。
•已将 Chilkat 库更新为 9.5.0.82 版本。
•新增一个日志选项,用于不记录来自指定 IP 地址的 SMTP 或 HTTP 连接。来自指定 IP 地址的不完整和拒绝的 SMTP 邮件也不会添加到数据库中。如果邮件被接受进而投递,它将被添加到数据库中。
•新增 Sieve 操作“changesender”,以允许 SG 用来发送/更改邮件的 SMTP 信封发件人。
•已将 Cyren AV 引擎更新到 6.3.0r2 版本。
•已将 ClamAV 引擎更新到 0.102.4 版本。
有关变更和问题修复的完整列表,请参阅“Windows 开始菜单”下 SecurityGateway 程序组中的发布说明。
