SecurityGateway for Email Servers v7.0リリースノート
10年以上に渡るメールセキュリティの専門知識を元に、SecurityGatewayはメールセキュリティを低価格で提供するために開発されました。ビジネスで求められるメールコミュニケーションに対して常に脅威となる、スパム、ウィルス、フィッシング、なりすまり、マルウェアから、システムを保護します。
SecurityGateway
for Email Serversについては、こちらをご覧ください
.
SecurityGateway 7.0.2 - 2020年12月1日
変更点と新機能
- [24140] SecurityGatewayでは、数多く発生する"Heuristics.Limits.Exceeded"のアンチウィルス検出エラーに対応するため、ClamAVの設定ファイル clamd.conf から"AlertExceedsMax yes"という行をコメントアウトします。
- [24122] SpamAssassin のバージョンを 3.4.4に更新しました。
修正点
- [24125] 64bit版のインストーラにおいて、デフォルトとは異なるパスが指定されると、データベースファイルの作成が行えなかった問題を修正しました。
- [24101] SMTP受信スレッドが終了できなかった場合、SMTPサーバの応答が"Server too busy"となる問題を修正しました。
- [23969] HTTP接続での認証を行った際、国別スクリーニング画面の"ホワイトリストに登録されているIPアドレスからの接続は除く"オプションを適用できない問題を修正しました。
- [24116] 新規インストールにおいて、インストーラがデフォルトのHTTPとHTTPSポートを正しく設定できていなかった問題を修正しました。
- [24136] アーカイブストアから保存されているメッセージを削除しようとした際、失敗する場合がある問題を修正しました。
- [24223] "送信先を自動的にホワイトリストに入れる"オプションを有効にした後、メールを送信してもその送信先アドレスがユーザーのホワイトリストに追加されなかった問題を修正しました。
- [24217] 送信したメッセージに対しても、配信不能レポート(NDR)が生成される場合がある問題を修正しました。Outbound-SMTPログにメッセージをリアセンブルできない旨の記録もされていました。
- [24226] ブラウザから設定ファイルをエクスポート(xmlファイル)する際、正常に行なうことができないことがある問題を修正しました。ダウンロードしたファイルの日付が古く、直近の変更値が含まれていないといったものです。
- [24205] 外部管理者では2段階認証オプションが使用できなかった問題を修正しました。
- [24240] "HTTP接続をHTTPS接続へリダイレクトする"オプションが無効の場合、HTTPSが有効であっても、隔離レポートのリンク先がHTTPポートとなっていた問題を修正しました。
- [24251] 非スパムとしてベイジアン学習したアドレスが、スパム学習フォルダに入ってしまっていた問題を修正しました。
SecurityGateway 7.0.1 - 2020年10月 6日
変更点と新機能
- [23958] HTML形式のメールをテキスト形式へ変換する際、メッセージ処理を行なっている間、キャッシュするようになりました。これにより、メッセージに複数のSieveスクリプトの"body"テストが設定されていた際のパフォーマンスが向上します。
- [24013] ClamAVをバージョン 0.103.0へと更新しました。
- [23788] Cyren AVアップデートにHTTPSの証明書確認を行なうようになりました。
修正点
- [23880] Sieveスクリプトの"string"値のテストにおいて、RFC-5229に準拠していなかった問題を修正しました。
- [22742] "管理上の隔離"通知にて、時間指定を行なっても、1時間毎に送信されてしまう問題を修正しました。
- [23984] RMailを用いた暗号化を行なった際、Toヘッダに改行が含まれていると、各アドレスを区別するカンマが削除される場合がある問題を修正しました。
- [23954] このIPアドレスからの接続はログに記録しない、という設定を行なっても、メッセージログ内に不完全なSMTPセッションとして表示される問題を修正しました。
- [23927] Exchange/ADでのユーザー検証ソースを使用した際、メールボックスが無効化されている状態を"ユーザーが見つかりません("user not found")として検出する問題を修正しました。
- [24023] 配信不能レポートである、Non-Delivery Report (NDR)メッセージの配信が失敗して送信できなかった問題を修正しました。
- [24024] 異なるアカウントへ、すべてのエイリアスを割り当てた際、ユーザーにエイリアスが割り当てられる問題を修正しました。
- [23996] ウィルスが検出された際のアクションを変更できなかった問題を修正しました。
- [24040] データベースを他のコンピュータに移動した際、隔離レポートや他のメンテナンスタスクが機能しなかった問題を修正しました。
- [24028] 設定/ユーザ | システム | 暗号化 | 証明書の選択 の項目にて、デフォルトにするのリンクが機能していなかった問題を修正しました。
