2020年 6月16日,MDaemon Technologies公司正式发布最新版本MDaemon V20.0.0。
MDaemon 全新的“集群服务”的设计旨在:在您网络上的两个或多个 MDaemon 服务器之间共享您的配置。这使您可以使用负载均衡硬件或软件,在多个 MDaemon 服务器之间分配电子邮件负荷,从而可以通过减少网络拥塞和过载,以及最大化您的电子邮件资源,来提高速度和效率。如果一台服务器发生硬件或软件故障,它还有助于确保电子邮件系统中的冗余。您可以在 MDaemon 帮助文件中找到有关在集群中设置 MDaemon 的更多信息。
IETF 中的 RequireTLS 工作终于完成了。已经对此提供支持。RequireTLS 允许您标记必须使用 TLS 发送的邮件。如果无法使用 TLS(或者不接受 TLS 证书交换的参数),则退回邮件而不是进行不安全的投递。有关 RequireTLS 的完整说明,请参阅 RFC 规范,尤其是摘要、简介和安全注意事项这三部分。
默认情况下启用 RequireTLS。您可以通过“安全|安全管理器|SSL 和 TLS|SMTP 扩展”中的新参数禁用它。您可以放心启用该服务。只有您必须使用新的“内容过滤器”操作创建的规则特别标记的邮件,或发送到 +requiretls@domain.tld 的邮件(例如,arvel+requiretls@mdaemon.com)才受限于 RequireTLS 流程。其他所有邮件可以被视为已禁用该服务。在使用 RequireTLS 发送邮件之前,必须满足几个要求。如果无法满足其中某些要求,则不发送邮件,将其弹回,而不是以明文形式发送。 这些要求是:
RequireTLS 需要针对 MX 记录主机的 DNSSEC 查找,否则 MX 必须由 MTA-STS 进行验证。您可以在“安全|安全管理器|SSL 和 TLS|DNSSEC”中配置 DNSSEC,指定查询将凭借什么条件请求 DNSSEC 服务。DNSSEC 需要正确配置的 DNS 服务器,这是您的职责所在。已更新 MDaemon 的 IP 缓存和 MX 主机文件来接受 DNSSEC 声明。“设置|服务器设置|DNS 和 IP|IP 缓存”中有一个新的复选框,您将在“MX 主机”文件的顶部找到有关如何使用此功能的新说明。
RequireTLS 是抵御多种可能存在的电子邮件安全攻击的重要进步,我们很荣幸能参与其中。希望所有邮件系统都可以在明年部署 RequireTLS。
MDPGP 现在支持为所有用户使用单个密钥对域之间的邮件进行加密。例如,假设“a域”和“b域”希望加密在它们之间发送的所有电子邮件,但不希望为域内的每个用户账户设置和管理单独的加密密钥。现在可以按照以下步骤进行操作:
“a域”和“b域”分别通过自己首选的法为对方提供了公共加密密钥。例如,他们可以通过右键单击 MDPGP UI 中的现有公共密钥并选择“导出&电子邮件密钥”,来通过电子邮件相互发送密钥。如果他们希望创建专用于此目的的新密钥,则可以点击“为特定用户创建密钥”这个按钮,并选择为此放置的“_Domain Key (domain.tld)_ <anybody@domain.tld>”项目(尽管任何密钥都将奏效)。 一旦双方收到对方的密钥,他们需要点击 MDPGP UI 上的“导入域的密钥”这个按钮,然后输入将使用提供的密钥进行加密的所有邮件指向的域名。</anybody@domain.tld>
如果任何一方已拥有希望使用的公共密钥,而且已在密钥环上,则可以在 MDPGP UI 中右键单击该密钥,并选择“设置为域的密钥”。
不使用还具有相应私钥的密钥。如果您这样做了,MDPGP 将加密邮件,然后立即能看到解密密钥是已知的,并立即对同一封邮件进行解密。
此时,MDPGP 将创建一个名为“将所有邮件加密到”的内容过滤器规则,用于对发送至该域的每封电子邮件调用加密操作。使用内容过滤器意味着您可以通过启用或禁用内容过滤器规则来控制此过程。您还可以调整规则,以便在加密邮件之前微调您希望采用的标准(例如,也许您想对两个域或仅对域内的某些收件人执行相同的操作)。内容过滤器为您提供了实现此目的的灵活性。
