MD 9.60.txt ----------------------------------------------------------------------------Serveur MDaemon v9.X - Notes de mise à jour -----------------------------------------------------------------------------

-------------------------MDaemon 9.60 - 5 juin 2007 -------------------------CONSIDÉRATIONS SPÉCIALES -----------------------* MDaemon 9.60 bénéficie des nouvelles fonctionnalités de Protection instantanée incluses dans la dernière version de SecurityPlus. Cela comprend une meilleure détection des spams sous forme d'image et le support des actions menées par l'organisme Internet Watch Foundation afin de repérer les sites pédophiles ou impliqués dans des activités illégales. Le logiciel SecurityPlus est vendu séparément : http://www.watsoft.com/mdaemonav/. * [5128] Le système DNS-BL de MDaemon peut à nouveau ignorer les X plus anciens en-têtes "Received" lors du traitement des messages SMTP et POP. Les options correspondantes ont été ajoutées à l'onglet Options des paramètres DNS-BL. Remarque : vos paramètres actuels pour les options SMTP et POP "Ignorer le nombre suivant d'en-têtes "Received" les plus récents" ont été rétablis respectivement à 0 et 1. Cela devrait convenir dans la plupart des situations, mais vous pouvez les modifier en cas de besoin. * [498] Les collectes DomainPOP et MultiPOP ont été modifiées. L'option destinée à conserver un certain nombre de messages sur les serveurs a été supprimée. Des options permettant de supprimer les messages stockés depuis X jours ont été ajoutées aux paramètres MultiPOP et DomainPOP. Pour cela, des modifications ont du être apportées à l'API et à la structure MD_UserInfo. Par conséquent, si vous utilisez des modules personnalisés vous risquez de devoir les recompiler. o [5513] relays.ordb.org a été supprimé de la liste des hôtes DNS-BL. De plus, les entrées sbl-xbl.spamhaus.org ont été remplacées par zen.spamhaus.org. o Si vous avez généré manuellement des clés DKIM de 512 bits ou inférieures (il n'est pas possible de créer des clés de cette taille depuis l'interface), vous devrez en créer de nouvelles. Par défaut, la taille des clés est de 1024 bits. Si vos clés ne sont pas correctes, la signature des messages sortants échoue avec le code d'erreur "4".

NOUVEAUTÉS MAJEURES ------------------* [4388] GROUPES * Ajout d'un système de groupes pour les comptes. Ils se définissent à l'aide d'une nouvelle option du menu Comptes. Pour inclure un compte dans un ou plusieurs groupes, utilisez le champ ajouté à cet effet dans l'onglet Boîte aux lettres de l'Éditeur de compte. Deux conditions ont été ajoutées au Filtre de contenu afin de créer des règles en fonction de l'appartenance à un groupe. De plus, il est possible d'ajouter des groupes à la liste de contrôle d'accès des dossiers publics. Page 1

