Globale Administratoren können jetzt einzelnen Domänen-Administratoren gestatten, die Anzahl höchstzulässiger Benutzer für die von ihnen verwalteten Domänen zu bearbeiten. Die Domänen-Administratoren können dabei die Zahl jeweils bestehender Benutzer in den Domänen nicht unterschreiten. Mithilfe einer weiteren neuen Option kann erzwungen werden, dass die Domänen-Administratoren beim Erstellen einer neuen Domäne eine Höchstzahl zulässiger Benutzer festlegen. Dieselbe Option verhindert zugleich, dass die bestehende Höchstzahl zulässiger Benutzer für eine Domäne entfernt und die Benutzerzahl damit unbegrenzt wird. Mithilfe einer Benachrichtigungsoption können Domänen-Administratoren darauf hingewiesen werden, dass sich eine Erhöhung der Höchstzahl zulässiger Benutzer auf das geschuldete Entgelt und die Abrechnung
auswirken kann. Diese Optionen zur Abrechnung sind erreichbar unter Einstellungen / Benutzer > Benutzerkonten > Administratoren > Optionen.
SecurityGateway benachrichtigt jetzt die Domänen-Administratoren, sobald in den von ihnen verwalteten Domänen 75 %, 90 % und 100 % der höchstzulässigen Benutzer vorhanden sind. Die Administratoren können diese Benachrichtigungen über Einstellungen / Benutzer > Benutzerkonten > Administratoren > Optionen > Optionen aktivieren und deaktivieren.
Quarantäne-Berichte, Warnmeldungen für Administratoren, Benachrichtigungen über sichere Nachrichten, E-Mail-Nachrichten zur Bestätigung im Rahmen der Zwei-Faktor-Authentifizierung, Warnmeldungen über zu geringen Speicherplatz auf dem Datenträger und weitere durch das System erstellte Nachrichten sind jetzt in einem durchgängig gestalteten, gebrandeten Format abgefasst. Sie enthalten außerdem besser verständliche Schaltflächen für Aktionen, und sie sind auf Mobilgeräten besser lesbar.
Domäne. Viele Spambots übermitteln EHLO Domäne statt des tatsächlichen Hostnamens. Die neue Voreinstellung bewirkt, dass solche Verbindungen zu einem früheren Zeitpunkt im SMTP-Protokolldialog beendet werden können. Der Eintrag wird bei Neuinstallationen und bei der Aktualisierung bestehender Installationen automatisch hinzugefügt.
Die Webschnittstelle wurde aktualisiert und hat ein bereinigtes Layout, optisch besser dargestellte Hierarchieebenen und insgesamt ein gefälligeres Aussehen erhalten. Die Standard-Designs Hell und Dunkel wurden erneuert. Browser auf mobilen Endgeräten werden besser unterstützt, insbesondere auf der Seite Dashboard. Benutzern, die eine stärker an das bisherige Design angelehnte Benutzeroberfläche bevorzugen, steht das neue Design Klassisch zur Verfügung.
SecurityGateway enthält jetzt ein standardisiertes, nach dem OpenAPI-Standard beschriebenes REST/JSON-API, das die Automatisierung von Verwaltungsfunktionen und die Verbindung des Produkts mit Provisionierungs-Systemen, Identitätsplattformen und benutzerdefinierten Arbeitsabläufen vereinfacht.
Verwaltung von Kernobjekten (Core Objects): Das API unterstützt Benutzer, Domänen, Domänen-Aliase, Administratoren, API-Schlüssel, Einstellungen für Server, Domänen und Benutzer, Freigabelisten, Sperrlisten, Mailserver, Datenquellen für Benutzerprüfung, DKIM-Selektoren, Archiv-Speicher, Sieve-Skripte für den Inhaltsfilter, Einträge des IP-Filters, Einträge des dynamischen Filters, Webhook-Subscriptions sowie (im Nur-Lese-Betrieb) Leistungsindikatoren (Performance Counter).
Sicherer Zugriff mithilfe von API-Schlüsseln: Administratoren können
API-Schlüssel erstellen. Hierzu dient die Seite Einstellungen / Benutzer > API-Schlüssel.
Integrierte Dokumentation: Auf dem Webserver steht unter /api/v1/openapi eine maschinenlesbare Dokumentation im OpenAPI-Format zur Verfügung. Sie kann in Hilfsprogramme wie Postman unmittelbar importiert werden. Eine hieraus im HTML-Format erstellte Dokumentation steht auf dem Datenträger unter /docs/api/api_openapi.htm sowie auf dem Webserver unter /api_openapi.html zur Verfügung.
Hinweis zur Kompatibilität: Das bislang bestehende XML-RPC-API bleibt bestehen, aber für neue Automatisierungsvorgänge sollte das REST-API verwendet werden. Es handelt sich um eine erste Version. Weitere Endpunkte und Fähigkeiten werden in künftigen Versionen verfügbar gemacht werden.
Globale Administratoren können jetzt steuern, welche Leistungsmerkmale und Bereiche des Produkts die einzelnen Domänen-Administratoren verwalten dürfen. Die Berechtigungen werden für jeden Administrator einzeln im Konfigurationsdialog Administrator bearbeiten festgelegt. Auf der neuen Seite Standard-Berechtigungen für Domänen-Adminstratoren (Einstellungen / Benutzer > Benutzerkonten > Standard-Berechtigungen für Administratoren) werden die Voreinstellungen für die Berechtigungen für neue Domänen-Administratoren konfiguriert. Sie können von hier aus gesammelt auch für bestehende Administratoren übernommen werden. Für jede Domäne können von den Voreinstellungen abweichende Berechtigungen konfiguriert werden.
