Versionsinformationen für SecurityGateway für Email Servers v11.0

SecurityGateway 12.0.0rc1

BEHOBENE FEHLER

• (beta only) [29149] fix to Remote POP Accounts crash when testing or saving a new POP account
• [29099] Bei Nutzung des domänenspezifischen SMTP-AUTH-Kennworts einer Domäne war ein Versand von E-Mail-Nachrichten unter anderen Domänennamen nicht möglich, wenn die Option "Echtheitsbestätigung ist immer erforderlich, wenn Nachrichten von lokalen Benutzerkonten stammen" aktiv war. Die domänenspezifischen SMTP-AUTH-Kennwörter (im Format Domäne@Domäne) für Mailserver der Domäne können jetzt auch unter anderen Domänennamen Nachrichten versenden, falls für diese anderen Domänen ebenfalls Mailserver konfiguriert sind (Microsoft 365, GSuite oder andere Mailserver der Domäne).
• (beta only) [29114] Display Name Protection now correctly handles raw UTF-8 characters in email headers and includes expanded Unicode confusables detection covering Latin Small Capital letters (found in Windows Character Map), Cherokee lookalikes, IPA extensions, and letterlike symbols
• (beta only) [29159] fix to Change Password dialog in dark theme showing greyed out area at top of window due to missing modal overlay

SecurityGateway 12.0.0d

BEHOBENE FEHLER

• (beta only) [29104] fix to HTTP socket lifetime race condition crash
• (beta only) [29134] fix to archive store query now retries on transient database errors before moving message to archive retry queue

SecurityGateway 12.0.0c

ÄNDERUNGEN UND NEUE LEISTUNGSMERKMALE

• [29027] Archivierung gespeicherter Nachrichten - Nachrichten, die noch in der Datenbank gespeichert (vgl. Einstellungen / Benutzer | Datenbank | Datenhaltung), aber noch nicht archiviert sind, können jetzt archiviert werden. Hierzu steht die neue Option "Gespeicherte Nachrichten archivieren" im Konfigurationsdialog für die Archivierung (Einstellungen / Benutzer | Archivierung | Konfiguration) zur Verfügung. Administratoren können mithilfe dieser Option die aufgrund der Datenhaltungs-Regeln in der Datenbank gespeicherten Nachrichten archivieren. Dieses Leistungsmerkmal ist hilfreich, wenn die Archivierung erstmals aktiviert wird; in diesem Fall können die noch vorhandenen historischen Nachrichten archiviert werden. Es kann auch dazu verwendet werden, Nachrichten wieder herzustellen, die im Archiv fehlen, aber noch in der Datenbank vorhanden sind.
• [29118] Im Protokoll für die Sperr- und Freigabelisten wird jetzt auch der tatsächliche Eintrag vermerkt, der den Treffer ausgelöst hat. Ein Beispiel hierzu: Es wird nicht mehr "Absender ist auf der Sperrliste (Nachricht von Benutzer : 194443)", sondern "Absender ist auf der Sperrliste (Nachricht von Benutzer : *@spammer.com : 194443)" protokolliert. Hierdurch wird klarer, welcher Eintrag mit Jokerzeichen den Treffer ausgelöst hat, und dies vereinfacht insbesondere die Fehlersuche.
• (beta only) [29114] Display Name Protection enhancements:
  • Nickname and Diminutive Detection - Automatically recognizes common first name variations and nicknames as matches to protected users. For example, "Bob Smith" will match "Robert Smith", "Matt Jones" will match "Matthew Jones", and "Bill Johnson" will match "William Johnson". This catches impersonation attempts that use familiar name forms to appear more legitimate.
  • Unicode Confusables Normalization - Detects and normalizes visually similar Unicode characters used in homograph attacks. Attackers often substitute characters like Cyrillic "а" for Latin "a", or use lookalike characters. The detection engine normalizes these confusable characters before comparison, catching sophisticated impersonation attempts that appear identical but use different Unicode code points.
  • Added a "Personal Emails" column to the Protected User List
  • Fixed enable/disable form field bugs