MD 9.60.txt * [6182] ROUTAGE PAR DOSSIERS * Ajout du support du routage par dossiers. Ce système permet d'inclure le nom d'un dossier dans une adresse e-mail. Les réponses ou les messages envoyés à cette adresse seront automatiquement dirigés dans le dossier correspondant, sans devoir créer de filtre. La syntaxe est la suivante : +@. Ainsi, les messages adressés à [email protected] sont directement reçus dans le dossier 'ietf' de [email protected] (à condition évidemment que ce dossier existe). Il est possible d'indiquer des dossiers imbriqués en utilisant des points. Par exemple, [email protected] dirige les messages dans le dossier 'industry\ietf' de [email protected]. Si le nom du dossier contient un espace, il doit être remplacé par le caractère "_". Par exemple, "[email protected]" dirige les messages dans le dossier "mes amis\frank" de [email protected]. La configuration du client de messagerie afin qu'il utilise différentes valeurs reply-to incluant des dossiers dépend du client utilisé. Il est également possible d'utiliser la règle "Rechercher/remplacer dans l'en-tête" du Filtre de contenu en fonction du destinataire ou d'autres critères. Le dossier doit avoir été créé avant d'être inclus dans une adresse e-mail. Sinon, l'adresse est considérée comme inconnue. Il n'est pas possible d'utiliser le routage par dossiers avec un alias. Vous devez indiquer l'adresse d'origine. Vous pouvez toutefois créer un alias correspondant à une adresse qui inclut un nom de dossier. Cette fonctionnalité s'active/se désactive individuellement pour chaque compte dans l'onglet Filtres de l'Éditeur de compte. L'utilisation du caractère + implique que cette fonctionnalité n'est pas disponible pour les comptes dont le nom de la boîte aux lettres contient +. Cette fonctionnalité peut être désactivée globalement pour tous les comptes dans l'onglet Divers des Options diverses. Par défaut, elle est désactivée pour chaque compte. * DKIM EST À PRÉSENT UN STANDARD ! * http://mipassoc.org/pipermail/ietf-dkim/2007q1/007026.html http://www.emediawire.com/releases/2007/3/emw508676.htm http://www.altn.com/Company/PressRoom/PressRoomViewer/Default.aspx?ID=/PressRele ases/20070301-DKIMStandardization Après de nombreux mois de travail, DKIM a été approuvé par l'IETF en tant que standard ! L'implémentation de DKIM dans MDaemon a donc été mise à jour avec la version finale. Cependant, MDaemon restera compatible avec la version "pré IETF" pendant une période de 6 mois à un an. Les vérifications DKIM sont à présent effectuées avant les vérifications DomainKeys. De plus, si la vérification DKIM indique que le message est légitime, aucune vérification DomainKeys n'est effectuée. Par défaut, MDaemon signe à présent les messages conformément aux exigences du dernier standard DKIM (v=1, SHA256, et bh=, etc.). MDaemon acceptera encore les signatures "pré IETF" jusqu'à la fin du trimestre prochain. Félicitations à tous, vous pouvez vous réjouir d'avoir bénéficié de quasiment deux ans d'avance dans ce domaine et d'avoir contribué à l'amélioration du système. * [5645] CERTIFICATION DES MESSAGES (MDaemon PRO uniquement) * Par sa participation au Domain Assurance Council (DAC), Alt-N Technologies Page 2

