SecurityGateway - Nowe funkcje i ekrany
Najważniejsze nowe funkcje wersji 9.0
Screening nagłówka From.
✔ Dodano nowe opcje w menu Security\Anti-Spoofing\From Header Screening aby ujawnić sfałszowane nagłówki From wysyłane przez spamerów mogące wprowadzić w błąd użytkowników.
HTTP Strict Transport Security (HSTS).
✔ Dodano opcję załączania nagłówka HTTP Strict Transport Security do odpowiedzi HTTPS w menu Setup\System\HTTP Server. Ta opcja jest domyślnie włączona. Kiedy przeglądarka wspierająca HSTS odbierze nagłówek HSTS oraz certyfikat SSL jest ważny kolejne zapytania HTTP do tej samej domeny będą automatycznie podnoszone do HTTPS.
TLS 1.3.
✔ Dodano Obsługę protokołu TLS 1.3 w nowszych wersjach Windows. Windows Server 2022 oraz Windows 11 mają TLS 1.3 włączony domyślnie. Windows 10 wersja 2004 (OS Build 19041) i nowsze mają eksperymentalne wsparcie dla TLS 1.3, które może być włączone w rejestrze:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Server DisabledByDefault (DWORD) = 0 Enabled (DWORD) = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Server DisabledByDefault (DWORD) = 0 Enabled (DWORD) = 1
Ulepszenia interfejsu.
✔ Dodano możliwość dołączania do 4 dodatkowych wzorów wyszukiwania nagłówków, wyników i przyczyn na stronach wiadomości. Wzory mogą być odseparowane poprzez przycisk AND/OR. Wyniki i przyczyny są zawsze odseparowane prze z OR.
• Dodano podstawowe wyszukiwanie do menu Setup/Users\Accounts\Domains and Users. • Dodano przyjazny dla urządzeń mobilnych edytor list. • Dodano możliwość zmieniania rozmiaru, przenoszenia i maksymalizowania okien pop-up. • Dodano przyciski Previous/Next widoku archiwum wiadomości.
• Dodano podstawowe wyszukiwanie do menu Setup/Users\Accounts\Domains and Users. • Dodano przyjazny dla urządzeń mobilnych edytor list. • Dodano możliwość zmieniania rozmiaru, przenoszenia i maksymalizowania okien pop-up. • Dodano przyciski Previous/Next widoku archiwum wiadomości.
Ulepszenia panelu administracyjnego.
✔ Dodano informację o dostępnym miejscu na dysku dla administratorów globalnych do głównej strony i menu oraz Setup/Users\System\Disk Space.
• Dodano licznik aktywnych przychodzących i wychodzących sesji SMTP do strony głównej. • Dodano licznik wiadomości w kolejce kwarantanny administracyjnej dla administratorów globalnych do strony głównej. • Dodano licznik wiadomości w kolejce dowolnej kwarantanny użytkownika dla administratorów globalnych do strony głównej. • Dodano możliwość zamrożenia kolejek przychodzących i wychodzących.
• Dodano licznik aktywnych przychodzących i wychodzących sesji SMTP do strony głównej. • Dodano licznik wiadomości w kolejce kwarantanny administracyjnej dla administratorów globalnych do strony głównej. • Dodano licznik wiadomości w kolejce dowolnej kwarantanny użytkownika dla administratorów globalnych do strony głównej. • Dodano możliwość zamrożenia kolejek przychodzących i wychodzących.
Najważniejsze nowe funkcje wersji 8.5
Zakończenie dystrybucji wersji 32 bitowej.
✔ Począwszy od wersji 8.5 SecurityGateway nie będzie już dostępna wersja 32 bitowa aplikacji. Dostępna wersja 64 bitowa zapewnia szybszy proces rozwoju aplikacji i wykorzystanie większej ilości bibliotek.
Portal www dla bezpiecznych wiadomości.
✔ Bezpieczne wiadomości są składowane na serwerze SecurityGateway, a użytkownicy mogą mieć do nich dostęp poprzez przeglądarkę. Pełne szyfrowanie jest zachowane między serwerem SecurityGateway a przeglądarką użytkownika poprzez HTTPS.
Wiadomość może być oznaczona jako bezpieczna poprzez regułę Filtra zawartości, regułę zapobiegającą wyciekowi danych lub filtr przesiewowy.
• Dodano akcję "Send as secure web message" do Filtra zawartości oraz do reguł zapobiegających wyciekowi danych.
• Dodano akcję "vnd.mdaemon.securewebmsg" do reguł filtra przesiewowego, która może być wykorzystana w tworzonych skryptach przesiewowych.