BEHOBENE FEHLER

• (beta only) [29124] fix to archive queue retry failing for messages where the original message record was deleted from the database before archiving completed
• (beta only) [29129] fix to Display Name Protection page where the "Free Email Provider Actions" radio buttons were selectable even when the feature was disabled, per-domain custom settings were incorrectly greyed out, and the Protected Users list was missing the "Personal Emails" column
• [28603] Die Verknüpfung "Kennwort vergessen" auf der Anmeldeseite erschien bei Anzeige auf Mobilgeräten abgeschnitten oder verdeckt; behoben
• [28801] Eingehende Nachrichten mit einem Antwortpfad NULL wurden irrtümlich als abgehende Nachrichten eingestuft, wenn die Absenderkopfzeile (From) eine Adresse aus einer lokalen Domäne enthielt, für die die Prüfung über Active Directory oder eine Datenquelle für Benutzerprüfung fehlschlug; behoben
• [28934] Beim Betrachten von Nachrichten im Nachrichten-Protokoll wurden die Kopfzeilen abgeschnitten, wenn die Option "Alle Kopfzeilen anzeigen" aktiv war und die Nachricht mehr Kopfzeilen enthielt, als im Anzeigebereich dargestellt werden konnten. Der Anzeigebereich erhält in diesem Fall jetzt Scrollbalken, damit die Kopfzeilen vollständig dargestellt werden können.
• [29088] Nachrichten, die als Spam gekennzeichnet waren und mehrzeilige MIME-kodierte Betreffzeilen enthielten, wurden im Nachrichten-Protokoll nicht vollständig dekodiert, sodass unbearbeiteter kodierter Text (=?UTF-8?B?...?=) anstatt des dekodierten Betreffs angezeigt wurde; behoben
• [29117] Der Befehl zum Beenden des Windows-Dienstes meldete bereits ein Ergebnis, obwohl der Prozess SecurityGateway noch nicht vollständig beendet war; behoben
• [29058] Bei Verarbeitung bestimmter Dateianlagen gab das Leistungsmerkmal zum Extrahieren von Text (FilterHost.exe) keinen Text zurück, oder der Vorgang wurde nach 60 Sekunden wegen Zeitüberschreitung abgebrochen; behoben
• [22296] Archiv-Speicher wurden nicht mit vollständigen Verzeichnispfaden sondern mit Pfaden erstellt, die nur ein Leerzeichen enthielten; behoben
• [28967] Verwaiste Sperrdateien (LCK) verblieben in der Archiv-Warteschlange und verhinderten die Archivierung von Nachrichten. Sperrdateien, die nach einem Absturz oder einer unerwarteten Beendigung des Programms verbleiben, werden jetzt beim Programmstart gelöscht, und die zugehörigen Nachrichten werden zur manuellen Prüfung in die Defekt-Warteschlange verschoben.
• [24922] Durch das System erzeuge Nachrichten (Quarantäne-Berichte, Nachrichten zum Zurücksetzen von Kennwörtern usw.) wurden nicht archiviert; behoben
• (beta only) [29128] fix to SMTP call-forward user verification creating users with blank names. When using SMTP call-forward as the user verification source, newly verified users were being created with empty mailbox names (appearing as "@domain.com" in the Users list).

SecurityGateway 12.0.0b

ÄNDERUNGEN UND NEUE LEISTUNGSMERKMALE

• [29039] Archivfehler-Warteschlange für Nachrichten, deren Archivierung fehlgeschlagen ist: Nachrichten, die wegen eines Fehlers nicht archiviert werden konnten (zu wenig Speicherplatz auf dem Datenträger, Archiv-Speicher nicht verfügbar usw.) werden jetzt in diese eigens hierfür vorgesehene Warteschlange eingestellt. Die Administratoren können diese Nachrichten im Menü Einstellungen / Benutzer | Archivierung | Fehlgeschlagene Nachrichten einsehen und verwalten.
• [29108] Neugestaltung der Seite Benutzer-Einstellungen: Die Seite Benutzer-Einstellungen wurde neu gestaltet und in logisch gruppierte Abschnitte unterteilt (Sicherheit, Anzeige-Einstellungen, E-Mail-Filter, Quarantäne, Archivierung und Erweiterte Optionen). Hierdurch wird die Benutzerfreundlichkeit erhöht. Für Kennwortänderungen wird jetzt ein eigener Dialog geöffnet. Der dunkle Modus kann über jetzt über ein Dropdown-Auswahlfeld aktiviert werden.