MD 9.60.txt contribue à l'élaboration d'un protocole appelé VBR ("Vouch By Reference"). La technologie VBR offre un système grâce auquel des fournisseurs de services de certification peuvent "se porter garants" des messages envoyés par de tierces personnes. Elle a pour principe d'ajouter un en-tête dans les messages sortants afin de vérifier en toute simplicité si un fournisseur de services de certification se porte garant pour l'expéditeur. Avec la technologie VBR, les fournisseurs de certification n'ont pas besoin de signer les messages envoyés ; cela s'effectue de façon entièrement transparente. MDaemon inclut la première application commerciale de VBR. Tout s'effectue automatiquement : il suffit de configurer dans le logiciel un ou plusieurs services de certification que vous souhaitez utiliser pour les messages reçus ainsi qu'un ou plusieurs services acceptant de se porter garants pour votre courrier sortant. Nous espérons qu'à long terme, tous les principaux fournisseurs de services de "réputation" mettront à disposition du public des serveurs de certification, accessibles uniquement pour les utilisateurs répondant à des critères de "bonne conduite". En attendant, Alt-N Technologies fournit ces services à la communauté des utilisateurs de MDaemon. Si vous souhaitez que Alt-N Technologies certifie les messages de votre domaine, consultez : http://www.altn.com/email-certification/signup/ Pour que MDaemon utilise Alt-N Technologies en tant que fournisseur de certification, appuyez sur Alt+X puis cliquez sur l'onglet Certification et cochez l'option "Activer la certification pour les messages entrants". Saisissez ensuite "vbr.emailcertification.org" dans le champ "Nom(s) d'hôte(s) du/des service(s) de certification utilisés". Remarque : ce paramètre est configuré automatiquement lorsque MDaemon 9.60 est exécuté pour la première fois. Ensuite, si vous avez souscrit au service de certification d'Alt-N, cochez l'option "Insérer des données de certification dans les messages sortants" et saisissez "vbr.emailcertification.org" dans le champ "Nom(s) d'hôte(s) du/des service(s) de certification de mes messages". Un onglet "Certification" a été ajouté à la fenêtre "Sécurité" de l'interface principale. De plus, la journalisation de la certification peut être activée/désactivée dans les options de journalisation de MDaemon. La certification des messages entrants n'est possible que si l'expéditeur peut être authentifié avec DomainKeys, DKIM, SPF et/ou Sender ID/PRA. Au moins une de ces fonctionnalités doit donc être activée. De même, la certification de vos messages sortants nécessite une authentification. Plus d'informations sur la technologie VBR et la certification des messages sont disponibles à l'adresse : http://www.domain-assurance.org. Informations sur DKIM : http://www.dkim.org. Brouillon IETF du protocole VBR : http://www1.ietf.org/mail-archive/web/i-d-announce/current/msg14053.html Informations techniques : http://files.altn.com/MDaemon/drafts/draft-hoffman-dac-vbr-00.txt * [5833] PROTECTION CONTRE LES RETOURS DE COURRIER (MDaemon Pro uniquement) * MDaemon inclut à présent une implémentation du protocole BATV destinée à lutter contre le problème des retours de courrier non sollicités. Cela se produit lorsque des spams ou virus sont envoyés avec une adresse de retour (valeur "Return-path") usurpée. Les propriétaires de l'adresse reçoivent alors des centaines de notifications, messages d'absence, etc., non sollicités. Cette protection s'active en cliquant sur le menu Sécurité | Retours de Page 3

MD 9.60.txt courrier. La protection contre les retours non sollicités utilise des algorithmes HMAC SHA-1 à clé privée et limite la validité de la valeur "Return-path" à 7 jours afin d'éviter les attaques. Informations techniques sur le protocole BATV : http://files.altn.com/MDaemon/drafts/draft-levine-batv-03.txt * [5889] MINGER (MDaemon PRO uniquement) * Alt-N Technologies a créé un nouveau protocole de vérification d'adresses e-mail appelé Minger. Son nom provient du protocole Finger [RFC 1288] sur lequel il s'appuyait à l'origine. Il apporte de nombreuses améliorations, dont : (a) authentification requise (protocole sécurisé), (b) utilisation de UDP au lieu de TCP. Minger permet à de tierces personnes d'envoyer des requêtes à votre serveur concernant ses utilisateurs. Il sert essentiellement à vérifier l'existence d'un compte. Le serveur Minger s'active/se désactive dans l'interface principale, comme les autres serveurs de MDaemon. Pour configurer un nom d'utilisateur et un mot de passe, cliquez sur le menu Comptes | Base de données des comptes / Active Directory / Minger. Un client Minger a également été intégré au système de passerelles. Pour cela, l'onglet "Vérification LDAP" de l'Éditeur de passerelle a été renommé "Vérification" et les options qu'il contient ont été légèrement modifiées. Enfin un fichier journal et un onglet de l'interface principale ont été ajoutés pour le serveur Minger. Informations techniques sur le protocole Minger : http://files.altn.com/MDaemon/drafts/draft-hathcock-minger-00.txt * AMÉLIORATION DES PERFORMANCES * Le logiciel a été entièrement reconfiguré, conçu et compilé à l'aide de Visual Studio 2005 et Team Foundation Server (les versions précédentes ont été réalisées à l'aide de Visual Studio 6 et SourceSafe). Trois améliorations ont été apportées au système de files d'attente et de distribution des messages : [5549] Ajout d'une option de mise en cache des échecs de connexion dans l'onglet Session des propriétés du domaine primaire. Si une session SMTP entraîne une erreur ou un échec de connexion, l'adresse IP est mise en cache pendant le nombre de minutes indiqué. Les tentatives de connexion des IP mises en cache sont ignorées pendant ce nombre de minutes. Le cache est conservé en mémoire et réinitialisé lors des redémarrages et à minuit. [5582] Si un grand nombre de messages sont en attente de distribution, un problème survient lorsque MDaemon régénère sans cesse sa structure de mémoire interne pour la distribution des messages. Cela ralentit considérablement le traitement des messages car l'utilisation de l'UC est divisée entre la distribution des messages et la reconstruction de cette structure de mémoire. Afin d'éviter ce problème, lorsque la structure de mémoire interne de MDaemon contient 1000 messages ou plus, elle n'est plus régénérée dynamiquement. Cela permet de conserver les avantages de la file d'attente dynamique pour la majorité des utilisateurs et d'améliorer les performances en cas de besoin. Cette limite peut être augmentée ou diminuée en modifiant le fichier MDaemon.ini comme suit : [Sessions] Page 4

