强密码
需要强密码
默认情况下,MDaemon 在创建新账户或者更改现有密码时需要强密码。 如果您希望禁用强密码要求,请清除此选择框。
强密码必须:
•满足最小长度要求。
•包含大小写字母。
•包含字母和数字。
•包含特殊字符(如果下方设置了特殊字符选项)
•不包含用户的全名或邮箱名称。
•不得在坏密码文件中找到。
密码长度最小值 (至少 8 个字符)
使用此项来设置强密码需要的最小密码长度。 这必须设置为至少 8 个字符,但建议使用更高的值。 新的 MDaemon 安装的默认值为 10 个字符。 更改这个设置不为密码长度短于新的最小值的密码自动触发密码变更要求,不过在这些用户下一次更改其密码时,将强制执行这个设置。
|
在设置了下方的“使用不可逆加密存储邮箱密码”选项时,无论最小值的设置如何,密码都可以超过 72 个字符。 如果禁用该选项,密码不得超过 15 个字符。 |
密码必须包含一个特殊字符
默认情况下,对于新的 MDaemon 安装,强密码还必须包含至少以下一个特殊字符: !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~. 如果您不希望在强密码中使用特殊字符,请禁用此选项。
编辑坏密码文件
点击此按钮来编辑坏密码文件。 列在此文件中的条目区分大小写,而且无法用作密码。 如果您希望创建更复杂更多变的条目,您可以使用正则表达式来实现这一点。 会将以“!”开头的条目视作正则表达式。
强制更改弱密码
如果您希望强制使用弱密码的所有账户更改其密码,请点击此按钮。 这将锁定每名使用弱密码的账户,直到他们更改了密码为止。 管理员可以通过 MDaemon 界面更改这个密码,被锁定的用户也可以通过 Webmail 或 Remote Administration 界面来更改密码。 在用户尝试使用旧密码登录时,将在继续前要求该用户创建一个新密码。 请注意:在使用下方的“使用不可逆加密存储邮箱密码”选项时,此项不可用。
密码设置
这些天后密码过期(0=密码永不过期)
如果您希望设置在需要更改账户密码前,可以访问这个账户的最大天数,请使用此项。 此选项中的默认值是“0”,这就表示密码永不过期。 不过如果您将其设置为一定数值,例如 30 天,那么从上次账户的密码被更改那天起,用户将有30天时间来更改其密码。 因此,当您初次设置到期值时,任何具有在指定天数内未更改密码的账户,其密码将立即过期。 如果用户的密码过期,那么他或她不能访问 POP、IMAP、SMTP、Webmail 或 Remote Administration。 不过,用户仍然可以连接到 Webmail 或 Remote Administration,然后他或她会被要求只有更改密码后才能继续进行处理。 无法使用电子邮件客户端(例如 Outlook 和 Thunderbird 等)来更改密码。 此外,大量客户端甚至不会向用户显示有用的错误消息,因此他们可能需要管理员协助才能了解他们登录失败的原因。
|
为了让用户能够通过 Webmail 或 Remote Administration 更改其密码,他们必须先被授予在“Web 服务屏幕上的“...编辑密码”web 访问权限。 此外,因为更改密码对某些用户而言可能不是易事,您应该慎用此项。 |
[xx] 天来每天警告用户密码过期(0 = 从不)
密码快要过期的账户可以接收需要更改其密码的每日提醒邮件。 使用此项来指定在密码过期前,您希望 MDaemon 开始发送这些每日邮件的天数。
记住这么多旧密码(0=无)
使用此项来指定您希望 MDaemon 为各名用户记住的旧密码数量。 当用户更改了其密码,将不允许他们再次使用旧密码。 默认情况下,将此项设置成“0”(禁用)。
使用不可逆加密来保存邮箱密码
如果您希望 MDaemon 使用不可逆加密来保存密码,请选中此框。 此项保护密码不被 MDaemon、管理员或可能存在的攻击者解密。 要实现这点,MDaemon 使用 bcrypt 密码散列函数。它允许更长的密码(长达 72 字符),而且在导出和导入账户时将保留密码,并防止密码泄露。 不兼容一些取决于 MDaemon 是否能够解密密码的功能(例如弱密码检测和 APOP & CRAM-MD5 验证)。 默认情况下,启用不可逆密码。
已泄露密码
MDaemon 可以对照第三方服务中的泄露密码列表来检查用户密码。 它能够执行此操作而无需将密码传输到服务,而且如果列表中存在用户的密码,并不表示该账户已被黑客入侵。 这就意味着某人在某处使用了与他们的密码相同的字符,并且出现了数据泄露事件。 黑客可能会在字典攻击中使用已泄露的密码,但是从未在其他任何位置使用过的唯一密码更加安全。 请参阅Pwned Passwords(已泄露密码)获取更多信息。
不允许在第三方已泄露密码列表中找到的密码
如果您不希望将账户的密码被设置为已泄露的密码列表中的密码,请选中此框。
在登录时检查已泄露的密码,并每隔 [xx] 天发送警告邮件 (0 = 从不)
使用此选项,您可以在每位用户登录时每隔指定的天数自动针对已泄露的密码列表检查每个用户的密码。如果发现他们正在使用泄露的密码,则会向该账户和邮件管理员发送警告电子邮件 。 通过编辑 \MDaemon\App 文件夹中的邮件模板文件,可以定制警告邮件。 由于有关如何更改用户密码的说明可能取决于该账户是使用 MDaemon 中存储的密码还是使用“活动目录”身份验证,因此有两个模板文件: CompromisedPasswordMD.dat 和 CompromisedPasswordAD.dat。 宏可用于个性化邮件、更改主题和更改收件人等。
应用程序密码
应用程序密码这个选项通过创建仅在电子邮件客户端和电子邮件应用程序中使用的随机生成的强密码,使账户更安全,因为这些应用程序无法受到双重验证 (2FA) 的保护。 还请参阅: 应用程序密码。
启用应用程序密码
默认情况下,所有用户都可以在使用双重验证登录 Webmail 时,为其账户创建应用程序密码。 如果您希望为特定的用户禁用“应用程序密码”支持,您可以使用...编辑应用程序密码这个选项来实现这点,该选项位于用户的“Web 服务”页面上。
要求双重验证来设置应用程序密码
默认情况下,用户必须使用双重验证 (2FA) 来创建一个新的“应用程序密码”来登录 Webmail。 不建议禁用上述要求。 全局管理员在 MDRA 中不受此要求的约束,但仍然建议他们在登录 MDRA 或 Webmail 时始终使用 2FA。
|
账户编辑器设置页面上有一个账户选项,您可以使用它来要求“需要应用程序密码才能登录 SMTP、IMAP、ActiveSync 等。”。 “需要应用程序密码”有助于保护账户密码免受字典和通过 SMTP、IMAP 等进行的暴力攻击。这样更安全的原因是因为即使这种攻击是猜测账户的实际密码,它也不会不起作用,因为 MDaemon 只会接受正确的应用程序密码。 此外,如果 MDaemon 中的账户正在使用活动目录验证,“活动目录”又在达到失败的尝试次数后锁定了账户,该选项有助于防止账户被锁定,因为 MDaemon 只会检查应用程序密码,而不尝试对“活动目录”进行身份验证。 |
还请参阅:
