请启用 JavaScript 来查看本站。

MDaemon Messaging Server 20.0

MDaemon 20.0 的新功能

MDaemon 集群服务

MDaemon 新的集群服务的设计旨在:在网络上的两个或多个 MDaemon 服务器之间共享您的配置。这使您可以使用负载均衡硬件或软件,在多个 MDaemon 服务器之间分配电子邮件负载,从而可以通过减少网络拥塞和过载,并最大化电子邮件资源来提高速度和效率。如果一台服务器发生硬件或软件故障,该功能还有助于确保电子邮件系统中的冗余。还请参阅: 集群服务来获取有关在网络上设置 MDaemon 服务器集群的更多信息。

新的 SMTP 扩展

RequireTLS (RFC 8689)

IETF 中的 RequireTLS 工作终于完成,并且已经实现了对此的支持。RequireTLS 允许您标记必须使用 TLS 的邮件。如果无法使用 TLS(或者 TLS 证书交换的参数不可接受),则退回邮件,而不是不安全地投递邮件。默认情况下,启用 RequireTLS,但是将受 RequireTLS 进程约束的唯一邮件是被使用新的内容过滤器操作为 REQUIRETLS 标记邮件...”的“内容过滤器”规则特别标记的邮件,或发送至<local-part>+requiretls@domain.tld (例如, arvel+requiretls@mdaemon.com)的邮件。将所有其他邮件视为已禁用该服务。此外,必须满足几个要求才能使用 RequireTLS 发送邮件。如果它们中的任何一个失败,该邮件将弹回,而不是以明文形式发送。有关这些要求以及如何设置 RequireTLS 的更多信息,请参阅: SMTP 扩展。有关 RequireTLS 的完整说明,请参阅: RFC 8689: SMTP 需要 TLS 选项.

SMTP MTA-STS (RFC 8461) - 严格传输安全

IETF 中的 MTA-STS 工作完成了,并且已经实现了对此的支持。SMTP MTA 严格传输安全(MTA-STS)是一种机制,使邮件服务供应商(SP)能够声明其接收传输层安全(TLS)和保护 SMTP 连接的能力,并指定发件 SMTP 服务器是否应拒绝投递给不为 TLS 提供受信任的服务器证书的 MX 主机。默认启用 MTA-STS 支持。还请参阅: SMTP 扩展来了解有关设置的更多信息,MTA-STA 的完整说明请见 RFC 8461: SMTP MTA 严格传输安全 (MTA-STS).

SMTP TLS 报告 (RFC 8460)

TLS 报告功能允许使用 MTA-STS 的域收到有关检索 MTA-STS 策略或使用 STARTTLS 协商安全通道的任何失败的通知。启用后,MDaemon 会每天向已在当天向其发送(或尝试发送)邮件的每个启用 STS 的域发送报告。提供了多个选项来配置报告将包含的信息。默认情况下禁用 TLS 报告功能,更多详细信息请参阅RFC 8460: SMTP TLS 报告.

使用单密钥的域/公司范围的 MDPGP 加密

MDPGP 现在支持使用单个加密密钥为所有用户加密域之间的邮件。例如,假设“Domain-a”和“Domain-b”希望加密它们之间发送的所有电子邮件,但不希望为域中的每个用户账户设置和管理单独的加密密钥。现在可以按照以下步骤进行操作:

“Domain-a”和“Domain-b”分别通过自身首选的任何方式,为对方提供公共加密密钥。例如,他们可以通过右键单击 MDPGP UI 中的现有公共密钥,然后选择“导出&电子邮件密钥”,通过电子邮件将密钥相互发送。如果他们希望创建专用于此目的的新密钥,则可以点击“为特定用户创建密钥”按钮,然后选择为此目的放置在此处的“_Domain Key (domain.tld)_ <anybody@domain.tld>”项(尽管任何键都起作用)。一旦双方收到对方的密钥,他们将点击 MDPGP UI 上的“导入域的密钥”按钮,然后输入域名,用于使用提供的密钥被加密的所有电子邮件。此系统不为您每个域的下拉列表创建密钥。您可以使用为所有域提供的密钥,也可以根据需要创建是域而定的密钥。

如果任何一方都已拥有希望使用的公共密钥,并且这些密钥已在密钥环上,则可以在 MDPGP UI 中右键点击该密钥,然后选择“设置为域的密钥”。不过,请勿使用还具有相应私钥的密钥。如果您这样做,MDPGP 将加密邮件,然后立即看到解密密钥是已知的,并立即解密这封相同的邮件。

此时,MDPGP 创建了一个名为“Encrypt all mail to <domain>(加密所有邮件到<domain>)”的“内容过滤器”规则,该规则将对发送到该域的每封电子邮件调用加密操作。使用“内容过滤器”意味着您可以通过启用或禁用“内容过滤器”规则来控制此流程。您还能调整规则来微调您希望在加密邮件之前采用的条件(例如,也许要对两个域或仅对域内的某些收件人执行相同的操作)。“内容过滤器”提供各种灵活性来满足您的需求。

基于收件 IP 地址来加密出站邮件

MDPGP 拥有一个新的复选框和设置按钮,您可以在其中将 IP 地址映射到特定的加密密钥。将邮件投递到这些 IP 的任何出站 SMTP 会话都将在传输之前,首先使用关联的密钥对邮件进行加密。如果邮件已被其他密钥加密,则不会完成任何工作。例如,在要确保始终对发送给某些关键合作伙伴、供应商、分支机构等的所有邮件都进行加密的情况下,此功能很有用。

用于邮件列表邮件的宏

邮件列表编辑器 » 路由屏幕拥有一些新选项,允许在列表帖子的邮件正文中使用宏。这将允许您(例如)个性化每封列表邮件。列表邮件报头和页脚文件中的宏已得到长期支持,但邮件正文中从未支持它们。由于宏与个别列表成员相关,因此这个选项仅与被配置成“将列表邮件分别投递给每个成员”的列表兼容。此外,出于安全目的,您可以设置此选项来要求提供列表的密码,以便在邮件正文中使用宏。如果您选择不要求密码,那么任何允许发布到列表的列表成员都被允许使用它们。请参阅邮件列表路由屏幕来获取更多信息,以及可供使用的宏列表。

改善的劫持检测系统

劫持检测拥有一些新选项,可以帮助防止由于密码被盗而使账户被用来狂发垃圾邮件。垃圾邮件的一个普遍特征是,由于垃圾邮件发送者试图将其发送到旧的电子邮件地址,或猜测新的电子邮件地址,因此通常将这些邮件发送给大量无效的收件人。因此,如果 MDaemon 账户在短时间内开始向大量无效收件人发送邮件,则表明该账户已被劫持,并被用于发送垃圾邮件。为了防止这种情况,MDaemon 现在可以跟踪经过身份验证的用户尝试向无效收件人发送电子邮件的次数。如果在很短的时间内发生了太多次,您可以让 MDaemon 冻结该账户(邮件管理员将收到相关邮件,他们可以通过答复来重新启用该账户)。这有助于在造成太大损失之前,自动停止被劫持的账户。请注意:作为这项工作的一部分,“发件人报头修改”选项已被移至其自身的发件人报头屏蔽页面,来为新的“劫持检测”选项创造空间。

延迟邮件队列和改善的邮件调用

为了提高“邮件撤回”系统和“坚持投递”报头支持的效率,MDaemon 现在具有专用于延迟邮件的队列。以前,入站队列可能会被延迟的邮件阻塞,这会减慢非延迟邮件的投递速度。新的“延迟”队列有助于解决这个问题。“延迟”队列中的邮件由系统放置在此处,并在邮件文件名中编码了邮件被设置成何时离开队列的日期。MDaemon 每分钟检查一次队列,当邮件离开队列时,它将移至入站队列,并接受常规的邮件处理和投递。

此外,MDaemon 现在可以跟踪经过身份验证的本地用户发送的最新电子邮件的每个 Message-ID,这意味着用户现在可以撤回他们发送的上一封邮件(但只是他们发送的上一封邮件),只需(单独)将 RECALL 作为主题放置在邮件中,发送给 mdaemon@system 账户。当邮件是最后发送的邮件时,无需查找并粘贴您要撤回的邮件的 Message-ID。撤回任何其他邮件时,仍然需要将 Message-ID 包含在“主题”文本中,或附加到撤回请求的用户“已发送”文件夹中的原始邮件中。

除了记住每个经过身份验证的用户发送的最新电子邮件之外,MDaemon 还会记住所有经过身份验证的用户发送的近 1000 封电子邮件的位置和 Message-ID。因此,即使在投递到用户邮箱之后,也可以立即从用户邮箱中撤回邮件。因此,如果用户邮件客户端和电话被撤回,邮件将消失。请注意: 当然,这仅适用于发送给其他本地用户的邮件; 一旦 MDaemon 将邮件传递到其他服务器,它就不再处于 MDaemon 的控制之下,因此无法被撤回。

验证失败日志

有一个新的“身份验证失败”日志文件,其中包含一行,含有每个失败的 SMTP、IMAP 和 POP 登录尝试的详细信息。该信息包括使用的协议和 SessionID,以便您可以搜索其他日志、违规者的 IP、他们尝试使用的原始登录值(有时是别名)以及与登录匹配的账户(如果没有账户匹配则使用“无”)。