BEHOBENE FEHLER

• (beta only) [28834] Fixed an issue where SecurityGateway would fail to start when configured to use an external Firebird database server, reporting "Firebird Unknown Version (ODS 0)". The Firebird version check now queries the database server directly instead of reading from the local database file, which is not accessible when using an external server.
• (beta only) [29103] fix to Archive store backups fail as hard coded test path "Z:\invalid" was inadvertently left in code
• (beta only) [29104] fix to HTTP socket lifetime race condition crash

SecurityGateway 12.0.0a

ZUR BESONDEREN BEACHTUNG

• [28204] Aktualisierte Anforderungen an das Betriebssystem

  SecurityGateway 12.0 unterstützt Microsoft Windows 7, Windows 8, Windows 8.1 und Windows Server 2008 R2 nicht mehr. SecurityGateway benötigt ab jetzt Microsoft Windows 10 oder Windows Server 2012 oder eine neuere Version dieser Betriebssysteme.

BESONDERS WICHTIGE NEUE LEISTUNGSMERKMALE

• [28631] Schutz der Anzeigenamen zur Abwehr von Business E-Mail Compromise (BEC, ein Oberbegriff für die Kompromittierung geschäftlicher E-Mail-Konten) und zum Schutz gegen das Vorspiegeln falscher Identitäten.

  Mithilfe dieses Leistungsmerkmals können Sie sich gegen Angriffe schützen, bei denen betrügerisches Auftreten mithilfe manipulierter Anzeigenamen verschleiert wird. Angreifer verwenden hierbei Anzeigenamen, die denen von vertrauten Benutzern ähnlich sind (etwa solchen von Vorstandsmitgliedern und Geschäftsführern, Lieferanten oder Arbeitskollegen), um die Empfänger zu bestimmten Aktionen zu verleiten. Solche Aktionen können etwa Geldüberweisungen oder das Offenlegen geheimhaltungsbedürftiger Informationen sein. Dieses Leistungsmerkmal bietet durch mehrere Abwehrmechanismen umfassenden Schutz:

  Kern-Erkennungsmodul: Dieses Modul nutzt eine fortgeschrittene Erkennungsmethode für ähnliche Namen (es wird der Jaro-Winkler-Algorithmus eingesetzt). Diese Methode erkennt, wenn der Anzeigename in einer E-Mail-Nachricht dem eines geschützten Benutzers ähnelt, aber von einer anderen E-Mail-Adresse stammt. Die Administratoren können einen Schwellwert für die Ähnlichkeit (von 0.0 - 1.0) konfigurieren. Der Wert 1.0 bedeutet, dass nur eine genaue Übereinstimmung erkannt wird. Niedrigere Werte ermöglichen einen unscharfen ("Fuzzy") Abgleich, durch den Abwandlungen wie "Jon Smith" gegenüber "John Smith" ebenfalls erkannt werden.

  Verwaltung geschützter Benutzer: Die Administratoren können Ziele mit hohem Gefährdungsgrad bestimmen (Vorstandsmitglieder und Geschäftsführer, Beschäftigte im Bereich Finanzen, Beschäftigte im Personalwesen) und besonders überwachen. Jeder geschützte Benutzer kann eine persönliche Liste legitimer alternativer Adressen pflegen und so falschen positiven Treffern vorbeugen, die etwa dann auftreten können, wenn die Benutzer Nachrichten von privaten Benutzerkonten aus senden.

  Aktionen für Freemail-Anbieter: Auf E-Mail-Nachrichten, die von Freemail-Anbietern ausgehen (Gmail, Yahoo, Outlook.com, Hotmail, ProtonMail, iCloud, AOL usw.), können striktere Regeln angewendet werden. Diesem Vorgehen liegt die Annahme zugrunde, dass Angriffe mit vorgetäuschten Identitäten oft von Benutzerkonten bei solchen Anbietern ausgehen. Für diese Hochrisiko-Quellen können besondere Aktionen konfiguriert werden.