• Konto "Secure Message Recipient" zostanie utworzone dla zewnętrznego użytkownika, do którego została wysłana bezpieczna wiadomość.
• Konto może zostać utworzone ręcznie lub automatycznie. Kiedy bezpieczna wiadomość zostanie odebrana dla wybranego adresu e-mail, zostaje wysłany link z zaproszeniem do utworzenia konta do odczytania wiadomości. Administrator może również ustalić 6 cyfrowy PIN, który będzie wymagany aby odbiorca bezpiecznej wiadomości mógł ją odczytać. Odbiorcy bezpiecznych wiadomości mogą opcjonalnie tworzyć bezpieczne wiadomości dla grupy wcześniej zdefiniowanych lokalnych użytkowników.
Wiadomość może być oznaczona jako bezpieczna poprzez regułę Filtra zawartości, regułę zapobiegającą wyciekowi danych lub filtr przesiewowy.
• Dodano akcję "Send as secure web message" do Filtra zawartości oraz do reguł zapobiegających wyciekowi danych.
• Dodano akcję "vnd.mdaemon.securewebmsg" do reguł filtra przesiewowego, która może być wykorzystana w tworzonych skryptach przesiewowych.
• Konto "Secure Message Recipient" zostanie utworzone dla zewnętrznego użytkownika, do którego została wysłana bezpieczna wiadomość.
• Konto może zostać utworzone ręcznie lub automatycznie. Kiedy bezpieczna wiadomość zostanie odebrana dla wybranego adresu e-mail, zostaje wysłany link z zaproszeniem do utworzenia konta do odczytania wiadomości. Administrator może również ustalić 6 cyfrowy PIN, który będzie wymagany aby odbiorca bezpiecznej wiadomości mógł ją odczytać. Odbiorcy bezpiecznych wiadomości mogą opcjonalnie tworzyć bezpieczne wiadomości dla grupy wcześniej zdefiniowanych lokalnych użytkowników.
Routing wiadomości oparty o użytkowników.
✔ Dodano możliwość wyboru, dla którego serwera poczty ma być stosowany routing wiadomości oparty o użytkowników.
Pozwala to na hybrydowe wdrożenie, gdzie część skrzynek pocztowych jest utrzymywana w chmurze, a część lokalnie. Można w ten sposób obsłużyć serwery poczty firmy w różnych lokalizacjach wykorzystując jedną domenę i jeden serwer SecurityGateway.
• Do okna właściwości domeny dodano opcję "Do not use this mail server to deliver domain mail, only make avaliable to assign to specific domain users".
Pozwala to na hybrydowe wdrożenie, gdzie część skrzynek pocztowych jest utrzymywana w chmurze, a część lokalnie. Można w ten sposób obsłużyć serwery poczty firmy w różnych lokalizacjach wykorzystując jedną domenę i jeden serwer SecurityGateway.
• Do okna właściwości domeny dodano opcję "Do not use this mail server to deliver domain mail, only make avaliable to assign to specific domain users".
Liczniki wydajności.
✔ Dodano liczniki wydajności aby umożliwić oprogramowaniu monitorującemu śledzić status SecurityGateway w czasie rzeczywistym. Są to liczniki aktywnych sesji, ilości wiadomości w kolejkach, statusów stanu serwera, czasu pracy, ilości domen i kont oraz statusu licencji.
Silne hasła
✔ Dodano opcję wymuszania silnych haseł w menu Setup/Users/ Accounts/User Options.
Ta opcja może być wyłączona przez użytkownika.
Ta opcja może być wyłączona przez użytkownika.
Białe listy odbiorców dla filtrowania załączników.
✔ Dodano opcję tworzenia list adresów odbiorców wiadomości, które będą wyłączone z blokowania czy kwarantanny dla załączników.
Najważniejsze nowe funkcje wersji 8.0
Wsparcie dla replikacji bazy danych typu active - active.
✔ Ta funkcjonalność wymaga zakupu zewnętrznej aplikacji. Dodatkowe informacje znajdują się tu: SecurityGateway: Configuring Active-Active Database Replication
Zabezpieczenie przed wyciekiem danych - Wyszukiwanie terminów medycznych.
✔ Lista terminów medycznych może być zdefiniowana wraz z przypisaną do nich punktacją. Wiadomości będą skanowane pod kątem pasujących wyrażeń i wyliczana będzie suma dla wszystkich znalezionych wyrażeń. Dla wiadomości, gdzie zostanie przekroczona maksymalna zdefiniowana suma punktów można ustawić wybrane działanie.
Eksport wszystkich zarchiwizowanych wiadomości dla wybranej domeny.
✔ Dodano możliwość eksportu wszystkich zarchiwizowanych wiadomości dla wybranej domeny.
