簡介
本文檔說明在收件人收件箱中接收的Secure/Multipurpose Internet Mail Extensions (S/MIME)電子郵件在透過郵件安全裝置(ESA)或Cloud Email Security (CES)後未包含任何內容的原因。
問題:電子郵件在ESA/CES標籤後丟失其內容。
組織已將其電子郵件配置為使用S/MIME證書簽名或加密,在透過思科ESA/CES裝置傳送後,電子郵件在到達最終收件者收件箱時似乎丟失了內容。當ESA/CES配置為修改電子郵件內容時,通常會發生此行為,ESA/CES的典型修改是免責宣告標籤。
使用S/MIME簽名或加密電子郵件時,會對所有正文內容進行雜湊處理,以保護其完整性。當任何郵件伺服器透過修改正文來篡改內容時,雜湊不再與已簽名/加密的內容匹配,從而導致正文內容丟失。
此外,如果使用S/MIME加密或使用「不透明」S/MIME簽名(即p7m檔案)的電子郵件被修改,接收端的S/MIME軟體可能無法自動辨識。 如果是p7m S/MIME電子郵件,則電子郵件的內容(包括附件)包含在.p7m檔案中。 如果在ESA/CES增加免責宣告標籤時重新組織結構,則此.p7m檔案可能不再位於處理S/MIME的MUA軟體可以正確理解它的位置。
通常,由S/MIME簽名或加密的電子郵件根本不應更改。當ESA/CES是設定用來簽署/加密電子郵件的閘道時,這應該在需要修改電子郵件之後完成,而且通常當ESA/CES是電子郵件傳送至收件者郵件伺服器之前處理電子郵件的最後一躍點時。
解決方案
為避免來自Internet且經過S/MIME加密的傳入電子郵件受到ESA/CES的操縱或修改,請配置郵件過濾器以查詢郵件增加X-Header並跳過任何剩餘郵件過濾器,然後建立內容過濾器以查詢此X-Header並跳過可能會更改正文/附件內容的剩餘內容過濾器。
注意:使用skip-filters()、action或Skip Remaining Content Filters (Final Action)時,濾鏡的順序非常重要。以不正確的順序設定跳過過濾器可能會使郵件無意中跳過某些過濾器。
這包括但不限於:
- URL過濾重寫,包括預設和安全Proxy重寫。
- 電子郵件中的免責宣告標籤。
- 電子郵件正文掃描和替換。
注意:要訪問CES Solution命令列,請參閱CES CLI指南。
要配置消息過濾器,請從CLI登入到ESA/CES:
C680.esa.lab> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script. Enter '.' on its own line to end.
encrypted_skip:
if (encrypted)
{
insert-header("X-Encrypted", "true");
skip-filters();
}
.
1 filters added.
注意:使用Message Modification設定思科病毒爆發過濾器時,也會導致S/MIME簽名/加密雜湊失敗。如果郵件策略啟用了病毒爆發過濾器並修改了郵件,則建議停用匹配郵件策略的郵件修改,或跳過爆發過濾以及郵件過濾器操作skip-outbreakcheck();。
將郵件過濾器配置為使用X-Header標籤加密郵件後,建立內容過濾器以查詢此郵件頭,並應用跳過剩餘內容過濾器操作。
將此內容過濾器配置到您現有的傳入郵件策略中,加密的電子郵件應跳過剩餘的內容過濾器。
相關資訊