S/MIME加密邮件在ESA/CES标记后丢失其内容

简介

本文档说明在收件人收件箱中收到的Secure/Multipurpose Internet Mail Extensions (S/MIME)邮件在通过邮件安全设备(ESA)或云邮件安全(CES)后为什么不包含任何内容。

问题：邮件在ESA/CES标记后丢失其内容。

组织已将其邮件配置为由S/MIME证书签名或加密，在通过思科ESA/CES设备发送后，邮件在到达最终收件人收件箱时似乎丢失了内容。通常，当ESA/CES配置为修改邮件内容时，ESA/CES的典型修改是免责声明标记，就会发生此行为。

使用S/MIME签名或加密邮件时，将对所有正文内容进行哈希处理，以保护其完整性。当任何邮件服务器通过修改正文来篡改内容时，哈希值不再与签名/加密的哈希值匹配，从而造成正文内容丢失。

此外，如果使用S/MIME加密或使用“不透明”S/MIME签名（即p7m文件）的邮件被修改，接收端的S/MIME软件可能无法自动识别这些邮件。  对于p7m S/MIME邮件，邮件的内容（包括附件）包含在.p7m文件中。  如果在ESA/CES添加免责声明戳时重新组织结构，则此.p7m文件可能不再位于处理S/MIME的MUA软件可以正确理解它的地方。

通常，由S/MIME签名或加密的电子邮件根本不应更改。当ESA/CES是配置用于签名/加密电子邮件的网关时，这应在需要对电子邮件进行任何修改后完成，通常当ESA/CES是处理电子邮件并将其发送到接收人的邮件服务器之前的最后一跳时。

解决方案

为了避免对来自Internet、经过S/MIME加密的传入电子邮件进行ESA/CES操纵或修改，请配置邮件过滤器以查找邮件并添加X-Header并跳过任何剩余邮件过滤器，然后创建内容过滤器以查找此X-Header并跳过可能会更改正文/附件内容的剩余内容过滤器。

注意：当使用skip-filters()；action或Skip Remaining Content Filters (Final Action)时，过滤器的顺序非常重要。以不正确的顺序设置跳过过滤器可能会使邮件无意中跳过某些过滤器。

这包括但不限于：

• URL过滤重写，包括防病毒和安全代理重写。
• 邮件中带有免责声明标记。
• 邮件正文扫描和替换。

注意：要访问CES解决方案命令行，请参阅CES CLI指南。

要配置邮件过滤器，请从CLI登录到ESA/CES：

C680.esa.lab> filters


Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new

Enter filter script. Enter '.' on its own line to end.
encrypted_skip:
if (encrypted)
{
insert-header("X-Encrypted", "true");
skip-filters();
}
.
1 filters added.

注意：思科病毒爆发过滤器与邮件修改一起设置时，也会导致S/MIME签名/加密哈希失败。如果邮件策略已启用病毒爆发过滤器并修改邮件，建议禁用匹配邮件策略的邮件修改，或跳过爆发过滤以及邮件过滤器操作skip-outbreakcheck()；。

将邮件过滤器配置为使用X-Header标记加密邮件后，创建内容过滤器以定位此邮件头并应用跳过剩余内容过滤器操作。

将此内容过滤器配置为现有传入邮件策略，其中加密邮件应跳过剩余的内容过滤器。

相关信息

• 如何在ESA上验证使用S/MIME发送配置文件发送的邮件
• 如何验证ESA上通过S/MIME接收的邮件
• 技术支持和文档 - Cisco Systems
• 思科邮件安全设备-用户指南