  Flexible Aktionen bei Treffern: Sie können mehrere Aktionen konfigurieren, die bei Treffern ausgeführt werden. Hierzu gehören das Abweisen von Nachrichten, das Verschieben von Nachrichten in Quarantäne für eine manuelle Sicherheitsprüfung, das Hinzufügen von Kopfzeilen mit Warnmeldungen (X-SecurityGateway-DisplayNameSpoofed), das Kennzeichnen der Betreffzeilen mit [SPOOFED] und das Verschieben in Spam-Ordner. Sie können für Treffer bei Nachrichten von allgemeinen Quellen und für Treffer bei Nachrichten von Freemail-Anbietern getrennte Aktionen konfigurieren.

  Detaillierte Ausnahmen: Sie können falsche positive Treffer mithilfe verschiedener Ausnahmen verhindern. Hierzu gehören IP-Adressen auf einer Freigabeliste, Verbindungen mit Echtheitsbestätigung und Anmeldung, Mailserver der Domänen, und frei konfigurierbare Ausschlusslisten, in denen Sie Muster mithilfe von Jokerzeichen (z.B. *@company.com, benutzer*@domain.com, admin@*.com) definieren können

  Sieve-Integration: Fortgeschrittene Benutzer können mithilfe der neuen Sieve-Tests vnd.mdaemon.display_name_protection und vnd.mdaemon.sender_is_free_email angepasste Richtlinien erstellen.

  Sie können dieses Leistungsmerkmal über die Webschnittstelle unter Sicherheit | Anti-Spoofing | Schutz der Anzeigenamen konfigurieren.

• [29012] Datenbank-Verbindungspooling zur Verbesserung der Leistung und der Zuverlässigkeit bei hoher Systemlast.

  Das Verbindungspooling ist ein Verfahren zur mehrfachen Nutzung bestehender Datenbankverbindungen, bei dem die Erstellung einer neuen Datenbankverbindung für jeden Vorgang nach Möglichkeit vermieden wird. Es enthält ein Verfahren zur automatischen Wiederholung fehlgeschlagener Anforderungen, wobei die Zeit zwischen aufeinander folgenden Versuchen bei nur vorübergehenden Fehlern exponentiell erhöht wird (sog. "exponential backoff"). Es enthält auch einen Auslösemechanismus, um Kaskadenfehlfunktionen bei Ausfall der Datenbank zu verhindern. Ungenutzte Verbindungen werden automatisch aus dem Verbindungspool entfernt, um die Nutzung der Ressourcen zu optimieren.

  Überwachung über das Dashboard: Globale Administratoren können den Zustand des Datenbank-Verbindungspool auf dem Dashboard in Echtzeit überwachen. Die verfügbaren Statistiken umfassen insbesondere derzeitige und höchstzulässige Poolgröße, Zahl der aktiven und inaktiven Verbindungen, Status der Auslösefunktion und Zahl aufeinanderfolgender Fehler. Die Statistik des Datenbank-Verbindungspools kann unter Hauptmenü | Mein Benutzerkonto | Einstellungen aus dem Dashboard ausgeblendet werden.

  Windows-Leistungsüberwachung: Die Metriken des Datenbank-Verbindungspools werden als Leistungsindikatoren für die Windows-Leistungsüberwachung übermittelt. Sie stehen unter dem Objekt SecurityGateway zur Verfügung und ermöglichen die Integration mit externen Überwachungstools und Alarmsystemen.

• [25124] IP-Beschränkungen für Administratoren zur Verbesserung der Sicherheit der Benutzerkonten mit Administratorrechten

  Sie können den Zugriff durch Benutzerkonten mit Administratorrechten auf bestimmte IP-Adressen und IP-Adressbereiche beschränken. Dieses Leistungsmerkmal bietet eine zusätzliche Sicherheitsmaßnahme für Benutzerkonten mit Administratorrechten. Es hilft, unberechtigten Zugriff dadurch zu verhindern, dass die Gegenstellen beschränkt werden, von denen aus sich Administratoren anmelden können.