MDPGP 有一个新的复选框和设置按钮,您可以通过它们将 IP 地址映射到特定的加密密钥。在发送之前,将邮件投递到这些 IP 之一的任何出站 SMTP 会话都会先使用相关联的密钥对邮件进行加密。如果邮件已被其他密钥加密,则不会执行任何操作。在您向某些关键的合作伙伴、供应商和附属公司投递邮件时,如果需要确保所有这些邮件始终进行加密,该功能将很有用。
“邮件列表编辑器|路由”屏幕拥有一些新选项,允许您在列表帖子的邮件正文中使用宏。这有助于您(例如)个性化每个列表邮件。列表邮件报头和脚注文件中一直支持宏,而邮件正文尚未支持宏,直到现在才终于得到支持。由于宏与个别列表成员相关,因此该选项仅与被配置为“将列表邮件分别投递给每个成员”的列表兼容。这就是这些选项在“路由”屏幕上的原因。为了安全起见(也许您不希望所有列表成员都能使用此功能),可以勾选一个复选框,要求提供列表的密码,否则将不扩展任何宏。列表密码是一个旧设置,可以在“审核”屏幕上找到。如果您不提供密码,则意味着任何具有“写”权限的列表成员都可以提交带有宏的帖子,因此,我建议对所有成员都具有“只读”权限的列表使用密码/或/启用此功能,不过这完全取决于您。以下是当前可用的宏:
列表成员名称解析代码可以处理“名姓“和”姓名“这两种格式。
已改善“安全|安全管理器|屏蔽|劫持检测”。有一些新控件将使 MDaemon 计算经过身份验证的用户尝试向无效收件人发件的次数。尝试向用户发送邮件时,无效收件人被定义为响应 RCPT 命令的 5xx 错误代码。如果在很短的时间内这类错误的发生次数太多,您可以让 MDaemon 冻结该账户(邮件管理员将收到一封有关上述内容的电子邮件,以便他们答复并重新启用该账户)。这种有力的措施用来保护密码被盗的账户并防范垃圾邮件的爆发。我认为大多数尝试发送的垃圾邮件都会频繁地导致“ 5xx 用户未知”错误。这应该有助于防止被劫持的账户遭受太大的损失。
作为这项改善工作的一部分,必须将“发件人报头修改”控件移到其自己的屏幕上,以便为新的“劫持检测”控件腾出空间。现在您可以从“安全|安全管理器|屏蔽|发件人报头修改”中找到“发件人报头屏蔽”这些设置。
现在 MDaemon 拥有一个针对延迟邮件的专用队列。邮件被延迟作为“邮件撤回”和“延迟投递”报头支持的一部分。 以前,入站队列被延迟的邮件阻塞,从而使系统无法投递未延迟的邮件。现在您可以在工具窗口中看到与其他队列一起列出的“延迟”队列,而且在“队列”根选项卡中有个“延迟”子选项卡,便于您检查延迟队列的内容。系统将“延迟”队列中的邮件放置在此处,并在文件名中对设置好的离开队列日期进行编码。MDaemon 将每隔一分钟检查一次“延迟”队列,并在指定的出队时间,将这些邮件移至入站队列,接受正常的邮件处理/投递。这些活动将被记录到“路由”选项卡/日志文件中。
“邮件撤回”系统不再需要“延迟”队列中耗费的任何延迟或时间。因此,您可以根据需要将延迟时间设置为 0。但是,您希望撤回已投递的邮件的可能性很大,因此建议至少延迟 1 或 2 分钟。否则,您将留给用户很少的时间来意识到他们是否想撤回邮件,是否想发送撤回请求,并留出时间让 MDaemon 处理该请求。但是您还要考虑,由于撤回系统现在能从可能已存在延迟的远程队列中删除被撤回的邮件,因此似乎没有必要强制执行第二次投递延迟,这使“延迟”队列显得毫无用处。不过,如果您将 MDaemon 设置为立即投递一到达就进入远程队列的一切,则应该考虑使用 delayvalue(除 0 以外的值); 否则,撤回将没有时间删除远程队列中的邮件。
MDaemon 现在可以跟踪由每个经过身份验证的本地用户发送的最新邮件的 Message-ID(邮件 ID)。这就意味着用户只需在发送至 mdaemon@ 系统账户的邮件中,将 RECALL(单独使用)作为主题,就可以撤回他们发送的上一封邮件(但仅是他们发送的上一封邮件)。需要撤回上一封邮件时,无需查找并粘贴要撤消邮件的 Message-ID。要撤消任何其他邮件,仍需在“主题”文本或(来自被附加至撤回请求的用户“已发送”文件夹的)原始邮件中包含 Message-ID。