MD 9.60.txt MaxQueuedCount=1000 [5546] Le programmateur d'événements contient une nouvelle option pouvant être utilisée avec la programmation par défaut de traitement du courrier. Elle s'associe à l'option "Envoyer les messages dès qu'ils entrent dans la file" et permet de traiter uniquement les messages mis en file d'attente au cours des XX dernières minutes. Cela augmente l'efficacité du traitement des messages car la réception d'un seul message ne déclenche plus le traitement de tout le courrier. La file continuera d'être traitée entièrement lorsqu'une autre option déclenche cette action. Par défaut, la limite est de 1 minute mais vous pouvez modifier cette valeur ou bien indiquer 0 si nous ne souhaitez pas utiliser cette fonctionnalité (dans ce cas, MDaemon envoie tous les messages en file d'attente chaque fois qu'un message est reçu, ce qui n'est pas efficace). o [1077] Ajout d'une option appelée "Nombre maximum de connexions simultanées pour une seule IP" dans l'onglet Sessions des propriétés du domaine primaire. Ce paramètre limite le nombre de connexions simultanées sur une IP lors de la distribution du courrier sortant en file d'attente. Cela peut s'avérer utile pour empêcher qu'un trop grand nombre de connexions soient effectuées simultanément. Si la distribution d'un message nécessitant la connexion à une IP excède cette limite, la connexion n'est pas effectuée et l'hôte MX (ou hôte de relais) suivant est utilisé. Si aucun hôte supplémentaire n'est disponible, le message est remis en file d'attente jusqu'au prochain cycle de distribution. Cette option est désactivée par défaut afin de conserver le fonctionnement existant. De plus, cette fonctionnalité ne s'applique pas aux connexions à des IP autorisées. Si vous souhaitez toutefois l'appliquer, modifiez le fichier MDaemon.ini comme suit : [Sessions] TrustedIPsUseConnectionLimit=Yes (par défaut : No) Elle ne s'applique également pas aux connexions d'IP locales : 127.0.0., 192.168., 10., et 172.16.0.0/12. Pour l'appliquer aux IP locales, modifiez le fichier MDaemon.ini comme suit : [Sessions] ReservedIPsUseConnectionLimit=Yes (par défaut : No)

* AMÉLIORATION DU SYSTÈME DE PASSERELLES (MDaemon Pro uniquement) * o [6118] Les adresses valides pour les passerelles peuvent à présent être définies dans un fichier texte (GatewayUsers.dat). Pour cela, un bouton a été ajouté à l'onglet Vérification de l'Éditeur de passerelle. Tous les messages envoyés à des adresses se trouvant dans ce fichier seront considérés comme valides. Les paramètres de vérification des passerelles contiennent une nouvelle option appelée "Fichier" permettant d'exiger qu'une adresse se trouve dans le fichier texte pour être valide. Si vous utilisez une autre méthode de vérification, le fichier texte est simplement une source de données supplémentaire. o [6127] Les paramètres de vérification LDAP pour les passerelles ont été modifiés afin d'améliorer le support d'Exchange/Active Directory : (a) La valeur objectclass des chaînes des filtres de recherche par défaut pour les nouvelles passerelles est à présent "user" (au lieu de "MDaemonContact"). (b) Les chaînes des filtres de recherche par défaut incluent à présent (proxyAddresses=SMTP:$EMAIL$) o [6129] Le format du fichier de cache LDAP a été modifié afin de corriger un problème empêchant le fonctionnement de plusieurs DN de base sur le Page 5

