SecurityGateway for Email Servers v7.0 发布说明

凭借 20 多年来久经考验的邮件安全专业技术所开发的 SecurityGateway，以经济实惠的价格提供邮件安全功能。它能防范垃圾邮件、病毒、网络钓鱼、欺诈和其他形式的恶意软件，这些恶意软件对企业的合法邮件通讯构成了日益严重的威胁。

点击此处可了解有关 SecurityGateway for Email Servers 的更多信息。

SecurityGateway 7.0.0 - 2020年8月18日

特别注意事项

• 由于更改和弃用了 clamd.conf 中的许多设置，因此安装程序现在将覆盖现有的 clamd.conf。如果您自定义了 clamd.conf，则完成安装后，您可能需要检查并更改 clamd.conf。
• [17284] 已删除“基于星期几创建日志文件”这个选项。如果曾经选择了中国选项，则升级过程中，会将其更改为“每天创建一组新的日志文件”。
• [23594] 已删除“设置|邮件配置|电子邮件协议|尽可能使用 ESMTP”这个选项。现在始终尽可能地建议和使用 ESMTP。
• [23593] 已删除“设置|邮件配置|电子邮件协议|隐藏 ESMTP 大小命令参数”这个选项。 现在始终会建议 ESMTP SIZE 命令。

主要新功能

[22550] 集群

• 集群允许多个处于活动状态的 SecurityGateway 实例/服务器共享一个数据库。
• 必须手动安装和配置外部的 Firebird 版本3 数据库服务器。
• 已向安装程序中添加了一个选项，允许您在初始安装期间指定外部的 Firebird 服务器参数。可以将现有的安装配置为通过 sgdbtool.exe 命令行工具连接到外部的 Firebird 数据库服务器。
• 集群中的每个服务器必须拥有自身唯一的注册密钥。
• 需要共享存储，而且必须将共享目录设置为集群中所有服务器都可以访问的 UNC 路径。这可能需要更改 SecurityGateway Windows 服务的用户账户。
• 主服务器负责调度的维护任务。

[17214] 双重验证

管理员可以按全局或按域允许并要求进行双重验证（2FA）。如果需要 2FA，则在登录时会向用户显示“设置 2FA”页面。否则，用户可以转到“主页->我的账户->双重验证”来设置 2FA。 

[21602] 检查已泄露的密码

SecurityGateway 可以对照来自第三方服务的已泄露密码列表来检查用户的密码。无需将密码传输到服务即可执行这个操作。如果用户密码出现在列表中，并不表示该账户已被黑客入侵，而是意味着某人曾经使用过这个密码，并且该密码出现在数据泄露中。黑客在字典攻击中可能会使用已发布的密码。从未在其他任何地方使用过的唯一密码会更加安全。有关更多信息，请参阅“Pwned 密码”。

[21593] REQUIRETLS (RFC 8689)

IETF 中的 RequireTLS 工作终于完成了。已经对此提供了支持。RequireTLS 允许您标记必须使用 TLS 发送的邮件。如果无法使用 TLS（或者 TLS 证书交换的参数不可接受），邮件将被退回，而不是进行不安全的投递。有关 RequireTLS 的完整说明，请参阅 RFC 规范，尤其是摘要、简介和安全性注意事项这三个部分。 

默认情况下启用 RequireTLS。您可以在“设置 | 系统 | 加密”中使用新的选项来禁用它。只有您必须使用新的“内容过滤器”操作创建的规则明确标记的邮件，或发送至+requiretls@domain.tld 的邮件（例如，arvel+requiretls@mdaemon.com）才需要 RequireTLS 流程。会将所有其他邮件视为已禁用该服务。使用 RequireTLS 发送邮件之前，必须满足几个要求。如果未满足其中某些要求，则不发送邮件，会将其退回，而不是以明文形式发送。这些要求是：

