Notes de mise à jour de SecurityGateway for Email Servers

Notes de mise à jour de SecurityGateway for Email Servers v9.0

SecurityGateway for Email Servers fournit une protection anti-spam, antivirus et un contrôle d'accès SMTP aux infrastructures de messagerie nécessitant des outils de sécurité efficaces et complets.

Cliquez ici pour en savoir plus sur SecurityGateway for Email Servers.

SecurityGateway 9.0.3 - 5 juillet 2023

CONSIDÉRATIONS SPÉCIALES

[26983] La Protection instantanée a été restaurée.

CORRECTIFS

[27025] Correction des messages de notification d'échec de remise montrant les noms de chemin complets.
[27016] Correction de la détection de détournement de compte : aucune action n'est entreprise lorsque le seuil défini est atteint.
[27017] Correction de la détection de détournement de compte : l'option "Inclure les sessions non authentifiées d'un serveur de messagerie de domaine" peut être sélectionnée lorsque la détection de détournement de compte est désactivée.
[27041] Correction de l'option "Configuration | Serveur HTTP | Rediriger les requêtes HTTP vers HTTPS" toujours affichée comme désactivée dans l'interface Web.

SecurityGateway 9.0.2 - 18 avril 2023

CONSIDÉRATIONS SPÉCIALES

[26751] L'antivirus Cyren a été remplacé par l'antivirus IKARUS. Cyren a récemment annoncé l'arrêt de son activité, sans réel préavis, ce qui nous a contraints à trouver un nouveau partenaire. Nous avons procédé à une évaluation approfondie, à l'issue de laquelle IKARUS a obtenu les meilleurs résultats en termes de détection et de rapidité. L'antivirus IKARUS effectue une mise à jour automatique de ses définitions toutes les 10 minutes.
[26803] La Protection instantanée de Cyren a été supprimée. Cyren a récemment annoncé l'arrêt de son activité, sans réel préavis. Nous recherchons et analysons activement des technologies anti-spam durables pour compléter les mécanismes anti-spam présents dans nos solutions logicielles.

CHANGEMENTS ET NOUVELLES FONCTIONNALITÉS

[25284] Une nouvelle option permet d'activer la détection de détournement de compte pour les sessions SMTP provenant d'un serveur de messagerie de domaine, qu'elles soient authentifiées ou non.
[26740] Mise à jour de ClamAV en version 0.105.2.
[22520] Le comparateur par défaut lors d'une recherche dans une liste de blocage/d'autorisation à partir de l'interface Web a été modifié. Il est passé de "est égal à" à "contient".
[26760] LetsEncrypt : mise à jour du script afin de vérifier les demandes de certificat prêtes ou valides.

CORRECTIFS

[26724] Correction des destinataires de messages sécurisés parfois supprimés lorsqu'une source de vérification des utilisateurs est créée ou modifiée.
[23728] Correction de l'option "AlertOLE2Macros " n'étant pas activée dans clamd.conf.
[26720] Correction des requêtes DNS n'utilisant pas le cache DNS côté client de Windows, l'indicateur DNS_QUERY_BYPASS_CACHE étant toujours défini.
[18264] Correction de bugs lors de la génération de l'en-tête Received.
[26513] Correction d'un "S" ajouté au mauvais endroit dans les en-têtes Received générés lorsque les messages sont reçus via une connexion sécurisée.
[26663] Correction de l'impossibilité de modifier le texte d'une condition de règle de filtre de contenu en double-cliquant dessus dans la liste.
[26745] Correction de l'arrêt possible du processus après la réception d'une requête HTTP au format incorrect si le jeu de caractères non-Unicode du système d'exploitation n'est pas Windows-1252.
[26725] Correction, lors de la mise à jour de SecurityGateway à partir de l'interface Web, du message indiquant que l'installation s'est bien déroulée alors qu'elle a échoué.
[26752] Correction de l'arrêt du processus lors de l'affichage de la liste de certificats SSL dans "Configuration | Système | Chiffrement" si un certificat installé possède un autre nom correspondant à un identifiant d'objet enregistré (OID).
[26719] Correction des liens "liste blanche"/"liste noire" dans les transcriptions de messages (onglet Détails) ne passant pas à la bonne page après avoir chargé l'une des listes.
[26775] Correction de l'impossibilité d'enregistrer les modifications apportées aux paramètres de la boîte de dialogue "Configuration de SGSpamD".
[26774] Correction de sgperf.dll parfois non remplacé pendant la mise à niveau. Cela peut entraîner des données incorrectes au niveau des compteurs de performance.
[4734] Correction du serveur de messagerie de domaine non exempté de vérification DNS HELO.
[26773] Correction de l'absence de barre de défilement vertical dans les fenêtres "Aide" et "À propos" sous Firefox.
[26767] Correction de l'impossibilité d'ajouter une adresse IPv6 au format CIDR sur la liste blanche ou la liste noire.
[26810] Correction de l'impossibilité pour l'utilisateur de se connecter à l'interface Web lorsque l'option "Obliger les utilisateurs à activer l'authentification à deux facteurs" est sélectionnée et que l'utilisateur n'a pas encore configuré cette authentification.