MD 9.60.txt même hôte. Par conséquent, toutes les valeurs déjà en cache sont à présent invalides. Vous pouvez supprimer entièrement le fichier afin que MDaemon le régénère ou bien attendre que ces valeurs expirent automatiquement. o [6126] Ajout d'une option permettant de mettre en cache les résultats des requêtes LDAP/Minger dans l'onglet Options de l'Éditeur de passerelle. o [6128] Ajout d'un bouton dans l'onglet Vérification de l'Éditeur de passerelle permettant de modifier le cache LDAP.

MODIFICATIONS ET NOUVELLES FONCTIONNALITÉS -----------------------------------------o [4262] Ajout d'une option dans l'onglet Signature DKIM configurant automatiquement la signature des messages pour tous les domaines locaux (le domaine primaire et tous les domaines secondaires). Ainsi, il n'est plus nécessaire de configurer chaque domaine individuellement. Cette option est activée par défaut. o [5497] Meilleur support des jeux de caractères pour la rédaction de messages dans WorldClient. Auparavant, WorldClient utilisait le jeu de caractères utf-8 pour les messages contenant des caractères ne figurant pas dans la norme iso-8859-1. Les administrateurs peuvent à présent choisir les jeux de caractères en modifiant la valeur "ComposeCharsets" dans les fichiers Domains.ini ou User.ini de WorldClient. Les jeux de caractères par défaut sont iso-2022-jp pour la version japonaise, gb2312 pour la version chinoise et koi8-r pour la version russe. o [4254] Il est possible de configurer MDaemon pour qu'il envoie des messages aux utilisateurs dont le quota est bientôt atteint. Ils sont envoyés à minuit et indiquent le nombre de messages et la quantité d'espace utilisés, ainsi que les quantités restantes. Si un avertissement se trouve déjà dans la boîte de l'utilisateur, il est remplacé par un nouveau message. Vous pouvez choisir dans l'onglet Divers des Options diverses à partir de quel pourcentage du quota le message est envoyé. Le Modèle de compte a été modifié. Les options concernant les quotas ont été déplacées dans un nouvel onglet et les boutons destinés à restaurer les valeurs par défaut ont été temporairement supprimés. o [5953] Lorsque MDaemon distribue les messages par le biais d'un hôte de relais, il est possible de s'authentifier à l'aide d'un nom d'utilisateur et d'un mot de passe. Cependant, l'authentification s'effectue à l'aide du même identifiant pour tous les messages envoyés. Or, certains FAI exigent un nom d'utilisateur différent pour chaque expéditeur (valeur SMTP MAIL FROM). Par conséquent, il est à présent possible de configurer un nom d'utilisateur et un mot de passe spécifiques à chaque compte pour l'authentification sur l'hôte de relais. S'ils ne sont pas indiqués, MDaemon utilise par défaut les valeurs figurant dans l'onglet Distribution des propriétés du domaine primaire. Une option permettant d'indiquer le mot de passe pour l'hôte de relais a été ajoutée à l'Éditeur de compte. Par défaut, le nom d'utilisateur correspondant à l'adresse e-mail du compte est employé. Si vous souhaitez indiquer un nom d'utilisateur différent pour l'authentification sur l'hôte de relais, ajoutez la valeur ci-dessous au fichier HIWATER.MRK (situé à la racine du dossier de courrier de l'utilisateur) : [AUTH] ISPAUTHUserName=-