除了记住每个经过身份验证的用户发送的最新邮件之外,MDaemon 还记得所有经过身份验证的用户发送的近 1000 封电子邮件的位置和 Message-ID。这完全避免了可能会浪费性能的遍历邮件文件夹内容的需求。在“设置|服务器设置|邮件撤回”中有一个新控件,供您按需增加上述1~1000 的值(如果您有繁忙的服务器)。如果被撤回的邮件不在最近发送的近 1000 封电子邮件(或您设置的任何值)之内,则撤回尝试将以失败告终。这样一来,即使邮件已被撤回,也可以将其撤回。因此,如果撤回了邮件,它们就会从用户的邮件客户端和手机中消失。
一个请求即可撤回发送至多名收件人的全部邮件。如果没有 X-Authenticated-Sender 报头来提供安全性,或让其他人撤回不是他们发送的邮件,则邮件撤回系统将无法奏效。因此,如果启用了“邮件撤回”功能,那用来禁用此报头的选项(位于“设置|首选项|报头”)将被覆盖。
“安全”根选项卡有一个新的名为``验证失败''的子选项卡,以及一个相应的新日志文件。此选项卡/日志中有一行信息,其中包含每一次失败的 SMTP、IMAP 和 POP 的登录尝试详情。该信息包括使用的协议、便于您搜索其他日志的 SessionID、违规者的 IP、他们尝试使用的原始登录值(有时是别名)、以及与登录名匹配的账户(如果无账户匹配则为“无”)。
您可以右键单击此选项卡中的一行,并将违规者的 IP 地址添加到黑名单中。
邮件转发拥有的代码内的几个位置中都添加了身份验证功能。这就意味着 \APP\ 文件夹中的几个文件,包括 forward.dat、gateways.dat、MDaemon.ini、所有邮件列表 .grp 文件,以及其他一些文件,都可能以很弱的加密状态包含混淆的登录名和密码数据。加密已足够强大到抵御很多不良企图,但不足以击败黑客。正如我们经常警告您的那样,请使用您得心应手的操作系统工具和任何其他措施,来保护 MDaemon 机器和目录结构免受未经授权的访问。
[4915] “设置|服务器设置|服务器&投递|未知邮件”屏幕中添加了一个新选项,帮助您指定验证登录名和密码,用于在该屏幕上指定的主机值。此外,屏幕的布局也有所不同,并更新了一些文本标签,以便更好地说明其中一些选项的功能。
[9333] “邮件列表编辑器|路由”选项卡添加了几个新控件,帮助您指定验证登录名和密码,用于在该屏幕上指定的主机值。
[22385] “网关管理器|转发”屏幕添加了一些新选项,帮助您指定在将邮件转发到另一个域/主机时使用的验证登录名和密码。此外,屏幕的布局也有所不同,并更新了一些文本标签,以便更好地说明其中一些选项的功能。
[22413] “网关管理器|取消队列”屏幕添加了一些新选项,帮助您指定在将邮件出队到远程域/主机/IP 时使用的验证登录名和密码。此外,屏幕的布局也有所不同,并更新了一些文本标签,以便更好地说明其中一些选项的功能。
[22427] “账户编辑器|账户设置|转发”屏幕添加了一些新选项,帮助您指定在将邮件转发到远程域/主机/IP 时使用的验证登录名和密码。此外,屏幕的布局也有所不同,并更新了一些文本标签,以便更好地说明其中一些选项的功能。
“设置|服务器设置|主机验证”是一个新屏幕,您可以在其中配置任何主机的端口、登录和密码值。当 MDaemon 将 SMTP 邮件发送到该主机时,将使用在此处找到的相关联的凭证。请注意,这些凭证都是备用凭证,仅在其他特定于任务的凭证不可用时才使用。例如,如果您使用新的“账户编辑器”转发控件(请参阅上方的 22427)或新的“网关管理器|取消队列”控件(请参阅上面的 22413)或许多特定于任务的其他设置来配置登录名和密码,则将使用这些凭证,它们会覆盖在此处配置的内容。此功能仅适用于主机名(不适用于 IP)。现在,我可以轻松地为一个或另一个进行编码,使主机名变得更加人性化。另外,此界面很简单,不是很复杂。
