Universal Messenger 7.56.0

Das Release 7.56.0 Build 1910 wurde im Juli 2024 veröffentlicht. Dieses Release umfasst:

Absicherung von REST-Endpunkten mit API-Schlüsseln
Newsletterarchiv: Trackingevent-Export
Trackingevents von Bots und Virenscannern erkennen und ausfiltern
Funktionserweiterungen und Optimierungen
Service Desk 4.3.3
Updates diverser Bibliotheken
REST-Proxy 3.3.0

Absicherung von REST-Endpunkten mit API-Schlüsseln

Ab Version 7.56.0 wird zur Authentifizierung beim Aufruf verschiedener öffentlicher REST-Endpunkte ein API-Schlüssel benötigt. Unter Extras / API-Schlüssel können zu diesem Zweck beliebig viele solcher Schlüssel erzeugt und verwaltet werden.

(Bis auf Weiteres bleibt zur Wahrung der Abwärtskompatibilität die Nutzung des bisher verwendeten “API-Tokens” bzw. “UM Open Password” möglich.)

Jeder API-Schlüssel besteht aus einem (öffentlichen) Schlüssel und einem geheimen Schlüssel. Beide Schlüssel werden zur Authentifizierung an einer dieser Schnittstellen benötigt: Der öffentliche Schlüssel dient als Username, der geheime Schlüssel als Passwort. Beides zusammen muss als Authorization-Header im Basic-Auth-Format übergeben werden.

Jedem API-Schlüssel können eine oder mehrere Berechtigungen zugewiesen werden, die für die Nutzung der verschiedenen Schnittstellen erforderlich sind.

Beim Anlegen und Bearbeiten eines API-Schlüssels kann der Schlüssel aktiviert oder deaktiviert und eine Beschreibung vergeben werden.
Desweiteren können die Berechtigungen ausgewählt werden, die der Schlüssel bekommen soll.

Welche Berechtigungen für welche Schnittstelle erforderlich sind, kann der REST-API-Dokumentation entnommen werden.

Beim Anlegen eines neuen API-Schlüssels besteht einmalig die Möglichkeit, den geheimen Schlüssel zu kopieren. Da der geheime Schlüssel als Hash-Digest in der Datenbank gespeichert wird, kann er zu einem späteren Zeitpunkt nicht mehr eingesehen werden.

Für CSE-Entwickler: Securing REST endpoints with API keys

Newsletterarchiv: Trackingevent-Export

Die Newsletter-Detailansicht im Newsletterarchiv wurde um die Lasche Trackingevent-Export erweitert. Hier kann ein Excel-Report mit den vollständigen Auflistungen aller aufgezeichneten Trackingereignisse heruntergeladen werden.

Die heruntergeladene Excel-Datei enthält die folgenden fünf Seiten:

Views
Clicks
Conversions
Unsubscriptions
Bounces

Optional kann durch Auswahl eines Segments eine Filterung der Empfänger realisiert werden, deren Trackingevents exportiert werden sollen.

Diese neue Funktion kann in Admin-Rollen mit folgender Zeile in der jeweiligen cmsbs-conf/adminRoles/role_XXX.properties-Datei aktiviert werden:

area.NewsletterArchive.TrackingEventExport = true

Per Default ist sie in nicht-Super-Admin-Rollen aus Datenschutzgründen deaktiviert.

Trackingevents von Bots und Virenscannern erkennen und ausfiltern

Die meisten großen E-Mail-Provider rufen zum Schutz ihrer Kunden automatisiert alle Links in empfangenen E-Mails auf, um die verlinkten Seiten u.a. auf Malware zu untersuchen. Diese automatisierten Öffnungen und Klicks eines Newsletter verfälschen folglich die Statistiken.

Der UM kann seit Version 7.56.0 anhand verschiedener Kriterien die aufgezeichneten Öffnungen und Klicks klassifizieren, so dass in darauffolgenden Auswertungen die Möglichkeit besteht, diese automatisiert erzeugten Trackingevents auszufiltern.

Auf den folgenden Seiten kann diese Filterung jeweils aktiviert bzw. deaktiviert werden:

Newsletterarchiv
Newsletter-Detailansicht:
- Newsletter ansehen
- Kennzahlen analysieren
- Öffnungen analysieren
- Klicks analysieren
- Trackingevent-Export
Newsletter-Serien

In Bestandsinstallationen muss die Klassifzierung der eingegangenen Trackingereignisse ggf. erst in der cmsbs.properties-Datei aktiviert werden:

cmsbs.tracker.startclassifier = true

Service Desk 4.3.3

Die mitgeliederte Version der Service Desk App wurde auf Version 4.3.3 aktualisiert.

Funktionsverbesserungen

Bouncebehandlung: Anpassung der Defaults

Die UM-internen Voreinstellungen und die Einstellungen in der cmsbs.properties-Datei einer neuen UM-Installation wurden gemäß den Empfehlungen aus Universal Messenger 7.54.0 | Bouncebehandlung allgemein angepasst:

# Beim ersten Hardbounce abmelden:
cmsbs.bounce.hardbounce.max            =  1

# Bei Softbounces / Autoresponds nicht direkt abmelden:
cmsbs.bounce.softbounce.max            = -1
cmsbs.bounce.autorespond.max           = -1

# Nach fünf Bounces hintereinander direkt abmelden:
cmsbs.bounce.newsletter.max_in_a_row   =  5

Core Scripting Engine

Zur Verifizierung von per RSA signierten JSON-Web-Tokens (JWT) wird nun die Bibliothek jwks-rsa von auth0 mitgeliefert.

Eine mögliche NullPointerException beim Setzen eines Passwort-Feldes per CSE-API wurde beseitigt.

Mail-Relays

Unter Extras / Mail-Relays können nun die Zähler und Warnungen per Knopfdruck zurückgesetzt werden.

Fehlerkorrekturen

Embedded Tomcat

Bei der Verwendung des UM im embedded Tomcat konnte es unter speziellen Umständen zu einer ClassCastException beim per CSE ausgelösten E-Mailversand kommen. Dieser Fehler wurde nun behoben.

REST-Proxy

Der Transfer-Encoding-Header wird nun nicht mehr fälschlicherweise aus der Originalanfrage übernommen.

Statt des Status-Codes 503 sendet der REST-Proxy nun eine 403, wenn ein Request aufgrund der konfigurierten Whitelist abgelehnt wird.

Backoffice-Login gegen LDAP

Wenn beim Backoffice-Login der initiale Bind zum LDAP-Server fehlschlägt, wird nun – je nach Konfiguration – trozdem noch der Login gegen die interne Benutzerverwaltung ermöglicht. In allen bisherigen Versionen wurde der Login in diesem Fall sonst immer abgelehnt, selbst wenn es einen passenden Nutzereintrag in der internen Benutzerverwaltung gegeben hätte.

Bearbeitung von App-Instanzen im Firefox

Nach der Bearbeitung von App-Instanzen konnte es im Firefox zu einer ungewollten “Seite erneut laden”-Rückfrage des Browsers kommen. Diese wurde nun beseitigt.

Job "Einträge mit offenen Anmeldungen löschen"

EIn Fehler im Zusammenhang mit abgelaufenen Newsletter-Anmeldungen wurde behoben.