在转发/路由邮件时进行验证

MDaemon 中有几个转发选项,您现在可以在其中添加身份验证凭据。这就意味着 \APP\ 文件夹中的一些文件(例如forward.datgateways.datMDaemon.ini 和所有“邮件列表”.grp 文件)现在有可能包含处于弱加密状态的模糊登录和密码数据。因此一如既往,您应该在命令中使用操作系统工具以及选择的任何其他措施,以保护 MDaemon 机器和目录结构免遭未授权的访问。身份验证凭证选项已被添加到: 未知邮件邮件列表路由网关编辑器 » 转发网关编辑器 » 出队账户编辑器 » 转发

主机验证

“主机验证”是一个新屏幕,您可以在其中配置任何主机的端口、登录和密码值。当 MDaemon 将 SMTP 邮件发送到该主机时,将使用此处找到的关联凭证。请注意,这些凭证属于后备之需,仅在其他针对特定任务的凭证不可用时才使用。例如,如果您使用新的“账户编辑器 » 转发”或“网关管理器 » 取消队列”选项来配置验证登录/密码,然后使用这些凭证,它们将取代此处配置的内容。此功能仅适用于主机名(不适用于 IP 地址)。

已改善自定义队列和邮件路由

现在,您可以为任何远程队列指定主机、登录、密码、SMTP 返回路径和端口。如果提供,则使用这些新设置投递队列中的所有邮件。但是,通过设计,队列中的单封邮件仍然有可能拥有自己唯一的投递数据,这些数据将优先于这些新设置。此外,您现在可以设置任意数量的远程队列,根据您选择的条件使用内容过滤器将邮件过滤到其中,为每个队列分配自己的发送时间表,并根据您的意愿进行完全不同的路由 。

已改善域共享

一段时间以来,域共享根据需要对 SMTP MAIL 发件人值执行查找。不过,通常通过“需要身份验证”拒收邮件,而且当发件人账户位于其他服务器上时,无法执行身份验证。现在已经解决了该问题,MDaemon 可以接受邮件,而无需从其他服务器上找到的现有账户进行身份验证。可以使用以下位置新的“安全管理器”选项禁用它: 发件人验证 » SMTP 验证。如果您根本不想在 SMTP MAIL 发件人上执行域共享查找,则可以使用“域共享”选项完全禁用该功能。

“域共享”还有一个新选项,可以共享邮件列表。当邮件抵达邮件列表时,将为每个“域共享”主机创建一个副本,同时保留该列表的版本(通过查询来进行检查)。这些主机收到副本后,会将其交付给他们所服务的列表中的所有成员。这样,邮件列表可以在多个服务器之间进行拆分,而不会损失功能。为此,每个“域共享”主机必须在其可信 IP 配置中包含其他主机的 IP 地址。

最后,“域共享”拥有一个“高级”按钮,可以打开一个文件,您可以在其中配置允许使用“域共享”的域名。如果此文件中没有任何内容(默认情况),则所有域都可以使用“域共享”。请参阅文件顶部的指示来获取更多信息。

已改善邮件转发的控制

首选项 » 其他有一个新选项,允许管理员阻止账户邮件转发在域外发送电子邮件。如果用户将其账户配置为将“邮件转发”发送到外部域,则邮件将被移至“坏邮件”队列。此设置仅适用于为账户使用邮件转发选项进行转发的邮件。

账户编辑器 » 转发拥有一个新的“调度”按钮,允许账户配置转发的开始和停止时间。在相应的“账户模板”屏幕上也有这个按钮。这些设置配置转发开始和停止的日期和时间,但是转发仅在您选择的星期几进行。

位于“新建账户模板”的“转发地址”字段现在也适用于账户宏。但是在新建账户时,唯一具有数据的宏是那些与账户用户的全名、域、邮箱和密码值相关的宏。因此如果您希望每个新账户转发到相同的邮件地址,但是在不同的域,您可以将此置于“转发地址”字段: $MAILBOX$@example.com。宏也适用于“发送为”、“验证登录”和“验证密码”字段。

现在,转发邮件将更新转发账户的上次访问时间。这就意味着仅执行邮件转发操作的账户不再可能因为闲置状态而被删除。请注意:转发实际上必须发生,并且不能被其他配置选项所破坏,例如限制转发器可以发送邮件的位置或“计划外”。仅配置了转发地址不会自动将账户标记为活动状态。

已改善 SMTP 验证

发件人验证 » SMTP 验证拥有两个新选项。首先,“不允许在 SMTP 端口上进行验证”这个选项将完全禁止 SMTP 端口上的验证支持。如果 SMTP 客户端提供了 AUTH(验证),则不会在 EHLO 响应中提供 AUTH,并且会将 AUTH 视为未知命令。另一个选项用于“...如果他们仍然尝试,则将其 IP 添加到动态屏蔽”。此项会将禁用 AUTH 验证期间,任何尝试验证的客户端的 IP 地址添加到“动态屏蔽”。连接也将立即终止。这些设置在所有合法账户都使用 MSA(或其他)端口来提交经过验证的邮件的配置中很有用。在这种配置中,假定在 SMTP 端口上进行任何验证的尝试都必须来自攻击者。

已改善账户管理

已扩展“账户管理器”的过滤选项。现在,您还能根据账户是否已启用、是否正在使用 MultiPOP、是否接近配额(70%)、是否接近配额(90%)或不转发来选择显示账户。您还能在账户描述字段中搜索所需的任何文本,然后根据该文本选择账户。此外,快捷方式/右键单击菜单具有新选项,可用于从邮件列表和组中添加或删除所有选定账户。它还具有复制现有账户来创建新账户的选项。现有账户的所有设置都将复制到新账户,全名、邮箱、密码和邮件文件夹除外。最后,“账户编辑器”的“IMAP 过滤器”屏幕有一个名为“发布”的新按钮,用于向正在编辑的账户以及该账户域中的其他所有账户添加新规则。当每个人都需要新规则时,这可以节省一些时间。

为整个域启用“勿扰”

“域管理器”的“主机名 & IP”屏幕有一个新设置,帮助您为域启用“勿扰”。启用后,域将拒绝所有用户的所有服务连接,但仍会接受来自外部世界的入站邮件。此外,您可以调度“勿扰”的开始和停止时间。例如,如果您配置2020年5月1日到2020年6月30日,时间是星期一至星期五的下午5:00到早上7:00,那么这意味着从下午5:00开始,该天的用户将无法使用该邮件服务,并且只要当前日期是2020年5月1日至2020年6月30日之间,就在上午7:01恢复。删除调度的开始日期会取消这次调度,而且有“永久将域置于“勿扰”模式”的效果。

已改善归档

MDaemon 的简单邮件归档系统已变得更加高效和风格一致。现在,归档的工作方式如下所示: 当邮件从“本地队列”投递到用户的邮件文件夹时,将在那时创建归档副本(如果已配置,则在收件人的“入站”文件夹中)。当从“远程队列”中提取邮件以进行 SMTP 传递(无论投递是否成功)时,将在那时(在发件人的“出站”文件夹中,如果已配置)创建一个归档副本。在处理“本地”和“远程”邮件时,您将在“路由”日志中看见像“ARCHIVE message: pgp5001000000172.msg”这样的行,或在“路由”日志中看见像“* Archived: (archives)\company.test\in\frank@company.test\arc5001000000023.msg”这样的行。此外,“ ToArchive”队列现在作为系统队列存在(UI 中未公开)。定期检查此队列中是否有丢弃的邮件(手动、通过插件或其他方式)。在此找到邮件后,将立即将其归档并删除。如果发现不符合归档条件的邮件,则将其删除。此队列的名称为 \MDaemon\Queues\ToArchive\。邮件成功归档后,“路由”屏幕/日志将显示详细信息。此外,加密邮件的归档现在可以更一致地进行处理。默认情况下,加密邮件的未加密副本将存储在归档中。如果无法解密邮件,则将存储加密的表单。如果您希望保存加密版本,则可以使用一个选项进行存储。此外,现在有一个选项可以归档发送到公共文件夹提交地址的邮件,默认情况下处于启用状态。最后,从不归档以下类型的邮件: 邮件列表流量、垃圾邮件(此选项已被弃用和删除)、带有病毒的邮件、系统级邮件和自动答复。

更高效的日志

MDaemon 不再创建空的日志文件。如果在“设置”屏幕上禁用了项目,则在启动时将不会创建其关联的日志文件。禁用某个项目时,可能已经存在的日志文件保留在原位置(未删除)。如果启用某个项目时缺少日志文件,则立即创建所需的日志文件。此变更适用于核心的 MDaemon 引擎管理的所有日志文件。动态屏蔽、即时通讯、XMPP、WDaemon 和 WebMail 的日志文件在 MDaemon 外部运行,因此未更改。一些与日志有关的其他变更包括: 使 ATRN 会话日志看起来正确,使所有日志的颜色保持以及记录会话和子项 ID 的方式保持一致,MultiPOP 服务器不再为已超出配额的账户拆卸会话,因此在这些情况下记录时不再存在浪费现象。最后,路由日志仅记录入站和本地的队列邮件解析。如今在做出投递尝试时还记录远程队列解析。这样,您不必搜索路由日志和 SMTP(出站)日志即可查看何时处理邮件。

