Versionsinformationen für SecurityGateway für Email Servers v10.0

SecurityGateway 10.0.2 - 2024-06-25

BEHOBENE FEHLER

• [27858] Bei Darstellung des Designs im "Dunklen Modus" waren bestimmte Verknüpfungen wegen unzureichenden Kontrasts schwierig zu lesen; behoben
• [27873] Sieve-Skripte entnahmen und protokollierten bestimmte Variablen nicht; behoben
• [27874] Auswertung der Absenderkopfzeile ("From") funktionierte nicht; behoben
• [27879] Beim Versand von Nachrichten aus der Zustellungs-Wartschlange wurde irrtümlich jeweils die gesamte Nachricht in den Arbeitsspeicher geladen, obwohl es ausgereicht hätte, nur die Kopfzeilen zu laden; behoben
• [27882] Ursache für Absturz behoben, der beim durchsuchen einer bestimmten HTML-Nachricht nach Schlüsselwörtern auftrat

SecurityGateway 10.0.1 - 2024-06-11

ZUR BESONDEREN BEACHTUNG

• [27849] Durch die vorliegende Aktualisierung wird die Abusix-Willkommensliste für DNSBL (white.mail.abusix.zone), eine besondere Freigabeliste von Abusix, deaktiviert. Diese Änderung wirkt sich nur aus, falls diese Liste zuvor durch die Abusix-Integration hinzugefügt worden war. Die Willkommensliste ist umfangreich, und ihre Nutzung hat zu einer Verringerung der Punktwerte der Spam-Bewertungen geführt. Aufgrund dieser Verringerung wurde über falsche negative Treffer berichtet. Falls Sie die Abusix-Willkommensliste auch weiterhin verwenden wollen, müssen Sie die Liste manuell aktivieren.

ÄNDERUNGEN UND NEUE LEISTUNGSMERKMALE

• [27816] Die Anforderung, die durch Office 365 als Datenquelle für Benutzerprüfung an das MS-Graph-API übermittelt wird, und die Antwort hierauf werden jetzt protokolliert, wenn für das Protokoll der Detailgrad Debug konfiguriert ist.

BEHOBENE FEHLER

• [27799] Das Let's-Encrypt-Skript wurde mit dem Fehler "Error 7 Logon Failed" ("Fehler 7 Anmeldung fehlgeschlagen") abgebrochen, wenn es durch den Prozess SecurityGateway ausgeführt wurde; behoben
• [27815] Es wurde immer nur das letzte aktive SSL-Zertifikat geladen. Dieser Fehler verhinderte unter Umständen die Nutzung des richtigen Zertifikats als Standard-Zertifikat oder als Zertifikat für einen bestimmten Hostnamen, wenn SNI verfügbar war, und wurde behoben.
• [27826] Ursache für Absturz behoben, der während der DMARC-Verarbeitung bisweilen dann auftrat, wenn keine SPF-Abfrage durchgeführt wurde
• [27828] Bestimmte QR-Kodes wurden in Grafikdateien nicht erkannt, die als Dateianlagen an Nachrichten angehängt waren; behoben
• [27835] Die Einstellung "Einstellungen/Benutzer | System | HTTP-Server | Sockets and diese IPs binden" war wirkungslos; behoben
• [27837] Quarantäne-Berichte wurden bisweilen dann nicht versandt, wenn ein benutzerdefinierter Zeitplan für den Versand konfiguriert war; behoben
• [27850] Hosts, die in DNSBL- und URIBL-Listen mit negativen Bewertungen erfasst waren (sog. Welcome Lists oder besondere Freigabelisten), waren irrtümlich nicht von Abwehrmaßnahmen ausgenommen; behoben
• [27845] Die Option "Nachrichten von Mailservern der Domäne ausnehmen" wurde nicht beachtet, wenn der Mailserver der Domäne ein Mailserver von Microsoft Office 365 war; behoben

SecurityGateway 10.0.0 - 2024-05-14

BESONDERS WICHTIGE NEUE LEISTUNGSMERKMALE

• [27462] Dem Dashboard für Administratoren können jetzt benutzerdefinierte Übersichtsgrafiken und Berichte hinzugefügt werden.
• [25127] Im Dashboard für Administratoren stehen jetzt für die Prozesse SecurityGateway, SpamAssassin, Ikarus AV und ClamAV Statistiken zur CPU- und Speichernutzung zur Verfügung.
• [27148] Schutz gegen "QRshing" - SecurityGateway kann jetzt Grafikdateien mit QR-Kodes erkennen, die als Dateianlagen in Nachrichten enthalten sind. Sie können die Erkennung der QR-Kodes unter "Sicherheit | Anti-Abuse | QR-Kode-Erkennung" aktivieren und konfigurieren.
• [19951] Der Konfigurationsdialog "Einstellungen | System | Verschlüsselung | Zertifikat auswählen" wurde um die Option "Let's Encrypt konfigurieren" erweitert. Von hier aus können Sie ein PowerShell-Skript konfigurieren, mit dessen Hilfe Sie kostenlose TLS-Zertifikate von Let's Encrypt automatisch beziehen und einrichten lassen können. Let's Encrypt ist eine Zertifizierungsstelle, die mithilfe eines automatischen Verfahrens unentgeltliche Zertifikate für die Transportverschlüsselung Transport Layer Security (TLS) zur Verfügung stellt. Dieses Verfahren soll die derzeit erforderlichen umfangreichen Arbeiten ersetzen, die zur manuellen Erstellung, Prüfung, Signatur, Installation und Erneuerung von Zertifikaten für sichere Websites erforderlich sind.
• [27357] Der Konfigurationsdialog "Sicherheit | Spam-Filter" wurde eine Option zur Unterstützung von Abusix Mail Intelligence erweitert. Nähere Informationen über Abusix Mail Intelligence finden Sie in englischer Sprache unter https://www.mdaemon.com/mdaemon-abusix-trial-sign-up.

ÄNDERUNGEN UND NEUE LEISTUNGSMERKMALE

• [27073] Es steht jetzt die neue Option "Automatisch das neueste Zertifikat verwenden" zur Verfügung. Sie ist per Voreinstellung aktiv. Diese Option bewirkt, dass das System während der Wartung um Mitternacht alle aktiven Zertifikate überprüft. Für jedes Zertifikat wird dabei auch überprüft, ob ein anderes Zertifikat mit späterem Ablaufdatum auf dem System vorhanden ist. Falls ein solches Zertifikat für denselben Hostnamen ausgestellt ist und alle alternativen Hostnamen enthält, dann wird dieses Zertifikat automatisch als aktives Zertifikat ausgewählt. Dies ist besonders nützlich, falls auf dem System mithilfe eines automatischen Prozesses die Zertifikate automatisch aktualisiert werden, etwa über Let's Encrypt.
• [26409] Die globalen Administratoren werden jetzt per E-Mail verständigt, falls ein genutztes SSL-Zertifikat demnächst ablaufen wird.
• [27606] Den Empfängern sicherer Nachrichten wird die Verknüpfung "Kennwort vergessen" auf der Anmeldeseite jetzt auch dann angezeigt, wenn sie die Einrichtung ihrer Benutzerkonten noch nicht abgeschlossen haben. Wenn sie unter diesen Umständen die Verknüpfung anklicken, dann wird hierdurch die Einladungsnachricht erneut versandt.
• [23357] Es wurde ein neues Protokoll hinzugefügt, in dem die fehlgeschlagenen Versuche zur Echtheitsbestätigung aufgezeichnet werden.
• [24248] Die Liste der zu sperrenden Dateianlagen, die über "Sicherheit | Filter | Dateianlagen | Dateianlagen, die blockiert werden sollen" erreichbar ist, wurde aktualisiert. Diese Aktualisierung wirkt sich zunächst nur auf Neuinstallationen aus. Der Konfigurationsdialog wurde um die Verknüpfung "Empfohlene Dateianlagen sperren" erweitert. Durch Anklicken dieser Verknüpfung wird die aktualisierte Liste auch in bestehende aktualisierte Installationen übernommen.
• [26593] Die Option "auf SMTP-Port nur AUTH sperren" kann jetzt nach Ländern getrennt konfiguriert werden; bislang wirkte sie auf alle Länder und Regionen. Wenn Sie auf Ihrem Server eingehende SMTP-Verbindungen für bestimmte Länder sperren, so können von diesen Ländern aus keine Nachrichten an den Server übermittelt werden. Wenn Sie die SMTP-Verbindungen zulassen und nur die Echtheitsbestätigung sperren, dann kann Ihr Server weiterhin Nachrichten aus den betreffenden Ländern empfangen, aber Versuche, gültige Zugangsdaten, etwa durch Brute-Force- oder Wörterbuchangriffe, zu ermitteln, werden dann unterbunden. Sie können dieses Leistungsmerkmal unter "Sicherheit | Anti-Abuse | Länder-Filter" konfigurieren.
• [27665] Das PowerShell-Modul Acme-PS, das durch das PowerShell-Skript für Let's Encrypt verwendet wird, wurde auf Version 1.5.9 aktualisiert.
• [26924] Die Unterstützung für AUTH durch ESMTP wird in solchen Verbindungen nicht gemeldet, in denen sie durch die Einstellungen des Länder-Filters gesperrt ist.
• [27493] Das SMTP-AUTH-Kennwort der Domäne bewirkt jetzt für alle Benutzer der Domäne bei Nutzung der Option "Sicherheit | Anti-Abuse | SMTP-Echtheitsbestätigung | Anmeldedaten müssen mit denen des E-Mail-Absenders übereinstimmen" einen Treffer.
• [27581] Der Konfigurationsdialog "Einstellungen / Benutzer | Benutzerkonten | Benutzer-Optionen | Zugriffssteuerung" wurde um die Option "Benutzern das Betrachten der Nachrichten-Mitschnitte gestatten" erweitert. Wenn diese Option abgeschaltet ist, dann können nur Administratoren die Nachrichten-Mitschnitte für die Nachrichten in ihren Nachrichten-Protokollen und in Quarantäne einsehen. Diese Option ist bei Aktualisierung bestehender Installationen per Voreinstellung aktiv und bei Neuinstallationen per Voreinstellung abgeschaltet.
• [27668] Der Konfigurationsdialog zum Erstellen und Bearbeiten von Domänen-Administratoren wurde um die Option "Kann Quelltext der Nachrichten der Domänen-Benutzer einsehen" erweitert. Diese Option wirkt auf Nachrichten, die SecurityGateway aufgrund der Einstellungen unter "Einstellungen / Benutzer | Datenbank | Datenhaltung" gespeichert hat. Nachrichten, die in der Warteschlange auf Zustellung an einen Mail-Server der Domäne warten, und Nachrichten in Quarantäne werden stets gespeichert. Die Option wirkt nicht auf archivierte Nachrichten.
• [24747] Die Voreinstellung der Größe des Fensters für die "Nachrichten-Informationen" (zum Betrachten von Nachrichten) wurde erhöht.
• [27578] ClamAV wurde auf Version 1.0.6 aktualisiert
• [27763] Der Konfigurationsdialog "Sicherheit | Anti-Abuse | SMTP-Echtheitsbestätigung" wurde um die Option "Echtheitsbestätigung auf dem SMTP-Port nicht zulassen" erweitert. Wenn diese Option aktiv ist, dann wird AUTH nicht als Teil der EHLO-Antwort gemeldet und damit nicht als unterstütztes Leistungsmerkmal angekündigt. Versucht ein SMTP-Client dennoch, die Echtheitsbestätigung über AUTH durchzuführen, so behandelt SecurityGateway den entsprechenden Befehl als unbekannten Befehl. Diese Einstellung ist in Systemkonfigurationen hilfreich, in denen alle legitimen Benutzerkonten Nachrichten mit Echtheitsbestätigung und Anmeldung nur über den MSA- oder einen anderen Port übermitteln. In diesen Systemkonfigurationen wird angenommen, dass Versuche, auf dem SMTP-Port eine Echtheitsbestätigung oder Anmeldung durchzuführen, von Angreifern ausgehen.

BEHOBENE FEHLER

• [27556] Nach Aktualisierungen wurde das Land im Konfigurationsdialog "Einstellungen / Benutzer | Lizenzverwaltung | Informationen zur Lizenz" irrtümlich in "United States (US)" geändert; behoben
• [27201] Nach Neustart des Dienstes System wurden alle Benutzer von der Weboberfläche abgemeldet; behoben
• [26496] Eigensignierte Zertifikate, die durch SecurityGateway selbst erstellt wurden, konnten in neueren Versionen von Google Chrome und Android nicht als vertrauenswürdig gekennzeichnet werden; behoben
• [14014] Nach Löschen des letzten aktiven SSL-Zertifikats und Erstellen eines neuen Zertifikats wurde SSL deaktiviert; behoben
• [27182] Wurde im Konfigurationsdialog "Einstellungen | System | Verschlüsselung" das Kontrollkästchen "Aktiv" für ein SSL-Zertifikat deaktiviert, so wurde das Zertifikat damit sofort deaktiviert; behoben
• [27660] Ursache für Absturz behoben, der bisweilen auftrat, wenn ein externer Firebird-Datenbankserver nicht erreichbar war
• [27619] Über Spamhaus DBL wurden irrtümlich Abfragen nach IP-Adressen durchgeführt, obwohl Spamhaus DBL nur Abfragen nach Domänennamen unterstützt; behoben
• [27620] URIBL-Ergebniskodes lösten bisweilen fehlerhafte Treffer für Muster aus, für die sie keine Treffer auslösen durften; behoben
• [27621] Das URIBL-Modul kehrte die Reihenfolge numerischer URIs um, obwohl es sich dabei nicht um IP-Adressen handelte; behoben
• [27622] Das URIBL-Modul verarbeitete URIs, die eine Portnummer enthielten, nicht richtig; behoben
• [27594] Externe Benutzerkonten für Administratoren konnten die Zwei-Faktor-Authentifizierung nicht einrichten; dies schlug mit dem Fehler "Zugriff verweigert" fehl. Der Fehler wurde behoben.
• [27501] War in der Option "Größenbegrenzung für SMTP-Nachrichten konfigurieren" ein außerordentlich großer Wert eingetragen, so führte dies zur Meldung negativer Größengrenzen in der EHLO-Antwort; behoben
• [27613] Fehler "ReadDataFilterHostProcess failed", der beim Versuch auftrat, Text aus Dateianlagen zu entnehmen, behoben
• [27561] Enthielt die Antwort auf eine SPF-Abfrage über DNS einen CNAME-Eintrag, der wiederum auf die abgefragte Domäne verwies, so reagierte der Thread bisweilen nicht mehr und erzeugte übermäßig hohe CPU-Last; behoben
• [19111] Unter "Einstellungen | Datenbank | Wiederherstellung" erschien die Größe von Sicherungsdateien für Datenbanken negativ, falls die Dateien größer als 2 GB waren; behoben
• [27492] Die Meldung "may be forged" ("möglicherweise gefälscht") erschien in der EHLO-Antwort irrtümlich auch dann, wenn der Inhalt des Befehle EHLO nicht durch eine DNS-Abfrage geprüft worden war; behoben
• [27016] Nach Erreichen des Schwellwerts für Erkennung des Hijackings von Benutzerkonten wurde irrtümlich keine Aktion ausgeführt; behoben. Wenn dieser Fehler auftrat, wurde ein Datenbankfehler "multiple rows in singleton select" ("mehrere Zeilen in Antwort auf Abfrage enthalten") im Protokoll System vermerkt.
• [27676] Wenn Domänen-Administratoren die Menüs "Sicherheit | Anti-Spoofing" und "Sicherheit | Anti-Abuse" aufriefen, erschien eine Fehlermeldung "Zugriff verweigert"; behoben
• [27677] Ursache für bisweilen auftretenden SQL-Ausnahmefehler "violation of foreign key constraint" ("Verletzung der Fremdschlüsseleinschränkung") behoben. Dieser Fehler trat bisweilen beim Versand von Quarantäne-Berichten auf, wenn ein Benutzer gelöscht wurde, während die Berichte noch erstellt wurden.
• [27369] Im dunklen Modus war der Konfigurationsdialog "Nachrichten-Protokoll | Nachrichten-Information | Mitschnitt" teilweise nicht sichtbar.
• [27453] Das Pipe-Zeichen "|" konnte im Postfachnamen von E-Mail-Adressen nicht verwendet werden; behoben
• [27768] Wenn der Detailgrad für das Protokoll auf "Debug" konfiguriert war, dann wurden die zusammengefassten Berichte über die administrative Quarantäne nicht immer an alle Administratoren versandt; behoben
• [27736] Wenn die Option, in Quarantäne-Berichte nur Informationen über neue Nachrichten aufzunehmen, aktiv war, dann wurden die Quarantäne-Berichte bisweilen nicht versandt, oder sie enthielten die falschen Nachrichten; behoben
• [27771] Das temporäre Verzeichnis des SpamAssassins verblieb irrtümlich auf dem Datenträger; behoben