Beschränkung auf den Lesezugriff: Domänen-Administratoren ohne Berechtigung zur Verwaltung bestimmter Leistungsmerkmale behalten für diese in den von ihnen verwalteten Domänen dennoch den Lesezugriff. Hiervon ausgenommen sind die Archivierung und Rmail™. Diese beiden Seiten werden solchen Domänen-Administratoren überhaupt nicht mehr angezeigt, die keine Berechtigung zu ihrer Verwaltung haben. Insoweit wird das in früheren Versionen vor Version 12.5 bereits bekannte Verhalten beibehalten. Provider, die diese Leistungsmerkmale nicht anbieten, können sie vor ihren Domänen-Administratoren verbergen.
Delegierung: Die Berechtigung "Domänen-Admins (Delegierung)" bestimmt, ob Domänen-Administratoren in den von ihnen verwalteten Domänen andere Administratoren erstellen und verwalten können. Domänen-Administratoren können dabei anderen nur solche Berechtigungen einräumen, die sie selbst auch haben.Verhalten bei Aktualisierungen: Nach der Aktualisierung einer bestehenden Installation bleiben die bestehenden Domänen-Administratoren zur Verwaltung aller Leistungsmerkmale berechtigt, die ihnen vor der Aktualisierung zur Verfügung standen.
Der dynamische Filter wurde um Optionen ergänzt, die bestimmen, die fehlgeschlagene Versuche zur Echtheitsbestätigung protokolliert und unterbunden werden sollen. Sie können diese Optionen konfigurieren unter Sicherheit > Anti-Abuse > Dynamischer Filter.
Flexible Zeiten: Die Sperrdauer und die Zeitfenster, während derer fehlgeschlagene Versuche zur Echtheitsbestätigung zusammenhängend überwacht werden, können jetzt in Minuten, Stunden und Tagen konfiguriert werden.
Verlängerung der Sperrdauer: Die Sperrdauer kann bei wiederholten fehlgeschlagenen Versuchen mithilfe eines Multiplikators verlängert werden, ohne dass dazu die zugrundeliegende Regel selbst geändert werden muss.
Sperre von Subnetzen: Sperren können wahlweise auf mithilfe der CIDR-Schreibweise bestimmte Subnetze ausgedehnt werden. Hiermit können größere zusammenhängende Netzwerksegmente gesperrt werden, wenn Angriffe von vielen nahe beieinander liegenden IP-Adressen ausgehen.
Ausschluss der Mehrfachzählung bei Versuchen mit denselben Kennwörtern: Fehlgeschlagene Versuche zur Echtheitsbestätigung, bei denen stets dasselbe Kennwort verwendet wird, können wahlweise nur einmal statt mehrfach gezählt werden. Dies ist hilfreich, um unnötige Sperren zu verhindern, die durch veraltete, noch gespeicherte Kennwörter ausgelöst werden. Gleichzeitig werden voneinander unabhängige Versuche weiterhin voll gezählt.
Für Domänen, in denen Google Workspace eingesetzt wird, können lokale Benutzer jetzt über das Google Workspace API überprüft werden. Bislang musste die Prüfung über SMTP-Rückrufe erfolgen. Das neu integrierte Leistungsmerkmal löst Aliase auf und nutzt ein Google-Cloud-Dienstkonto mit OAuth 2.0. Sie können dieses Leistungsmerkmal konfigurieren unter Einstellungen / Benutzer > Benutzerkonten.
Die Regeln zum Filtern von Dateianlagen können jetzt auch nach erkannten Inhaltstypen suchen. Diese Suche kann neben oder anstatt der Suche nach Dateiendungen eingesetzt werden. Sie können dieses Leistungsmerkmal konfigurieren unter Sicherheit > Filter > Dateianlagen.
SecurityGateway kann jetzt solche Dateianlagen erkennen, deren tatsächlicher Dateityp nicht mit ihrer Dateiendung übereinstimmt. Ein Beispiel hierfür ist eine ausführbare Datei, die mit der Dateiendung .pdf versehen wurde. Solche falsch bezeichneten Dateianlagen können abgewiesen, in Quarantäne gegeben, oder angenommen und durch einen Hinweis in der Betreffzeile und durch Änderung der Bewertung gekennzeichnet werden. Sie können dieses Leistungsmerkmal konfigurieren unter Sicherheit > Filter > Verschleierte Dateianlagen.
Einstellungen / Benutzer > Benutzerkonten > Domänen-Erstellung zur Verfügung. Sie ist per Voreinstellung deaktiviert. Wird diese Einstellung aktiviert, dann werden neu erstellte Domänen nur vorläufig eingerichtet. Sie nehmen erst dann Nachrichten an, wenn der Inhaber in der DNS-Zone einen TXT-Eintrag _sgverify.<Domäne> erstellt und dabei den auf der Seite Bearbeiten der jeweiligen Domäne angezeigten Token einträgt. Die Prüfung zur Bestätigung der Inhaberschaft kann auf Anforderung von der Seite Bearbeiten für die Domäne aus oder durch POST auf /api/v1/domains/{id}/verify durchgeführt werden. Darüber hinaus wird sie stündlich im Hintergrund durchgrführt. Der neue
Webhook domain.verified wird bei erfolgreicher Prüfung ausgelöst. Globale Administratoren können beim Erstellen einer Domäne die Prüfung im Einzelfall überspringen.
Einstellungen / Benutzer > System > PROXY-Protokoll.
Archivierung > Nachrichten, deren Verarbeitung fehlgeschlagen ist für die Webschnittstelle. Die in ihnen enthaltenen Verknüpfungen führen den Benutzer nach der Anmeldung auf die betreffende Seite.
Sicherheit > Freigabelisten > Konfiguration. Nach Domänen getrennt konfigurierte, abweichende Einstellungen werden richtig angewendet.