Notes de mise à jour de SecurityGateway for Email Servers

Notes de mise à jour de SecurityGateway for Email Servers v7.0

SecurityGateway for Email Servers fournit une protection anti-spam, antivirus et un contrôle d'accès SMTP aux infrastructures de messagerie nécessitant des outils de sécurité efficaces et complets.

Cliquez ici pour en savoir plus sur SecurityGateway for Email Servers.

SecurityGateway 7.0.1 - 6 octobre 2020

CHANGEMENTS ET NOUVELLES FONCTIONNALITÉS

[23958] Le résultat de la conversion du texte brut en texte HTML est mis en cache pendant le traitement des messages. Les performances sont ainsi améliorées lorsque plusieurs tests Sieve sont exécutés sur le corps d'un message.
[24013] Mise à jour de ClamAV en version 0.103.0.
[23788] Ajout d'une vérification de certificat HTTPS dans l'utilitaire de mise à jour de l'antivirus Cyren.

CORRECTIFS

[23880] Correction du test "string" non implémenté dans les variables Sieve (cf. RCF-5229).
[22742] Correction de l'option "Envoyer les rapports de la quarantaine administrateur toutes les X heures" envoyant les rapports toutes les heures, indépendamment de la valeur configurée.
[23984] Correction de RMail - lors du chiffrement, si l'en-tête To contient des retours à la ligne, la virgule à la fin de chaque adresse mail est supprimée.
[23954] Correction de sessions SMTP incomplètes consignées dans le journal des messages lorsque l'adresse est configurée pour ignorer la journalisation.
[23927] Correction de la source de vérification des utilisateurs Active Directory/Exchange détectant des boîtes aux lettres Exchange partagées comme "désactivées" et renvoyant l'erreur "Utilisateur introuvable".
[24023] Correction de l'absence d'envoi du rapport de non remise en cas d'erreur permanente de distribution.
[24024] Lorsqu'un alias est ajouté à un utilisateur alors qu'il est déjà associé à un compte, tous les alias sont réattribués. Le problème a été corrigé.
[23996] Correction de l'impossibilité de modifier une action lorsqu'un virus est détecté.
[24040] Correction de rapports de quarantaine et d'autres tâches de maintenance non exécutés si la base de données est déplacée vers un autre ordinateur.
[24028] Correction du lien "Appliquer par défaut" ne fonctionnant pas dans Chiffrement | Sélectionner un certificat.
[24043] Correction du problème de chargement de l'interface Web lorsque la langue russe est sélectionnée dans l'écran de connexion.

SecurityGateway 7.0.0 - 18 août 2020

CONSIDÉRATIONS SPÉCIALES

Le fichier clamd.conf sera remplacé lors de l'installation car il a fait l'objet de nombreuses modifications. Si vous aviez personnalisé ce fichier, il est recommandé de le réexaminer une fois l'installation terminée, puis d'effectuer les changements souhaités.
[17284] L'option "Créer des fichiers journaux pour chaque jour de la semaine" a été supprimée. Si vous aviez sélectionné cette option, elle est remplacée par "Créer un nouvel ensemble de fichiers journaux chaque jour" lors du processus de mise à jour.
[23594] L'option "Utiliser ESMTP lorsque c'est possible" (menu Configuration |Courrier |Protocoles de messagerie) a été supprimée. Désormais, l'extension ESMTP est toujours utilisée lorsque c'est possible.
[23593] L'option "Masquer la commande ESMTP SIZE" (menu Configuration |Courrier |Protocoles de messagerie) a été supprimée. Désormais, la commande ESMTP SIZE est toujours affichée.

NOUVELLES FONCTIONNALITÉS MAJEURES

[22550] CLUSTERING

Le clustering permet à plusieurs instances/serveurs SecurityGateway actifs de partager une seule base de données.
Un serveur de base de données externe Firebird version 3 doit être installé et configuré manuellement.
Une option a été ajoutée au programme d'installation afin de spécifier les paramètres d'un serveur Firebird externe lors d'une installation initiale. Une installation existante peut se connecter à un serveur de base de données Firebird externe via l'outil de ligne de commande sgdbtool.exe.
Chaque serveur du cluster doit posséder sa propre clé d'enregistrement.
Un stockage partagé est requis et des dossiers partagés doivent être définis sur un chemin UNC auquel tous les serveurs du cluster peuvent accéder. Une modification du compte utilisateur sous lequel est exécuté le service Windows SecurityGateway peut être nécessaire.
Le serveur principal est responsable des tâches de maintenance planifiées.