已改善活动目录集成

现在,您可以将 MDaemon 的“活动目录”集成功能配置为在将某人添加到“活动目录”组中时创建一个 MDaemon 账户,并且当您从“活动目录”组中删除某人时,其相应的 MDaemon 账户将被禁用(但不会删除)。要使用此功能,必须使用备用的“活动目录”搜索过滤器。还请参阅: 活动目录 » 验证获取更多信息。

在“活动目录”的“验证”屏幕有一个单独的“联系人搜索过滤器”选项用于搜索联系人。以前,联系人搜索是通过用户搜索过滤器完成的。此外联系人搜索过滤器还有一个单独的测试按钮。“活动目录”搜索已经过优化,因此当搜索过滤器相同时,单个查询将更新所有数据。当搜索过滤器不同时,则需要两个单独的查询。

以下字段已添加到 ActiveDS.dat 文件模板中,以便在“活动目录”监控创建或更新通讯簿时,将它们包含在联系人记录中: abTitle=%personalTitle%abMiddleName=%middleName%abSuffix=%generationQualifier%abBusPager=%pager%abBusIPPhone=%ipPhone%abBusFax=%FacsimileTelephoneNumber%

现在,当从“活动目录”中删除关联账户时,默认情况下将删除公共文件夹联系人。不过,仅在联系人是由“活动目录”集成功能创建的情况下,将其删除。这个进行控制的设置位于“活动目录监控”屏幕。

当“活动目录”监控系统创建或更新账户,而且发现邮箱值太长而无法容纳 MDaemon 邮箱值的有限空间时,它将像以前一样截断邮箱值,但是现在它还将使用完整名称来创建别名。此外在创建账户或别名时,将更新该账户的管理职位屏幕,用于审计。

“邮件列表管理器”的“活动目录”屏幕现在允许您为列表成员的全名字段输入“活动目录”属性。

“活动目录”中账户属性的变更可能触发重新创建 MDaemon 账户,即使该账户先前是在 MDaemon 中删除的也是如此。为了防止以这种方式重新创建账户,将一个新选项添加到“活动目录监控”。默认情况下,在 MDaemon 中手动删除账户后将不会重新创建账户。

已改善发件人报头屏蔽

发件人报头修改”选项已从“劫持检测”屏幕移至其自身的“发件人报头屏蔽”屏幕,并添加了新选项。例如“发件人报头屏蔽”现在可以检查“发件人:” 报头显示名是否有看起来像邮件地址的信息。如果找到一个与实际发送电子邮件地址不匹配的地址,则可以使用实际电子邮件地址替换显示的地址。例如,如果您正在使用此功能,并且“发件人:” 报头看起来类似于以下项: "发件人: 'Frank Thomas <friend@friend.test>' <enemy@enemy.test>" ,则将其更改成: "发件人: 'Frank Thomas <enemy@enemy.test>' <enemy@enemy.test>"。

检查泄露的密码

MDaemon 现在可以对照第三方服务中的泄露密码列表来检查用户密码。它能够执行此操作而无需将密码传输到服务,而且如果列表中存在用户的密码,并不表示该账户已被黑客入侵。这就意味着某人在某处使用了与他们的密码相同的字符,并且出现了数据泄露事件。黑客可能会在字典攻击中使用已泄露的密码,但是从未在其他任何位置使用过的唯一密码更加安全。请参阅Pwned Passwords(已泄露密码)获取更多信息。

在“安全设置”的“密码”屏幕上,MDaemon 现在提供一个选项,可以防止将账户的密码设置为“已泄露密码”列表中的密码。它还可以每隔一定天数登录一次用户密码,如果找到密码,则向用户和邮件管理员发送警告电子邮件。通过编辑 \MDaemon\App 文件夹中的邮件模板文件,可以定制警告邮件。由于有关如何更改用户密码的说明可能取决于该账户是使用 MDaemon 中存储的密码还是使用“活动目录”身份验证,因此有两个模板文件,CompromisedPasswordMD.datCompromisedPasswordAD.dat。宏可用于个性化邮件、更改主题和更改收件人等。

额外的功能和改善

MDaemon <%VERSION_MAJOR%>中包含250多项新功能和改进,因此本节中未列出许多功能。请参阅 RelNotes.html(位于 MDaemon 的 \Docs\ 子文件夹来获取此版本中包含的所有新功能、变更和修复的完整列表信息。

 

MDaemon 19.5 的新功能

新的 Webmail Mobile 主题

已使用具有更多功能的现代 GUI 取代了 Webmail 的 Mobile 主题。邮件列表功能现在包含个性化的类别、邮件延缓、按旗标/未读/延缓排序、排序列和邮件撤回。日历功能现在包括:导入/导出事件为 csv 或 ics 文件、添加外部日历、私有访问链接、发布日历和一次查看多个日历。编写功能现在包括延迟投递、多个签名、文本/html 邮件和电子邮件模板。其他功能包括拖放电子邮件过滤器、多个签名编辑器、更多文件夹管理选项、通知、拖放列管理和拖放类别管理等。如果在 IIS 中运行 Webmail,则需要其他配置步骤才能使用新的移动主题。请参阅知识库文章 1236 来了解更多信息。

客户端签名管理

现在您可以为用户配置被推送到 Webmail 和 MDaemon Connector 的电子邮件签名。可以设置默认的客户端签名,或者在“域管理器”的客户端签名屏幕上按域设置。使用签名宏(例如 $CONTACTFULLNAME$$CONTACTEMAILADDRESS$)来使用从域的“公共联系人”文件夹内用户的联系人那里获取的数据,对签名进行个性化。为 HTML 签名中的内嵌图像使用 $ATTACH_INLINE:filename$ 宏。输入签名文本后,它将在 Webmail 的“编写”选项中显示为“系统”签名,并将成为用户的默认签名。可以在 Webmail 设置域管理器(按域)为 Webmail 默认启用/禁用它。对于 MDaemon Connector,可以在 MC 客户端设置的签名屏幕上配置签名的名称和相关设置。此功能需要 MDaemon Connector 6.5.0 或更高版本。

类别页面

MDaemon 的 Remote Administration (MDRA) 界面现在拥有一个类别页面,位于 Webmail 选项下,用来配置“域类别”和默认的“个人类别”。

其他 MDRA 改善

以前只能通过 MDaemon 的应用程序界面管理的许多选项已添加到 MDRA。要了解完整列表,请参阅发布说明。

额外的功能和变更

MDaemon 20.0 拥有大量新功能和更改。有关 MDaemon 与前一版本相比所有新功能、更改和修复的完整列表,请参阅位于 MDaemon \Docs\子文件夹目录下的 RelNotes.txt 文件。

 

MDaemon 19.0 的新功能

TLS 服务器名称指示 (SNI) 支持

MDaemon 现在支持 TLS 协议的服务器名称指示(SNI)扩展,它允许为您的每个服务器主机名使用不同的证书。MDaemon 将查看活动证书,并在“主题备选名称”字段中选择具有所请求主机名的证书(您可以在创建证书时指定备选名称)。如果客户端未请求主机名,或者未找到匹配的证书,则使用默认证书。

用于文件夹和项目管理的 XML-API

XML-API 已扩展为包含管理文件夹中的邮箱文件夹和项目的功能。可以使用这个 API 创建、删除、重命名和移动文件夹。项目操作支持电子邮件、日历、联系人、任务和备注。可以使用这个 API 创建、删除和移动项目。可以在 MDaemon\Docs\API\XML-API\ 文件夹中找到完整的文档说明。

Remote Administration 改进

已扩展 MDaemon 的 Remote Administration (MDRA) web 界面来包括访问以前只能使用配置会话(即 MDaemon 的应用程序界面)管理的功能,现在有几个选项只能通过 MDRA 访问。因此,对于新的 MDaemon 安装,“启动 MDaemon”开始菜单快捷方式现在将默认打开浏览器到 MDaemon Remote Administration,而不是打开 MDaemon 配置会话。如果您希望更改此设置,请编辑 \MDaemon\App\MDaemon.ini 并设置 [MDLaunch] OpenConfigSession=Yes/No 以及 OpenRemoteAdmin=Yes/No。如果自动生成的 URL 不起作用或 MDRA 在外部 Web 服务器中运行,请设置 Remote Administration URL(位于设置 » Web & IM 服务 » Remote Administration » Web 服务器)。如果无法确定运作的 URL,则将打开“配置会话”。最后,在 Windows 开始菜单下的 MDaemon 程序组中,现在提供有快捷方式转至“打开 MDaemon 配置会话”和“打开 MDaemon Remote Administration”。