多年前,我将登录和密码功能添加到 MXCACHE.DAT 文件中,作为应对客户即时需求的的快速修复。这些仍保留在原处,但该文件中的登录名和密码尚未加密。现在您拥有和新的主机验证功能相同的功能,因此您无需再修改 MXCACHE.DAT 文件。主机验证使用 HostAuth.dat,其中的登录名和密码数据已进行加密(但是较弱),并且拥有 UI,因此它比 MXCACHE.DAT 文件更好。如果您有需要,可以使用记事本手动编辑 HostAuth.dat,然后输入纯文本的登录名和密码值(MDaemon 会为您对其进行加密)。请参阅 HostAuth.dat 顶部的说明来了解操作方法。
已改善“队列|邮件队列|自定义队列”。 现在,您可以为任何远程队列指定主机、登录、密码、SMTP 返回路径和端口。 如果提供设置信息,则使用这些新设置来投递队列中的所有邮件。不过在某些情况下,队列中的个别邮件可能仍具有自己唯一的投递数据,如果是这样,该数据比这些新设置具有优先权。这是设计使然,不是错误。
现在,该用户界面仍有一些部分尚待改进,但目前无法立即完善。该 UI(现在和未来都)不在列表视图中显示登录和密码数据。该 UI 无法编辑现有条目(您必须删除并重建条目才能进行更改)。该 UI 的“添加”和“删除”按钮会立即奏效——没有“取消”按钮供您撤消变更。如果您进行更改,就会实现这些变更。请别请求更好的 UI,因为我办不到。 但是与获得的功能相比,这些限制相对很小。现在,您可以设置任意数量的远程队列,根据您选择的条件,使用内容过滤器来将邮件过滤到这些队列中,为每个队列分配自身的投递调度,并根据您的意愿进行完全不同的路由。
[16798] 一段时间以来,“域共享”按需对 SMTP 邮件的发件人值执行查找。不过通常以“需要验证”来拒收邮件,当发件人账户位于其他服务器上时,就无法执行身份验证。现在已解决了该问题,MDaemon 可以接受来自其他服务器上账户的邮件,而无需进行验证。可以通过“安全|安全管理器|发件人验证|SMTP 验证”中的新复选框来禁用此功能。如果您根本不想对 SMTP MAIL 发件人执行“域共享”查找,则可以在“设置|服务器设置|域共享”中使用新的复选框来完全禁用该功能。这些复选框默认情况下处于启用状态。
[8504] “设置|服务器设置|域共享”拥有一个新的复选框,可实现邮件列表共享。当邮件到达邮件列表时,将为每个“域共享”主机创建一个副本,这些主机还保留该列表的版本(通过查询进行检查)。这些主机收到副本后,会将其投递至列表中的所有成员。这样,邮件列表可以在不损失任何功能的情况下,分散到多个服务器上。为此,每个“域共享”主机必须在其“可信 IP”配置(安全|安全管理器|安全设置|可信 IP)中包含其他主机 IP。否则,可能会因“发件人不是列表成员”这个类型错误而拒收列表邮件。
[8723] “设置|服务器设置|域共享”拥有一个新的“高级”按钮,该按钮将打开一个文件,您可以从中配置允许使用“域共享”的域名。如果此文件中没有任何内容(默认条件),则您的所有域都可以使用“域共享”。 有关更多信息,请参阅文件顶部的说明。
[12628] “设置|首选项|其他”有一个新复选框,允许管理员使用该复选框来防止“账户邮件转发”在域外发送电子邮件。如果用户将其账户的邮件转发配置成发送到外部域,则该邮件将被移至“坏邮件”队列中。此设置仅适用于使用账户的邮件转发选项进行转发的邮件。
[12791] “账户编辑器|转发”选项卡上有一个新的“调度”按钮,允许您为账户配置开始和停止转发的调度时间表。此外,“账户模板”中也包含这个按钮。这些设置配置了开始和停止转发的日期和时间,不过仅在您选择的星期几进行这些转发。
[12927] 现在,“新建账户模板”中的“转发地址”字段适用于账户宏。但在新建账户时,唯一具有数据的宏是与账户用户的全名、域、邮箱和密码值相关的宏。因此(例如),如果您希望将每个新建账户都转发到位于不同域的相同邮件地址,则可以在“转发地址”字段中输入:$MAILBOX$@otherdomain.com。如果对您有用的话,这些宏也作用于“代理发件人”、“ 验证登录”和“验证密码”字段(这些都是新字段)。