SecurityGateway 9.0.1 - 1 février 2023

CHANGEMENTS ET NOUVELLES FONCTIONNALITÉS

[26613] Ajout d'un avertissement sur la page de connexion lorsque le verrouillage des majuscules est activé.
[26643] Mise à jour du SDK de la Protection instantanée en version 8.5.7-2212280909.
[26644] Le numéro de version du SDK de la Protection instantanée est désormais enregistré dans le journal système au démarrage.
[26635] Ajout de la file d'attente des messages incorrects dans la section "Files d'attentes" du tableau de bord des administrateurs globaux.
[26628] Suppression des anciennes mises à jour des règles heuristiques de SpamAssassin sur http://files.altn.com/securitygateway/updates/spamassassin. Ce mécanisme n'est plus utilisé depuis de nombreuses années. SA-Update continuera de fournir les mises à jour des règles de SpamAssassin.

CORRECTIFS

[26623] Correction d'un plantage possible de processus lorsqu'une action entraînant la modification d'un script Sieve est exécutée.
[26624] Correction de l'impossibilité pour les administrateurs de domaines d'afficher la liste des domaines.
[26621] Correction des vues "Journal des messages", "File d'attente distante" et "Quarantaine" ne se chargeant pas lorsque l'interface Web est en français ou en italien.
[26641] Correction du service de recherche de menaces Cyren n'utilisant pas les paramètres de proxy.
[26650] Correction de l'échec de l'extraction de texte des pièces jointes - FilterHost.exe ne démarre pas (Exception 0xc0000135).
[26667] Correction d'erreurs d'analyse de l'antivirus Cyren avec certains documents Microsoft Office. Le problème a été résolu en revenant à la version 6.5.2r2 du SDK Cyren AV.
[26669] Correction de la version russe - Impossible d'afficher le menu Sécurité | Anti-Spoofing | Modification de l'en-tête From.
[26611] Correction de l'erreur "Champ de formulaire [QueryDefaultUVSExternalAliases] introuvable" affichée lors de la tentative d'enregistrement des options de sources de vérification des utilisateurs.
[26680] Correction de l'impossibilité de restaurer un fichier de sauvegarde de base de données à partir de l'interface Web.
[26686] Correction : la désactivation de l'option "Marquer les utilisateurs pour une nouvelle vérification après X heures" (menu Configuration | Comptes | Sources de vérification des utilisateurs) n'était pas prise en compte.
[26687] Correction de l'impossibilité d'enregistrer un domaine pour lequel des alias de domaine sont définis.

SecurityGateway 9.0.0 - 10 janvier 2023

CONSIDÉRATIONS SPÉCIALES

[25882] Les noms de boîtes aux lettres contenant un caractère plus (+) sont désormais considérés par défaut comme des sous-adresses. Le processus de vérification des utilisateurs traite les sous-adresses comme des alias. Par exemple, "utilisateur+dossier@exemple.com" est résolu par "utilisateur@exemple.com" et l'alias "utilisateur+dossier@exemple.com = utilisateur@exemple.com". Les nouveaux utilisateurs dont le nom de boîte aux lettres contient un caractère plus ne peuvent pas être créés. Les utilisateurs existants dont le nom de boîte aux lettres contient un caractère plus ne sont pas automatiquement supprimés. Ils peuvent être corrigés (renommés ou supprimés) en utilisant l'option "Vérifier les utilisateurs" dans "Configuration | Comptes | Sources de vérification des utilisateurs". L'option "Autoriser le caractère plus (+) dans le nom de boîte aux lettres des utilisateurs" a été ajoutée dans "Configuration | Comptes | Options utilisateur" pour restaurer le comportement précédent. Lorsqu'elle est activée, les noms de boîtes aux lettres ne sont pas considérés comme des alias/sous-adresses. Par exemple, utilisateur+dossier@exemple.com est considéré comme un utilisateur en tant que tel et non comme un alias de utilisateur@exemple.com.