• 必须通过上述选项启用 RequireTLS
• 必须将邮件标记为需要 RequireTLS 处理
• 收件人域的 MX 记录必须由 MTA-STS 进行验证（请参阅[21594]）
• 与收件主机建立的连接必须使用 SSL（STARTTLS）
• 收件主机的 SSL 证书必须与 MX 主机名匹配，并与可信的 CA 链接
• 收件服务器必须支持 REQUIRETLS，并在 EHLO 响应中声明这一点
• 如果其中一个步骤失败，则不会投递邮件，而是将其退回给发件人。

[21594] SMTP MTA-STS (RFC 8461) – 严格传输安全

IETF 中的 MTA-STS 工作终于完成了。已经对此提供了支持。SMTP MTA 严格传输安全（MTA-STS）是一种机制，使邮件服务供应商（SP）能够声明其收件的传输层安全（TLS）能够保护 SMTP 连接，并指定发件的 SMTP 服务器是否应拒绝投递给不提供 TLS（使用可信的服务器证书）的 MX 主机。

默认情况下启用 MTA-ST。可以在“设置 | 系统| 加密”中将其禁用。

[21596] SMTP TLS 报告 (RFC 8460)

TLS 报告允许使用 MTA-STS 的域接收检索 MTA-STS 策略时发生任何失败或使用 STARTTLS 协商安全通道时发生任何失败的通知。启用后，SecurityGateway 每天都会将报告发送到当天已发送（或尝试发送）邮件并启用了 STS 的所有域。

默认情况下禁用 TLS 报告。可以在“设置 | 系统 | 加密”中启用它。另外，请确保（在“安全 | 防欺骗 | DKIM 签名”处）启用了 DKIMsigning，因为确实应对 TLS 报告电子邮件进行签名。

[21072] 域管理员可以创建新的域

• 域管理员将被自动添加为他们所建任何域的域管理员。
• 可以限制域管理员能够创建的域数量。

[22364] 将为新的安装使用 FIREBIRD 3

• 包含并安装了 Firebird 2 和 3 运行时
• Firebird 2 将继续用于升级
• 升级数据库以便与 Firebird 3 兼容，要求使用 2.x 运行时进行备份，并使用 3.x 运行时进行还原。
• 管理员可以使用 sgdbtool.exe 命令行工具升级现有的数据库

变更和新功能

• [23350] 已更新 SecurityGateway GUI，使其具有更现代化的外观。
• [22989] 已更新 FusionCharts 图形组件。
• [21001] 新增从病毒扫描中排除特定发件人的功能。
• [18439] 新增白名单优先于黑名单的选项。
• [22650] 现在，LetsEncrypt 将检查计算机上运行的 PowerShell 的版本，如果尚未安装正确的版本，则返回错误。
• [22651] 现在，LetsEncrypt 将检查 PSModulePath 环境变量，由此来确保 SG 模块路径包含在内，如果不包含，则将其添加到会话中。
• [22674] 在暂存和实时 LetsEncrypt 系统之间切换时，LetsEncrypt 将删除并重新创建账户。
• [22689] 现在当挑战失败时，LetsEncrypt 将从 LetsEncrypt 检索错误，并将数据写入日志和屏幕。.
• [22735] LetsEncrypt 拥有一个新的 -Staging 参数，可以在命令行上传递此参数。如果通过了这个参数，脚本将使用 LetsEncrypt 暂存系统来请求证书。
• [23011] 已将 JSTree 库更新为3.3.8 版本。
• [23355] 新增指定 SecurityGateway Windows Service 在哪个用户账户下运行的功能。
• [1490] 新增对 SIEVE 变量扩展 RFC 5229 的支持。
• [23412] 在 SIEVE 变量扩展中新增 :eval 修饰符。
• [17284] 已删除“基于星期几创建日志文件”这个选项。如果曾经选择了中国选项，则升级过程中，会将其更改为“每天创建一组新的日志文件”。
• [23402] 新增一个选项，可以在输入密码时切换到密码查看。已在“用户选项”页面添加了一个新的访问控制选项，帮助您禁用此功能。
• [23436] 已将 Cyren AV 更新程序更改成在下载病毒定义时使用 TLS。
• [23449] 新增将计算机名称包含在日志文件名中的选项。如果将日志目录设置为 UNC 路径，并且允许集群中的多个服务器登录到同一位置，则此选项是必需的。
• [23453] 已在安装程序中添加了一个选项，帮助您在初始安装期间指定外部的 Firebird 服务器参数。
• [23466] 已将 Chilkat 库更新为 9.5.0.82 版本。
• [23441] 新增不记录来自指定 IP 地址的 SMTP 或 HTTP 连接的选项。来自指定 IP 地址的不完整和被拒收的 SMTP 邮件也不会被添加到数据库中。如果接受邮件并进行投递，则将其添加到数据库中。
• [17260] 在“用户编辑”对话框中增加了“别名”与“合并用户”框的高度。
• [23812] 新增"筛选"操作 "changesender" 来允许更改/指定 SG 将用来投递邮件的 SMTP 信封发件人
• [23484] 已将 Cyren AV 引擎更新为 6.3.0r2。
• [23811] 已将 ClamAV 更新到 0.102.4 版本

