Kostenpflichtiges Update

Sie können das Update kostenfrei herunterladen, wenn ein Software-Pflegevertrag besteht oder das Gerät erst vor kurzem gekauft wurde. Der Download ist für die entsprechenden Geräte bereits freigeschaltet. Systeme, auf die diese Voraussetzungen nicht zutreffen, werden nach Abschluss eines Pflegevertrags freigeschaltet.
Die Zugangsdaten zum Download des Updates werden beim interaktiven Update vom System selbständig übermittelt. Sollten Sie das Update von Hand herunterladen, so geben Sie bitte als Benutzername die Support-IP (z.B. 172.18.253.15) und als Kennwort die Geräte-ID (z.B. 473I-QN34-O@:5) des Systems ein.

Wichtiger Hinweis:

Beachten Sie bitte unbedingt die Informationen zum geänderten Port der Administrations-Oberfläche sowie zum Speicherformat der Postfächer auf dem System.

Container-Virtualisierung auf Docker-Basis

Im neuen Menüpunkt "System > Apps" können optionale Erweiterungen in Form von Containern installiert werden. Beachten Sie bitte, das installierte Apps unabhängig von System-Updates aktualisiert werden müssen. Prüfen Sie daher bitte das "Apps"-Menü regelmäßig in Bezug auf verfügbare Updates, sobald Sie Apps installiert haben.
Während bei der herkömmlichen Virtualisierung jeder Gast sein eigenes Betriebssystem ausführt, teilen sich bei der Container-Virtualisierung der Host und alle Gäste den selben Betriebssystem-Kern (in unserem Fall den Linux-Kernel). Die Container-Virtualisierung ist daher vergleichsweise ressourcenschonend. Die Gäste laufen dennoch in voneinander isolierten Umgebungen, wobei die Trennung allerdings nicht so stark ist, wie bei einer herkömmlichen Virtualisierung.
Wir wollen diesen Ansatz nutzen, um Ihnen zukünftig auch größere Software-Module anbieten zu können, ohne dabei die Systemsicherheit maßgeblich zu beeinträchtigen.

Geänderter Port 44344 für die Administrations-Oberfläche

Der Browser-Zugriff auf die zuvor beschriebenen Container erfolgt ausschließlich über Reverse-Proxy, der daher ab sofort eine zentralere Rolle spielt. Wir haben daher beschlossen, zukünftig den Reverse-Proxy auf Port 443 zu aktivieren. Zuvor war Port 443 durch die Administrations-Oberfläche belegt, die Sie nun auf Port 44344 erreichen.
Um Ihnen die Umstellung zu erleichtern, leitet der Reverse-Proxy Zugriffe für die Administrations-Oberfläche mittels Redirect auf die LAN-IP, Port 44344 um. Durch den Redirect greift der Browser anschließend direkt auf die Administrations-Oberfläche zu und nicht über den Reverse-Proxy. So soll die versehentliche Freigabe des Internet-Zugriffs auf die Administrations-Oberfläche vermieden werden, wenn der Internet-Zugriff auf Port 443 geöffnet wird.
Falls Sie von außerhalb des LANs zugreifen, wird dieser Redirect nicht funktionieren. Nutzen Sie für den externen Zugriff auf die Administrations-Oberfläche den Reverse-Proxy oder stellen Sie sicher, dass der Zugriff auf Port 44344 möglich ist.

Web-Client für RDP, VNC und SSH

Diese neue Komponente wird als Container über das Menü "System > Apps" installiert. Sie ermöglicht den Zugriff auf Remote-Desktops (RDP), VNC-Server sowie Secure-Shell-Server mit Hilfe eines Web-Browsers (HTML5). Ein spezieller Client ist nicht erforderlich. Der Zugriff erfolgt ausschließlich über Reverse-Proxy und lässt sich daher auf Wunsch mit Client-Zertifikaten zusätzlich absichern. Auf Wunsch kann die Anmeldung über Zwei-Faktor-Authentifizierung mit zeitbasierten Einmal-Passwörtern (TOTP) erfolgen. Entsprechende TOTP Smartphone-Apps sind kostenfrei verfügbar (z.B. Google Authenticator). Alternativ bieten wir TOTP Hardware-Token an.
Für diese optionale Erweiterung muss eine Lizenz erworben werden.