NOUVELLES FONCTIONNALITÉS MAJEURES

Analyse de l'en-tête From
- [24420] De nouvelles options (dans le menu "Sécurité | Anti-Spoofing | Analyse de l'en-tête From") permettent d'identifier les en-têtes frauduleux (usurpés) envoyés par des spammeurs dans le but de faire croire aux utilisateurs que les messages proviennent de sources légitimes.
Amélioration de la convivialité de l'interface Web
- [13473] Possibilité d'inclure jusqu'à quatre lignes supplémentaires de modèles de filtrage d'en-têtes, de résultats et de raisons. Les modèles de filtrage d'en-tête peuvent être séparés par ET/OU à l'aide d'un bouton bascule. Les modèles de filtrage de résultats et de raisons sont toujours séparés par OU.
- [4152] Ajout d'un système de recherche simple dans "Configuration/Utilisateurs | Comptes | Domaines et utilisateurs".
- [25743] Possibilité de redimensionner ou de déplacer les fenêtres contextuelles.
- [26055] Ajout d'un éditeur de liste optimisé pour les mobiles.
- [25119] Modification de la fonction de basculement de la fenêtre de recherche afin d'utiliser le modèle "Afficher/Masquer" et ajout du bouton "Annuler la recherche" dans la barre d'outils principale.
- [21150] Ajout des boutons Précédent/Suivant sur la page des messages archivés.
- [21291] Ajout du message d'état "Message(s) restauré(s)" dans le coin inférieur droit des pages de recherche d'archives.
Amélioration du tableau de bord d'administration
- [1073] Ajout de l'affichage de l'espace disque disponible pour les administrateurs globaux sur la page "Tableau de bord", ainsi que dans "Configuration/Utilisateurs | Système | Espace disque".
- [4622] Le nombre de sessions SMTP entrantes et sortantes actives est affiché sur la page "Tableau de bord".
- [4622] Le nombre de messages présents dans la file de quarantaine administrateur est affiché sur la page "Tableau de bord" pour les administrateurs globaux.
- [4622] Le nombre de messages de la file de quarantaine utilisateur est affiché sur la page "Tableau de bord" pour les administrateurs globaux.
- [26183] Possibilité de figer les files de distribution entrante et distante.

