MDaemonサーバv20.0リリースノート

MDaemon 20.0.2 - 2020年 9月22日

特記事項

[16456] MDaemon Private Cloud の Hosted email オプションが利用可能となりました。詳しくは、 http://www.altn.com/Products/MDaemon-Private-Cloud/ をご覧ください。

修正点

MDaemon 20.0.1 - 2020年 8月18日

特記事項

[16456] MDaemon Private Cloud の Hosted email オプションが利用可能となりました。詳しくは、 http://www.altn.com/Products/MDaemon-Private-Cloud/ をご覧ください。

[16827] これまでMDaemonサービス(及び、Remote AdministrationとXMPPサーバサービス)は、SYSTEMアカウントとして稼働しておりましたが、ネットワークリソースへアクセスできるよう管理画面の 設定 | 初期設定 | Windowsサービスから設定するアカウントの権限でプロセスやスレッドを実行するようになります。このバージョンへのインストールやバージョンアップを行なうと、そのアカウント権限でサービスが起動するように設定が更新されます。

[23399] clamd.conf内の多くの設定項目の廃止や変更があったため、インストーラは既存のclamd.confを新しいファイルとして上書きします。もし、clamd.confファイルをカスタマイズされていた場合、インストール後に内容を確認して編集して下さい。

変更点と新機能

修正点

MDaemon 20.0.0 - 2020年 6月16日

特記事項

[8930] リリースノートの[8930]のラベルの項目ではActive Directory連携システムの変更について説明していますので、注意してお読みください。この変更により、過去の設定が無効となり、再設定が必要になる場合があります。変更箇所について記載されているセクションを注意してご確認下さい。

[22733] MDaemon 20.0 の動作には Windows 7, Server 2008 R2, 又はそれ以降のシステムが必要です。

[12190] 設定 | 初期設定 | その他 に新しく2つのチェックボックスが追加されました。システムが生成し、定期的に送信するPostmasterエイリアス宛の通知メールを、全体又はドメイン毎の管理者へも送信するかどうかを選択できます。デフォルトで、このオプションはどちらも有効です。ドメイン管理者はドメイン宛の通知とリリースノートのみを受信します。全体管理者はキューサマリーレポート、統計レポート、リリースノート、(全ドメインの)「存在しないユーザー」レポート、ディスクエラー通知、全ドメインのアカウントの凍結や無効通知 (ドメイン管理者のように、アカウントの凍結解除や有効化が行えます)、ライセンスの警告、ベータバージョンの通知、スパムサマリーレポート、その他の全ての通知を受信します。管理者へ全ての通知を送らないようにするには、この設定を無効化する必要があります。

[22604] 自動応答の保管方法が変更されました。アカウントの自動応答用のテキストはOOF.MRKとしてアカウントのルートメールフォルダ内に新たに作成されるDATAフォルダ内に保存されます。自動応答スクリプトはAPPフォルダへは今後保管されず、アカウント間で共有される事はありません。MDaemonの初回起動時、既存の自動応答用ファイルは全て新しい形式へ変換され、正しい場所へ再配置されます。AUTORESP.DATファイルは今後使用されないため全てのアカウント毎の.RSPファイルと同様に削除されます。(OutOfOffice.RSPとアカウント以外の特別なファイルは参照やサンプルの目的のために残されます。)もしもすぐに1つの自動応答設定を複数アカウントへ適用させたい場合は、アカウントエディタ | アカウント設定 | 自動応答の中に新しく追加された公開ボタンを使用してください。このボタンは既存の自動応答スクリプト用テキストと自動応答設定を、現在のアカウントや選択した対象アカウントへコピーします。 アカウント | アカウント設定 | 自動応答 | 設定へもボタンが追加され、デフォルトの自動応答スクリプト(OutOfOffice.rsp)の編集が行えます。このデフォルト値はアカウントのOOF.MRKが存在していなかったり、空だった場合にコピーされます。

[22738] アカウント署名ファイルの保管方法が変更されました。アカウントの署名ファイルはSIGNATURE.MRKとしてアカウントのルートメールフォルダ内に新たに作成されるDATAフォルダ内に保存されます。MDaemonの初回起動時、既存の署名ファイルは全て新しい形式へ変換され、正しい場所へ再配置されます。ルートのMDaemon Signaturesフォルダには今後アカウント毎の署名ファイルは保持しませんが、元のファイルはWebAdminやコンテンツフィルタで必要な場合のみそのまま保持されます。元のSignaturesフォルダは変換の際\Backup\20.0.0a\Signatures\へバックアップされます。 最後に、全てのアカウント用のADMINNOTES.MRK は、アカウントのルートメールフォルダから、新しいDATAサブフォルダへ移動されます。

[8014] セキュリティ | スパムフィルタ | ホワイトリスト (自動)の中の「…DKIMで認証されたホワイトリストのアドレスのみ」オプションのデフォルト値が無効へ変更されました。この値を有効化すると制限がかかり、MultiPOPやDomainPOPで使用するアドレス帳をホワイトリストへ追加する事ができなくなります。設定が希望する値でない場合は、このオプションを再度有効化してください。

[22512] 設定 | 初期設定 | UIの「全てのUIダイアログをセンタリング」は全ユーザーに対して「有効」となるよう初期化されます。希望の設定でない場合はこれを無効化してください。この設定により、画面が部分的にフレームからはみだしたり、複数の画面が重なる事で選択しにくくなる事を防ぎます。