- [24043] ログイン画面で、ロシア語を選択した際、Web画面が正しく表示されない問題を修正しました。
SecurityGateway 7.0.0 - 2020年 8月18日
特記事項
- clamd.confファイル内にある設定内容で、多くの変更や廃止項目があったため、インストーラでclamd.confファイルを上書きするようになりました。もし、clamd.confファイルに個別の設定を加えている場合、インストール後にファイル内の再調整をお願いします。
- [17284] "曜日に基づくログファイルを作成する"オプションが削除されました。もし、このオプションを選択されていた場合、バージョンアップ処理によって、"新規ログファイルセットを毎日作成する"オプションへと変更されます。
- [23594] "設定/ユーザ | メール設定 | Emailプロトコル | 使用可能な場合ESMTPを使用する" オプションは削除されました。現在、ESMTPは周知され、使用できる場合には常に使用されるようになったためです。
- [23593] "設定/ユーザ | メール設定 | Emailプロトコル | ESMTP SIZEコマンドパラメータを隠す" オプションは削除されました。ESMTP SIZEコマンドは、常に使用されます。
主な新機能
[22550] クラスタリング
- クラスタリング機能では、単一のデータベースの共有を複数台のアクティブなSecurityGatewayのインスタンス/サーバで行えるようにします。
- 外部のFirebirdバージョン3データベースサーバは、手動でインストールと設定を行う必要があります。
- インストーラ―にオプションが追加され、初期インストール中に外部Firebirdサーバパラメータを指定できるようになりました。既存のインストール環境では、コマンドラインからsgdbtool.exeコマンドを使って外部のFirebirdデータベースサーバへと接続できるように設定できます。
- クラスタ内の各サーバには、それぞれ異なるレジストレーションキーが必要となります。
- クラスタサーバ間で共有するストレージは、各サーバからUNCパスでアクセスできる共有フォルダの設定が必要です。また、そのフォルダへアクセスするため、WindowsサービスにあるSecurityGatewayのアカウント情報を変更ことも必要です。
- プライマリサーバーで、定期メンテナンスタスクを実行します。
[17214] 2段階認証
グローバル管理者、ドメイン管理者からのアクセスにおいて、2段階認証(2FA)の使用を許可したり、必須とすることができます。もし2段階認証を必須とした場合、ログイン時に2段階認証の設定画面が表示されます。または、2段階認証のため、メイン -> アカウント -> 2段階認証から設定を行ないます。
[21602] セキュリティ侵害を受けたパスワードかをチェック
SecurityGatewayは、サードパーティーサービスから過去にセキュリティ侵害を受けたパスワードリストを参照し、ユーザーのパスワードが該当していないかをチェックすることができます。サービスにパスワードを送信することなく、このチェックを行なうことができます。ユーザーのパスワードがこのリストに該当しても、アカウントがハッキングされているわけではありません。以前に誰かが同じパスワードを使って攻撃を受けたことがあることを意味しています。表示されたパスワードは、ハッカーの辞書攻撃に使用される可能性があります。他で使われたことの無いユニークなパスワードは、より安全となります。詳しくは、Pwned Passwordsを参照してください。
[21593] REQUIRETLS (RFC 8689)
IETFへのRequireTLSの取り組みがついに完了しました。この機能へ正式対応しました。RequireTLSはメールの送信時TLSを必須とするようフラグ付けできるようになります。TLSが不可能(またはTLS証明書の交換が不可能)の場合、メールは暗号化されずに送信するのではなく、エラーとして戻されます。RequireTLSの詳細な説明はRFCの仕様で、特に概要と背景、セキュリティの検討事項セクションを注意して御覧ください。
RequireTLSはデフォルトで有効です。 セキュリティ | セキュリティマネージャ | SSL & TLS | DNSSECへ新しく追加された設定で、これを無効化できます。 このサービスは有効にしたままで構いません。特別にフラグ付けされたメールに対してのみ、新しくコンテンツフィルタ用のアクションを使用するか、
+requiretls@domain.tld (例えばarvel+requiretls@mdaemon.com) 宛のメールがRequireTLS処理の対象となります。 他の全てのメールはサービスが無効であるかのように扱われます。メールをRequireTLSを使って送信するにはいくつかの条件があります。条件を満たせない場合メールは送られずにエラーとして戻されます。要件は次の通りです。
- RequireTLSが上記の方法で有効化されていること
- メールへRequireTLS処理が必要というフラグ付けがされていること
- 宛先MXホストへのDNSルックアップでMTA-STSを使用していること([21594]を参照)
- 受取側のホストへの接続にSSL (STARTTLS)が使用されていること