  Globale und nach Domänen getrennte Konfiguration: Sie können die Beschränkungen für globale und für Domänen-Administratoren getrennt konfigurieren. Domänen-Administratoren können sich von IP-Adressen aus anmelden, die in den Freigabelisten ihrer Domänen oder in der globalen Freigabeliste erfasst sind. Hierdurch wird die Flexibilität für Umgebungen mit mehreren Domänen erhöht, während die zentral vorgegebenen Sicherheitsrichtlinien erhalten bleiben.

  Flexibler IP-Abgleich: Es werden einzelne IP-Adressen, IP-Adressbereiche und die CIDR-Schreibweise unterstützt. Der Zugriff vom localhost aus (127.0.0.1 und ::1) ist immer zugelassen, damit der Zugriff vom lokalen System aus nicht gesperrt werden kann.

  Umfassende Protokollierung: Alle Zugriffsversuche über Benutzerkonten mit Administratorrechten werden in das HTTP-Protokoll eingetragen. Protokolliert werden erfolgreiche und abgewiesene Zugriffe, die IP-Adresse, von der sie ausgehen, und die E-Mail-Adresse des betroffenen Benutzerkontos mit Administratorrechten. Hierdurch wird die Überwachung der Sicherheit und der Richtlinien vereinfacht.

  Sie können dieses Leistungsmerkmal über Einstellungen / Benutzer | Benutzerkonten | Administratoren | Optionen zur IP-Beschränkung konfigurieren.

ÄNDERUNGEN UND NEUE LEISTUNGSMERKMALE

• [29015] Die Bestätigungsabfragen bei Ausführung von Aktionen in der Quarantäne enthalten jetzt die Option "Diese Abfrage nicht erneut anzeigen". Die Benutzer können die Option für jede Art der Aktion (Freigeben, Löschen, Sperren, Ausnahme, als Spam bestätigen usw.) getrennt konfigurieren. Sie können damit die Bestätigungsabfragen für routinemäßig ausgeführte Aktionen überspringen und sie zugleich für destruktive Vorgänge beibehalten. Auf der Seite Hauptmenü | Mein Benutzerkonto | Einstellungen steht die neue Option "Einstellungen für Bestätigungsabfragen in Quarantäne-Berichten zurücksetzen" zur Verfügung. Die Benutzer können damit für den gerade verwendeten Browser alle zuvor deaktivierten Bestätigungsabfragen wieder aktivieren.
• [11429] Warnnachrichten per E-Mail bei fehlgeschlagenen geplanten Datenbank-Sicherungen können jetzt versandt werden. Die Administratoren können jetzt SecurityGateway so konfigurieren, dass alle globalen Administratoren per E-Mail benachrichtigt werden, wenn nach Zeitplan ausgeführte Datenbank-Sicherungen fehlschlagen. Diese Option ist per Voreinstellung aktiv. Sie kann auf der Seite Einstellungen / Benutzer | Datenbank | Datensicherung geändert werden. Die Benachrichtigungen helfen dabei, kritische Fehler bei der Datensicherung umgehend zu bearbeiten.
• [4107] Quarantäne-Berichte können jetzt auf Abruf versandt werden. Hierzu dient die neue Schaltfläche "Quarantäne-Bericht jetzt senden" auf der Seite Hauptmenü | Mein Benutzerkonto | Einstellungen | Quarantäne-Optionen. Administratoren können den Benutzern, für deren Benutzerkonten sie Administratorrechte haben, den Bericht über die Seite Einstellungen der Benutzer senden (sie ist erreichbar über die Schaltfläche "Einstellungen" in der Symbolleiste der Benutzerliste). Mithilfe dieses Leistungsmerkmals können die Quarantäne-Berichte sofort per E-Mail versandt werden, ohne dass der Zeitpunkt des nächsten zeitplangemäßen Versands abgewartet werden muss.
• [29046] Die Suchfunktion für Archive enthält jetzt per Voreinstellung die Suchkriterien Absender/Empfänger. Beim Durchsuchen archivierter Nachrichten werden die Felder Absender und Empfänger ab jetzt ebenfalls automatisch einbezogen. Bisher war das nur für Betreff und Nachrichtentext der Fall. Die Einbeziehung der neuen Felder erleichtert das Auffinden von Nachrichten, ohne dass die Suchoptionen manuell angepasst werden müssen.
• [13555] Beim Export der Benutzerkonten in eine kommagetrennte Datei (CSV) werden die Kennwörter ab jetzt nicht mehr in der Datei gespeichert.
• [26679] Der Versand von Quarantäne-Berichten an externe Administratoren kann jetzt deaktiviert werden. Die entsprechende Option ist erreichbar über Einstellungen / Benutzer | E-Mail-Konfiguration | Quarantäne-Konfiguration. Diese Option erleichtert Unternehmen die Einhaltung der Anforderungen der DSGVO, indem der Versand von Quarantäne-Übersichten, in denen Daten über die Nachrichten der Benutzer enthalten sind, an Administratoren außerhalb des Unternehmens oder der Organisation unterbunden wird.
• [29079] Die Dokumentation für das API wurde aktualisiert. Sie ist jetzt in nach Kategorien getrennte Dateien unterteilt. Kodebeispiele für C#/.NET und Python wurden aufgenommen.
• [24065] Die Wiederherstellungs-Einstellungen für den Windows-Dienst SecurityGateway wurden geändert. Der Windows-Dienst wird jetzt beim ersten und bei zweiten Fehler automatisch neu gestartet. Diese neue Einstellung wird bei Neuinstallationen und bei Aktualisierung bestehender Installationen einmal angewendet. Wenn Sie die Einstellungen zur Wiederherstellung danach ändern, bleiben die von Ihnen geänderten Einstellungen erhalten.