Wysyłanie raportów o kwarantannie administracyjnej i użytkownika w ustalonych terminach.
✔ Dodano możliwość wysyłania raportów o kwarantannie administracyjnej i użytkownika w ustalonych terminach.
Zmiana/Audyt logowanie.
✔ Dodano nowy plik logów zawierający dane dotyczące zmian w konfiguracji i informacje o tym, kto ich dokonał.
Opcja dołączania wyłącznie nowych wiadomości do raportu z kwarantanny.
✔ Filtry IMAP pozwalają teraz na wyszukiwanie dowolnego tekstu w treści wiadomości.
Dodano możliwość uruchomienia własnego skryptu/aplikacji w trakcie przetwarzania wiadomości oraz wybrania odpowiedniego działania dla konkretnego rezultatu skryptu.
1. Skrypt musi być umieszczony w katalogu "Sieve Executable Path" , który może być konfigurowany z menu Setup | System | Directories.
2. Zostało dodane słowo kluczowe "execute", które może być użyte jako działanie lub test.
3. Pierwszym parametrem jest nazwa skryptu. Obecnie wspierane są rozszerzenia .bat, .exe, oraz PowerShell.
4. Drugim parametrem są argumenty, które zostaną przekazane do procesu. Pole message_filename jest wypełniane pełną ścieżką do żródła RFC822 wiadomości , która jest właśnie przetwarzana.
5. Przykładowo... jeśli uruchomić "Test.ps1" "-msg '${message_filename}'" { }.
2. Zostało dodane słowo kluczowe "execute", które może być użyte jako działanie lub test.
3. Pierwszym parametrem jest nazwa skryptu. Obecnie wspierane są rozszerzenia .bat, .exe, oraz PowerShell.
4. Drugim parametrem są argumenty, które zostaną przekazane do procesu. Pole message_filename jest wypełniane pełną ścieżką do żródła RFC822 wiadomości , która jest właśnie przetwarzana.
5. Przykładowo... jeśli uruchomić "Test.ps1" "-msg '${message_filename}'" { }.
Najważniejsze nowe funkcje wersji 7.0
Klastry.
✔ Opcja ta umożliwia wielu instalacjom SecurityGateway na wykorzystywanie jednej, wspólnej bazy. Konieczne jest ręczne zainstalowanie skonfigurowanie zewnętrznej bazy Firebird w wersji 3. Każdy serwer w klastrze musi mieć własny, unikalny klucz rejestracyjny. Wymagane jest wspólne miejsce składowania danych oraz ścieżki dostępu aby serwery klastra mogły mieć do niego dostęp.
Główny serwer jest odpowiedzialny za terminowe uruchamianie zadań konserwacyjnych.
Uwierzytelnianie wielopoziomowe (2FA).
✔ Administratorzy mogą umożliwić lub wymusić uwierzytelnianie wielopoziomowe globalnie lub dla wybranych domen.
Możliwość tworzenia nowych domen przez administratorów domen.
✔ Administratorzy domen, którzy utworzą nowe domeny będą automatycznie mieli dodane prawa administracyjne dla tych domen. Liczba nowych domen możliwych do dodania przez administratora domeny może być ograniczona.
Sprawdzanie przechwyconych haseł.
✔ SecurityGateway może sprawdzać czy hasła użytkowników nie zostały przechwycone w zewnętrznym serwisie, bez konieczności przekazywania hasła. Przechwycone hasła z innych serwisów mogą być wykorzystane do ataków słownikowych na konto. Unikalne hasła, które nie były używane wcześniej są bezpieczniejsze. Więcej informacji można znaleźć tu: Pwned Passwords
Raportowanie SSMTP TLS (RFC 8460).
✔ Raportowanie TLS pozwala domenom używającym MTA-STS na odbierane powiadomień o błędach przy pobieraniu zasad MTA-STS lub przy negocjacji bezpiecznego kanału STARTTLS.
Włączenie tej opcji spowoduje wysyłanie przez serwer MDaemon dziennego raportu do domen wykorzystujących STS zawierającego informacje o połączeniach z tego dnia.
Raportowanie TLS domyślnie jest wyłączone. Można je włączyć w menu Setup\System\Encryption. Należy również włączyć podpisywanie DKIM w menu Security\Anti-Spoofing\DKIM Signing ponieważ raporty TLS powinny być podpisane. Wymagany jest również rekord DNS TXT dla _smtp._tls.domain.tld gdzie "domain.tld" to nazwa domeny. Rekord musi zawierać wpis v=TLSRPTv1; rua=mailto:mailbox@domain.tld gdzie mailbox@domain.tld to adres e-mail do odbierania raportów dla domeny.