[12455] 现在,转发邮件会更新转发账户的上次访问时间(即,更新该账户的 hiwater.mrk 文件中的 LastAccess=date)。这就意味着除了转发邮件之外不执行其他任何操作的账户,就不再可能因为闲置而被删除。请注意,必须执行转发这个操作,而且不能被其他配置选项所妨碍,例如限制转发器可以发送邮件的位置,或受到“不按计划”的限制(请参阅本文档中的 12791)等。仅配置转发地址不会自动将账户标记成活动状态——转发操作必须实际发生。
[15076] & [15265] “安全|安全管理器|发件人验证| SMTP 验证”屏幕上添加了两个新选项。“不允许在 SMTP 端口进行验证”将完全禁用 SMTP 端口上的验证支持。如果 SMTP 客户端提供了验证,则不会在 EHLO 响应中提供验证,也不会将验证视为未知命令。此外,“...如果无论如何都要尝试验证,则将其 IP 添加至动态屏蔽”这个选项会在“动态屏蔽”禁用验证时,添加尝试验证的任何客户端的 IP 地址。连接也将立即终止。在所有合法账户使用 MSA 或其他端口来提交已验证邮件的配置中,这些设置很有用。在这种配置中,假定对 SMTP 端口进行验证的任何尝试都必须来自攻击者。
[10458] 已改善“账户管理器”。 现在,您可以选择的账户包括:已启用的账户、正在使用 MultiPOP 的账户、接近配额(70%)的账户、接近配额(90%)的账户、或未转发的账户。您也可以在账户描述字段中搜索所需的任何文本,然后据此来选择账户。
[14105] “账户管理器”的右键菜单添加了新选项,帮助您添加或删除邮件列表和群组中选定的所有账户。
[23083] “账户管理器”的右键菜单具有一个新选项,帮助您在创建新账户时复制现有的账户。除了全名、邮箱、密码和邮件文件夹以外,现有账户的所有设置都将被复制到新账户。
[11427] “账户编辑器|账户设置|IMAP 过滤器”拥有一个名为“发布”的新按钮,该按钮将新规则添加到正在编辑的账户,以及该账户域中的每个其他账户中。 这在每个人都需要规则时,会节省一些时间。此外,还解决了规则编辑器中允许添加重复规则的问题。
[9921] “域管理器|主机名&IP”屏幕拥有一个新设置,帮助您为域启用“勿扰”。启用此项后,域将拒绝所有用户的所有服务连接,但仍会接受来自外界的邮件。您可以调度“勿扰”的开始和停止时间。例如,如果您配置成2020年4月1日到2020年5月31日,从星期一到星期五的下午5:00到上午7:00,这就意味着在2020年4月1日到2020年5月31日的下午5:00到上午7:00这段时间内,邮件服务对该域的用户都不可用,但会在上午7:01恢复。擦除调度的开始日期会停用这个调度(并永久将域置于“勿扰”状态)。
已提高了 MDaemon 简易邮件归档系统的高效性和一致性。现在“设置|服务器设置|归档”处理以下工作:当邮件从“本地队列”投递到用户的邮件文件夹时,将在那时(如果经过配置,则在收件人的“入站”文件夹中)创建归档副本。当从“远程队列”中提取邮件进行 SMTP 投递(无论投递是否成功)时,将在那时(如果经过配置,则在发件人的“出站”文件夹中)创建一个归档副本。在处理本地和远程邮件时,您将在路由日志中看到类似“ARCHIVE message: pgp5001000000172.msg”这样的行,或者类似“* Archived: (archives)\company.test\in\frank@company.test\arc5001000000023.msg”这样的行。
绝不归档邮件列表流量,也不归档垃圾邮件(已从“设置|服务器设置|归档”弃用并删除了这么做的选项)。绝不归档含有病毒的邮件和系统级邮件,也绝不归档自动答复邮件。
现在“ ToArchive(转至归档)”队列作为系统队列存在(未在 UI 中公开)。将(通过手动、插件或其他方式)定期检查该队列中是否存在被放置其中的邮件。在此处找到邮件后,将立即对其进行归档和删除。如果找到不符合归档条件的邮件,则将其删除。队列名称为 \MDaemon\Queues\ToArchive\。成功归档邮件后,“路由”屏幕/日志将显示详细信息。