[22515] セキュリティ | セキュリティマネージャ | スクリーニング | 国別スクリーニング - デフォルト値が無効から有効へ変更されました。 国別スクリーニングを有効化すると、ブロックされていない国や地域であっても、接続元の国や地域が(把握できる範囲で)ログに記録されます。 そのため、(ブロックする対象の国を選択せず)どの国もブロックしない場合においても、国別スクリーニングを有効化しておくことで、国や地域を表示し、ログへ記録する事ができます。デフォルト設定値が変更となったため、国別スクリーニング設定画面の確認と修正をアップグレードの際に行ってください。MDaemonではコンテンツフィルタや他の目的のため'X-MDOrigin-Country'ヘッダにて国や地域の情報を挿入します。

[19910] スパムフィルタでスキャンできるハードコードの最大値であった2MBが削除されました。スキャンできるスパムのサイズ制限がなくなりました。 制限が必要な場合はこれを指定する事もできますが、0を設定すると、今後は制限なしとして扱われます。あわせて、サイズ制限はKBからMBへ変更され、既存の設定値は自動で0へ変更されます。セキュリティ | スパムフィルタ | 設定にて、設定値が想定している値となっているかどうかを確認してください。

[21527] メインUIのキュー画面へ '送信者ドメイン'と'宛先ドメイン'の列を追加しました。 これにより保存されている列の幅が初期化されます。列の幅を自分で設定していた場合は設定した値が保存されます。

[18617] デフォルトでホストスクリーンがMSA接続へ適用されます。必要に応じて、セキュリティ | セキュリティマネージャ | スクリーニング | ホストスクリーン にて設定変更を行ってください。 

[2356] デフォルトで MDaemon IMAP, Webmail, ActiveSyncサーバーは無効化されたアカウントの共有フォルダに対するアクセスを許可しないようになりました。 この設定は、設定 | サーバー設定 | パブリック&共有フォルダから変更できます。

主な新機能

[14587] クラスタリング

MDaemonの新しいクラスタサービスは、ネットワーク内にある2台以上のMDaemonサーバ間で設定内容を共有するように設計されています。これにより、複数のMDaemonサーバでメールを分散させ、ハードウェア的にもソフトウェア的にもシステム負荷を分散させることを可能にし、ネットワークトラフィックの集中を避け、メールリソースを最大化し、利用速度と効率を向上させることができます。また、いずれかのサーバでハードウェアもしくはソフトウェアの障害が発生した時に備えた冗長性も確保できます。MDaemonのクラスタ化を行なう設定の詳細については、MDaemonのヘルプファイルをご参照下さい。

[17087] REQUIRETLS (RFC 8689)

IETFへのRequireTLSの取り組みがついに完了しました。この機能へ正式対応しました。RequireTLSはメールの送信時TLSを必須とするようフラグ付けできるようになります。TLSが不可能(またはTLS証明書の交換が不可能)の場合、メールは暗号化されずに送信するのではなく、エラーとして戻されます。RequireTLSの詳細な説明はRFCの仕様で、特に概要と背景、セキュリティの検討事項セクションを注意して御覧ください。

RequireTLSはデフォルトで有効です。 セキュリティ | セキュリティマネージャ | SSL & TLS | SMTP拡張へ新しく追加された設定で、これを無効化できます。 このサービスは有効にしたままで構いません。特別にフラグ付けされたメールに対してのみ、新しくコンテンツフィルタ用のアクションを使用するか、+requiretls@domain.tld (例えばarvel+requiretls@mdaemon.com) 宛のメールがRequireTLS処理の対象となります。 他の全てのメールはサービスが無効であるかのように扱われます。 メールをRequireTLSを使って送信するにはいくつかの条件があります。条件を満たせない場合メールは送られずにエラーとして戻されます。要件は次の通りです。

RequireTLS は、MXレコードホストの参照にDNSSECの使用か、MTA-STSによる検証が必要となります。DNSSECはセキュリティ | セキュリティマネージャ | SSL & TLS | DNSSECで、DNSSECサービスのルックアップ用パラメータを指定する事で設定できます。DNSSECには自身の責任で正しく設定されたDNSサーバーが必要です。MDaemonのIPキャッシュやMXホストファイルはDNSSECを許可するようアップデートする必要があります。設定 | サーバー設定 | DNS & IPs | IPキャッシュへ新しいチェックボックスが追加され、MXホストファイルの上部には効果的な設定のための説明が追加されました。

RequireTLSは起こり得るメールセキュリティへの攻撃に対し有益なメリットがあり、私たちはこの開発に携われた事を誇りに思っています。翌年には全てのメールシステムにRequireTLSが搭載されている事を祈っています。

[18705] 1つのキーによるドメイン/企業レベルのMDPGP暗号化

MDPGPで1つの暗号化キーを使ってドメイン間の全てのユーザーメールを暗号化できるようになりました。例えば「Domain-a」と「Domain-b」の間でやり取りする全てのメールを暗号化するのに、全ユーザーアカウント向けのキーの設定は行いたくない場合などに使用できます。これは今後次のように実現できます:

「Domain-a」と「Domain-b」はそれぞれ任意の方法で生成した公開鍵を提供します。例えば、互いに既存の公開鍵をMGPGP UI内で右クリックし、「メールのエクスポートとメール送信」をクリックします。この暗号化のために、専用の鍵を生成する場合は「特定のユーザー向けに鍵を生成」ボタンを押し、「_Domain Key (domain.tld)_ 」を(実際にはどの鍵も使用できますが)専用の鍵として選択します。双方の鍵を交換した後は、MDPGP UIで「ドメインの鍵をインポート」をクリックし鍵を使って暗号化するドメイン名を入力します。

