JobsPresseNutzungsbedingungenDatenschutzImpressum

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Aktualisierung des Linux-Kernels und der CPU-Microcodes

Das Update enthält Gegenmaßnahmen für die unter dem Sammelbegriff "Microarchitectural Data Sampling" (MDS) zusammengefassten Sicherheitslücken in Intel-CPUs. Um die Sicherheitslücke ausnutzen zu können, muss ein Angreifer eigenen Code auf dem System zur Ausführung bringen.
Bei virtuellen Systemen besteht die Gefahr, dass Gast-Systeme auf Daten des Hosts oder anderer Gäste zugreifen können. Stellen Sie daher sicher, dass auf dem Host geeignete Maßnahmen gegen MDS ergriffen wurden.
Vollständig geschützt ist das System nur, wenn Hyperthreading deaktiviert wird, was sich jedoch stark auf die Leistungsfähigkeit auswirkt. Wir halten diese Maßnahme nicht für notwendig, da normalerweise nur Code aus vertrauenswürdigen Quellen auf dem System ausgeführt wird. Es steht Ihnen jedoch frei, Hyperthreading selbständig im BIOS zu deaktivieren.

Makro-Erkennung im Dateianhangs-Filter für E-Mails

Der Dateianhangs-Filter kann jetzt gezielt Dateianhänge unter Quarantäne stellen, wenn diese ein Office-Dokument mit Makro enthalten. Es lässt sich dabei zwischen Autoexec-Makros und beliebigen Makros unterscheiden. Sofern der Dateianhangs-Filter aktiviert ist, wird diese neue Funktion mit dem Update automatisch aktiviert.
Nach wie vor ist es sinnvoll, Office-Dokumente anhand des Dateinamens unter Quarantäne zu stellen, wenn schon anhand der Dateiendung erkennbar ist, dass ein Makro enthalten ist (docm, dotm, pptm, potm, xlsm, xltm). Wer jedoch auch die "klassischen" Office-Dateiendungen filtert (doc, ppt, xls), kann diese ggf. jetzt freigeben und mit Hilfe der neuen Optionen nur dann unter Quarantäne stellen, wenn tatsächlich ein Makro enthalten ist.

Erweiterte Funktionalität der DNS IP-Objekte

Neben Hostnamen können nun auch Service-, Mail-Exchanger- und Name-Server-Einträge (SRV, MX, NS) im DNS als Basis für IP-Objekte dienen.
Die Aktualisierung von DNS-basierten IP-Objekten erfolgt zudem nicht mehr in festen Intervallen sondern basierend auf der individuellen Cache-Dauer (TTL) der Einträge.
Bei DNS-basierten Loadbalancern ändern sich die einem Servernamen zugeordneten IP-Adressen unter Umständen im Sekundentakt. Über einen längeren Zeitraum betrachtet, werden jedoch immer wieder die selben Adressen genutzt. Eine neue Option erlaubt es, alte Adressen noch eine Weile vorzuhalten, was die Anzahl der Konfigurationsänderungen deutlich verringert.

In 7.1-0.4 wurden die Reverse-Proxy-, Web-Proxy- und Web-Server-Statistiken nicht mehr aktualisiert

Zahlreiche Software-Pakete

Kleinere Bugfixes und Verbesserungen

Backups

In Version 7.1-0.3 konnten Backups weder erstellt noch zurückgesichert werden.

Kleinere Bugfixes und Verbesserungen

Fehlfunktion des F-Secure Antivirus

Am Nachmittag des 10.04.2019 kam es aufgrund fehlender Zugriffsrechte auf eine neue Bibliotheksdatei zu einer Fehlfunktion des F-Secure Antivirus-Scanners. Die Datei wurde im Zuge der Signatur-Updates installiert.

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Aktualisierung des Linux-Kernels

Der neue Kernel enthält einige weniger kritische sicherheitsrelevante Bugfixes.

Zwei-Faktor-Authentifizierung für den Zugriff auf die Administrations-Oberfläche

Um den Zugriff auf die Administrations-Oberfläche besser abzusichern, kann nun ein zusätzliches Einmal-Passwort abgefragt werden. Die Funktion lässt sich für direkte Zugriffe und Zugriffe über Reverse-Proxy unabhängig konfigurieren. Werden Einmal-Passwörter als verpflichtend konfiguriert, können sich Benutzer ohne Einmal-Kennwort nicht anmelden. Bei "optional" wird das Einmal-Passwort nur bei Konten mit aktiviertem Einmal-Kennwort verlangt.