Włączenie tej opcji spowoduje wysyłanie przez serwer MDaemon dziennego raportu do domen wykorzystujących STS zawierającego informacje o połączeniach z tego dnia.
Raportowanie TLS domyślnie jest wyłączone. Można je włączyć w menu Setup\System\Encryption. Należy również włączyć podpisywanie DKIM w menu Security\Anti-Spoofing\DKIM Signing ponieważ raporty TLS powinny być podpisane. Wymagany jest również rekord DNS TXT dla _smtp._tls.domain.tld gdzie "domain.tld" to nazwa domeny. Rekord musi zawierać wpis v=TLSRPTv1; rua=mailto:mailbox@domain.tld gdzie mailbox@domain.tld to adres e-mail do odbierania raportów dla domeny.
RequireTLS (RFC 8689).
✔ Wsparcie dla RequireTLS zostało wdrożone. Funkcja ta umożliwia oznaczanie wiadomości, które muszą być wysyłane przy pomocy TLS. Jeśli to jest niemożliwe lub parametry wymiany certyfikatu są nieakceptowalne wiadomości będą odrzucane. Opcja RequireTLS jest domyślnie włączona.
Tylko wiadomości oznaczone przez regułę, którą trzeba utworzyć w Filtrze Zawartości lub wysłane na adres +requiretls@domain.tld ( jankowalski++requiretls@domena.pl) będą podlegały temu procesowi. Wszystkie pozostałe wiadomości będą traktowane tak, jakby ta opcja była wyłączona. Kilka warunków musi być spełnione aby wiadomość mogła być wysłana przy pomocy RequireTLS:
1. Opcja RequireTLS musi być włączona.
2. Wiadomość musi być oznaczona jako wymagająca RequireTLS.
3. DNS lookup MX odbiorcy musi być wykonany przy pomocy DNSSEC.
4. Połączenie do odbierającego hosta musi wykorzystywać SSL(STARTTLS).
5. Certyfikat odbierającego hosta musi odpowiadać nazwie hosta i być potwierdzony przez urząd certyfikacji.
6. Serwer odbierający musi wspierać RequireTLS i komunikować to w komendzie EHLO.
7. Jeżeli któryś z powyższych warunków nie zostanie spełniony wiadomość nie zostanie wysłana i zostanie zwrócona do nadawcy.
1. Opcja RequireTLS musi być włączona.
2. Wiadomość musi być oznaczona jako wymagająca RequireTLS.
3. DNS lookup MX odbiorcy musi być wykonany przy pomocy DNSSEC.
4. Połączenie do odbierającego hosta musi wykorzystywać SSL(STARTTLS).
5. Certyfikat odbierającego hosta musi odpowiadać nazwie hosta i być potwierdzony przez urząd certyfikacji.
6. Serwer odbierający musi wspierać RequireTLS i komunikować to w komendzie EHLO.
7. Jeżeli któryś z powyższych warunków nie zostanie spełniony wiadomość nie zostanie wysłana i zostanie zwrócona do nadawcy.
Najważniejsze nowe funkcje wersji 6.5
Wykrywanie makr w dokumentach MS Office.
✔ Nowy silnik antywirusowy Cyren pozwala na skonfigurowanie wykrywania makr w dokumentach MS Office i oznaczania ich jako zainfekowanych.
Wsparcie dla zewnętrznej bazy danych.
✔ SecurityGateway umożliwia wykorzystanie zewnętrznej bazy danych Firebird. Pozwala to na jednoczesny dostęp wielu elementów do bazy co zwiększa znacznie wydajność.
Raporty dziennika archiwizacji wiadomości.
✔ Dodano nową opcję tworzenia raportów dziennika archiwizacji wiadomości. Włączenie tej funkcji spowoduje uruchomienie raportów dziennika zawierających informacje z oryginalnej wiadomości (nadawca, odbiorca, tytuł itd.) dla wybranych wiadomości.
Najważniejsze nowe funkcje wersji 6.0
Archiwizacja wiadomości e-mail.
✔ Funkcja archiwizacji wiadomości w SecurityGateway posiada w pełni indeksowalne repozytorium wiadomości wychodzących i przychodzących. Pozwala ona na zaawansowane wyszukiwanie wiadomości przez administratorów i użytkowników i przywracanie ich do skrzynek pocztowych.
Dodatkowe reguły zabezpieczeń przeciw wyciekowi danych.
✔ Dodano ponad 60 nowych reguł zabezpieczających przeciwko wyciekowi wrażliwych danych z firmy takich jak numery paszportów, praw jazdy, numerów kont bankowych.
Ekrany SecurityGateway
