Notes de mise à jour de SecurityGateway for Email Servers v7.0

SecurityGateway for Email Servers fournit une protection anti-spam, antivirus et un contrôle d'accès SMTP aux infrastructures de messagerie nécessitant des outils de sécurité efficaces et complets.

Cliquez ici pour en savoir plus sur SecurityGateway for Email Servers.

SecurityGateway 7.0.1 - 6 octobre 2020

CHANGEMENTS ET NOUVELLES FONCTIONNALITÉS

CORRECTIFS

SecurityGateway 7.0.0 - 18 août 2020

CONSIDÉRATIONS SPÉCIALES

NOUVELLES FONCTIONNALITÉS MAJEURES

[22550] CLUSTERING

[17214] AUTHENTIFICATION À DEUX FACTEURS

Les administrateurs peuvent autoriser et exiger une authentification à deux facteurs (2FA) de façon globale ou par domaine. Si l'authentification à deux facteurs est exigée, une page de configuration s'affiche lors de la connexion de l'utilisateur. L'utilisateur peut également configurer l'authentification à deux facteurs dans Accueil -> Mon compte -> Authentification à deux facteurs.

[21602] VÉRIFICATION DES MOTS DE PASSE COMPROMIS

SecurityGateway peut vérifier le mot de passe d'un utilisateur en le comparant à une liste de mots de passe compromis provenant d'un service tiers. Cette opération s'effectue sans transmettre le mot de passe au service. Si le mot de passe d'un utilisateur est présent sur la liste, cela ne veut pas dire que le compte a été piraté. Cela signifie simplement que quelqu'un, quelque part, a déjà utilisé ce mot de passe et qu'il a été exposé lors d'une fuite de données. Les mots de passe exposés peuvent être utilisés par des pirates informatiques dans des attaques par dictionnaire. Les mots de passe uniques, dont personne ne s'est jamais servi, sont plus sécurisés. Pour en savoir plus, consultez le site Pwned Passwords.

[21593] REQUIRETLS (RFC 8689)

Le travail de l'IETF sur RequireTLS est terminé. Désormais implémenté dans SecurityGateway, RequireTLS vous permet de signaler les messages qui DOIVENT être envoyés avec le protocole TLS. Si l'utilisation de TLS n'est pas possible (ou si les paramètres de l'échange de certificat TLS sont irrecevables), les messages sont renvoyés à l'expéditeur plutôt que d'être distribués de manière non sécurisée. Pour une description complète de RequireTLS, veuillez vous reporter à la spécification RFC, en particulier aux sections "Abstract", "Introduction" et "SecurityConsiderations".

Le protocole RequireTLS est activé par défaut. Vous pouvez le désactiver dans Configuration | Système | Chiffrement, mais il est conseillé de le garder activé. Seuls les messages signalés à l'aide d'une règle créée à partir d'une nouvelle action du Filtre de contenu ou les messages envoyés à +requiretls@domain.tld (par exemple, arvel+requiretls@mdaemon.com) sont soumis au protocole RequireTLS. Les autres messages sont traités normalement, comme si le service était désactivé. Plusieurs critères doivent être remplis pour qu'un message soit envoyé avec RequireTLS. Si certains ne le sont pas, le message n'est pas distribué (il est renvoyé à l'expéditeur plutôt que d'être transmis en clair). Voici la liste de ces critères :

[21594] SMTP MTA-STS (RFC 8461) - STRICT TRANSPORT SECURITY

Le travail mené par l'IETF sur MTA-STS est terminé. Désormais implémenté dans SecurityGateway, MTA Strict Transport Security (MTA-STS) est un mécanisme qui permet aux fournisseurs de messagerie de déclarer leur capacité à recevoir des connexions SMTP sécurisées via le protocole TLS (Transport Layer Security), et d'indiquer si les serveurs d'envoi SMTP doivent refuser de distribuer le courrier aux hôtes MX qui ne proposent pas TLS avec un certificat de serveur approuvé.

MTA-STS est activé par défaut. Vous pouvez le désactiver dans Configuration |Système | Chiffrement.

[21596] RAPPORTS TLS (RFC 8460)

Les rapports TLS permettent aux domaines qui utilisent MTA-STS d'être informés des échecs de récupération de la politique MTA-STS ou de négociation d'un canal sécurisé avec STARTTLS. Lorsque cette fonctionnalité est activée, SecurityGateway envoie un rapport quotidien à chaque domaine pour lequel STS est activé, et auquel il a envoyé (ou tenté d'envoyer) du courrier ce jour-là.

Les rapports TLS sont désactivés par défaut. Vous pouvez les activer dans Configuration |Système |Chiffrement. Assurez-vous que la fonction "Signature DKIM" est activée (dans Sécurité |Anti-Spoofing |Signature DKIM"), car les e-mails de rapports TLS doivent être signés.

[21072] POSSIBILITÉ POUR UN ADMINISTRATEUR DE DOMAINE DE CRÉER DES DOMAINES

[22364] UTILISATION DE FIREBIRD 3 POUR LES NOUVELLES INSTALLATIONS

CHANGEMENTS ET NOUVELLES FONCTIONNALITÉS

CORRECTIFS

Copyright ©2008-2020 MDaemon Technologies, Ltd.