Webmailer wird ersetzt durch neue Groupware

Der in die Jahre gekommene Webmailer wird mit dem Update durch eine deutlich umfangreichere Groupware ersetzt, die ebenfalls als Container installiert wird. Die auf der Groupware "SOGo" basierende Lösung greift auf E-Mails ausschließlich via IMAP zu. Ein Zugriff auf E-Mails ist somit jederzeit auch ohne Groupware möglich. Adressen, Termine, Aufgaben, Mail-Filter und Einstellungen speichert die Groupware in einer Datenbank (MariaDB). Sowohl die Groupware als auch die Datenbank werden als Container installiert.
Anders als der Webmailer ist die Groupware nicht vorinstalliert. Sie können sie jederzeit kostenlos über das Menü "System > Apps" nachinstallieren bzw. aktualisieren. Installieren Sie zuerst die App "Datenbank", danach die App "Groupware".
Gegenüber dem alten Webmailer bietet die Groupware insbesondere folgende Vorteile:
  • moderne, auf Smartphones ausgerichtete Web-Oberfläche
  • Freigeben und Abonnieren von Kalendern und Adressbüchern mit individueller Rechtevergabe
  • Planung und Austausch von Terminen per Mail über iCalendar
  • Frei/Belegt-Anzeige
  • Aufgabenlisten (TODOs)
  • Markierung von E-Mails, Terminen und Aufgaben
  • Delegation von Konten ("Senden als")
Für die native Anbindung von Smartphone-Apps, Outlook und anderen Mailclients bieten wir eine Erweiterung mit den Protokollen Exchange-ActiveSync, CalDAV und CardDAV an.
Für diese optionale Erweiterung muss eine Lizenz erworben werden. Der Zugriff auf die Groupware per Browser bleibt kostenfrei.

Speicherformat der Postfächer und Mailbackup

Postfächer auf dem System werden zukünftig in einem anderen Format abgespeichert. Beim Update und beim Einspielen eines Backups im alten Format werden die Daten entsprechend konvertiert.
Wir empfehlen, vor dem Update den Mail-Server zu stoppen und ein frisches Mailbackup zu erstellen. Erstellen Sie nach dem Update erneut ein Backup, jetzt im neuen Format, bevor Sie den Mail-Server wieder starten.
Abhängig von der Anzahl Emails kann die Konvertierung der Postfächer mehrere Minuten - bei Mailbeständen im Bereich von zehntausenden von E-Mails auch Stunden - in Anspruch nehmen. Das Ausschalten oder ein Neustart des Systems in dieser Phase kann zum Verlust von Daten führen.
Wird ein Backup mit Daten im neuen Format eingespielt, werden zukünftig die Mails aus dem Backup mit dem aktuellen Mailbestand zusammengeführt, d.h. gelöschte Mails werden aus dem Backup wiederhergestellt, neue Mails und Änderungen bleiben erhalten. Falls Sie die Groupware nutzen, gilt selbiges für Adressen, Termine und Aufgaben. Die benutzerspezifischen Einstellungen der Groupware sowie die Mail-Filter werden aus dem Backup übernommen.
Beim Einspielen eines Mailbackups im alten Format findet keine Zusammenführung statt. Die Daten aus dem Backup werden eingespielt, eventuelle neue Mails gehen verloren.
Bisher wurden die Daten aus dem Backup nur für die Konten restauriert, für die kein Posteingangs-Ordner existiert. Dieser Mechanismus existiert nicht mehr. Um gezielt die Daten bestimmter Konten wiederherzustellen, müssen Sie das Mailbackup mit einem ZIP-Entpacker öffnen. Das Mailbackup enthält je Konto eine eigene Backup-Datei. Extrahieren Sie die Backups der gewünschten Konten und spielen Sie diese nacheinander ein.

S/MIME-E-Mail-Verschlüsselungs-Gateway

Mit dieser neuen Komponente können Sie S/MIME-Signaturen und S/MIME-Verschlüsselung für die externe Kommunikation einsetzen, ohne S/MIME auf den lokalen Mail-Clients einrichten und pflegen zu müssen.
Für diese optionale Erweiterung muss eine Lizenz erworben werden.
Eingehende Mails lassen sich mit dieser Lösung automatisch entschlüsseln und zwar vor sicherheitsrelevanten Prüfungen wie Virenscan oder Dateianhangs-Filter. Ferner werden die Signaturen eingehender Mails geprüft. Die in den Signaturen enthaltenen Zertifikate können auf Wunsch automatisch für den verschlüsselten Versand freigegeben werden. Alle zukünftigen E-Mails an diese Kommunikationspartner werden dann ohne weiteres Zutun automatisch verschlüsselt. Eine manuelle Freigabe sowie der manuelle Import von Zertifikaten für die automatische Verschlüsselung ausgehender Mails ist ebenfalls möglich. Jede ausgehende Mail kann zudem automatisch signiert werden.
Für das Signieren ausgehender Mails und das Entschlüsseln eingehender Mails wird je E-Mail-Adresse ein S/MIME-Zertifikat benötigt, das in der Benutzerverwaltung hinterlegt werden muss. Je Zertifikat ist dabei ein eigener Benutzer erforderlich.