BEHOBENE FEHLER

• [27718] Die benutzerdefinierten Berichte auf dem Dashboard unterstützen jetzt die Detailsuche zur Informationsgewinnung. Um die Nachrichten zu den einzelnen Elementen einer Übersichtsgrafik einzusehen, klicken Sie doppelt auf das betreffende Element.
• [28636] Für Sieve-Regeln, die für Disclaimer erstellt wurden, bestand irrtümlich dann Schreibzugriff, wenn sie über Sicherheit | Sieve-Skripte geöffnet wurden; behoben
• [28671] Bei Verwendung von Mustern nach dem Schema R0, R1, R2* zum Filtern von Dateianlagen wurde irrtümlich der vollständige Dateiname und nicht nur die Erweiterung ausgewertet. Hiermit wurden Dateien wie R2345694373.png irrtümlich blockiert. Dies ist behoben.
• [28742] Das Herunterladen von Dateianlagen in Chromium-basierten Browsern schlug fehl, falls die Dateinamen Kommata enthielten; behoben
• [28992] Die Option "E-Mail-Adresse dem Namen voranstellen" für das Leistungsmerkmal Auswertung der Absenderkopfzeile From beschädigte die Kopfzeile From, wenn der Anzeigename Zeichen mit Akzent (nach RFC 2047 kodierte Worte) enthielt; behoben
• [29044] Die Datensicherung für Archiv-Speicher meldete irrtümlich eine erfolgreiche Datensicherung auch dann, wenn die Datensicherung einzelner Archiv-Speicher fehlgeschlagen war; behoben
• [29049] Das Intervall für die Messung der Debug-Leistung wurde irrtümlich in der wissenschaftlichen Notation protokolliert; behoben
• [29068] Aufgrund eines JavaScript-Fehlers reagierte die Schaltfläche OK beim Übergehen von Konflikten in den Sperr- und Freigabelisten nicht; behoben
• [29025] Datei BayesianLearning.log wurde nicht archiviert und wuchs daher ohne Größenbegrenzung an; behoben
• [13989] Aliasnamen aus Datenquellen für Benutzerprüfung (Minger, AD/Exchange) wurden irrtümlich als neue Benutzer und nicht als Aliasnamen für bestehende Benutzer erstellt; behoben
• [29050] Benutzer wurden irrtümlich auch dann wegen Zeitüberschreitung abgemeldet, wenn sie die Option "Anmeldung auf diesem Gerät speichern und beibehalten" aktiviert hatten. Dies ist behoben. Benutzer mit gültigen Cookies für die Speicherung der Anmeldung werden jetzt automatisch neu angemeldet, wenn ihre Sitzung wegen Zeitüberschreitung endet.