一方が既に公開鍵を持っていて、キーリングへ存在する場合は、MDPGP UIで右クリックし「ドメインの鍵として設定」をクリックします。

関連する秘密鍵は使用しないで下さい。これを行ってしまうと、MDPGPはメールを暗号化すると同時に復元用のキーを使って同じメールを復元してしまいます。

この時点でMDPGPは「宛の全てのメールを暗号化」というコンテンツフィルタルールを生成し、対象ドメイン宛の全てのメールが暗号化されます。このコンテンツフィルタを使用する事でコンテンツフィルタルールの有効化や無効化で暗号化処理をコントロールできるようになります。また、暗号化を行う前に、ルールを調整する事もできます。(例えば、2つのドメイン内に存在する特定のユーザーを対象にする、など)コンテンツフィルタはこれを実現するための柔軟性を提供してくれます。

[18705 PART 2] 受信者IPを元にした送信メールの暗号化 (これは異なるトラッキング番号であるべきでした)

MDPGPに新しいチェックボックスとボタンが追加され、特定の暗号鍵へIPアドレスを関連付けできるようになりました。対象IPへ送信するSMTPセッションでは最初に関連する鍵で暗号化を行いその後のやり取りを継続します。メールが他の鍵で既に暗号化されていた場合は何も行いません。これは(例えば)特定の所有者やサービス宛の全てのメールを特定の鍵で暗号化したい場合などに便利です。

[9745] メーリングリスト用のマクロ

メーリングリストエディタ | ルーティング の画面に新しいオプションが追加され、メーリングリスト宛のメール本文でマクロが使用できるようになりました。これにより(例えば)それぞれのメーリングリスト用メールを個人用に設定する事ができるようになりました。マクロは従来もメーリングリスト用のメールヘッダやフッタでは利用できていましたが、メール本文では使用できませんでした。このマクロが個別のメーリングリストメンバーに関連している事から、このオプションは「リストメールを個々の宛先メンバーへ配信する」オプションが有効化されているメーリングリストでのみ使用できます。そのためこのオプションはルーティング画面へ追加されました。セキュリティの目的(全てのメーリングリストメンバーにこの機能を使わせたくない場合もあります)に、メーリングリスト用のパスワードを入力しないとマクロが展開されないようにするチェックボックスも追加されました。メーリングリスト用パスワードは従来からモデレーション画面で設定できます。パスワードを使用しない場合には、書き込み権限を持つ全てのメンバーがマクロを使用できます。このため、パスワードを使用するか、全ての読み込み権限を持つユーザーへこの機能を開放する事を推奨しますが、どのように設定するかはご利用環境次第です。現在使用できるマクロは次の通りです。

メーリングリストメンバーの名前は「名 姓」や「姓、名」といった形式でもOKです。

[19572] ハイジャック検出機能の向上

セキュリティ | セキュリティマネージャ | スクリーニング | ハイジャック検出機能をアップデートしました。いくつかの設定が追加され、MDaemonが認証ユーザーの無効な宛先に対するメール送信回数を最大何度まで許可するかを指定できるようになりました。無効な宛先は、メールの送信時RCPTコマンドに対して5xxエラーを返したものを対象として定義しています。短い時間の間に多くのエラーが発生した場合はMDaemonにより対象アカウントのパスワードが盗まれスパムメールを配信しようとしているものとして凍結します。(postmasterはこの時に通知メールを受け取り、このメールへ返信する事でアカウントの凍結を解除できます。)これはアカウントのパスワードが盗まれスパムメールを配信されてしまうというリスクに対して大変便利です。送信されるスパムメールの多くは「5xx User Unknown」のエラーを頻発します。この機能によりスパム送信用にアカウントがハイジャックされても、大きな損害を引き起こさずに済みます。

この機能はFromヘッダ変換の一部として新しいハイジャック検出機能へ移動されます。Fromヘッダスクリーニング設定がセキュリティ | セキュリティマネージャ | スクリーニング | Fromヘッダ変換 へ追加されました。

[22391] 保留メールキューとメッセージリコールのアップデート

MDaemonに保留メール専用のキューが新しく追加されました。メールはメッセージリコールとDeferred-Deliveryヘッダ対応の一部として保留される事になります。従来、インバウンドキューを保留メールにも使用していた事で、保留されていないメールの配信を行うためのシステムに遅延が生じていました。今後はツールウィンドウの中でDeferredキューを確認することができ、キューのルートタブ内の保留用のサブタブでDeferredキューの内容の詳細を確認できます。Deferredキューに配置されたメールは日付毎に並べられエンコードされたファイル名が使用されます。MDaemonは一分おきにDeferredキューを確認し、通常配信が可能なメールをインバウンドキューへ、通常処理を行えるよう移動します。この処理はルーティングタブやログファイルへ記録されます。

メッセージリコールシステムは遅延やDeferredキューへの保管期間を必要としなくなりました。このため、遅延時間を0と設定しても問題はありません。ただし、これはリコールしようとしたメールが誤って配信されてしまう危険性を含んでいるため、最低でも1又は2分の遅延期間を設定する事をお勧めします。ユーザーはメールのリコール時、リコールリクエストを送信してMDaemonへリコール処理を行わせる時間が必要なためです。しかしながら、リコールシステムがメールをリモートキューから削除できるようになった事で、Deferredキューで不必要な2度目の遅延を発生させる必要はないようにも思えます。ただ、MDaemonの設定でリモートキューの中のメールをすぐに配信するよう設定していた場合、(0以外の値で)遅延時間の設定を検討するべきかもしれません。そうしないとリコールはリモートキューからメールを削除するのに充分な時間を確保できません。

MDaemonは認証されたローカルユーザーから送信された最近のメールのMessage-IDを記録するようになりました。これによりRECALLを件名とし、mdaemon@のシステムアカウントへメールを送るだけで、最後に送信したメールをユーザーがリコールできるようになりました。(ただし、最後に送信したメールのみが対象です) 最後に送信したメールをリコールする場合は、対象メールを探してMessge-IDをコピーする手間は不要です。最後のメール以外をリコールする場合には従来通り件名へMessage-IDを入力し送信済アイテムにある元のメールを添付する必要があります。

認証ユーザーが最後に送信したメールを記憶しておく事に加え、MDaemonは全ての認証済ユーザーが送った最新の1000通のメールのMessage-IDを記憶します。これによりメールフォルダ内のコンテンツを把握する必要が生じ、パフォーマンスの低下を招く可能性があります。設定 | サーバー設定 | メッセージリコールへ新しい設定が追加され、(送受信数が多いサーバーの場合に)メッセージリコールの1000通の値を増やす事ができるようになりました。リコールは送信メールが直近の1000通(又は指定した値)より古い場合には失敗します。この機能でユーザーが送信済のメールであってもリコールできるようになります。つまり、メールはリコールされると、ユーザーのメールクライアントや電話から削除されます。

複数の宛先に対するメールは全てを1つのリクエストでリコールできます。メッセージリコールシステムはセキュリティのためX-Authenticated-Senderヘッダがないと機能せず、自分が生成したメール以外を勝手にリコールする事もできません。つまり、このヘッダを無効にするオプション(設定 | 初期設定 | ヘッダ)はメッセージリコールが有効化されていると上書きされます。

[13710] 認証失敗ログ

セキュリティのルートタブ以下に「認証失敗」のサブタブが追加され、新しいログファイルが表示されるようになりました。このタブ/ログには1行毎に全てのSMTP、IMAP、POPログインに失敗した場合、その詳細が記録されます。情報には、仕様したプロトコル、セッションIDが含まれ、この情報を元に、他のログファイルを検索し、IPや、ログオンに使用されたアカウント(適合するアカウントがない場合は「none」と表示されます)が確認できます。

このタブの対象行を右クリックし、IPアドレスをブラックリストへ追加できます。

[4915] 転送/ルーティングメールの認証

複数の場所で、転送メールに対して認証を追加できるようになりました。つまり、APPフォルダ内のforward.dat、MDaemon.ini, メーリングリストの.grpファイルといった複数のファイルでログオン情報を追加できるようになりました。暗号化は一時的な処置としては充分強力ではありますが、ハッカーから守るのに充分な強度とは言えません。常に警告している通り、OSのツールや他の方法でMDaemon端末とディレクトリ構成を、不正アクセスから保護しておいてください。

[4915] 設定 | サーバー設定 | サーバ設定 | 不明なメール 画面へ新しいオプションを追加し、AUTHログオンとパスワードを画面内で指定したホスト名の値と併せて使用できるようになりました。また、画面の配置をアップデートしそれぞれのオプションの目的が理解しやすくなるようラベル名を変更しました。

[9333] メーリングリストエディタ | ルーティング タブに新しい設定を追加し、AUTHログオンとパスワードを画面内で指定したホスト名の値と併せて使用できるようになりました。

[22385] ゲートウェイマネージャ | 転送 画面へ新しいオプションを追加し、AUTHログオンとパスワードを他のドメインやホストへの転送メールへも使用できるようになりました。また、画面の配置をアップデートしそれぞれのオプションの目的が理解しやすくなるようラベル名を変更しました。

[22413] ゲートウェイマネージャ | デキュー画面へ新しいオプションを追加し、AUTHログオンとパスワードをリモートのドメイン/ホスト/IPへのデキューメールへも使用できるようになりました。また、画面の配置をアップデートしそれぞれのオプションの目的が理解しやすくなるようラベル名を変更しました。

[22427] アカウントエディタ | アカウント設定 | 転送 画面へ新しいオプションを追加し、AUTHログオンとパスワードがリモートのドメイン/ホスト/IPへの転送メールへも使用できるようになりました。また、画面の配置をアップデートしそれぞれのオプションの目的が理解しやすくなるようラベル名を変更しました。

[17402] ホスト認証

設定 | サーバー設定 | ホスト認証 という新しい画面で、全てのホストで使用するポート、ログオン、パスワードを設定できるようになりました。MDaemonがSMTPメールを対象ホストへ送信する際、ここで指定した認証情報が使用されます。指定する認証情報を使用は代替案であり、他の認証情報が使用できない場合にのみ使われる点に注意してください。例えば、新しいアカウントエディタの転送設定 (上記のタスク22427を参照してください)や、新しいゲートウェイマネージャ | デキューの設定 (上記のタスク22413を参照してください)等でログオンとパスワードを使用した場合、 そちらの設定が優先されます。この機能は(IPではなく)ホスト名でのみ有効です。どちらかを使うコーディングは簡単に行えましたが、ホスト名の方が使いやすいだろうと考えました。また、UIはシンプルで複雑な設定は必要ありません。

数年前、お客様からの急な依頼により、MXCACHE.DATファイルへログオンとパスワードを指定できるようにしました。これはこのまま残っていますが、このファイル内のログオンとパスワードは暗号化されていませんでした。本リリースで、同様の機能がホスト認証機能で実現でき、MXCACHE.DATファイルの設定は不要になります。ホスト認証では、HostAuth.datを使用し、(強力ではないものの)暗号化されたログオンとパスワードデータが保持されており、UIも使用できるため、MXCACHE.DATファイルの編集よりも簡単に扱う事ができます。HostAuth.datを手動で編集する場合は、メモ帳で直接ログオンとパスワードを記入していただくこともできます。(この場合はMDaemonが自動で暗号化を行います。)HostAuth.datファイルの上部で記載方法の詳細が確認できます。

[4085] カスタムキューとメールルーティング機能のアップデート

キュー | メールキュー | カスタムキュー をアップデートしました。本バージョンから、ホスト、ログオン、パスワード、SMTP return-path、ポートを全てのリモートキューで指定できるようになりました。指定された場合、キュー内の全てのメールは新しい設定値を使って配信されます。ただし、環境によっては個々のメールが既に独自の配送用データを保持している場合があり、このデータの優先度によっては、メニュー内で指定したデータよりも優先されます。これは仕様であり、不具合ではありません。

この設定のためのUIを改善しようと試みましたが、現時点は特に変更はされていません。UIは一覧でログオンとパスワードデータは表示しません。UIでは既存の登録を編集する事はできません(既存のものを削除して新しいエントリを追加する必要があります)。UIの追加と削除で一時的な処理を行う事ができます。よりよいUIへの改善は、行わないので希望しないでください。それでも、制限事項は追加された機能に対してマイナーなものばかりです。本バージョンより作成したいリモートキューの無制限な作成、キュー毎にコンテンツフィルタルールの定義と適用、キュー毎の配信スケジュール、完全に異なるルーティングの実行が行えるようになりました。

[8504] ドメイン共有のアップデート

[16798] ドメイン共有では必要に応じてSMTP MAIL送信者のルックアップを実行してきましたが、メールは「認証が必要です」というエラーで拒否される事が多くあり、異なるサーバーにおいては送信者認証が実行できないでいました。 この点についてMDaemonは他のサーバーに存在するアカウントを認証なしで受け付ける事ができるようになりました。セキュリティ | セキュリティマネージャ | 送信者認証 | SMTP認証 でこの設定を無効にできます。現在SMTP MAIL送信者に対しドメイン共有でのルックアップを全く行っていない場合には、 設定 | サーバー設定 | ドメイン共有 へ新しく追加されたチェックボックスで、 デフォルトで有効化されている設定値を、完全に無効化する事もできます。

[8504] 設定 | サーバー設定 | ドメイン共有 へ新しいチェックボックスが追加され、メーリングリストでもドメイン共有が使用できるようになりました。 メールがメーリングリスト宛に届くと、ドメイン共有のホスト分のコピーが生成され、リストのバージョンも保持されるようになります。ホストでコピーを受け取ると、全メンバーに対して対象のメールを配信します。この方法で、メールはその機能性を損なう事なく複数サーバーに跨るメーリングリストメンバーへメールを配信できるようになります。 この機能を利用するには、ドメイン共有のホストが、信頼するIP設定 (セキュリティ | セキュリティマネージャ | セキュリティ設定 | 信頼するIP へ、他のホストを指定する必要があります。指定していないと、メーリングリストのメールは「送信者はリストメンバーではありません」という種類のエラーで拒否されます。

[8723] 設定 | サーバー設定 | ドメイン共有 へ新しく詳細ボタンが追加され、ドメイン共有の利用を許可するドメイン名を指定するファイルを開く事ができるようになりました。(デフォルトの状態で)何もファイル内にない場合は全てのドメインがドメイン共有を利用できます。ファイルの上部にある説明を参照してください。

[12628] 転送メールのコントロール機能のアップデート

[12628] 設定 | 初期設定 | その他 へ新しいチェックボックスが追加され、管理者が外部のドメインから送信されたメールの転送を防ぐ事ができるようになりました。ユーザーがアカウント宛のメールを外部ドメインへ転送するよう設定していた場合、対象のメールはBadキューへ配信されます。この設定は、アカウント用に設定していたメール転送に対してのみ適用されます。

[12791] アカウントエディタ | 転送 タブへ新たに「スケジュール」ボタンが追加され、アカウントのメール転送の開始時間と終了時間を指定できるようになりました。また、この設定はアカウントテンプレートの中にも追加されました。この設定では転送の開始日時と停止日時を指定できますが、転送されるのは指定した曜日のみとなります。

[12927] 新規アカウント用テンプレートの転送アドレスのフィールドがアカウント用マクロで動作するようになりました。新規アカウントの作成時のみこのマクロは機能しますが、今後は関連するアカウントの姓名、ドメイン、メールボックス、パスワードの値でも使用できるようになります。このため、(例えば)アカウントの転送を同じユーザー名で異なるドメインに対して行いたい場合は、これを転送アドレスフィールドへ次のように指定できます: $MAILBOX$@otherdomain.com マクロはまた、差出人の指定, AUTH ログオン, AUTHパスワードのフィールド(新しいフィールドです)でも使用できます。

[12455] メール転送で転送したアカウントの最後のアクセス日時 (アカウントのhiwater.mrk内のLastAccess=dateの更新)を更新するようになりました。これによりアカウントがメール転送を行った場合は何の操作もなかったアカウントとして自動削除されなくなります。転送は実際に行われており、他の設定による制限を受けて動作していなかった場合は除く点に注意してください。転送アドレスを指定しただけでアカウントがアクティブになるわけではなく、実際に転送が行われている必要があります。

[15076] SMTP認証のアップデート

[15076] & [15265] セキュリティ | セキュリティマネージャ | 送信者認証 | SMTP認証 へ新しく2つのオプションを追加しました。「SMTPポートでの認証を許可しない」は完全にSMTPポートでのAUTH対応を無効化します。AUTHはEHLOレスポンスでも提供されず、SMTPクライアントがコマンドを送っても、不明なコマンドとして処理されます。また、AUTHは「認証を試みたIPをダイナミックスクリーンへ追加」で、AUTHが無効化されていた場合にAUTHを実行しようとしたクライアントのIPアドレスをダイナミックスクリーンへ追加するようになりました。接続はすぐに終了します。正規なアカウントが認証済メールの配信にMSAポートを使っている場合には非常に便利な設定です。このような設定の場合、SMTPポートを使って認証を行ってくるIPアドレスは攻撃しようとしているIPといえるからです。

[10458] アカウント管理のアップデート

[10458] アカウントマネージャをアップデートしました。有効なアカウント、MultiPOPを使用しているアカウント、クオータに近い(70%)のアカウント、クオータに近い(90%)のアカウント、転送していないアカウントを選択できるようになりました。また、アカウントの説明フィールドを検索し、その検索結果を元に任意のアカウントを選択できるようになりました。

[14105] アカウントマネージャの右クリックメニューへ選択したアカウントをメーリングリストやグループから削除できるようになりました。

[23083] アカウントマネージャでマウスの右ボタンを押すことで表示されるメニューに新しいオプションが追加されました。このオプションは、新規アカウントを作成する際、既存のアカウントの設定をコピーできます。名前、メールボックス名、パスワード、メールフォルダ名以外の全ての設定をコピーします。

[11427] アカウントエディタ | アカウント設定 | IMAPフィルタ へ「公開」という新しいボタンを追加し、新しいルールを編集中のアカウントへ追加したり、ドメイン内の他のアカウント全てに追加できるようになりました。これはルールが全員に必要な場合に使用すべきです。また、複数ルールが追加されてしまうルールエディタの問題を修正しました。 

[9921] ドメイン全体へ「業務時間内」の有効化

[9921] ドメインマネージャ | ホスト名&IP 画面に新しい設定を追加し「業務時間内」をドメイン全体で有効化できるようにしました。アクティブなドメインは全てのユーザーからの接続を拒否しますが、外部からのメールは受け付けます。「業務時間」の開始と終了はスケジュールする事ができます。例えば2020年の4月から2020の5月31日を指定し、5:00pmから7:00am、月曜から土曜と指定した場合、メールサービスは対象の時間内は使用できません。スケジュールの開始と終了日を削除すると予定は無効化されます。

[22678] アーカイブのアップデート

MDaemonのシンプルメールアーカイブシステムがより効果的で安定するシステムへアップデートしました。設定 | サーバー設定 | アーカイブは次のように機能するようになりました: メールがローカルキューからユーザーメールフォルダへ配信される際、アーカイブ用のコピーが生成されます(宛先の受信フォルダへ保存されます)。メールがリモートキューで処理対象となった際(送信が成功したかどうかにかかわらず)アーカイブ用のコピーが生成されます(送信者の送信フォルダへ保存されます)。ローカル・リモートキューが処理される度、ルーティングログへは "ARCHIVE message: pgp5001000000172.msg"といった行や、"ARCHIVE message: pgp5001000000172.msg"といった行が追加されます。

メーリングリストの通信はアーカイブされません。スパムはアーカイブされません。(対象のオプションは設定 | サーバー設定 | アーカイブから削除されました) ウィルス付きのメールはアーカイブされません。システム生成のメールはアーカイブされず、自動応答のメールもアーカイブされません。

「ToArchive」というキューがシステムキューとして追加されます(UIでは確認できません。)このキューは定期的に確認され、(手動、プラグイン、またはその他の方法で)削除されます。 確認されたメールでアーカイブ対象でないものはすぐに削除されます。キューの名前は、 \MDaemon\queue\ToArchive\となります。ルーティング画面/ログはメールがアーカイブに成功したかどうかと、その詳細が確認できます。

[20579] 暗号化されたメールのアーカイブはより確実に行われるようになりました。デフォルトで暗号化メールの暗号化されていないコピーはアーカイブ対象として保持されていました。メールが他の鍵で既に暗号化されていた場合は何も行いません。これは(例えば)特定の所有者やサービス宛の全てのメールを特定の鍵で暗号化したい場合などに便利です。メールが復元できない場合は、暗号化されたフォールが今後はアーカイブされます。(その他の選択肢はあるでしょうか?) 暗号化されたバージョンの方が望ましい場合は、設定 | サーバー設定 | アーカイブで設定を有効化してください。

[22693] 設定 | サーバー設定 | アーカイブ へパブリックフォルダのサブミッションアドレス宛てのメールをアーカイブするオプションを追加しました。この設定は特にサブミッションアドレスがサーバー上の実際のアドレス(12311を参照してください)を要求していない場合に必要な設定です。このオプションはデフォルトで有効です。

[15960] より効果的なロギング

[15960] 設定 | サーバー設定 | ロギング | 設定画面の場所が足りなくなったため、いくつかの設定を設定 | サーバー設定 | ロギング | 続き 設定へ移動しました。これはログが無効化されているアイテムの生成を防ぐタスクの一部として必要なものでした。例えば、「SMTPアクティビティをログへ記録する」を無効化していた場合、空のSMTPログファイルを生成する必要はありません。MDaemonは空のログファイルを生成する事はなくなります。アイテムがこの画面で無効化されていた場合、これに関連したログファイルが起動時に生成される事はありません。存在していないログファイルに関連したアイテムが有効化された場合、対象のファイルが生成されます。例えば、POPアクティビティのログを記録していない場合はPOPログファイルは生成されませんが、POPロギングを有効化した場合はPOPログファイルが表示されます。今後、使用しないサービス用のログファイル(又は使用していてもログへ記録しないよう設定されているサービス)は管理しません。この変更は(現在はほとんど)MDaemonのコアエンジンが管理する全てのログファイルへ適用されます。ダイナミックスクリーニング, インスタントメッセージ, XMPP, WDaemon, WebMail のログはMDaemonとは別に稼働しておりアップデートの対象ではありません。しかしながら、私たちは完璧なロギングシステムへ近づいています。結果としてこの設定を 設定 | サーバー設定 | ロギング | ログモードでモードとして変更できるようになりました。設定変更時にはMDaemonの再起動が必要です。

[22480] ATRNセッションログの正常表示、ログセッションや関連IDの色変更、MulipPOPサーバーのクオータ超過アカウントへのセッションログ、といったロギング関連の変更で、不要と思われたものについてはロギング対象外としました。