S/MIME-Gateway Erweiterungen

Bei der Überprüfung signierter E-Mails lässt sich jetzt die Abfrage von Zertifikats-Sperrlisten (CRLs) zuschalten.
Ist beim Signieren ausgehender Mails keine Authentifzierung des Clients möglich, muss dem Absender laut Mail-Header vertraut werden. Bisher gab es dazu nur einen Schalter, mit dem alle lokalen IP-Adressen als vertrauenswürdig eingestuft wurden. Dieser wurde nun durch eine eigene Adress-Liste ersetzt.
Bitte prüfen Sie die Liste nach dem Update: Sie sollte entweder leer sein oder ausschließlich IP-Adressen interner Mail-Server enthalten, die Clients authentifzieren und sicherstellen, dass korrekte Absender-Adressen verwendet werden. Die Liste sollte keine kompletten Netzwerke beinhalten und insbesondere nicht die IP-Gruppe "INTRANET".

S/MIME-Gateway Signaturen in Outlook

Bei Multipart-E-Mails meldete Outlook ungültige Signaturen.

Verbesserte Integration der Groupware

Die Groupware wird vom Mail-Server jetzt automatisch als interne IP behandelt, d.h. der Mail-Versand in das Internet ist erlaubt und es findet keine SPAM-Prüfung statt. Sollten sich interne Clients für den Mail-Versand anmelden müssen, wird automatisch auch die SMTP-Authentifzierung in der Groupware aktiviert. Das S/MIME-Gateway vertraut den Absender-Daten der Groupware, so dass nun auch "Senden als" funktioniert.
Sollten Sie nach der Installation der Groupware die Liste der lokalen IP-Adressen in der Mail-Server Konfiguration um die IP-Adresse der Groupware bzw. deren ganzes Netz erweitert haben, können Sie diese Änderung nun wieder rückgängig machen.

Aktualisierung des IPsec-Servers

Die neue Version behebt Probleme beim IKEv2 Re-keying.

IP-Isolation im WLAN deaktivierbar

Kleinere Bugfixes und Verbesserungen

Verbesserte Absicherung der Container-Virtualisierung

Apps laufen nun in einer Sandbox-Umgebung unter Verzicht auf priviligierte Benutzer.
Durch die Änderung werden ausnahmsweise alle bereits installierten Apps entfernt und müssen neu heruntergeladen werden. Die Daten bleiben selbstverständlich vorhanden.

Markierung von signierten, "im Auftrag" gesendeten Mails im S/MIME-Gateway

Viele Mail-Clients zeigen es nicht an, wenn eine Mail "im Auftrag" gesendet wurde. Beim Empfänger entsteht dann der Eindruck, der Auftraggeber hätte die Mail signiert und nicht der Beauftragte. Um Täuschungsversuche zu verhindern, wird nun in solchen Fällen die E-Mail-Adresse des Beauftragen dem Betreff hinzugefügt: [GESENDET VON <...@...>].

Konvertierung opak signierter Mails im S/MIME-Gateway

Viele Mail-Clients können opak signierte Mails gar nicht oder nur fehlerhaft anzeigen. Findet das S/MIME-Gateway nach dem Entschlüsseln eine opak signierte Mail, wird diese automatisch in eine "normal" signierte Mail mit Signatur im Anhang umgewandelt.

E-Mail-Synchronisation im Cluster

Auf Cluster-Systemen mit lokalen Mail-Domains werden die Inhalte der Postfächer ab sofort zwischen den beiden Cluster-Knoten synchronisiert.

Benutzersynchronisation aus dem ActiveDirectory

In den Version 7.0-4.7 und 7.1-0.0 schlägt die Benutzersynchronisation in den meisten Installationen fehl.

F-Secure Antivirus

Seit 05.02.2019 meldet der Scanner fälschlicherweise "Scanner-Test fehlgeschlagen" bzw. "F-Secure Linux Security funktioniert nicht". Der Scanner wird mittels EICAR-Testfile auf Funktion geprüft. Diese schlägt fehl, da sich das Format der Ausgabe geändert hat.
Die Funktion des Scanners war zu keiner Zeit beeinträchtigt.

Kleinere Bugfixes und Verbesserungen

Sicher

DEFENDO bedient sich einer Reihe von bewährten Security Modulen wie Firewall, VPN, Proxies, Virenscanner und Anti-Spam-System.
Diese schützen Sie vor Schad-Code, Spam, Hacker-Angriffen und weiteren unerwünschten oder schädlichen Dingen.

Flexibel

Keine IT-Umgebung ist wie die andere. Die DEFENDO Produktfamilie passt sich genau Ihren Bedürfnissen an.
Von der einfachen Internet-Anbindung für kleinere Unternehmen, über Lösungen für Filialen und den Außendienst, bis hin zu komplexen, mehrstufigen Firewall-Systemen.

Mehr gute Gründe

  • Es gibt keine Backdoors
  • über 15 Jahre Internet-Security-Erfahrung
  • Mehrfach ausgezeichnet
  • Support direkt durch unsere Entwickler
  • Fachhändler-Treue
  • Made in Germany