Webmail 改进

Webmail 用户启用其“显示已保存搜索文件夹”这个选项时(位于“选项 » 文件夹”下的 Webmail) ,现在将询问用户他们是否希望将“全部未读”和“全部标记”这两个保存搜索文件夹添加到其列表中。他们只会在其首次登录时被问到一次。如果用户选择“否”,他仍然可以通过点击“创建全部未读已保存搜索”和“创建全部标记已保存搜索”按钮(也位于“选项 » 文件夹”下)来手动创建这些已保存搜索。通过添加 DefaultSavedSearchesCheck=Yes(位于 [Default:UserDefaults] 下,在 MDaemon\WorldClient\Domains.ini 文件中),管理员可以阻止 Webmail 询问用户是否希望创建这些搜索。

已修改一些 WorldClient 主题图标来使其更易查看。

会话到期时向浏览器选项卡标题添加“(EXPIRED)”,这样如果用户不在 Webmail 选项卡中,则用户仍将知道会话已过期。

已添加删除图标,用于从自动填充列表中删除常用联系人。

 

MDaemon 18.5 新功能

签名宏

MDaemon 签名现在支持将发件人的联系信息插入签名的宏,该签名取自位于其域的公共联系人文件夹中的发件人联系人。这允许使用发件人的信息对默认和域签名进行个性化。例如 $CONTACTFULLNAME$ 插入发件人的全名,$CONTACTEMAILADDRESS$ 插入发件人的邮件地址。使用 Webmail、MDaemon Connector 或 ActiveSync 来编辑公共联系人。如果发件人不存在联系人,则使用空值。在默认签名页面列出了可用宏。

用户也可以通过使用 $SYSTEMSIGNATURE$ 宏放置默认/域签名,并使用 $ACCOUNTSIGNATURE$ 放置账户签名来控制 MDaemon 签名在其邮件中的位置。

Webmail 中的 MDaemon 即时通讯

WorldClient 和 LookOut 主题现在具有基于浏览器的 XMPP客 户端,无需运行 MDaemon Instant Messenger 桌面应用程序或其他一些 XMPP 客户端应用程序即可让用户进行即时通讯。用户可以从 Webmail 的“选项 | 个性化”屏幕通过使用“在浏览器中启用 MDaemon 的即时通讯功能”这个选项来启用该功能。管理员可以使用“域管理器”(按域)、“账户编辑器”(按账户)或“群组管理器”(按组)来启用或禁用即时通讯。

MDaemon 包括一个新的 BOSH 服务器来支持 Webmail 中的即时通讯。现在可以从 XMPP 屏幕 配置其设置(18.5.1 的新功能)

从“位置屏蔽”中免除 Webmail

在 Webmail 中添加了用户选项,以便从“位置屏蔽”中免除“双重身份验证”登录。如果用户设置 BypassLocationScreeningTFA=Yes(位于 [User] 部分,在 User.ini 文件中),则为该用户启用“双重验证”并绕过“位置屏蔽”。这允许用户在通常被“位置屏蔽”阻止的国家/地区登录 Webmail。

已改善 AD 集成

如果在 \MDaemon\WorldClient\Domains.ini. 中启用了“AllowADPasswordChange”设置,其账户被设置成使用“活动目录”(AD)验证的用户现在可以在 Webmail 中更改其 AD 密码。默认情况下禁用此项。

MDRA 扩展

MDaemon 的 Remote Administration (MDRA) web 界面已得到扩展,包括对于许多功能的访问,这些功能以前只能使用 MDaemon 的图形用户界面进行管理。

 

MDaemon 18.0 新功能

DNSSEC

新的 DNSSEC(DNS安全扩展)选项允许 MDaemon 充当非验证安全感知存根解析程序的作用,这在40334035 作为“发送 DNS 查询、接收 DNS 响应、并能与与认知安全的递归命名服务器建立合适的安全通道的实体,该服务器代表认知安全的存根解析程序提供这些服务”。这意味着,在 MDaemon 的 DNS 查询过程中,您可以向 DNS 服务器请求 DNSSEC 服务,在查询中设置 AD(真实数据) 位并在并在回应中进行检查。这可以在 DNS 过程中为某些邮件提供额外的安全级别,但不是全部邮件,因为 DNSSEC 尚不受所有 DNS 服务器或所有顶级域名的支持。

启用时,DNSSEC 服务仅适用于符合您选择标准的邮件;它可以根据您的选择广泛或狭义地请求或要求。只需指定您在 DNSSEC 屏幕上选择的任何“报头值组合即可,每当执行 DNS 查询时,MDaemon 都将为符合该标准的任何邮件请求 DNSSEC 服务。当 DNS 结果未包含验证数据时,则不会产生负面后果;MDaemon 只是回退到常规的 DNS 行为。如果您希望为某些邮件“请求”DNSSEC,则将“安全”添加到报头/值组合(例如“To *@example.net SECURE”)。对于这些邮件,当 DNS 结果无法包含验证的数据,会将该邮件退回发件人。请注意: 因为 DNSSEC 查找需要更多时间和资源,而且并非所有服务器都支持 DNSSEC,因此默认情况下,MDaemon 未配置成将 DNSSEC 应用于每封邮件传递。不过如果您希望为每封邮件请求 DNSSEC,您可以在条件中包含“To *”来实现这点。

AntiVirus 邮箱扫描

新的“每隔 [n] 天扫描所有邮件”选项位于“安全 » AntiVirus”屏幕,用于定期扫描所有存储的邮件,以便在病毒定义更新可用之前检测可能已经通过系统的任何受感染的邮件来进行捕获。受感染的邮件将被移至隔离文件夹并添加 X-MDBadQueue-Reason 报头,因此在 MDaemon 中查看时您可以看见相关说明。不会隔离无法扫描的邮件。还有一个“配置邮箱扫描”选项,可以扫描您希望扫描邮件的频率,以及您是希望扫描所有邮件还是只扫描那些小于特定天数的邮件。您也可以立即手动运行邮箱扫描。

从位置屏蔽免除已知的 ActiveSync 设备

启用新的从位置屏蔽免除这个选项(位于 ActiveSync 客户端的设置屏幕)允许您将设备绕过位置屏蔽。这使得有效的用户有可能通过 ActiveSync 继续访问他或她的账户,例如当前往一个阻止验证尝试的位置时。为了免除设备,它必须使用 ActiveSync 在配置的时间范围内进行连接和验证,请在位于“微调”屏幕的这些天后删除闲置的客户端这个设置中进行配置。在从“位置屏蔽”免除设备时,还可以选择将其连接的远程 IP 地址列入白名单。这对允许其他可能从相同 IP 地址连接的客户端很有用。

新的 Webmail 和 MDRA 功能

记住我

您现在可以将“记住我”勾选框添加到 MDaemon Webmail 和 MDaemon Remote Administration (MDRA) 的登录页面,可以分别通过位于 Webmail 设置屏幕和 MDRA Web Server 屏幕的选项来实现。启用此选项后,通过 https 端口登录的用户将看到这个勾选框。如果用户在登录时勾选此框,则将为该设备记住其凭证。然后,无论他们何时使用该设备连接到 Webmail 或 MDRA,他们都将自动登录,直至他们手动注销其帐户或其“记住我”令牌过期。默认禁用“记住我”选项,并应用至您的所有域。如果您希望为特定的 Webmail 域覆盖此设置,请使用“记住我”设置,位于 MDaemon 桌面界面“域管理器”的 Webmail 屏幕

默认情况下,用户的凭证将在被强制再次登录之前记住 30 天,但您可以使用“这些天后过期记住我令牌”这个选项 (位于 MDRA) 来指定不同天数。您可以将此选项设置成最大值 365 天。请注意: 双重验证 (2FA) 拥有其自身的“记住我”键值 (TwoFactorAuthRememberUserExpiration=30),位于 [Default:Settings] 部分,Domains.ini 文件,位于 \MDaemon\WorldClient\ 文件夹。因此,当 2FA 记住我令牌过期时,即使常规令牌仍然有效,登录时也需要 2FA。

在 MDRA 中也有一个“重置记住我”按钮,如果您怀疑账户可能存在安全漏洞,则可以使用此项。这会重置所有用户的记住我令牌,导致他们必须重新登录。

邮件延后

在 MDaemon Webmail 中,您现在可以在邮件列表中延后电子邮件。当邮件被延后时,它会在指定的时间内对用户隐藏。要延迟邮件,请右键点击此邮件,并在上下文菜单中选择“延迟...”。然后选择您希望延后邮件的时间。“选择日期和时间”选项仅适用于支持日期和时间输入的浏览器。在 LookOut 主题中,通过点击工具栏中的“查看延迟邮件”图标可以查看隐藏的邮件,在 WorldClient 主题中,请从工具栏中的视图下拉菜单中选择“查看延迟邮件”。默认情况下启用此功能。要关闭该功能,请转到“选项| 个性化”,并找到收件箱设置。然后取消勾选“启用消息延后”选框。在 Lite 和 Mobile 主题中没有延迟控件,但仍然隐藏延迟的邮件。

公共日历

在 MDaemon Webmail 中,用户可以将日历发布到可公开访问的链接。向用户提供选项,通过密码来保护日历。要发布日历,请在 LookOut 或 WorldClient 主题中,转到“选项|文件夹”,并点击您想要发布的日历附近的“共享文件夹”按钮。然后在对话框中,打开“公共访问”选项卡,并按需填写显示名称或要求密码,然后点击“发布日历”按钮。将显示确认对话框来告诉用户即将发生的情况。点击“确定”后,警报将显示日历可用的新 URL。日历发布后,页面上也会显示链接。要取消发布日历,请点击“取消发布日历”按钮。要更改密码或显示名称,请点击“更新”按钮。