[17214] AUTHENTIFICATION À DEUX FACTEURS

Les administrateurs peuvent autoriser et exiger une authentification à deux facteurs (2FA) de façon globale ou par domaine. Si l'authentification à deux facteurs est exigée, une page de configuration s'affiche lors de la connexion de l'utilisateur. L'utilisateur peut également configurer l'authentification à deux facteurs dans Accueil -> Mon compte -> Authentification à deux facteurs.

[21602] VÉRIFICATION DES MOTS DE PASSE COMPROMIS

SecurityGateway peut vérifier le mot de passe d'un utilisateur en le comparant à une liste de mots de passe compromis provenant d'un service tiers. Cette opération s'effectue sans transmettre le mot de passe au service. Si le mot de passe d'un utilisateur est présent sur la liste, cela ne veut pas dire que le compte a été piraté. Cela signifie simplement que quelqu'un, quelque part, a déjà utilisé ce mot de passe et qu'il a été exposé lors d'une fuite de données. Les mots de passe exposés peuvent être utilisés par des pirates informatiques dans des attaques par dictionnaire. Les mots de passe uniques, dont personne ne s'est jamais servi, sont plus sécurisés. Pour en savoir plus, consultez le site Pwned Passwords.

[21593] REQUIRETLS (RFC 8689)

Le travail de l'IETF sur RequireTLS est terminé. Désormais implémenté dans SecurityGateway, RequireTLS vous permet de signaler les messages qui DOIVENT être envoyés avec le protocole TLS. Si l'utilisation de TLS n'est pas possible (ou si les paramètres de l'échange de certificat TLS sont irrecevables), les messages sont renvoyés à l'expéditeur plutôt que d'être distribués de manière non sécurisée. Pour une description complète de RequireTLS, veuillez vous reporter à la spécification RFC, en particulier aux sections "Abstract", "Introduction" et "SecurityConsiderations".

Le protocole RequireTLS est activé par défaut. Vous pouvez le désactiver dans Configuration | Système | Chiffrement, mais il est conseillé de le garder activé. Seuls les messages signalés à l'aide d'une règle créée à partir d'une nouvelle action du Filtre de contenu ou les messages envoyés à +requiretls@domain.tld (par exemple, arvel+requiretls@mdaemon.com) sont soumis au protocole RequireTLS. Les autres messages sont traités normalement, comme si le service était désactivé. Plusieurs critères doivent être remplis pour qu'un message soit envoyé avec RequireTLS. Si certains ne le sont pas, le message n'est pas distribué (il est renvoyé à l'expéditeur plutôt que d'être transmis en clair). Voici la liste de ces critères :

RequireTLS doit être activé dans le menu indiqué ci-dessus
Le message doit être signalé pour le traitement RequireTLS
L'enregistrement MX du domaine destinataire doit être validé par MTA-STS (voir [21594])
La connexion à l'hôte destinataire doit utiliser SSL (STARTTLS)
Le certificat SSL de l'hôte destinataire doit correspondre au nom d'hôte MX et être associé à une autorité de certification de confiance.
Le serveur de messagerie récepteur doit prendre en charge REQUIRETLS et l'indiquer dans la réponse EHLO.
Si l'une de ces étapes échoue, le message n'est pas remis, il est renvoyé à l'expéditeur.

[21594] SMTP MTA-STS (RFC 8461) - STRICT TRANSPORT SECURITY

Le travail mené par l'IETF sur MTA-STS est terminé. Désormais implémenté dans SecurityGateway, MTA Strict Transport Security (MTA-STS) est un mécanisme qui permet aux fournisseurs de messagerie de déclarer leur capacité à recevoir des connexions SMTP sécurisées via le protocole TLS (Transport Layer Security), et d'indiquer si les serveurs d'envoi SMTP doivent refuser de distribuer le courrier aux hôtes MX qui ne proposent pas TLS avec un certificat de serveur approuvé.