CHANGEMENTS ET NOUVELLES FONCTIONNALITÉS

[16162] Une nouvelle option dans "Configuration | Système | Serveur HTTP" permet d'inclure un en-tête HTTP Strict Transport Security (HSTS) dans les réponses HTTPS. Cette option est activée par défaut. Lorsqu'un navigateur prenant en charge HSTS reçoit un en-tête HSTS et que le certificat SSL est valide, les requêtes HTTP suivantes adressées au même domaine sont automatiquement mises à niveau vers HTTPS.
[25874] SecurityGateway offre une prise en charge de TLS 1.3 sur les nouvelles versions de Windows. TLS 1.3 est activé par défaut sous Windows Server 2022 et Windows 11. Avec Windows 10 versions 2004 (OS Build 19041) et plus récentes, la prise en charge de TLS 1.3 est expérimentale et peut être activée pour les connexions entrantes en configurant le Registre comme suit :
```
            HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Server
                DisabledByDefault (DWORD) = 0
                Enabled (DWORD) = 1
```
[26075][23613] L'extraction du texte brut des pièces jointes s'effectue désormais dans un processus distinct (filterhost.exe). Cela empêche un fichier DLL iFilter bloqué d'avoir un impact sur le processus SecurityGateway.
[26348] Ajout des en-têtes HTTP "Referrer-Policy" et "Content-Security-Policy".
[26325] Mise à jour de ClamAV en version 0.105.1.
[26477] Mise à jour du moteur de protection instantanée Cyren en version 8.2.0.10.
[5098] Prise en charge des proxy pour l'utilitaire de mise à jour antivirus Cyren, Cyren Cloud Assist, les vérifications/téléchargements de mises à jour logicielles.
[25197] Une nouvelle option permet aux utilisateurs de voir les messages listés dans le rapport de quarantaine. Les administrateurs globaux peuvent activer cette option dans "Configuration/Utilisateurs | Courrier | Configuration de la quarantaine" ou dans "Accueil | Mon compte | Paramètres".
[21166] Ajout d'une invite de confirmation après un clic sur une option dans un e-mail de rapport de quarantaine.
[25544] Possibilité de désactiver la fonction "Se souvenir de moi" sur l'appareil/le navigateur actif dans "Accueil -> Mon compte -> Paramètres" pour les utilisateurs de messages sécurisés.
[25992] Ajout d'une option dans "Configuration/Utilisateurs | Messagerie sécurisée | Options de destinataire" pour autoriser les administrateurs à inclure des informations de contact ou un lien de contact sur la page de connexion.
[25994] Ajout d'une option dans "Configuration/Utilisateurs | Comptes | Options utilisateur" pour autoriser les administrateurs à ajouter des informations de contact ou un lien de contact sur la page de connexion.
[1472] Ajout du bouton "Enregistrer et tester" à l'éditeur de source de vérification des utilisateurs.
[26167] Ajout d'un jeton CSRF à la page de connexion.
[26166] Ajout d'un ID de session secondaire aux URL de l'interface Web pour atténuer les attaques CSRF.
[26168] Ajout d'une méthode de vérification de clé publique/clé privée à la fonction "Se souvenir de moi".
[25538] Mise à jour du style et du texte des e-mails de notification de message sécurisé.
[26074] Réduction du nombre de transactions de la base de données pour éviter que la taille de la base n'augmente.
[23493] L'hôte de certification VBR "vbr.emailcertifcation.org" est obsolète et a été supprimé des paramètres VBR.
[26281] Sur la page de changement de mot de passe, le bouton "Changer de mot de passe" est désactivé jusqu'à ce que les mots de passe soient valides.
[26324] Ajout de l'option "Supprimer uniquement les messages des magasins d'archives actifs" dans "Configuration | Archivage | Conformité", afin de contrôler le champ d'application de l'option "Supprimer automatiquement les messages archivés de plus de X jour(s)". Cette option est activée par défaut. Lorsqu'elle est activée, le comportement est inchangé par rapport aux versions précédentes.
[26252] Déconnexion du socket SMTP pour les actions SIEVE "error" ou "reject" si elles se produisent pendant la phase IP.
[26251] Au démarrage, les messages restés bloqués dans la file d'attente entrante sont désormais déplacés dans le dossier CrashDumps\InboundQueue. Les messages sont libérés de la file d'attente entrante lorsqu'une réponse est envoyée à l'expéditeur. Des messages peuvent rester bloqués si le processus SecurityGateway plante ou si la fonction "Fin de tâche" est utilisée avant qu'il n'ait pu s'arrêter normalement. Comme l'expéditeur ne reçoit pas de réponse à la commande SMTP DATA, il doit renvoyer le message. La livraison du message peut entraîner la réception de plusieurs copies par le destinataire. Le contenu de ces messages peut néanmoins être utile en termes de dépannage. Tous les messages déplacés dans ce dossier sont automatiquement supprimés au bout de 30 jours.
[25712] LetsEncrypt - La fonction de journalisation a été modifiée pour utiliser "add-content" au lieu de "out-file". "Add-content" utilise la page de code système par défaut, qui devrait permettre d'afficher le fichier journal dans SecurityGateway. Aucune modification ne sera apportée à l'encodage du fichier journal tant qu'un nouveau fichier journal ne sera pas créé.
[25713] LetsEncrypt - Mise à jour du script afin qu'il fonctionne avec PowerShell 7.

CORRECTIFS

[25997] LetsEncrypt - Correction de références à une variable qui n'était pas configurée.
[26288] Correction de "aspmx.l.google.com" n'étant pas considéré comme un serveur de messagerie de domaine de Google Workspace (également connu sous le nom de GSuite).
[26308] Correction de ClamAV ne s'exécutant pas sous Windows 2008 R2.
[26199] Correction de l'analyseur de performances - Seules les valeurs 0 ou 1 sont affichées pour les messages de la file d'attente entrante.
[26378] Correction de la création automatique de domaine ajoutant un compte qui existe déjà en tant qu'administrateur externe.
[26374] Correction de la suppression du compte administrateur global local après la modification du mot de passe via la liste des administrateurs.
[26443] Correction, lorsque la liste de blocage Spamhaus est utilisée en tant qu'hôte URIBL, les codes de retour "Requête via un résolveur public/ouvert (127.255.255.254)" et "Nombre excessif de requêtes (127.255.255.255)" sont considérés à tort comme une réponse "LISTED".
[23613] Correction du message "Erreur de chargement de l'ifilter pour le fichier" lors de l'analyse de messages avec certains types de fichiers dans les scripts Sieve.
[26571] Correction de l'impossibilité d'ajouter une IP à la liste blanche ou à la liste noire lorsqu'un caractère générique remplace plusieurs octets (exemple : 192.168.*).
[26572] Correction de l'échec de la source de vérification SMTP Call Forward lorsque le serveur n'annonce pas la prise en charge de la commande AUTH avant STARTTLS.
[26500] Lorsqu'un espace est ajouté devant l'adresse e-mail à la connexion, un nouveau compte contenant cet espace peut être créé si la source de vérification des utilisateurs renvoie un résultat positif.
[26585] Correction de la source de vérification des utilisateurs : la longueur maximale du filtre de recherche est parfois trop courte. Elle a été augmentée de 256 à 1024 caractères.