全局管理员现在可以允许选定的域管理员来编辑其所属域的最大用户数。域管理员不能将最大用户数限制设置为低于该域当前的实际用户数量。此外,管理员还可以通过一项操作设置,要求域管理员在创建新域时必须设置用户数限制。启用该设置后,域管理员也无法移除已设置的域用户数限制。系统还提供了一项可选的确认提示(默认关闭),用于在域管理员提高用户数限制时提醒他们:增加用户数限制可能会影响计费。这些与域管理员计费相关的选项位于设置 / 用户 > 帐号 > 管理员 > 选项。
当某个域达到其配置的最大用户数限制的 75%、90% 或 100% 时,SecurityGateway 会向该域的管理员发送通知邮件。管理员可在 设置 / 用户 > 帐号 > 管理员 > 选项 中启用或禁用这些通知。
隔离报告、管理员警报、安全邮件通知、双重验证的验证邮件、磁盘空间不足警告以及其他系统生成的邮件,现已统一采用一致的品牌化邮件布局,提供更清晰的操作按钮,并提升了在移动设备上的阅读体验。
domain。许多垃圾邮件机器人会发送 EHLO domain,而不是真实的主机名。新增此默认项有助于在 SMTP 会话的早期阶段阻止此类连接。该项将在新安装和升级过程中自动添加。
Web 界面已采用更简洁的布局、更清晰的视觉层次以及更精致的整体外观。默认的浅色主题和深色主题均已更新。对移动浏览器的支持得到了改进,尤其改善了仪表板页面。对于希望获得更接近早期版本使用体验的用户而言,现已提供全新的经典主题。
SecurityGateway 现已提供基于 REST/JSON 的标准 API,并采用 OpenAPI 规范进行描述,从而更方便地实现管理自动化,并将产品与账户开通系统(Provisioning Systems)、身份管理平台以及自定义工作流程进行集成。
管理核心对象:该 API 支持用户、域、域别名、管理员、API 密钥、服务器/域/用户设置、允许列表、阻止列表、邮件服务器、验证源、DKIM 选择器、归档存储、Sieve 内容过滤脚本、IP Shield 条目、动态屏蔽条目以及 Webhook 订阅的管理,并提供只读性能计数器。
通过 API 密钥实现安全访问:管理员可在 设置 / 用户 > API 密钥 中创建 API 密钥。
内置文档:可通过 Web 服务器上的 /api/v1/openapi 获取机器可读的 OpenAPI 文档,并可直接导入到 Postman 等工具中。生成的 HTML 文档可在磁盘路径 /docs/api/api_openapi.htm 查看,也可通过 Web 服务器上的 /api_openapi.html 访问。
兼容性说明:现有的 XML-RPC API 将继续保留,但新的自动化集成应优先使用 REST API。这是首个版本,未来版本将继续增加更多 API 端点和功能。
全局管理员现可控制每位域管理员能够管理的产品功能区域。权限可在管理员编辑对话框中针对每位管理员单独配置。新增“默认域管理员权限”页面(设置 / 用户 > 帐号 > 默认管理员权限),用于定义新建域管理员的初始权限,并可批量将这些默认权限应用于现有域管理员。默认权限还可按域进行覆盖。
只读访问:对于没有某项功能区域管理权限的域管理员,仍可对其所属域中的该功能区域保留只读访问权限。归档和 RMail™ 为例外情况。对于这两项功能,没有管理权限的域管理员不会获得只读访问权限,而是完全隐藏对应页面。这保持了 12.5 版本之前的行为,同时也便于未提供这些功能的服务提供商将其从域管理员界面中隐藏。
委派管理:“域管理员(委派)”权限用于控制域管理员是否能够为其所属域创建或管理其他管理员。域管理员不能授予自己未拥有的权限。
升级行为:升级后,在此版本之前可供域管理员管理的所有功能区域,默认仍会对现有域管理员保持启用状态。
已扩展“动态屏蔽”功能,增加了对失败身份验证尝试的跟踪与阻止方式控制。可在 安全 > 反滥用 > 动态屏蔽 中进行配置。
灵活的时间设置:现在可以按分钟、小时或天来设置阻止时长和跟踪窗口。
递增阻止时长:重复违规的倍增系数可在不修改基础规则的情况下,延长后续违规的阻止时间。
子网级阻止:可选的 CIDR 聚合功能会在攻击来自多个相邻 IP 时,阻止更大的网络范围。
重复失败抑制:若失败记录重复使用相同密码,可将其从失败计数中排除,从而减少由缓存凭证导致的不必要阻止,但仍会统计不同类型的失败。
使用 Google Workspace 的域现在可以通过 Google Workspace API 验证本地用户,而无需使用 SMTP 回调。该集成可解析别名,并使用 Google Cloud 服务账号和 OAuth 2.0 进行认证。可在 设置 / 用户 > 帐号 > 用户验证源 中进行配置。
除文件扩展名之外,附件过滤规则现在还可以基于检测到的文件类型进行匹配,或以文件类型作为匹配条件。可在 安全 > 过滤 > 附件 中进行配置。
SecurityGateway 现在可以检测实际文件类型与文件扩展名不匹配的附件(例如将可执行文件伪装成 .pdf)。对于此类不匹配的附件,可以选择拒绝、隔离或接受处理,并支持可选的主题标记以及评分调整。可在 安全 > 过滤 > 附件伪装 中进行配置。
设置 > 服务器 > 域设置)时,新建域将进入待验证状态,当所有者在 _sgverify.<domain> 发布含有域编辑页面所提供 token 的 TXT 记录之前,不会接收任何邮件。验证可通过域编辑页面按需触发,或通过 POST /api/v1/domains/{id}/verify 调用触发,并会每小时在后台自动运行一次。验证成功后将触发新的 domain.verified webhook 事件。全局管理员在创建域时可以按域跳过验证。
设置 / 用户 > 系统 > PROXY 协议 中进行配置。
正在归档 > 失败的邮件,并在登录后直接链接到该视图。
安全 > 允许列表 > 配置,并且会正确应用按域覆盖的设置。