修复

• [1482] 已修复 clamd.conf 中被 ClamAV 忽略的 MaxScanSize、MaxFileSize 和 MaxRecursion 设置。
• [16922] 已修复贝叶斯学习可能无法正常工作的问题。
• [23379] 已修复如果 DNS 响应大于 512 字节，则 SPF 策略将被截断的问题。
• [23411] 已修复从 SPF 包含机制返回的“DNS 服务器失败”未被正确记录的问题。
• [21081] 已修复全新安装时系统日志中的“国家代码无效”的错误。
• [23195] 已修复将含有长篇 HTML 正文的特定邮件转换为纯文本时所需时间过长的问题。不过对于检查邮件正文或进行归档的任何脚本而言，这是必需的。
• [23467] 已修复用户验证源密码被截断成 24 个字符的问题。
• [23468] 已修复某些已保存的密码被发送到浏览器的问题。
• [23476] 已修复用于重新验证所有用户的选项可能会使用错误的域查询用户验证源，并删除实际存在的用户这个问题。
• [23698] 已修复对无法投递的已归档邮件进行重新投递时，将生成未投递报告（NDR）的问题。
• [23584] 已修复 SMTP 回调验证不使用 SSL 白名单的问题。
• [23483] 已修复向下挖掘条形图报告时，如果日期范围超过48小时，则不会显示匹配的邮件这个问题。
• [23506] 已修复查看归档搜索结果时，未正确显示含有非 ANSI 字符的邮件这一问题。
• [23385] 已修复如果在安装卷上禁用了 8dot3 名称创建，则无法进行卸载的问题。
• [23480] 已修复在 64 位操作系统上进行的卸载未删除 HKEY_LOCAL_MACHINE\SOFTWARE\Alt-N Technologies\SecurityGateway 注册表项的问题。
• [23526] 已修复在选择“使用邮件数据库记录进行处理...”这个数据保留选项时，被记录到系统日志文件中的夜间数据库维护期间删除的 SMTP 记录数量不正确的问题。
• [23332] 已修复 RMail - 跟踪/证明”和“电子签名”未仅使用主题中的触发词正常工作的问题。
• [23740] 已修复“在答复和‘已接收’报头中隐藏软件的版本标识”这个选项未始终保持勾选状态的问题
• [23797] 已修复 HTML 列表控件的内部状态可能在"全选"后变得不一致的问题。
• [23808] 已修复在"SMTP 失败缓存"中找到的 IPv6 地址导致与 MX 主机的 IPv4 地址所建连接失败的问题。
• [22742] 已修复“每隔 X 小时发送管理隔离报告”这个选项无视设定值，每小时都发送该报告的问题。
• [23859] 已修复 a:/ SPF 机制导致 DNS 查询错误，而且未进行评估的问题。