また、ルータログはINBOUNDとLOCALキューのメール処理のみログへ記録しています。これは今後REMOTEキューの配信処理も記録するようになりました。今後は、ルーターログやSMTP (out)ログを確認する必要はありません。

[22617] ACTIVE DIRECTORY連携のアップデート

[8930] MDaemonでActive Directoryグループの利用をデバッグする仕様は予定通り動作するようになりました。Active Direcotry グループへユーザーを追加するとMDaemonへ追加されグループから削除するとMDaemonグループからは無効ます (検索フィルタが正しく設定されている事が前提です。下記をご参照下さい。)。 この修正は、Active Directoryでユーザーをグループへ追加したりグループをユーザーへ追加したり(どちらの場合も)するのは、ユーザーの変更として処理されるものではないため(MDaemonはこの情報が必要であるため)困難でした。この仕様で非常に悩みました。MDaemonでは検索フィルタでグループに対する変更とグループメンバーのユーザーの変更を把握できるようにしておく必要があります。グループ変更用のクエリはMDaemonが「members」属性を監視するのに必要です。グループメンバーであるユーザーのクエリはユーザーデータがどこからのものか監視するのに必要です。グループクエリではこの値を監視できません。

このため、グループ用の正しい検索フィルタの設定「MyGroup」は次のように定義します:

    (|(&(ObjectClass=group)(cn=MyGroup)) (&(objectClass=user)(objectCategory=person) (memberof=cn=MyGroup,ou=me,dc=domain,dc=com)))
'ou='と'dc='の値は、ネットワークに合わせて変更してください。 

v20シリーズ内で、この機能は改善の余地が残されていますが、ようやく正しく機能するようになりました (そう願っています)。

[12696] ActiveDS.datで 'Alias=%proxyAddresses%' を設定するとMDaemonが該当の属性をSMTP用のアドレスとしてエイリアスを生成するようになりました (X500や他の種類は無視されます)。

[16403] アカウント | アカウント設定 | Active Directory | 認証 へ新しい設定を追加し、連絡先検索用に個別の(異なる)検索フィルタを指定できるようになりました。従来、連絡先検索はユーザー検索フィルタを使ってテストボタンで動作が確認できるようになっていました。AD検索は最適化され、検索フィルタが同一だと判断した場合には単一のクエリで全データを更新できます。フィルタが異なる場合は2つのクエリがそれぞれ必要となります。この画面内の設定のレイアウトとラベルをアップデートし、より理解しやすくしました。ページサイズの設定は削除されました。1000以上が必要な場合は、手動で変更が行えます。

[20853] ActiveDS.dat ファイルのテンプレートへ以下のフィールドを追加しました。Active Directoryモニタリングでアドレス帳を作成又は更新した際、このフィールドがファイルへ書き込まれます: abTitle=%personalTitle%, abMiddleName=%middleName%,abSuffix=%generationQualifier%, abBusPager=%pager%, abBusIPPhone=%ipPhone%, abBusFax=%FacsimileTelephoneNumber%. この値で問題が生じた場合やファイルの更新を行いたくない場合は、ActiveDS.datをメモ帳で開き、該当の行をコメントアウトしてください。

[6444] ActiveDS.datファイルの [CharacterConvert]処理をアップデートし、1つの文字を2つの文字へ置換できるようになりました。(例えば、Bという文字をSSという文字へ置換できます。) ActiveDS.datをメモ帳で開き、デフォルトの変換処理を確認してください。また、変換は、メールボックスの値に加え(もし存在していれば)エイリアスの値も書き換えます。

[11729] Active Directoryからアカウントが削除された際、対応する連絡先がパブリックフォルダ連絡先からも削除されるようになりました。 連絡先が削除されるのは、対象の連絡先がActive Directory連携機能で作成された場合のみです。 アカウント | アカウント設定 | Active Directory | モニタリング でこの新しい設定を無効化する事もできます。

[22617] Active Directoryモニタリングシステムがアカウントの作成や更新を行った際、メールボックス値がMDaemonの制限されたメールボックス値に対して長すぎると分かった場合、メールボックスの値は従来通り省略されますが、同時にフルサイズのメールボックス値でエイリアスを生成するようになりました。また、アカウントやエイリアスが生成された際、監視の目的で、アカウント管理者向けの注意事項が更新されます。

[22578] メーリングリストマネージャ | Active Directory の「この設定をテスト」ボタンの結果を表示するテキストが翻訳用に設定されました。結果にはBase DNも表示されます。

[22661] メーリングリストマネージャ | Active Directoryでリストメンバーのフルネームフィールド用のAD属性を入力できるようになりました。従来通り、AD属性へメールアドレスだけを指定しても構いませんが、フルネームのAD属性を次のように指定する事もできます: 'displayName, Email' メールのみの場合は 'Email'です。最初の属性はフルネームに対応するAD属性です(通常はdisplayNameが使用されます。)2つ目はメール属性です。

[22589] Active Directory画面やログへ表示されるテキストが翻訳用に設定され、色が追加されました。

[22657] MDaemonではADグループオブジェクトのユーザーを生成しないようになりました。従来、ADグループが検索フィルタに含まれるとMDaemonはグループ用のアカウントを生成していました。ただし、本来はADグループのメンバー用のアカウントが生成されるべきで、ADグループオブジェクト自体に生成されるものではなく、正しいMDaemonのアカウント用のプロパティがいくつか不足していました。

[23019] Active Directoryでアカウントプロパティを変更すると、アカウントが以前MDaemonのGUI(やweb administration)で削除されていたものでも、MDaemonで再生成されます。 アカウントをこのように再生成するには、 アカウント | アカウント設定 | Active Directory | モニタリング のチェックボックスを使用します。この設定はデフォルトで有効です (GUIを使って削除されたアカウントの再生成は行わないでください)