如果您希望全局禁用此功能,请将 EnablePublicCalendars 键值更改成 No,这位于 [Default:Settings] 部分,来自 Domains.ini 文件。要按用户禁用此项,请将 CanPublishCalendars=No 添加到用户的 User.ini 文件。

 

MDaemon 17.5 新功能

位置屏蔽

“位置屏蔽”一种基于地理位置的阻止系统,允许您阻止尝试从全球未经授权的区域建立的入站 SMTP、POP、IMAP、WorldClient、ActiveSync、AutoDiscovery、XML API、Remote Administration、CalDAV/CardDAV、XMPP 和 Minger 连接。MDaemon 确定与连接 IP 地址关联的国家,然后阻止该连接(如果来自受限位置),并向屏蔽日志添加一行信息。对于 SMTP,“位置屏蔽”可以选择性地阻止使用 AUTH 的连接。例如,如果您在特定国家/地区没有用户,但仍然希望能够接收来自此处的邮件,则该功能非常有用。这样您只会阻止那些试图登录到您服务器的尝试。

\MDaemon\Geo\ 文件夹包含作为主要国家 IP 数据库的数据库文件。这些文件由 MaxMind (www.maxmind.com) 提供并能按照您的需求从其站点下载更新。

针对所有协议和服务的动态屏蔽

MDaemon 的“动态屏蔽”系统已被大幅度扩展,能够适用于 SMTP、POP、IMAP、Webmail、ActiveSync、AutoDiscovery、XML API、Remote Administration、CalDAV/CardDAV、XMPP 和 Minger。所有这些服务都会跟踪身份验证失败,并且所有 IP 地址都可以进行阻止。“动态屏蔽”可以在“安全”菜单下新增的多标签对话框中进行配置。

PIM 附件

PIM (日历、联系人、任务和便笺) 项目现在支持附件。可以通过 Webmail、Outlook Connector 或 CalDAV/CardDAV 将附件添加到 PIM 项目中。安排会议时,任何附件都将被发送给与会者。

SMTP 期间的 PGP 密钥交换

MDPGP 对话框包含一个新选项,帮助您启用公钥自动传输作为 SMTP 邮件投递过程的一部分。为此,MDaemon 的 SMTP 服务器将准许名为 RKEY 的 SMTP 命令。将电子邮件发送到支持 RKEY 的服务器时,MDaemon 将提供发送者当前首选的公钥发送给其他主机。该主机将响应,表明它已经拥有该密钥(“250 2.7.0密钥已知”)或者需要该密钥,在这种情况下密钥立即以 ASCII 形式传输(“354 Enter”键,以 CRLF.CRLF”结尾)就像电子邮件。不会传输过期或撤销的密钥。如果 MDaemon 有多个发件人的密钥,它始终会发送当前标记为首选的密钥。如果没有首选密钥,则发送找到的第一个密钥。如果无有效密钥则不进行任何操作。只提供属于本地用户的公共密钥。

公共密钥传输是作为投递用户邮件的 SMTP 邮件会话的一部分发生的。为了接受以这种方式传输的公共密钥,它必须和由密钥持有者属于的域进行 DKIM 签名 的邮件一起发送,其中将 i= 设置成密钥持有者的地址,而且必须准确匹配 唯一的发件人报头地址。“密钥持有者”取自密钥本身。此外,该邮件必须从发件人的 SPF 地址中的主机抵达。最后,通过向 MDPGP 规则文件添加一个适当的条目(说明在这个规则文件中),必须为 RKEY 授权密钥持有者(或其整个域,通过使用通配符),指示该域可以被信任用于密钥交换。上述检查都将为您自动完成,不过您必须启用 DKIMSPF 验证,否则无法有效完成这些步骤。

MDPGP 日志显示导入或删除的所有密钥的结果和详细信息,SMTP 会话日志也跟踪此活动。该进程跟踪现有密钥的删除和新的首选密钥的选定,并在这些事件发生变化时更新其发送邮件的所有服务器。

为 Outlook Connector 用户管理 Outlook 插件

使用 OC 客户端设置对话框中新的“插件”屏幕,您可以管理由您 Outlook Connector 用户使用的 Outlook 插件的状态。您可以允许任何或全部插件被正常使用,或者禁用任何您选择的插件。当您知道与 Outlook Connector 客户端发生冲突的特定插件时,此功能可能特别有用,从而允许您禁用该插件来避免问题。上述插件功能需要 Outlook Connector 5.0 或更高版本。

Webmail 变更

导入/导出群组/分发列表

在 LookOut 和 Webmail 主题中,已向 WorldClient 联系人文件夹中的导出和导入群组/分发列表新增一个选项。由于 Outlook 不支持导出和导入群组,该格式是 MDaemon Webmail 的特定格式。格式如下所示:

列: 群组 GUID群组名称GUID全名电子邮件

包含群组名称或群组 GUID 的每一行被视为新群组的开头。该行上的任何 GUID、全名或电子邮件被视为这个群组/列表的第一个成员。

Excel 中的示例:

群组 GUID

群组名称

GUID

全名

电子邮件


Jedis


Anakin Skywalker

ani@jedi.mail




Leia Organa

leia.organa@jedi.mail




Luke Skywalker

luke.skywalker@jedi.mail




Yoda

yoda@jedi.mail


Siths


Darth Maul

darth.maul@sith.mail




Darth Vader

darth.vader@sith.mail




Emperor Palpatine

emperor.palpatine@sith.mail

 
在导入时,会将群组 GUID 替换为新生成的 GUID。如果未包含群组名称,则该名称不会转译,显示为“ImportedFromCSV_%GUID%”,其中 %GUID% 被替换为 GUID 的前五个字符。将群组名称右侧的单元格留空,将导致下一行是群组/列表的第一个成员。电子邮件字段是添加成员所必需的。

录音机

已向 Lookout 和 WorldClient 主题添加录音机功能。此功能需要麦克风,而且仅适用于特定的浏览器。管理员可以通过向 User.ini 文件添加 EnableVoiceRecorder=No 来按用户禁用此功能。用户被限制为录制五音轨,每轨五分钟。尝试在“录音机”会话中录制超过五轨将导致所选录音或第一个录音被新录音替换(将提示用户)。录音停止(自动或由用户停止)后,会将音轨转换为 mp3,并上传到服务器。对于每个音轨,用户都有四个选项:

保存到桌面

保存到默认的 WorldClient 文档文件夹

使用只包含收件人、抄送、密送、主题和纯文本邮件正文的快速对话框来发送邮件。

只需填写收件人。当用户未输入主题或邮件正文时,将使用常规的主题和邮件正文短语。

打开附加音轨的新建编写视图

用户一次只能处理一个音轨。例如,只有一个音轨可以被附加到邮件中。如果用户想要将多个音轨附加到邮件中,则需要将每个录音保存到默认文档,并从那里进行附加。

新建文件夹管理功能

LookOut 和 WorldClient 主题在“选项 » 文件夹”视图和主文件夹列表视图中拥有新的文件夹管理功能。

在文件夹列表视图中(左窗格):

用户可以通过拖放来将文件夹从一个父文件夹移至另一个。

用户还能通过再次点击它们(选定文件夹后立即操作)来重命名文件夹、为收藏夹添加昵称。

现在 LookOut 主题中提供按类型显示文件夹功能

如果已存在至少一个收藏夹文件夹(因为在添加了一个收藏夹后隐藏的收藏夹才进行显示),用户可以通过将文件夹拖放至收藏夹来进行添加(将文件夹拖出收藏夹将没有任何效果)。

已向 LookOut 主题添加了新建文件夹和重命名文件夹对话框

在“选项 » 文件夹”视图中,现在可以折叠文件夹树型图,而且已将“新建文件夹”对话框移至外部窗口,就和 WorldClient 主题一样。

 

MDaemon 17.0 新功能

XMPP 支持,用于 WorldClient Instant Messenger (WCIM)

WCIM 现在使用 XMPP 协议来进行即时通讯,而不是 WorldClient 的专属协议。这允许 WCIM 桌面客户端不仅能与其他 WCIM 客户端通信,还能与连接至 MDaemon 的 XMPP 服务器的任何第三方 XMPP 客户端(包括移动客户端)通信。此外 WCIM 现在拥有两种类型的连接: “WCMailCheck”和“WCIMXMPP”。“WCMailCheck”连接至 WorldClient,用于新的邮件通知和邮件计数。“WCIMXMPP”连接至 XMPP 服务器,用于即时通讯。因此,WCIM 用户现在将在客户端的连接屏幕(例如“Example.com Mail”和“Example.com WCIM”)上列出每种连接类型的条目。在更新至版本 17 时,WCIM 会将 IM 联系人从旧系统自动迁移至 XMPP,并创建一个 WCIMXMPP 账户。新的 WCIM 客户端的外观和风格在本质上时相同的,但存在一些差异,例如联系人和群聊等的管理方式。请参阅 WCIM 客户端的“帮助”系统来了解有关变更的更多信息。

WorldClient Dropbox 集成

WorldClient 提供针对 Dropbox 的直接支持,允许用户将文件附件保存到其 Dropbox 账户,并在外发邮件中插入转至 Dropbox 文件的直接链接。要向您的 WorldClient 用户提供此功能,您必须 将WorldClient 设置为 Dropbox 应用程序,设置页面位于Dropbox 平台。这是一个简单的操作过程,您只需登录 Dropbox 账户,为具有 Dropbox 完全访问权限的应用程序创建唯一名称,指定重定向到 WorldClient 的 URI,并更改一个默认设置即可。然后,您将 Dropbox“应用密钥(app key)”和“应用密码(app secret)”复制并粘贴到 MDaemon 中的 Dropbox 屏幕上即可。之后,当用户下次登录 WorldClient 时,您的用户将能够将其 Dropbox 账户与W orldClient 建立连接。有关如何创建 Dropbox 应用程序并将其链接到 WorldClient 的逐步说明,请参阅: 创建和链接您的 Dropbox 应用.