MTA-STS est activé par défaut. Vous pouvez le désactiver dans Configuration |Système | Chiffrement.

[21596] RAPPORTS TLS (RFC 8460)

Les rapports TLS permettent aux domaines qui utilisent MTA-STS d'être informés des échecs de récupération de la politique MTA-STS ou de négociation d'un canal sécurisé avec STARTTLS. Lorsque cette fonctionnalité est activée, SecurityGateway envoie un rapport quotidien à chaque domaine pour lequel STS est activé, et auquel il a envoyé (ou tenté d'envoyer) du courrier ce jour-là.

Les rapports TLS sont désactivés par défaut. Vous pouvez les activer dans Configuration |Système |Chiffrement. Assurez-vous que la fonction "Signature DKIM" est activée (dans Sécurité |Anti-Spoofing |Signature DKIM"), car les e-mails de rapports TLS doivent être signés.

[21072] POSSIBILITÉ POUR UN ADMINISTRATEUR DE DOMAINE DE CRÉER DES DOMAINES

Un administrateur de domaine est automatiquement désigné comme administrateur de domaine du domaine qu'il créé.
Une option permet de limiter le nombre de domaines qu'un administrateur de domaine peut créer.

[22364] UTILISATION DE FIREBIRD 3 POUR LES NOUVELLES INSTALLATIONS

Les environnements d'exécution Firebird 2 et 3 sont inclus et installés.
Firebird 2 continue d'être utilisé pour les mises à niveau.
Si vous devez mettre à niveau la base de données afin qu'elle soit compatible avec Firebird 3, cette base doit être sauvegardée à l'aide de l'environnement d'exécution 2.x et restaurée à l'aide de l'environnement d'exécution 3.x.
L'administrateur peut mettre à niveau une base de données existante à l'aide de l'outil de ligne de commande sgdbtool.exe.

CHANGEMENTS ET NOUVELLES FONCTIONNALITÉS

[23350] L'interface utilisateur graphique de SecurityGateway a été mise à jour pour offrir une apparence plus moderne.
[22989] Mise à jour du composant graphique FusionCharts.
[21001] Possibilité d'exclure des expéditeurs spécifiques de l'analyse antivirus.
[18439] Une nouvelle option permet de rendre la liste blanche prioritaire par rapport à la liste noire.
[22650] LetsEncrypt vérifie désormais la version de PowerShell exécutée sur la machine et renvoie une erreur si la version installée n'est pas correcte.
[22651] LetsEncrypt vérifie désormais la variable d'environnement PSModulePath afin de s'assurer que le chemin du module SG est inclus. S'il ne l'est pas, il est ajouté pour la session.
[22674] LetsEncrypt supprime et recrée le compte lors de la transition entre un système LetsEncrypt de test et un système de production.
[22689] LetsEncrypt récupère désormais les erreurs en cas d'échec, enregistre les données dans le journal et les affiche dans l'interface.
[22735] LetsEncrypt propose l'option -Staging qui peut être exécutée en ligne de commande. Elle permet d'utiliser le système de test de LetsEncrypt pour une demande de certificat.
[23011] Mise à jour de la bibliothèque JSTree en version 3.3.8.
[23355] Possibilité de spécifier le compte utilisateur sous lequel le service Windows SecurityGateway est exécuté.
[1490] Prise en charge la RFC 5229 - Sieve Email Filtering: Variables Extension.
[23412] Ajout de " :eval" dans l'extension Variables des scripts Sieve.
[17284] L'option "Créer des fichiers journaux pour chaque jour de la semaine" a été supprimée. Si vous aviez sélectionné cette option, elle est remplacée par "Créer un nouvel ensemble de fichiers journaux chaque jour" lors du processus de mise à jour.
[23402] Une nouvelle option permet d'afficher le mot de passe saisi. Cette option peut être désactivée dans "Options des utilisateurs".
[23436] L'utilitaire de mise à jour antivirus Cyren a été modifié afin d'utiliser TLS pour le téléchargement des signatures de virus.
[23449] Une nouvelle option permet d'intégrer le nom de l'ordinateur dans le nom du fichier journal. Cette option est requise lorsque le dossier des fichiers journaux utilise un chemin UNC accessible par plusieurs serveurs d'un cluster.
[23453] Une nouvelle option dans le programme d'installation permet de configurer les paramètres d'un serveur Firebird externe lors d'une première installation.
[23466] Mise à jour de la bibliothèque Chilkat en version 9.5.0.82.
[23441] Une nouvelle option permet de ne pas enregistrer les connexions SMTP ou HTTP provenant d'adresses IP spécifiques. Les messages SMTP rejetés ou incomplets provenant de ces adresses ne seront pas ajoutés à la base de données. Si le message est accepté pour livraison, il sera ajouté à la base de données.
[17260] La hauteur des cases "Alias" et "Fusionner les utilisateurs" a été augmentée dans la fenêtre de modification des utilisateurs.
[23812] Action Sieve "changesender" ajoutée pour permettre de spécifier/modifier l'expéditeur utilisé par SG dans l'enveloppe SMTP pour distribuer le message.
[23484] Mise à jour du moteur antivirus Cyren en version 6.3.0r2.
[23811] Mise à jour de ClamAV en version 0.102.4.