- 受取側のホストのSSL証明書がMXホスト名と一致しており、信頼するCAへ紐づけられていること
- 受信メールサーバーがREQUIRETLSに対応しておりEHLOレスポンスを返す事ができること
- これらの条件のどれかで失敗した場合、メールは送信されず送信者へ戻されます。
[21594] SMTP MTA-STS (RFC 8461) - STRICT TRANSPORT SECURITY
IETFによる MTA-STS に関する取りまとめが完了したため、この機能を実装しました。SMTP MTA Strict TransportSecurity (MTA-STS)は、メールサービスプロバイダー(SPs)側でメールを受信するにあたり、セキュアなSMTP接続が行えるトランスポート層レベルのセキュリティTransport Layer Security (TLS) に対応していることを宣言し、信頼のできるサーバ証明書を使用していない場合にメール送信側でメールを送信するかしないかを指定できる仕組みです。
MTA-STSは、デフォルトで有効となります。もし無効化するには、管理画面の 設定/ユーザ | システム | 暗号化 から変更できます。
[21596] SMTP TLS レポート (RFC 8460)
TLSレポートは、MTA-STSポリシーの取得やSTARTTLSを使ったセキュアな接続のネゴシエーションに失敗した通知を、MTA-STSを使用するドメインに行ないます。有効にすると、SecurityGatewayは各MTA-STSを使用するドメインへその日の送信した(もしくは送信を試みた)メールのレポートを日次で送ります。
TLSレポートは、デフォルトで無効となっており、有効にするには、管理画面の 設定/ユーザ | システム | 暗号化 から行ないます。また、DKIM署名が有効になっていることも確認してください(管理画面の セキュリティ | なりすまし対策 | DKIM署名)。これは、TLSレポートメールはDKIM署名を行なって送信するためです。
[21072] ドメイン管理者が新規ドメインを作成
- ドメイン管理者が新規ドメインを作成した際、自動的に作成したドメインのドメイン管理者として登録されます。
- ドメイン管理者が作成できるドメイン数の上限を制限することもできます。
[22364] 新規インストールでは、FIREBIRD 3 を使用
- Firebird 2 と 3 のランタイムが含まれており、どちらもインストールされます。
- バージョンアップでは、Firebird 2 が継続して使用されます。
- Firebird 3と互換性があるようにデータベースをアップグレードするには、2.xランタイムを使用してバックアップし、3.xランタイムを使用して復元する必要があります。
- 管理者は、コマンドラインからsgdbtool.exeコマンドを使用して既存のデータベースをアップデートすることができます。
変更点と新機能
- [23350] SecurityGatewayの管理画面を、より現代的な表示にアップデートしました。
- [22989] FusionCharts 表示コンポーネントをアップデートしました。
- [21001] 指定した送信者からのメールには、ウィルススキャンを行わない設定が追加されました。
- [18439] ホワイトリストをブラックリストより優先するオプションが追加されました。
- [22650] LetsEncryptに、マシンで実行されているPowserShellのバージョンを確認するようにさせ、もし正しいバージョンがインストールされていない場合にはエラーで返すようになりました。
- [22651] LetsEncryptは、PSModulePath環境変数をチェックして、SGモジュールパスが含まれているかを確認します。含まれていない場合は、セッションに追加します。
- [22674] LetsEncryptは、LetsEncryptシステムのステージングとライブを切り替える際、アカウントを削除し再作成するようになりました。
- [22689] LetsEncryptは、チャレンジが失敗したときにLetsEncryptからエラーを取得し、ログと画面にデータを書き込むようになりました。
- [22735] LetsEncryptは、コマンドラインから使用できる新しい -Stagingスイッチを持っています。このスイッチが使用されると、スクリプトはLetsEncryptステージングシステムへ証明書の要求行ないます。
- [23011] JSTreeライブラリーをバージョン3.3.8へとアップデートしました。
- [23355] Windowsサービスとして稼働するSecurityGatewayサービスに、実行するユーザーアカウントの指定ができるようになりました。
- [1490] SIEVE Variables Extension RFC 5229に対応しました。
- [23412] SIEVE Variables Extensionに、:eval修飾子を追加しました。
- [17284] "曜日に基づくログファイルを作成する"オプションが削除されました。もし、このオプションを選択されていた場合、バージョンアップ処理によって、"新規ログファイルセットを毎日作成する"オプションへと変更されます。
- [23402] パスワード入力時に、入力したパスワードの表示をする/しないのオプションが追加されました。設定/ユーザ | アカウント | ユーザーオプション 画面にて、このオプションを無効にすることもできます。