当您创建 Dropbox 应用程序时,它最初将具有“开发”状态。这允许多达500个 WorldClient 用户将其 Dropbox 账户链接到该应用。根据 Dropbox 的说法,“一旦您的应用程序链接了50个 Dropbox 用户,在您的应用程序能够链接其他 Dropbox 用户的功能被冻结之前,您将拥有两个星期的时间来申请并获得“生产”状态许可,无论你的应用已经链接了多少用户(0到500) 。” 这就意味着,在收到“生产”许可之前,Dropbox 集成将继续工作,但没有额外用户能够链接其账户。获取生产许可是一个简单的过程,以确保您的应用符合 Dropbox 的指南和服务条款。要了解更多信息,请参阅“生产许可”部分,位于 Dropbox Platform 开发人员向导.

一旦您的 WorldClient 应用程序被正确创建和配置,每个 WorldClient 用户登录到 WorldClient 时,都可以选择将他们的账户连接到其 Dropbox 账户。用户需要登录到 Dropbox ,并授予该应用访问 Dropbox 账户的权限。然后,该用户将使用在认证过程中传递给 Dropbox 的 URI 重定向回 WorldClient。为了安全起见,URI 必须与您指定的重定向 URI 之一相匹配,在 Dropbox.com 的应用信息页面指定。最后,WorldClient 和 Dropbox 将交换访问代码和访问令牌,这允许 WorldClient 连接到用户的 Dropbox 账户,以便用户可以在其中保存附件。交换的访问令牌每隔七天到期,这就意味着用户必须重新授权该账户才能使用 Dropbox。用户还可以手动将其账户从 Dropbox 断开,或者在必要时从 WorldClient 中的 Cloud Apps 选项屏幕重新授权。

MDaemon 健康检查

MDaemon 现在配备了一个新的故障诊断实用程序,称为 MDaemon 健康检查,位于: MDaemon\App\MDHealthCheck.exe。可以使用新的工具栏按钮或帮助菜单下的新菜单项从 MDaemon UI 启动该程序。在“MDaemon 健康检查”界面上点击“分析”来使其扫描 MDaemon 的安全相关设置(AV,SPAM,SSL等),以查找不推荐的设置。屏幕上将显示所有不推荐的设置。每个条目包含设置的名称、其当前值、推荐值以及可在 MDaemon 中找到的该设置的位置。您可以选择要更改的任何条目为推荐值,然后点击“设置为推荐值”来让 MDaemon 为您实现变更。最后,“MDaemon 健康检查”还会创建分析日志文件,并将其放入 MDaemon\Logs。该日志包括所有分析设置的当前值,以及找到的任何警告或错误。提供“打开日志”按钮来显示上次生成的日志。

通过 PowerShell 脚本集成 Let's Encrypt

要支持 SSL/TLS and HTTPS for MDaemonWorldClient & Remote Administration,您需要 SSL/TLS 证书。 证书是由证书颁发机构(CA)颁发的小型文件,用于向客户端或浏览器验证与预期服务器建立的连接,并启用SSL / TLS / HTTPS 来保护与该服务器的连接。Let's Encrypt 是一个证书颁发机构,通过专门设计的自动化流程来为“传输安全层(TLS)”加密提供免费的证书,该流程使您可以免于现在复杂的手动创建、验证、签名、安装和续订用于保护网站安全的证书。

支持使用 Let's Encrypt 的自动化流程来管理证书,MDaemon 包含一个 PowerShell 脚本,位于“MDaemon\LetsEncrypt”文件夹中。ACMESharp 模块是该脚本的从属文件,需要 PowerShell 5.1 和 .Net Framework 4.7.2,这就意味着该脚本不适用于 Windows 2003。此外,WorldClient 必须监听 80 端口,否则无法完成 HTTP 挑战,该脚本也无法起作用。您需要正确设置用于 PowerShell 的执行策略,它才允许您运行这个脚本。运行该脚本将使一切为 LetsEncrypt 准备就绪,包括将一些必要的文件放置在 WorldClient HTTP 的目录中来完成 http-01 挑战。它将 SMTP 主机名(属于默认域)用作证书域,检索证书,将其导入 Windows,并配置 MDaemon 如何使用该证书。

如果您默认域的 FQDN 设置不指向 MDaemon 服务器,此脚本将无法有效工作。如果您要在证书中设置备用主机名,可以通过在命令行中传递备用主机名来实现。

使用示例:

..\LetsEncrypt.ps1 -AlternateHostNames mail.domain.com,wc.domain.com -IISSiteName MySite -To "admin@yourdomain.com"

您无需在 AlternateHostNames 列表中包含用于默认域的 FQDN。例如,您的默认域“example.com”被配置成使用“mail.example.com”的 FQDN。您使用“imap.example.com”的备选主机名称。在您运行这个脚本时,您只需传递“imap.example.com”作为备选主机名称。此外,如果您传递了备选的主机名称,将为各个名称完成 HTTP 挑战。如果未完成全部挑战,将无法正确完成这一步。如果您不需要传递备选的主机名称,就不要在命令行中包含 –AlternateHostNames 这个参数。

如果您正在通过 IIS 运行 WorldClient,您需要使用 -IISSiteName 这个参数来为脚本传递您的站点名称。您必须安装 Microsoft 的 Web Scripting 工具,以便在 IIS 中自动设置该证书。

最后,该脚本将在名为 LetsEncrypt.log 的“MDaemon\Logs\”目录中创建一个日志文件 LetsEncrypt.log。在每次运行该脚本时将删除并重新创建这个日志文件。该日志包含脚本的启动日期/时间,但不包含每个操作的日期/时间戳。在发生错误时,会发送通知邮件。这通过使用由 PowerShell 自动创建和设置的 $error 变量来完成。如果您不想在发生错误时发送电子邮件通知,请勿在命令行中包括 –To 参数。

用来保存使用不可逆加密的邮箱密码的选项

新增密码选项来保存使用不可逆加密的邮箱密码。此项保护密码不被 MDaemon、管理员或可能存在的攻击者解密。启用此项时,MDaemon 使用 bcrypt 密码散列函数。它允许更长的密码(长达 72 字符),而且在导出和导入账户时将保留密码,并防止密码泄露。不兼容一些取决于 MDaemon 是否能够解密密码的功能(例如 APOP & CRAM-MD5 验证和弱密码检测)。默认情况下,启用不可逆密码。

ActiveSync 客户端批准

提供一个新的 ActiveSync 设置,可用于要求“新建客户端必须经过管理员的授权才能同步”。客户端列表指示任何等待授权的客户端,管理员可以从同一屏幕为其授权。全局账户客户端设置屏幕都提供这个选项。默认情况下,禁用全局选项为关闭,账户选项被设置为“继承”。

ActiveSync 通知

ActiveSync 已添加两种类型的管理通知: 同步回滚通知和邮件受损通知。

同步回滚通知

如果客户端在同步操作中重复/频繁地发送过期的同步密钥,ActiveSync Service 现在可以告知管理员这个事件。

这些通知仅告诉管理员:因为客户端使用最近过期的同步密钥发出同步请求,致使服务器为给定的集合发送回滚。通知的主题为“ActiveSync 客户端使用过期的同步密钥”。发生这个问题的原因可能是网络问题,或者之前发送至这个集合中的客户端的内容存在一些问题。在某些情况下,取决于之前的集合同步是否发送了任何项目,那里将存在一些项目 id。

回滚警报不表示客户端没有同步,而是意味着客户端可能无法完成同步,而且我们的内部系统已检测到这个可能性。为集合发出的回滚警告的频率不超过 24 小时。可以在 \MDaemon\Data\AirSync.ini 文件中的 [System] 报头下编辑以下键值:

[System] SendRollbackNotifications=[0|1|Yes|No|True|False] (默认值是禁用)

[System] RollbackNotificationThreshhold=[1-254] : 在将通知发送至管理员之前,在给定的集合上必须发生的回滚数量。我们建议此处的值至少是 5,因为这里会存在一些网络问题。(默认值是 10)

[System] RollbackNotificationCCUser=[0|1|Yes|No|True|False] : 是否抄送给客户端发送了过期同步密钥的用户。(默认值是禁用)