CORRECTIFS

[1482] Correction des paramètres MaxScanSize, MaxFileSize et MaxRecursion dans le fichier clamd.conf, ignorés par ClamAV.
[16922] Correction d'un problème de fonctionnement de l'apprentissage bayésien.
[23379] Correction de la politique SPF tronquée lorsque la réponse DNS est supérieure à 510 octets.
[23411] Correction de l'échec de serveur DNS renvoyé par la vérification du mécanisme SPF "include" non correctement enregistré dans le journal.
[21081] Correction de l'erreur "Code de pays non valide" enregistrée dans le journal système lors d'une nouvelle installation.
[23195] Correction du temps excessif requis pour la conversion en texte brut de messages HTML volumineux (conversion nécessaire pour les scripts qui analysent le corps des messages et pour les messages archivés).
[23467] Correction du mot de passe de la source de vérification des utilisateurs tronqué à 24 caractères.
[23468] Correction de mots de passe enregistrés envoyés au navigateur.
[23476] Correction de l'option "Vérifier les utilisateurs" interrogeant la source de vérification avec un domaine incorrect et supprimant des utilisateurs qui, en réalité, existent.
[23698] Correction des erreurs de redistribution de messages archivés générant un rapport de non-distribution (NDR).
[23584] Correction de la vérification SMTP Call Back n'utilisant pas la liste blanche SSL.
[23483] Correction, lorsque l'utilisateur clique sur un rapport graphique pour obtenir plus de détails, des résultats n'affichant pas les bons messages si la plage de dates est supérieure à 48 heures.
[23506] Correction des messages comprenant des caractères non ANSI ne s'affichant pas correctement dans les résultats de recherche de l'archive.
[23385] Correction du programme ne se désinstallant pas si la création de nom de fichier 8.3 est désactivée sur le volume d'installation.
[23480] Correction des désinstallations exécutées sur des systèmes d'exploitation 64 bits ne supprimant pas la clé d'enregistrement HKEY_LOCAL_MACHINE\SOFTWARE\Alt-N Technologies\SecurityGateway.
[23526] Lorsque l'option de conservation des données "Utiliser les enregistrements de la base de données" est sélectionnée, le nombre de transcriptions SMTP supprimé pendant la maintenance quotidienne et enregistré dans le fichier system.log est incorrect.
[23332] Correction de RMail - Les fonctions "Track/Prove" et "E-Sign" ne fonctionneront pas si le mot-clC) est utilisC) uniquement dans l'objet.
[23740] Correction de l'option "Masquer les informations de version du logiciel dans les réponses et les en-têtes 'Received:'" ne restant pas cochée.
[23797] Correction des commandes de liste HTML parfois incohérentes après avoir utilisé "Tout sélectionner".
[23808] Correction de l'hôte MX ne parvenant pas à se connecter une adresse IPv4 si une adresse IPv6 est trouvée dans les résultats du cache Échecs SMTP.
[22742] Correction de l'option "Envoyer le rapport de quarantaine destiné aux administrateurs toutes les X heures" ne tenant pas compte de la valeur configurée et envoyant le rapport toutes les heures.
[23859] Correction du mécanisme SPF :/ entraînant une erreur de vérification DNS et n'étant pas évalué.