[20579] 现在可以更一致地处理加密邮件的归档。默认情况下,加密邮件的未加密副本将被保存在归档中。如果无法解密邮件,则将以加密形式保存(因为没有其他选择)。如果您希望保存加密的版本,可以在“设置|服务器设置|归档”中勾选一个新的复选框。
[22693] “设置|服务器设置|归档”拥有一个选项,帮助您归档被发送到公共文件夹提交地址的邮件。现在特别需要此操作,因为提交地址不再必须是服务器上的实际账户(请参阅下方的 12311)。默认情况下启用此项。
[15960] “设置|服务器设置|日志|设置”屏幕的空间不足,因此必须将某些项目移至名为“设置|服务器设置|日志|更多设置”的新屏幕中。这么做的必要原因是为了防止为禁用日志的项目创建日志文件。例如,如果您禁用“记录 SMTP 活动”,则没有理由创建一个空的 SMTP 日志文件。MDaemon 将不再创建空的日志文件。在此屏幕上禁用项目时,在启动时根本不会创建其关联的日志文件。在禁用某个项目时可能已存在的日志文件将被保留在原位置(未删除)。如果启用一个项目时缺少日志文件,将立即创建所需的日志文件。例如,如果您尚未记录 POP 活动,就不会存在 POP 日志文件。如果随后又启用了 POP 日志,则会显示所需的日志文件。从现在开始,我们不为不使用的服务(或我们使用但不关心其日志的服务)生成空的日志文件。此变更适用于核心 MDaemon 引擎管理的所有日志文件。用于动态屏蔽、即时通讯、XMPP、WDaemon 和 WebMail 的日志文件在 MDaemon 外部运行,并且尚未更新,因此它们与从前一样运走。但是,我们正在完善日志系统。这项工作的结果是,如果您在“设置|服务器设置|日志|日志模式”上更改日志“模式”选项,则必须重启 MDaemon。
[22480] 已做出一些日志相关变更,例如使验证会话日志看起来正确、使所有日志颜色一致,以及记录会话 ID 和子 ID 的方式。对于已经超出配额的账户,MultiPOP 服务器不再损坏会话,在这些情况下不会再浪费日志。
此外,路由日志仅记录“入站”和“本地”队列邮件解析。现在,当尝试进行投递时,它还会记录“远程”队列解析。这样,您不必搜索路由日志和 SMTP(出站)日志即可查看邮件何时进行了处理。
[8930] 已对“活动目录”组与 MDaemon 相互结合的使用进行了调试,现在可以按预期工作。(假设您正确设置了搜索过滤器,请参阅下文)当您将某人添加到“活动目录”组时,他们将被添加到 MDaemon 中,当您将他们从组中删除时,它们也会在 MDaemon 中被禁用。这在以前很难实现,因为在“活动目录”中,将用户添加到组或将组添加到用户(无论哪种方式)都不会被视为对用户进行了(MDaemon 正在寻找和需要的)变更,而是将其视为仅对组进行了变更。这个事实使我很头疼。为了解决这个问题(除了新增许多代码之外),MDaemon 还需要一个搜索过滤器来查找对组进行的变更和对作为组成员的用户进行的变更。因为 MDaemon 现在跟踪返回的“成员”属性,所以需要查询群组变更。查询属于该组成员的用户十分必要,因为这是用户数据的来源。群组查询不返回该值。
因此,要为名为“MyGroup”的组设置正确的搜索过滤器来实现这点:
(|(&(ObjectClass=group)(cn=MyGroup)) (&(objectClass=user)(objectCategory=person)(memberof=cn=MyGroup,ou=me,dc=domain,dc=com))) 请将 'ou=' 和 'dc=' 替换成与您网络相称的内容。
在版本20系列中,还存在一些改进的空间,但是现在终于可以奏效了(希望如此)。
[12696] 当您在 ActiveDS 中配置“Alias =%proxyAddresses%”时,MDaemon 会为该属性返回的每个值创建一个别名,只要它是 SMTP 类型的地址(X500 和其他类型将被忽略)即可。
[16403] “账户|账户设置|活动目录|验证”拥有一个新控件,帮助您为“联系人搜索”指定单独的(不同的)搜索过滤器。以前,联系人搜索是通过用户搜索过滤器完成的。联系人搜索过滤器还有一个单独的测试按钮。已对 AD 搜索进行过优化,因此当搜索过滤器相同时,一次查询将更新所有数据。 当搜索过滤器不同时,则需要两个单独的查询。必须修改此屏幕上某些控件的布局和选项卡以使其适合上述变更。此外,删除了“页面大小”控件。如果所需值超过1000,仍然可以手动进行更改。
[20853] 已将以下字段添加到 ActiveDS.dat 文件模板中,以便在“活动目录”监控创建/更新通讯簿时将它们包含在联系人记录中:abTitle=%personalTitle%、abMiddleName=%middleName%、abSuffix=%generationQualifier%、abBusPager=%pager%、abBusIPPhone=%ipPhone%、abBusFax=%FacsimileTelephoneNumber%。如果这些给您带来了问题,或者您不想在创建联系人时将它们包括在内,则可以使用记事本在 ActiveDS.dat 中将其删除。
[6444] 已改善 ActiveDS.dat 文件中的 [CharacterConvert] 处理,允许您将单个字符替换为两个字符(例如,将 ß 转换为 SS)。请使用记事本打开 ActiveDS.dat 来查看将要进行的默认转换。另外,默认情况下,转换将在 Alias(别名)值(如果存在)和Mailbox(邮箱)值上进行。
[11729] 现在从“活动目录”删除相关联的账户后,也将删除公共文件夹联系人。如果该联系人是由“活动目录”集成功能创建的,则仅将其删除。“账户|账户设置|活动目录|监控”中的新设置帮助您按需禁用此设置。
[22617] 当“活动目录”监控系统创建或更新一个账户,并在 MDaemon 空间有限的邮箱值中找到因为太长而难以安置的邮箱值时,它将像以前一样截断这个邮箱值,但现在还将使用完整大小的邮箱值创建一个别名。同样,在创建账户和别名时,也将更新“ccountsAdministrator Notes”数据来用于审核。
[22578] “列表管理器|活动目录”的“测试这些设置”这个按钮的结果文本已进行了本地化。 现在这些结果还将显示用于测试的“Base DN”。
[22661] 现在“列表管理器|活动目录”允许您为列表成员的全名字段输入 AD 属性。如果您有需要,仍然可以仅指定邮件地址 AD 属性,但也可以获取列表成员的全名值,像这样设置 AD 属性:“displayName,Email”,而不仅是“Email”。指定的第一个属性应指向全名所在的 AD 属性(通常为“displayName”)。第二个是电子邮件属性。
[22589] 现在已设置了“活动目录”屏幕/日志中显示的文本进行本地化,并添加了颜色。
[22657] MDaemon 不再为 AD 群组对象创建账户。以前,当搜索过滤器包含 AD 群组时,MDaemon 会为该组创建一个账户。但是,这里真正要注意的是为 AD 群组的成员创建账户,而不是为 AD 群组对象本身创建账户——不管怎样,它缺少正确的 MDaemon 账户必需的几个属性。
[23019] 即使之前已使用 MDaemon GUI(或 Web 管理)删除了账户,对“活动目录”中账户属性的更改也可能触发在 MDaemon中 重新创建该账户。要避免通过这种方式重建账户,已在“账户|账户设置|活动目录|监控”中添加了一个新的复选框。默认情况下,此复选框处于启用状态(请勿重新创建使用 GUI 删除的账户)。
[22613] 已将“发件人报头修改”重命名为“发件人报头屏蔽”,并且添加了一些新功能。“安全|安全管理器|屏蔽|发件人报头屏蔽”拥有一个新的复选框,用来检查“发件人”报头的显示名称是否存在任何类似于邮件地址的内容。如果找到一个与实际邮件地址不匹配的电子邮件,则将其替换为实际的电子邮件地址。例如,如果“发件人:”报头显示为“发件人:‘Frank Thomas<friend@friend.com>’<enemy@enemy.com>”,则将其更改为“发件人:‘Frank Thomas<enemy@enemy.com>’<enemy@enemy.com>”。默认情况下禁用此项。此外,还新增一个复选框,可将此屏幕上的所有设置仅应用于未经验证的邮件。与以前一样,只有向本地用户发送的邮件才有资格使用这些设置。</enemy@enemy.com></enemy@enemy.com></enemy@enemy.com></friend@friend.com>
MDaemon 会根据第三方服务中的已泄露密码列表来检查用户密码,而无需将密码传输到服务中。如果用户的密码出现在列表中,并不表示该账户已被黑客入侵。这只是意味着某处的某人曾使用过该密码,并在数据泄露中出现过。黑客的攻击可能会使用已发布的密码。从未在任何地方使用过的唯一密码会更安全。有关更多信息,请参阅“密码”。
在“账户|账户设置|其他|密码”中,MDaemon 拥有一个选项,供您用来禁止将账户的密码设置为列表中的密码。它还可以每隔几天在用户登录时检查他们的密码,如果发现密码,则向用户发送警告电子邮件。可以通过编辑 \MDaemon\App 文件夹中的邮件模板文件来自定义警告电子邮件。由于如何更改用户密码的说明可能取决于该账户是使用 MDaemon 中存储的密码,还是使用“活动目录”身份验证,因此有两个模板文件,即 CompromisedPasswordMD.dat 和 CompromisedPasswordAD.dat。Macroscan 可用于定制邮件、更改主题和更改收件人等。
已完成在 IETF 中实施 MTA-STS 的工作,现在已对此提供了支持。SMTP MTA 严格传输安全(MTA-STS)是一种机制,使邮件服务供应商(SP)能够声明其接收“传输层安全”(TLS)来保护 SMTP 连接的能力,以及指定发件 SMTP 服务器是否应拒绝将邮件投递给未持有可信服务器证书,且不提供 TLS 的 MX 主机的能力。
默认情况下启用 MTA-STS。可以在“安全|安全管理器|SSL 和 TLS|SMTP 扩展”中禁用它。
要为您自己的域设置 MTA-STS,您需要一个 MTA-STS 策略文件,该文件可以通过 HTTPS 从 URL https://mta-sts.domain.tld/.well-known/mta-sts.txt 下载 ,其中“ domain.tld”是您的域名。策略文本文件应包含以下格式的一行信息:
version: STSv1
mode: testing
mx: mail.domain.tld
max_age: 86400
模式可以是“无”、“测试”或“强制”。您的每个 MX 主机名应有一个“mx”行。通配符可以用于子域,例如“*.domain.tld”。最长存在时间以秒为单位。常用值为 86400(1天)和 604800(1周)。
还需要 _mta-sts.domain.tld 中的 DNS TXT 记录,其中“domain.tld”是您的域名。它必须具有以下格式的值:
v=STSv1; id=20200206T010101;
每次更改策略文件时,都必须更改“id”的值。通常为 id 使用时间戳。
“TLS 报告”允许使用 MTA-STS 的域接收有关检索 MTA-STS 策略失败或使用 STARTTLS 协商安全通道失败的通知。启用此项后,MDaemon 会每天向每个启用 STS(在那天已发送或尝试发送邮件)的域发送报告。
默认情况下禁用 TLS 报告。可以在“安全|安全管理器|SSL 和 TLS|SMTP 扩展”中启用它。此外,请确保(在“安全|安全管理器|发件人身份验证|DKIM 签名”中)启用了 DKIM 签名,因为应该对 TLS 报告邮件进行签名。
要为您的域设置“TLS 报告”,您必须在 _smtp._tls.domain.tld 中创建 DNS TXT 记录,其中“domain.tld”是您的域名,其值的格式为:
v=TLSRPTv1; rua=mailto:mailbox@domain.tld
其中,mailbox@domain.tld 是要接收域报告的电子邮件地址。