ActiveSync 邮件受损通知

如果无法处理特定的邮件,ActiveSync Service 现在可以告诉管理员这件事。这些邮件都是实时发送的,以便通知管理员无法解析邮件项目,因此关于该项目的后续操作无法执行。这些邮件的主题为“受损邮件通知”。这些项目在早期版本中会导致软件崩溃。在大多数情况下,msg 文件的内容不会是 MIME 数据。不过如果它是 MIME 数据,便可能受损。您可以使用 CMNCCUser 键来选择将这些通知抄送给受影响的用户,这样他们便能知道抵达他们邮箱的邮件不可读。对于这些邮件采取的适当措施应为移动用户邮箱中指定的 msg 文件,并对其进行分析来确定无法解析的原因和造成其处于这种存在状态的原因。可以在 \MDaemon\Data\AirSync.ini 文件中的 [System] 报头下编辑以下键值:

[System] SendCorruptMessageNotifications=[Yes|No|1|0|True|False] (默认值是启用)

[System] CMNCCUser==[0|1|Yes|No|True|False] (默认值是启用)

 

MDaemon 16.5 新功能

MDPGP 改善

密钥服务器支持

WorldClient

WorldClient 现在可以用作基本的公共密钥服务器。启用新的 MDPGP 选项来“通过 HTTP (WorldClient) 发送公共密钥”,然后 WorldClient 将准许用于您用户公共-密钥的请求。创建请求的 URL 格式如下所示: "http://<WorldClient-URL>/WorldClient.dll?View=MDPGP&k=<Key-ID>"。其中 <WorldClient-URL> 是转至您 WorldClient 服务器的路径(例如“http://wc.example.com”),<Key-ID> 是您所需密钥的长度为 16 个字符的密钥 id(例如“0A1B3C4D5E6F7G8H”)。密钥 id 由密钥指纹的最后 8 个字节构成 - 总共 16 个字符。

DNS (PKA1)

如果您希望 MDPGP 通过使用 PKA1 的 DNS 来查询邮件收件人的公共密钥,请启用新的 MDPGP 选项来“从 DNS (pka1) 收集公共密钥并缓存 [xx] 小时”。这非常有用,因为它自动处理获取一些收件人的公共密钥 ,防止您或您的用户为了发送加密邮件而不得不手动获取和导入这些密钥。在进行 PKA1 查询时,将立即收集和验证找到的任何密钥 URI,并将其添加到密钥环。使用上述方式成功收集和导入密钥环的密钥将在达到此项中指定的小时数后,或按照引用它们的 PKA1 记录的 TTL 值(这些值更大)来自动过期这些密钥。

密钥处理

跟踪密钥

MDPGP 现在始终按其主要的密钥 id 来跟踪密钥,而不是有时按密钥 id 有时按子密钥 id。因此,清理了 MDPGP 对话框的密钥列表,以便删除不必要的两栏。此外,MDPGP 现在更严格地控制其“导出”文件夹的内容。您将始终在那里找到导出的本地用户密钥的副本。即使加密了私人密钥,为了获得更多安全性,您应该使用 OS 工具来保护这个文件夹(以及整个 PEM 文件夹结构)免受未经授权的访问。

首选密钥

以前在密钥环中找到用于同一个邮件地址的多个不同密钥时,MDPGP 将使用它找到的第一个密钥加密邮件。现在您可以右键点击任何密钥并将其设置为首选密钥,在 MDPGP 找到多个密钥时,它将使用这个密钥。如果未声明首选密钥,MDPGP 将使用找到的第一个密钥。在解密一封邮件时,MDaemon 将尝试每一个密钥。

禁用密钥

现在将在名为 oldkeys.txt 的新文件中跟踪被禁用和检测到的密钥。以前在 plugins.dat 这个文件中跟踪被禁用的密钥。

MDPGP 签名验证

MDPGP 现在可以验证在未被加密的邮件内找到的内嵌签名。以前直到加密和签署了这封邮件,MDPGP 才能实现这点。现在在 WorldClient 中查看一封含有已验证签名的邮件时,将显示一个新图标来指示签名已受过验证。默认情况下为所有非本地用户启用签名验证,您也可以按需指定哪些邮件地址能及不能使用该服务(请参阅: "精确配置谁能及不能使用 MDPGP 服务",位于 MDPGP 对话框)。

XMPP 即时通讯服务器

MDaemon 现在自带 Extensible Messaging & Presence Protocol (XMPP 可扩展消息在线协议) 服务器,有时叫做 Jabber 服务器。这允许您的用户使用第三方 XMPP 客户端(例如 PidginGajimSwift 等)来收发即时消息。这些客户端适用于大多数操作系统和移动设备平台。MDaemon 的 XMPP 即时通讯系统完全独立于 MDaemon 的 WorldClient Instant Messenger 聊天系统;这两个系统不能相互通信,而且不共享好友列表。

XMPP 服务器作为 Windows 服务安装,而且默认的服务器端口是 5222 (通过 STARTTLS 的 SSL) 和 5223 (专用的 SSL)。如果在 MDaemon 中启用 XMPP 服务器,它将使用 MDaemon 的 SSL 配置。此外,一些 XMPP 客户端为主机名称的自动发现使用 DNS SRV 记录。请参阅 http://wiki.xmpp.org/web/SRV_Records 获取更多信息。

用户通过使用其电子邮件和密码的所选 XMPP 客户端进行登录。不过一些客户端需要将邮件地址划分成单独的组件来进行登录。例如有些客户端不需要“frank@example.com”,而要求您使用“frank”作为登录/用户名,将“example.com”用作域。

对于多用户/群聊天服务,客户端通常将其显示成“房间”或者“会议”。当您希望开始一个群聊天会话时,请创建一个房间/会议(为其命名),然后邀请其他用户进入这个房间。大多数客户端无需您输入会议的服务器位置,您只需输入会议名称即可。在要求您这么做时,请将“conference.<your domain>”用作位置 (例如 conference.example.com)。一些客户端要求您使用以下格式输入名称和位置: "room@conference.<your domain>" (例如 Room01@conference.example.com)。

一些客户端(例如 Pidgin)支持用户搜索服务,允许您按姓名或邮件地址搜索服务器中的用户,这使联系人的添加更加简便。通常您不必提供搜索位置,不过如被要求,请使用“search.<your domain>”(例如 search.example.com)。在进行搜索时,可以将 % 符号用作通配符。因此您可以在邮件地址字段中使用“%@example.com”来显示邮件地址以“@example.com”结尾的所有用户的列表。

OC 客户端设置的集中管理

使用“OC 客户端设置”对话框来集中管理您 Outlook Connector 用户的客户端设置。使用您需要的客户端设置来配置各个屏幕,这样 MDaemon 会将这些设置推送到相应的客户端屏幕,每次将一名 Outlook Connector 用户连接到服务器。自上次 OC 客户端连接和接收设置以来,只有在更新和改变设置时,才发送最新设置。如果您启用了提供的选项来“允许 OC 用户覆盖推送的设置”时,用户可以在其个别客户端上覆盖任何推送的设置。如果禁用了此项,将锁定所有客户端屏幕;Outlook Connector 用户可以不做任何变更。

要允许必须不同于各名用户或域的特定设置,OC 客户端设置支持以下宏,例如 $USERNAME$$EMAIL$$DOMAIN$。在将设置推送到一个客户端时,会将这些宏转换成视用户或域而定的数据。注意不要将任何静态值放入应该使用宏的任何字段,例如不要将“Frank Thomas”这样的信息放入您的“姓名”字段。这会使每名连接到 MDaemon 的 Outlook Connector 用户将其姓名设置成“Frank Thomas”。方便起见,在常规屏幕上存在一个“宏引用”按钮,它显示所支持宏的一个列表。

对于使用 MDaemon Private Cloud (MDPC) 的用户,在域管理器上的另一个“OC 客户端设置”对话框用来按域控制 Outlook Connector 客户端设置。

默认情况下禁用此功能,而且该功能仅适用于使用 Outlook Connector 客户端版本 4.0.0 或更高版本。

“发件人:” 报头保护/修改

这个新的安全功能修改入站邮件的“发件人:” 报头,来使报头的仅姓名部分包含姓名和邮件地址。这是为了抵御垃圾邮件和攻击中通常使用的策略,即伪装成邮件来自其他人。在显示邮件列表时,邮件客户端通常仅显示发件人的姓名,而不是姓名和邮件地址。要查看邮件地址,收件人必须先打开邮件或采取一些其他操作,例如右键点击条目或将鼠标悬停在姓名上等。出于这个原因,攻击者通常在可见的“发件人”报头放置合法的人名或公司名称来构建邮件, 并隐藏不合法的电子邮件地址。例如,一封邮件的实际“发件人:” 报头可以是“Honest Bank and Trust”<lightfingers.klepto@example.com>,但是您的客户端可能只将“Honest Bank and Trust”作为发件人显示。该功能更改报头的可见部分来显示两部分,其中电子邮件地址优先。在上例中,现在会将发件人显示成“"lightfingers.klepto@example.com -- Honest Bank and Trust”,清楚为您指示这是伪造的欺诈邮件。默认情况下禁用此项,而且仅适用于指向本地用户的邮件。