[22613] FROMヘッダスクリーニング のアップデート

[22613] 'Fromヘッダ変換'が'Fromヘッダスクリーニング'へ名称変更され、新しい機能がいくつか追加されました。 セキュリティ | セキュリティマネージャ | スクリーニング | Fromヘッダスクリーニング へ新しいチェックボックスが追加され、表示名の中からメールアドレスに見える「From」ヘッダをチェックするようになりました。もしも表示名のメールアドレスが実際のアドレスと異なる場合は実際のメールアドレスへ書き換えられます。例えば、From:ヘッダがFrom: "Frank Thomas " でが実際のアドレスの場合、次のように変換されます: From: "Frank Thomas " このオプションはデフォルトで無効です。また、新しいチェックボックスでこの画面の全設定を認証されていないメールに対してのみ適用できるようになりました。 従来通り、ローカルユーザー宛のメールに対してのみこの設定は適用されます。

[21601] 脆弱なパスワードの確認

MDaemonはサードパーティーサービスの脆弱なパスワードリストとユーザーのパスワードを比較したチェックを行う事ができます。チェックはサービスへパスワードを配送する事なく行えます。ユーザーのパスワードが一覧の中に存在していたとしても、アカウントがハッキングされたという事ではありません。これはどこかの誰かが以前 これを使用し、破られた事を意味しています。公開されているパスワードはハッカーがディクショナリ攻撃の際使用する場合があります。他の場所で使用された事のない独自のパスワードでより高い安全性を維持する事ができます。Pwned Passwordsで詳細を確認してください。

アカウント | アカウント設定 | その他 | パスワード で、MDaemonのオプションを追加し、一覧の中のパスワードの使用を許可しない設定、ログインの度に指定日数の間パスワードチェックを行う設定、警告メールを送信する設定が行えるようになりました。警告メールは\MDaemon\Appフォルダのテンプレートファイルを編集する事でカスタマイズできます。MDaemonへ保持しているか、ActiveDirectory認証を使っているかにより、パスワード変更方法の手順は異なるため、テンプレートファイルはCompromisedPasswordMD.datと CompromisedPasswordAD.datの2つが用意されています。 マクロスキャンがメールの個別設定、件名の変更、宛先の変更等に使用できます。

[16696] SMTP MTA-STS (RFC 8461) - STRICT TRANSPORT SECURITY

IETFによる MTA-STS に関する取りまとめが完了したため、この機能を実装しました。SMTP MTA Strict TransportSecurity (MTA-STS)は、メールサービスプロバイダー(SPs)側でメールを受信するにあたり、セキュアなSMTP接続が行えるトランスポート層レベルのセキュリティTransport Layer Security (TLS) に対応していることを宣言し、信頼のできるサーバ証明書を使用していない場合にメール送信側でメールを送信するかしないかを指定できる仕組みです。

MTA-STSは、デフォルトで有効となります。もし無効化するには、管理画面の セキュリティ | セキュリティマネージャ | SSL&TLS | SMTP拡張 から変更できます。

あなたが持つドメインに対してMTA-STSを設定するには、HTTPSを使った通信でURL https://mta-sts.domain.tld/.well-known/mta-sts.txt("domain.tld"部分は、あなたのドメイン名に置き換えてください)からMTA-STSポリシーファイルをダウンロードできるようにする必要があります。ポリシーファイルは、次のフォーマットの行の記述を行って下さい:

version: STSv1
mode: testing
mx: mail.domain.tld
max_age: 86400

modeパラメータには、"none", "testing", "enforce"の指定が可能です。mxパラメータには、あなたのMXホスト名を指定して下さい。サブドメインに対しては、"*.domain.tld"といったワイルドカードの使用もできます。max_ageの単位は秒で、一般的な値は 86400 (1日)か 604800 (1週間)です。

また、DNSサーバには、TXTレコードに、_mta-sts.domain.tld("domain.tld"部分は、あなたのドメイン名に置き換えてください)という登録が必要で、次のフォーマットで値を記述して下さい。

v=STSv1; id=20200206T010101;

"id"の値は、ポリシーファイルの編集を行った際、その反映のため都度値を変更してください。一般的にidには、タイムスタンプを使用します。

[21595] SMTP TLS レポート (RFC 8460)

TLSレポートは、MTA-STSポリシーの取得やSTARTTLSを使ったセキュアな接続のネゴシエーションに失敗した通知を、MTA-STSを使用するドメインに行ないます。有効にすると、MDaemonは各MTA-STSを使用するドメインへその日の送信した(もしくは送信を試みた)メールのレポートを日次で送ります。

TLSレポートは、デフォルトで無効となっており、有効にするには、管理画面の セキュリティ | セキュリティマネージャ | SSL&TLS | SMTP拡張 から行ないます。また、DKIM署名が有効になっていることも確認してください(管理画面の セキュリティ | セキュリティマネージャ | 送信者認証 | DKIM署名)。これは、TLSレポートメールはDKIM署名を行なって送信するためです。

あなたのドメインで TLSレポートを使用するには、DNSサーバに、TXTレコードに、_smtp._tls.domain.tld("domain.tld"部分は、あなたのドメイン名に置き換えてください)という登録が必要で、次のフォーマットで値を記述して下さい:

v=TLSRPTv1; rua=mailto:mailbox@domain.tld

mailbox@domain.tldの部分には、レポートメールを受信するメールアドレスをご指定下さい。

変更点と新機能

修正点

MDaemon は、 MDaemon Technologies, Ltd の登録商標です。
Copyright ©1996-2020 MDaemon Technologies, Ltd.