- [23436] Cyren AVアップデータが、ウィルス定義ファイルのダウンロード時にTLSを使用するようになりました。
- [23449] ログファイル名にコンピュータ名を追加するオプションが追加されました。このオプションは、クラスタ構成にある複数のサーバがUNCパスを使って、同一のログ保存場所を使用する場合に必要です。
- [23453] インストーラへ、初期インストール時に外部のFirebirdサーバを指定するパラメータオプションが追加されました。
- [23466] Chilkatライブラリーをバージョン9.5.0.82へとアップデートしました。
- [23441] 指定したIPアドレスからのSMTP/HTTP接続ログを記録しないオプションが追加されました。指定したIPアドレスからの不完全もしくは、拒否したSMTPメッセージはデータベースにも記録されません。もしメッセージの配信が行えた際には、データベースに記録されます。
- [17260] ユーザ編集画面にある、"エイリアス"と"マージするユーザ"欄の表示画面を長くしました。
- [23812] Sieveスクリプトの処理へ、SecurityGatewayがメッセージを配信するにあたり変更や特定をおこなうためのSMTPエンベロープSenderの指定に、"changesender"を使用することができるようになりました。
- [23484] Cyren AVエンジンをバージョン6.3.0r2へとアップデートしました。
-
[23811]
ClamAVをバージョン
0.102.4へと更新しました。
修正点
- [1482] clamd.confファイルにある、MaxScanSize, MaxFileSize and MaxRecursionの設定が、ClamAVで認識されていなかった問題を修正しました。
- [16922] ベイジアン学習が機能しない場合があった問題を修正しました。
- [23379] SPFポリシーにおいて、DNSサーバからの応答が512Byteより大きい時、正しく機能しなかった問題を修正しました。
- [23411] DNSサーバへの問い合わせで、SPFに関する参照で失敗した際、ログに正しく記録されない問題を修正しました。
- [21081] 初期インストール時、システムログに、"不正な国コード"とエラー表示される問題を修正しました。
- [23195] 非常に大きいサイズのHTML形式の本文をプレーンテキストに変換するため、とても時間がかかっていた問題を修正しました。これには、メッセージ本文の検査やアーカイブするスクリプトが必要です。
- [23467] ユーザー検証ソースのパスワードが24文字で切り捨てられる問題を修正しました。
- [23468] 保存したパスワードがブラウザに送信されていた問題を修正しました。
- [23476] ユーザー検証ソースに誤ったドメインが指定されていると、"ユーザを検証"にて再検証した際、そのドメインからユーザーが削除されてしまう問題を修正しました。
- [23698] 配信のできなかったアーカイブメッセージを再配信すると、配信不能レポート(NDR)が生成される問題を修正しました。
- [23584] SMTP検証にて、SSLホワイトリストが使用できなかった問題を修正しました。
- [23483] レポート画面で、日付指定が48時間を超えた際、棒グラフからドリルダウンへと表示方法を変えた際、メッセージが表示されなかった問題を修正しました。
- [23506] アーカイブの検索結果からメッセージを表示しようとした際、ANSI文字以外のメッセージが正しく表示されなかった問題を修正しました。
- [23385] SecurityGatewayがインストールされたボリュームで、8.3形式のファイル名の使用が無効になっている場合、アンインストールが行えなかった問題を修正しました。
- [23480] 64bitOS上で稼働していたSecurityGatewayをアンインストールした際、HKEY_LOCAL_MACHINE\SOFTWARE\Alt-N Technologies\SecurityGatewayのレジストリキーが削除されなかった問題を修正しました。
- [23526] データベース | データ保持 画面にある、"メッセージデータベースレコードで処理する"オプションが有効になっていると、夜間処理でsystem.logに記録されるSMTPトランスクリプトの数が正しく記録されない問題を修正しました。
- [23332] RMailにおいて、追跡/証明及び電子署名が件名でだけトリガーとなる文字を使用しても、正しく動作しなかった問題を修正しました。
- [23740] "「Received」ヘッダの応答からソフトウェアバージョン情報を隠す"オプションのチェックが外れてしまう問題を修正しました。
- [23797] HTMLリストコントロールの内部状態が、"すべて選択"を行なった後、整合性が取れなくなる場合がある問題を修正しました。
- [23808] SMTPの失敗キャッシュにIPv6アドレスがあると、IPv4のMXホストへの接続ができなくなる問題を修正しました。
- [22742] "管理隔離されたメールレポートをX時間ごとに送信する"オプションの設定時間に関わらず、毎時にメール送信されていた問題を修正しました。
- [23859] a:/形式のDNSレコードがSPF機能での参照が行えず、評価されなかった問題を修正しました。