S/MIME加密電子郵件在ESA/CES標籤後丟失內容

下載選項

  • PDF     (415.6 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (146.6 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (131.7 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2020 年 5 月 26 日
文件 ID:214696

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔說明在收件人收件箱中接收的Secure/Multipurpose Internet Mail Extensions (S/MIME)電子郵件在透過郵件安全裝置(ESA)或Cloud Email Security (CES)後未包含任何內容的原因

    問題:電子郵件在ESA/CES標籤後丟失其內容。

    組織已將其電子郵件配置為使用S/MIME證書簽名或加密,在透過思科ESA/CES裝置傳送後,電子郵件在到達最終收件者收件箱時似乎丟失了內容。當ESA/CES配置為修改電子郵件內容時,通常會發生此行為,ESA/CES的典型修改是免責宣告標籤。

    使用S/MIME簽名或加密電子郵件時,會對所有正文內容進行雜湊處理,以保護其完整性。當任何郵件伺服器透過修改正文來篡改內容時,雜湊不再與已簽名/加密的內容匹配,從而導致正文內容丟失。

    此外,如果使用S/MIME加密或使用「不透明」S/MIME簽名(即p7m檔案)的電子郵件被修改,接收端的S/MIME軟體可能無法自動辨識。  如果是p7m S/MIME電子郵件,則電子郵件的內容(包括附件)包含在.p7m檔案中。  如果在ESA/CES增加免責宣告標籤時重新組織結構,則此.p7m檔案可能不再位於處理S/MIME的MUA軟體可以正確理解它的位置。

    通常,由S/MIME簽名或加密的電子郵件根本不應更改。當ESA/CES是設定用來簽署/加密電子郵件的閘道時,這應該在需要修改電子郵件之後完成,而且通常當ESA/CES是電子郵件傳送至收件者郵件伺服器之前處理電子郵件的最後一躍點時。

    解決方案

    為避免來自Internet且經過S/MIME加密的傳入電子郵件受到ESA/CES的操縱或修改,請配置郵件過濾器以查詢郵件增加X-Header並跳過任何剩餘郵件過濾器,然後建立內容過濾器以查詢此X-Header並跳過可能會更改正文/附件內容的剩餘內容過濾器。

    注意:使用skip-filters()、action或Skip Remaining Content Filters (Final Action)時,濾鏡的順序非常重要。以不正確的順序設定跳過過濾器可能會使郵件無意中跳過某些過濾器。

    這包括但不限於:

    • URL過濾重寫,包括預設和安全Proxy重寫。
    • 電子郵件中的免責宣告標籤。
    • 電子郵件正文掃描和替換。

    注意:要訪問CES Solution命令列,請參閱CES CLI指南

    要配置消息過濾器,請從CLI登入到ESA/CES:

    C680.esa.lab> filters


    Choose the operation you want to perform:
    - NEW - Create a new filter.
    - DELETE - Remove a filter.
    - IMPORT - Import a filter script from a file.
    - EXPORT - Export filters to a file
    - MOVE - Move a filter to a different position.
    - SET - Set a filter attribute.
    - LIST - List the filters.
    - DETAIL - Get detailed information on the filters.
    - LOGCONFIG - Configure log subscriptions used by filters.
    - ROLLOVERNOW - Roll over a filter log file.
    []> new

    Enter filter script. Enter '.' on its own line to end.
    encrypted_skip:
    if (encrypted)
    {
    insert-header("X-Encrypted", "true");
    skip-filters();
    }
    .
    1 filters added.

    注意:使用Message Modification設定思科病毒爆發過濾器時,也會導致S/MIME簽名/加密雜湊失敗。如果郵件策略啟用了病毒爆發過濾器並修改了郵件,則建議停用匹配郵件策略的郵件修改,或跳過爆發過濾以及郵件過濾器操作skip-outbreakcheck();

    將郵件過濾器配置為使用X-Header標籤加密郵件後,建立內容過濾器以查詢此郵件頭,並應用跳過剩餘內容過濾器操作。

    將此內容過濾器配置到您現有的傳入郵件策略中,加密的電子郵件應跳過剩餘的內容過濾器。

    相關資訊

    修訂記錄

    修訂 發佈日期 意見
    1.0
    01-Aug-2019
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Mathew Huynh
      Cisco TAC Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品