Makro-Erkennung im Dateianhangs-Filter für E-Mails

Der Dateianhangs-Filter kann jetzt gezielt Dateianhänge unter Quarantäne stellen, wenn diese ein Office-Dokument mit Makro enthalten. Es lässt sich dabei zwischen Autoexec-Makros und beliebigen Makros unterscheiden. Sofern der Dateianhangs-Filter aktiviert ist, wird diese neue Funktion mit dem Update automatisch aktiviert.
Nach wie vor ist es sinnvoll, Office-Dokumente anhand des Dateinamens unter Quarantäne zu stellen, wenn schon anhand der Dateiendung erkennbar ist, dass ein Makro enthalten ist (docm, dotm, pptm, potm, xlsm, xltm). Wer jedoch auch die "klassischen" Office-Dateiendungen filtert (doc, ppt, xls), kann diese ggf. jetzt freigeben und mit Hilfe der neuen Optionen nur dann unter Quarantäne stellen, wenn tatsächlich ein Makro enthalten ist.

E-Mail-Synchronisation im Cluster

Auf Cluster-Systemen mit lokalen Mail-Domains werden die Inhalte der Postfächer ab sofort zwischen den beiden Cluster-Knoten synchronisiert.

Zwei-Faktor-Authentifizierung für den Zugriff auf die Administrations-Oberfläche

Um den Zugriff auf die Administrations-Oberfläche besser abzusichern, kann nun ein zusätzliches Einmal-Passwort abgefragt werden. Die Funktion lässt sich für direkte Zugriffe und Zugriffe über Reverse-Proxy unabhängig konfigurieren. Werden Einmal-Passwörter als verpflichtend konfiguriert, können sich Benutzer ohne Einmal-Kennwort nicht anmelden. Bei "optional" wird das Einmal-Passwort nur bei Konten mit aktiviertem Einmal-Kennwort verlangt.

Erweiterte Funktionalität der DNS IP-Objekte

Neben Hostnamen können nun auch Service-, Mail-Exchanger- und Name-Server-Einträge (SRV, MX, NS) im DNS als Basis für IP-Objekte dienen.
Die Aktualisierung von DNS-basierten IP-Objekten erfolgt zudem nicht mehr in festen Intervallen sondern basierend auf der individuellen Cache-Dauer (TTL) der Einträge.
Bei DNS-basierten Loadbalancern ändern sich die einem Servernamen zugeordneten IP-Adressen unter Umständen im Sekundentakt. Über einen längeren Zeitraum betrachtet, werden jedoch immer wieder die selben Adressen genutzt. Eine neue Option erlaubt es, alte Adressen noch eine Weile vorzuhalten, was die Anzahl der Konfigurationsänderungen deutlich verringert.

Hintergrundbild und dunkles Farbschema

Das neue dunkle Farbschema ist jetzt der Standard. Es lässt sich über das Werkzeug-Menü in der rechten oberen Ecke deaktivieren.

Startseiten Docklet "Updates"

Das neue Docklet prüft die Verfügbarkeit von neuen System- oder App-Updates.

Menüpunkt "CA-Zertifikate"

Im neuen Menüpunkt "System > Zertifikatsverwaltung > CA-Zertifikate" lassen sich CA-Zertifikate hinterlegen, die als vertrauenswürdig gelten sollen. Hier können Sie auch die von uns gepflegten CA-Bündel einsehen. Die beiden bisherigen Menüpunkte der eigenen CA wurden in das neue Menü verschoben.

Überarbeitetes Lizenz-Menü

Ab sofort lassen sich hier alle Arten von Lizenzschlüsseln anzeigen und ändern (Basissystem, Virenscanner, URL-Filter, Apps).

Fehlerhaftes Routing bei IPsec-Tunneln mit SNAT

In seltenen Fällen ist es notwendig, die lokale Absender-Adresse per SNAT zu verändern, bevor eine Verbindung über einen IPsec-Tunnel geleitet wird. Manuell konfigurierte Routen erhielten in diesen Konstellationen Vorrang, so dass die eigentlich für IPsec bestimmten Verbindungen möglicherweise falsch geroutet wurden.

Folgende Funktionen werden nicht länger unterstützt: McAfee Virenscanner, LDAP-Server für LDAP-Adressbuch, IMAP/Webmail-Zugriff des admins auf Dateianhangs- und Virenquarantäne, Löschen und Bearbeiten von Postfächern.