已改善 IP 屏蔽

“IP 屏蔽”现在拥有一个新的“导入”按钮,您可以使用该按钮来导入 APF 或 .htaccess 文件中的 IP 地址数据。现在 MDaemon 对这些文件的支持包括:

支持“拒绝发件人”和“允许发件人”

只导入 IP 值(非域名)

允许 CIDR 表示法,不过不允许部分 IP 地址。

每行可以包含任何数量的由空格分隔或逗号分隔的 IP 地址。例如“deny from 1.1.1.1 2.2.2.2/16”和“3.3.3.3, 4.4.4.4, 5.5.5.5”等。

将忽视由 # 开头的行。

自动安装产品更新

利用“自动更新”功能,您可以配置 MDaemon 在存在针对已安装产品的更新时通知邮件管理员,或者您可以自动下载和安装更新。这包括 MDaemon、SecurityPlus 和 Outlook Connector。可以为各个产品单独控制自动安装更新,每次安装更新后需要重启服务器。在检测到更新时下载安装程序文件,不过将在您指定的时间进行安装和重启。将在 MDaemon 系统日志中记录所有安装活动,并在更新后通知邮件管理员。请参阅更新对话框获取更多信息。

WorldClient 变更

类别

WorldClient 支持 LookOut 和 WorldClient 主题中的邮件类别。用户可以通过前往“选项 » 列”并勾选“邮件列表”部分中的“类别”来向邮件列表添加“类别”列。要为一封或多封邮件选择类别,请选择这些邮件并右键点击其中一封。使用上下文菜单来设置类别。

管理员可以创建自定义类别。有两种文件用于这个目的: DomainCategories.jsonPersonalCategories.json

默认情况下全局启用“域类别”。要禁用此项,请打开 MDaemon\WorldClient\Domains.ini,并在 [Default:Settings] 部分将“DomainCategoriesEnabled=”的值从“”更改成“”。

默认情况下用户可以添加并编辑其自己的类别。如果您希望禁用此项,您可以将“CanEditPersonalCategories=”的值从“”更改成“”来按用户或全局实现这点。用户选项位于 [User] 部分(User.ini 文件中),全局选项位于 Domains.ini 文件的 [Default:UserDefaults] 部分下。

如果启用了“域类别”,而且不允许用户编辑个人类别,则该用户只能看见 DomainCategories.json 中列出的类别。

如果禁用了“域类别”,而且不允许用户编辑个人类别,则该用户只能看见 PersonalCategories.json 中列出的类别。

CustomCategoriesTranslations.json 文件用来支持您多种语言的定制类别名称。向该文件添加任何必要的定制类别翻译,可以使 WorldClient 识别被保存成事件、便笺或任务的类别。

要了解此处提到的这些文件的相关详细信息,请参阅: MDaemon\WorldClient\CustomCategories.txt

白名单和黑名单

默认情况下,您可以为 WorldClient 用户隐藏白名单和黑名单文件夹。要实现这点,请打开 MDaemon\WorldClient\Domains.ini,并在 [Default:UserDefaults] 部分下,将“HideWhiteListFolder=”或“HideBlackListFolder=”的值从“”更改成“”。您可以通过编辑 User.ini 文件(位于 [User] 部分下)来为特定的用户隐藏或显示这些文件夹。

检查附件

在 LookOut 和 WorldClient 主题中,现在提供一个选项,如果在邮件的主题或正文中提到附件,则在发送邮件前检查编写完的邮件是否存在附件。这帮助您避免意外发送不含附件的可能存在附件的邮件。

双重验证

您现在可以控制是否允许账户使用或要求使用“双重验证”(2FA)。新建账户模板上存在两个新选项,用来控制新建账户的默认设置。Web 服务屏幕上也提供相应的选项来为个别账户控制 2FA。

 

MDaemon 16.0 新功能

MDaemon Remote Administration (MDRA) UI 更新

MDRA 的用户界面不再使用框架,而且已将其更新成使用优先响应移动设备的设计。浏览器支持仅限于 IE10+、最新版本的 Chrome、最新版本的 Firefox 和最新版本的 Safari(Mac 和 iOS)。已知在使用 Android stock 浏览器时会发生与滚动相关的问题,不过 Chrome 可以在 Android 设备上流畅运行。

该设计完全基于正在使用的窗口大小。无论用户正在使用手机、平板电脑、还是计算机,相同的窗口大小具有相同的外观。该版本最重要的变更是菜单。宽度小于等于 1024 像素时,将在浏览器的左侧隐藏菜单。可以使用两种方式来显示菜单。如果使用触屏设备,向右滑动即可显示次级菜单。无论设备是否正在使用,在其左上角还有一个“菜单”按钮,它将显示次级菜单。轻击菜单顶部附近带有左箭头的菜单标题,将显示主菜单。此外,右上角的帮助、关于和注销菜单也将基于屏幕宽度进行变化。屏幕宽度大于等于 768 像素时,将显示文字形式的帮助、关于和注销。屏幕宽度为 481 - 767 像素时,仅显示图标。屏幕宽度小于等于 480 像素时,仅显示一个“齿轮”图标,在点击该图表时将显示一个含有帮助、关于和注销选项的下拉菜单。具有多列的列表视图有一个开/关列的按钮,可以通过点击工具栏最右的灰色向右箭头按钮进行访问。设置页面不再被设计成 MDaemon GUI 的复刻版,而是基于浏览器的宽/高对位置和大小进行了重新设计。

Spambot 检测

名为“Spambot 检测”的新功能跟踪各个 SMTP MAIL (返回-路径) 使用了一段指定时间的 IP 地址。如果短时间内数量异常的 IP 地址使用了相同的返回-路径,这就表明 Spambot 网络在作祟。当然这也可能指示邮件系统完全合法的使用(没有应对此功能检测内容的规则)。不过,实验表明只要一直在使用相同的返回路径,该功能便能有效检测分布式 Spambot 网络。如果检测到 Spambot,就会立即断开与其通信的连接,并供您选择是否将返回路径值添加到黑名单长达一段您指定的时间。您还可以选择将所有 Spambot IP 列入黑名单长达一段用户定义的时间。

CardDAV

MDaemon 现在支持通过 CardDAV 协议同步联系人。MDaemon 的 CardDAV 服务器允许经过验证的 CardDAV 客户端访问保存在 MDaemon 中的联系人信息。注意,CardDAV 客户端是 Apple Contacts (包含于 Mac OS X)、Apple iOS (iPhone) 和 Mozilla Thunderbird(通过SOGO 插件)。要了解有关 CardDAV 和配置 CardDAV 客户端的更多详细信息,请参阅: CalDAV & CardDAV

面向 WorldClient 和 Remote Administration 的双重验证

MDaemon 现在为登录 WorldClient 或 MDaemon 的 Remote Administration web 界面的用户支持“双重验证”(例如 2-步验证)。通过 HTTPS 登录到 WorldClient 的任何用户可以在“选项 » 安全”屏幕上为账户激活“双重验证”。然后用户在登录 WorldClient 或 Remote Administration 时必须输入验证码。可以从安装在用户的移动设备或平板电脑上的验证器应用程序获取该代码。该功能专为支持 Google Authenticator 的任何客户端而设计。

基于 ActiveSync 协议的迁移客户端

MDaemon 现在自带一个基于 ActiveSync 协议的迁移客户端 (ASMC.exe)。它支持从支持协议版本 14.1 的 ActiveSync 服务器迁移邮件、日历、任务、便笺和联系人。提供一个单独的文档来说明这一模块的使用。可以在 \MDaemon\Docs 文件夹中找到。

XML API 用于大量管理任务

MDaemon 现在自带基于 API 通过 http(s) 的 XML。因此,现在可以在能够向服务器发出 http(s):// 发送请求的任何平台上使用任何语言来写入 MDaemon 管理客户端。在 MDaemon Pro 中,只对已验证的全局管理员提供此功能,而在 MDaemon Private Cloud 中,已验证的域管理员也能进行一部分可用操作。这个 API 还生成一个网站,其中含有关于 API 规范的文档。安装默认值将其安装在 http://servername:RemoteAdminPort/MdMgmtWS/,不过出于额外安全性,可以将其设置成任何 url。

可用操作包括:

帮助

CreateDomain

DeleteDomain

GetDomainInfo

UpdateDomain

CreateUser

DeleteUser

GetUserInfo

UpdateUser

CreateList

DeleteList

GetListInfo

UpdateList

AddDomainAdministrator

DeleteDomainUsers

GetDomainList

GetVersionInfo

GetQueueState

GetServiceState

SetAddressRestriction

GetAddressRestriction

现在,已使用 Javascript、Powershell、VBScript、C、C++ 和 Visual Basic 语言对命令行管理客户端进行了写入/测试。简单的 HTML 和 Javascript 测试站点被用作基于 web 的管理控制台的概念验证,可以在若干主流浏览器中有效运作。虽然这款 API 还未经测试,不过完全可以预期它能与使用 PHP、Perl 和其他开发平台的 web 服务器顺利协作。

还请参阅: