Notes de mise à jour de SecurityGateway for Email Servers v11.0

SecurityGateway 12.0.0rc1

CORRECTIFS

• (beta only) [29149] fix to Remote POP Accounts crash when testing or saving a new POP account
• [29099] Correctif pour les mots de passe d'authentification SMTP de domaine qui n'étaient pas autorisés à envoyer des courriels à partir d'autres domaines lorsque "L'authentification est toujours requise lorsque le courrier provient de comptes locaux" est activée. Les mots de passe d'authentification SMTP de domaine (format : domaine@domaine) à partir d'un serveur de messagerie de domaine peuvent désormais envoyer en tant qu'autres domaines qui ont également un serveur de messagerie configuré (O365, GSuite ou autre DMS).
• (beta only) [29114] Display Name Protection now correctly handles raw UTF-8 characters in email headers and includes expanded Unicode confusables detection covering Latin Small Capital letters (found in Windows Character Map), Cherokee lookalikes, IPA extensions, and letterlike symbols
• (beta only) [29159] fix to Change Password dialog in dark theme showing greyed out area at top of window due to missing modal overlay

SecurityGateway 12.0.0d

CORRECTIFS

• (beta only) [29104] fix to HTTP socket lifetime race condition crash
• (beta only) [29134] fix to archive store query now retries on transient database errors before moving message to archive retry queue

SecurityGateway 12.0.0c

CHANGEMENTS ET NOUVELLES FONCTIONNALITÉS

• [29027] Archiver les messages conservés - Ajout de la possibilité d'archiver les messages qui sont encore conservés dans la base de données (Configuration / Utilisateurs | Base de données | Conservation des données) mais qui ne sont pas encore archivés. Un nouveau bouton "Archiver les messages conservés" sur la page de configuration de l'archivage (Configuration / Utilisateurs | Archivage | Configuration) permet aux administrateurs d'ajouter des messages conservés à l'archive. Cela est utile lors de la première activation de l'archivage pour remplir les messages historiques, ou pour récupérer des messages qui manquent dans l'archive mais qui existent encore dans la base de données.
• [29118] Les messages de journal de la liste d'autorisation/liste de blocage incluent désormais la valeur d'entrée réelle qui a correspondu. Par exemple, au lieu d'afficher "L'expéditeur est sur la liste de blocage (Mail From user : 194443)", le journal affiche maintenant "L'expéditeur est sur la liste de blocage (Mail From user : *@spammer.com : 194443)". Cela rend plus clair quelle entrée générique a causé la correspondance, ce qui est particulièrement utile pour le dépannage.
• (beta only) [29114] Display Name Protection enhancements:
  • Nickname and Diminutive Detection - Automatically recognizes common first name variations and nicknames as matches to protected users. For example, "Bob Smith" will match "Robert Smith", "Matt Jones" will match "Matthew Jones", and "Bill Johnson" will match "William Johnson". This catches impersonation attempts that use familiar name forms to appear more legitimate.
  • Unicode Confusables Normalization - Detects and normalizes visually similar Unicode characters used in homograph attacks. Attackers often substitute characters like Cyrillic "а" for Latin "a", or use lookalike characters. The detection engine normalizes these confusable characters before comparison, catching sophisticated impersonation attempts that appear identical but use different Unicode code points.
  • Added a "Personal Emails" column to the Protected User List
  • Fixed enable/disable form field bugs

CORRECTIFS

• (beta only) [29124] fix to archive queue retry failing for messages where the original message record was deleted from the database before archiving completed
• (beta only) [29129] fix to Display Name Protection page where the "Free Email Provider Actions" radio buttons were selectable even when the feature was disabled, per-domain custom settings were incorrectly greyed out, and the Protected Users list was missing the "Personal Emails" column
• [28603] Correctif pour le lien "Mot de passe oublié" sur l'écran de connexion qui est coupé ou chevauché lors de l'affichage sur des appareils mobiles
• [28801] Correctif pour les messages entrants avec un chemin de retour nul étant incorrectement classés comme sortants lorsque l'en-tête From contient une adresse de domaine local qui échoue à la vérification AD/UVS
• [28934] Correctif du problème dans la visionneuse de messages du journal des messages qui coupait les en-têtes lorsque l'on cliquait sur « Afficher tous les en-têtes » et qu'il y avait plus d'en-têtes que ce qui pouvait tenir dans la zone visible. La section des en-têtes défile désormais pour afficher tout le contenu.
• [29088] Correctif pour les messages marqués comme spam avec des sujets MIME encodés sur plusieurs lignes qui ne sont pas entièrement décodés dans les journaux de messages, laissant le texte brut encodé (=?UTF-8?B?...?=) visible au lieu du sujet décodé
• [29117] Correctif pour la commande d'arrêt du service retournant avant que le processus SecurityGateway ne se termine complètement
• [29058] Correctif pour l'extraction de texte (FilterHost.exe) ne renvoyant aucun texte ou expirant après 60 secondes lors du traitement de certaines pièces jointes
• [22296] Correctif pour les magasins d'archives créés avec des chemins composés uniquement d'espaces (par exemple, un seul espace) au lieu de chemins de répertoire valides
• [28967] Correctif pour les fichiers de verrouillage orphelins dans la file d'attente d'archivage empêchant l'archivage des messages. Les fichiers de verrouillage laissés après un crash ou un arrêt inattendu sont désormais nettoyés au démarrage, et les messages associés sont déplacés vers la file d'attente des archives défectueuses pour examen.
• [24922] Correctif pour les messages générés par le système (rapports de synthèse de quarantaine, e-mails de réinitialisation de mot de passe, etc.) qui n'étaient pas archivés
• (beta only) [29128] fix to SMTP call-forward user verification creating users with blank names. When using SMTP call-forward as the user verification source, newly verified users were being created with empty mailbox names (appearing as "@domain.com" in the Users list).

SecurityGateway 12.0.0b

CHANGEMENTS ET NOUVELLES FONCTIONNALITÉS

• [29039] File d'attente des échecs d'archivage pour les messages qui ne peuvent pas être archivés. Les messages qui ne peuvent pas être archivés en raison d'erreurs (disque plein, stockage d'archives indisponible, etc.) sont désormais enregistrés dans une file d'attente dédiée aux échecs d'archivage. Les administrateurs peuvent consulter et gérer ces messages depuis Configuration / Utilisateurs | Archivage | Messages échoués.
• [29108] Refonte de la page des paramètres utilisateur - La page des paramètres utilisateur a été réorganisée en sections logiques (Sécurité, Préférences d'affichage, Filtrage des e-mails, Quarantaine, Archivage et Options avancées) pour une meilleure convivialité. Les modifications de mot de passe s'ouvrent désormais dans une boîte de dialogue, le mode sombre utilise un sélecteur déroulant.

CORRECTIFS

• (beta only) [28834] Fixed an issue where SecurityGateway would fail to start when configured to use an external Firebird database server, reporting "Firebird Unknown Version (ODS 0)". The Firebird version check now queries the database server directly instead of reading from the local database file, which is not accessible when using an external server.
• (beta only) [29103] fix to Archive store backups fail as hard coded test path "Z:\invalid" was inadvertently left in code
• (beta only) [29104] fix to HTTP socket lifetime race condition crash

SecurityGateway 12.0.0a

CONSIDÉRATIONS SPÉCIALES

• [28204] Exigences mises à jour du système d'exploitation

  SecurityGateway 12.0 ne prend plus en charge Windows 7, Windows 8, Windows 8.1 ou Windows Server 2008 R2. Les systèmes d'exploitation minimums pris en charge sont désormais Windows 10 et Windows Server 2012.

NOUVELLES FONCTIONNALITÉS MAJEURES

• [28631] Protection du nom d'affichage pour se protéger contre les compromissions de courrier électronique professionnel (BEC) et les attaques d'usurpation d'identité

  Protégez-vous contre les attaques d'usurpation de nom d'affichage où des acteurs malveillants utilisent des noms d'affichage similaires à ceux d'utilisateurs de confiance (tels que des dirigeants, des fournisseurs ou des collègues) pour tromper les destinataires et les inciter à effectuer des actions comme transférer de l'argent ou révéler des informations sensibles. Cette fonctionnalité offre une protection complète grâce à plusieurs couches de défense :

  Moteur de détection principal : Utilise une détection avancée de similarité de noms (algorithme de Jaro-Winkler) pour identifier quand le nom affiché d'un email correspond étroitement à celui d'un utilisateur protégé mais provient d'une adresse email différente. Les administrateurs peuvent configurer un seuil de similarité (0,0 - 1,0) où 1,0 nécessite une correspondance exacte et des valeurs inférieures permettent une correspondance approximative pour détecter des variations comme "Jon Smith" vs "John Smith".

  Gestion des utilisateurs protégés : Les administrateurs peuvent désigner des cibles de grande valeur (cadres, personnel financier, personnel des ressources humaines) pour la surveillance. Chaque utilisateur protégé peut maintenir une liste personnelle d'adresses alternatives légitimes pour éviter les faux positifs lorsqu'ils envoient des e-mails depuis des comptes personnels.

  Actions pour les fournisseurs d'email gratuits : Appliquer des politiques plus strictes aux messages provenant de fournisseurs d'email gratuits (Gmail, Yahoo, Outlook.com, Hotmail, ProtonMail, iCloud, AOL, et bien d'autres) d'où proviennent souvent les attaques d'usurpation d'identité. Configurer des actions distinctes spécifiquement pour ces sources à haut risque.

  Actions de réponse flexibles : Choisissez parmi plusieurs options de réponse, y compris le rejet des messages, la mise en quarantaine pour examen de sécurité, l'ajout d'en-têtes d'avertissement (X-SecurityGateway-DisplayNameSpoofed), le marquage des lignes d'objet avec [SPOOFED], ou le classement dans les dossiers de spam. Différentes actions peuvent être configurées pour les correspondances générales par rapport aux correspondances provenant de fournisseurs de messagerie gratuits.

  Exclusions Granulaires : Évitez les faux positifs avec plusieurs options d'exclusion : adresses IP autorisées, sessions authentifiées, serveurs de messagerie de domaine et une liste d'exclusion d'expéditeurs configurable prenant en charge les modèles génériques (*@company.com, user*@domain.com, admin@*.com).

  Intégration Sieve : Les utilisateurs avancés peuvent créer des politiques personnalisées en utilisant les nouveaux tests Sieve vnd.mdaemon.display_name_protection et vnd.mdaemon.sender_is_free_email

  La configuration est disponible sous Sécurité | Anti-Spoofing | Protection du nom d'affichage dans l'interface web.

• [29012] Gestion d’un pool de connexions à la base de données afin d’améliorer les performances et la fiabilité en cas de forte charge

  Le pool de connexions réutilise les connexions existantes à la base de données plutôt que d’en créer de nouvelles pour chaque opération. Il inclut un mécanisme de nouvelle tentative automatique avec temporisation exponentielle en cas d’erreurs transitoires, ainsi qu’une protection par disjoncteur pour éviter les pannes en cascade lors d’indisponibilités de la base de données. Le pool élimine automatiquement les connexions inactives afin d’optimiser l’utilisation des ressources

  Surveillance du tableau de bord : Les administrateurs globaux peuvent surveiller en temps réel la santé du pool de connexions de la base de données depuis le tableau de bord. Les statistiques incluent la taille actuelle du pool, la taille maximale du pool, les connexions actives, les connexions inactives, l'état du disjoncteur et le nombre d'échecs consécutifs. L'affichage des statistiques du pool de connexions DB sur le tableau de bord peut être désactivé sous Principal | Mon compte | Paramètres.

  Moniteur de performance Windows : Les métriques du pool de connexions de la base de données sont exposées en tant que compteurs du Moniteur de performance Windows sous l'objet SecurityGateway, permettant l'intégration avec des outils de surveillance externes et des systèmes d'alerte.

• [25124] Restrictions IP pour administrateurs afin d'améliorer la sécurité des comptes administratifs

  Restreindre l'accès de connexion des administrateurs à des adresses IP ou des plages d'IP spécifiques, offrant ainsi une couche de sécurité supplémentaire pour les comptes administratifs. Cette fonctionnalité aide à prévenir les accès non autorisés en limitant les lieux d'authentification des administrateurs.

  Configuration globale et par domaine : Configurez les restrictions IP pour les administrateurs globaux séparément des administrateurs de domaine. Les administrateurs de domaine peuvent se connecter à partir des IP figurant dans leur liste d'autorisation spécifique au domaine OU dans la liste d'autorisation globale, offrant ainsi une flexibilité pour les environnements multi-domaines tout en maintenant des politiques de sécurité centralisées.

  Correspondance IP flexible : prend en charge les adresses IP individuelles, les plages d'IP et la notation CIDR. L'accès localhost (127.0.0.1 et ::1) est toujours autorisé pour garantir que l'accès local n'est jamais bloqué.

  Journalisation complète : Toutes les tentatives d'accès administrateur (accordées et refusées) sont enregistrées dans le journal HTTP avec l'adresse IP et l'email de l'administrateur pour les besoins d'audit de sécurité et de conformité.

  La configuration est disponible sous Configuration / Utilisateurs | Comptes | Administrateurs | Option de restriction IP.

CHANGEMENTS ET NOUVELLES FONCTIONNALITÉS

• [29015] Les confirmations d'actions de quarantaine prennent désormais en charge les préférences spécifiques à chaque action "Ne plus afficher cette invite". Les utilisateurs peuvent configurer indépendamment chaque type d'action (libérer, supprimer, bloquer, exempter, confirmer le spam, etc.), leur permettant de passer les invites pour les actions de routine tout en maintenant les confirmations pour les opérations destructrices. Un nouveau bouton "Effacer les préférences de confirmation du rapport de quarantaine" dans Principal | Mon compte | Paramètres permet aux utilisateurs de restaurer toutes les invites de confirmation pour le navigateur actuel.
• [11429] Alertes par e-mail pour les sauvegardes de base de données planifiées échouées. Les administrateurs peuvent désormais configurer SecurityGateway pour envoyer des notifications par e-mail à tous les administrateurs globaux lorsque les sauvegardes de base de données planifiées échouent. Ce paramètre optionnel (activé par défaut) est disponible sur la page Configuration / Utilisateurs | Base de données | Sauvegarde et aide à garantir que les échecs critiques de sauvegarde sont traités rapidement.
• [4107] Les rapports de quarantaine peuvent désormais être envoyés à la demande via un bouton "Envoyer le rapport de quarantaine maintenant" dans Principal | Mon compte | Paramètres | Options de quarantaine. Les administrateurs peuvent envoyer un rapport pour un utilisateur pour lequel ils ont des autorisations depuis la page de paramètres de cet utilisateur (bouton "Paramètres" de la barre d'outils de la liste des utilisateurs). Cela permet une livraison immédiate des e-mails de rapport de quarantaine sans attendre l'intervalle de rapport programmé.
• [29046] La recherche dans les archives inclut désormais l'expéditeur et le destinataire dans les critères de recherche par défaut. Lors de la recherche de messages archivés, la recherche inclura désormais automatiquement les champs expéditeur et destinataire en plus de l'objet et du corps du message, facilitant ainsi la recherche de messages sans avoir à activer manuellement des options de recherche supplémentaires.
• [13555] Les mots de passe ne sont plus inclus dans le fichier CSV d'exportation des utilisateurs.
• [26679] Option d'exclure les administrateurs externes de la réception des e-mails de résumé de quarantaine administrateur. Ce paramètre est disponible sous Configuration / Utilisateurs | Configuration du courrier | Configuration de la quarantaine dans la section Quarantaine administrative et aide les organisations à se conformer aux exigences du RGPD en empêchant l'envoi de résumés de quarantaine contenant des informations sur les messages des utilisateurs aux administrateurs externes à l'organisation.
• [29079] Documentation de l'API mise à jour. Réorganisée en fichiers séparés par catégorie. Ajout d'exemples de code en C#/.NET et Python.
• [24065] Le service système SecurityGateway est désormais configuré avec des options de récupération pour redémarrer automatiquement le service lors des première et deuxième défaillances. Cette configuration est appliquée une fois lors des nouvelles installations et des mises à jour. Si vous modifiez les paramètres de récupération par la suite, vos modifications seront conservées.

CORRECTIFS

• [27718] Rapports de tableau de bord personnalisés prennent désormais en charge le drill down. Double-cliquez sur un élément du graphique pour afficher les messages correspondants.
• [28636] Correctif pour que les règles Sieve créées pour les avertissements ne soient pas en lecture seule lorsqu'elles sont ouvertes depuis Sécurité | Scripts Sieve
• [28671] Correctif pour les modèles de filtrage des pièces jointes R0*, R1*, R2* qui correspondaient à l'ensemble du nom de fichier au lieu de l'extension, provoquant le blocage incorrect de fichiers comme R2345694373.png
• [28742] Correctif pour l'échec des téléchargements de pièces jointes dans les navigateurs Chromium lorsque le nom de fichier contient une virgule
• [28992] Correctif pour l'option de filtrage de l'en-tête From "Mettre l'adresse e-mail avant le nom" corrompant l'en-tête From lorsque le nom d'affichage contient des caractères accentués (mots encodés selon RFC 2047)
• [29044] Correctif pour le rapport de sauvegarde de l'archive indiquant un succès même lorsque les sauvegardes individuelles des magasins ont échoué
• [29049] Correctif pour l'intervalle de temps de performance de débogage enregistré en notation scientifique
• [29068] Correctif pour le bouton OK non réactif lors de la résolution des conflits de liste de blocage/liste d'autorisation en raison d'une erreur JavaScript
• [29025] Correctif pour que BayesianLearning.log soit archivé, empêchant ainsi le fichier de croître indéfiniment
• [13989] Correctif pour les alias provenant des sources de vérification des utilisateurs (Minger, AD/Exchange) qui étaient créés comme de nouveaux utilisateurs au lieu d'être ajoutés comme alias aux comptes existants
• [29050] Correctif concernant l'expiration de session déconnectant les utilisateurs même lorsque l'option "Se souvenir de moi" est activée. Les utilisateurs disposant de cookies de rappel valides seront désormais automatiquement ré-authentifiés lorsque leur session expire.