Kleinere Bugfixes und Verbesserungen

Folgende Features konnten bereits in den 7.0er Versionen auf Systemen mit Software-Pflegevertrag genutzt werden. In 7.1 sind diese Funktionen nun auf allen Systemen verfügbar. Dazu gehören:

Bridging

Ethernet-, VLAN- und WLAN-Schnittstellen können in einer Bridge zusammengeschaltet werden. Für Verbindungen innerhalb der Bridge und für Verbindungen aus der Bridge heraus erfolgt dabei die Firewall-Konfiguration individuell je Port. Somit ist auch der Betrieb als transparente Firewall zwischen zwei Netzwerk-Segmenten möglich (z.B. zwischen LAN und Router). Für Verbindungen in eine Bridge hinein ist die Firewall-Konfiguration lediglich je Bridge, nicht aber je Port möglich.

Bündelung von Netzwerkkarten

Netzwerkkarten lassen sich nun Bündeln um eine redundante Verbindung mit Switches herzustellen oder den Durchsatz zu erhöhen.

URL-Filter Meldung beim Aufbrechen von SSL-Verbindungen

Beim Aufbrechen von SSL-Verbindungen im Web-Proxy wurde eine neue Option hinzugefügt, die die Darstellung von Sperr-Meldungen des URL-Filters betrifft. Ist eine Domain komplett gesperrt, hat der Proxy bisher schon den Verbindungsaufbau abgewiesen. Im Browser wurde daher nur eine allgemeine Fehlermeldung angezeigt, wonach der Proxy die Verbindung verweigert. Mit der neuen Option kann alternativ dazu der Verbindungsaufbau zunächst erlaubt werden, so dass dann die konkrete Sperr-Meldung des URL-Filters im Browser angezeigt wird.

Benutzerspezifische Meldung nach Anmeldung an Administrations-Oberfläche

In der Benutzerverwaltung kann bei Benutzern mit Zugriff auf die Administrations-Oberfläche (Gruppe "system-admin") eine Meldung hinterlegt werden, die jedesmal angezeigt wird, nachdem sich der Benutzer angemeldet hat.

Lesezugriff auf Administrationsoberfläche

Der "admin" kann jetzt Benutzern der Gruppe "system-admin" Leseberechtigung auf die wichtigsten Konfigurationsmenüs erteilen. So lässt sich beispielsweise ein Auditor-Zugang realisieren. Bisher konnte der "admin" anderen Benutzern nur den Vollzugriff auf einzelne Menüs erlauben.

URL-Filter Benutzergruppen aus Active-Directory

Der URL-Filter kann Benutzergruppen nun direkt aus dem Active-Directory auslesen. Voraussetzung ist ein Computer-Konto in der Windows-Domäne, wie es auch für die NTLM-Authentifizierung des Proxies erforderlich ist.

Zertifikate von Let's Encrypt

Ab sofort können Zertifikate automatisiert über das ACME-Protokoll aktualisiert werden, was die Nutzung von kostenlosen Let's Encrypt-Zertifikaten ermöglicht. Eine entsprechende Alternative steht im Menü "Schlüsselbund" beim Ausstellen neuer Zertifikate zur Verfügung. Die Authentifizierung erfolgt dabei über das Verfahren "http-01". Sie müssen dazu den Reverse-Proxy auf Port 80 aus dem Internet erreichbar machen, virtuelle Hosts für die gewünschten Domains anlegen und darin jeweils das vordefinierte Backend "ACME HTTP-Authorisierung" aktivieren. Eine kurze Anleitung finden Sie unter www.linogate.de/de/support/categories/administration/lets_encrypt.html.

Avira Makro-Erkennung im Web-Proxy

In Kombination mit dem Avira Virenscanner lassen sich im Web-Proxy Content-Filter Office-Dokumente blockieren, wenn diese Makros oder Autostart-Makros enthalten.

Monitoring für SSH-TCP-Forwarding

Auf einem neuen Reiter im Menü "Monitoring > Netzwerk > Status" werden jetzt Verbindungen mit dem SSH-TCP-Forwarder angezeigt.

Protokollierung auf Syslog-Server

Der Inhalt der meisten Log-Dateien kann jetzt in Kopie auf einen Syslog-Server gesendet werden.

Sicher

DEFENDO bedient sich einer Reihe von bewährten Security-Modulen wie Firewall, VPN, Proxies, Virenscanner und Anti-Spam-System.
Diese schützen Sie vor Schad-Code, Spam, Hacker-Angriffen und weiteren unerwünschten oder schädlichen Dingen.

Flexibel

Keine IT-Umgebung ist wie die andere. Die DEFENDO Produktfamilie passt sich genau Ihren Bedürfnissen an.
Von der einfachen Internet-Anbindung für kleinere Unternehmen, über Lösungen für Filialen und den Außendienst, bis hin zu komplexen, mehrstufigen Firewall-Systemen.

Mehr gute Gründe

  • Es gibt keine Backdoors
  • über 20 Jahre Internet-Security-Erfahrung
  • Mehrfach ausgezeichnet
  • Support direkt durch unsere Entwickler
  • Fachhändler-Treue
  • Made in Germany