Los correos electrónicos cifrados S/MIME pierden su contenido después de las etiquetas ESA/CES

Introducción

Este documento describe porqué los correos electrónicos seguros/de los Multipurpose Internet Mail Extension (S/MIME) recibidos en el buzón de entrada de los beneficiarios no contienen ningún contenido después de pasar con la Seguridad del correo electrónico del dispositivo de seguridad (ESA) o de la nube del correo electrónico (CES).

Problema: Los correos electrónicos pierden su contenido después de las etiquetas ESA/CES.

Una organización ha configurado sus correos electrónicos que se firmarán o cifrado por los Certificados S/MIME y después de ser enviado a través de un dispositivo de Cisco ESA/CES, el correo electrónico aparece haber perdidolo está contento cuando llega en el buzón de entrada de los beneficiarios del extremo. Este comportamiento ocurre generalmente cuando el ESA/CES se configura para modificar el contenido del correo electrónico, la modificación típica del ESA/CES es el marcar con etiqueta de la negación.

Cuando un correo electrónico se firma o se cifra con S/MIME, todo el contenido del cuerpo se desmenuza para proteger su integridad. Cuando cualquier servidor del correo trata de forzar con el contenido modificando el cuerpo, del hash las coincidencias no más el que fue firmada/cifrada y a su vez hacen el contenido del cuerpo ser perdidas.

Además, los correos electrónicos que se cifran con la firma “opaca” S/MIME o S/MIME del uso (es decir los ficheros p7m) no se pueden reconocer automáticamente por el software S/MIME en el extremo receptor si se modifican.  En el caso de un correo electrónico p7m S/MIME, el contenido del correo electrónico, incluyendo las conexiones, se contiene dentro del fichero de los .p7m.  Si se reorganiza la estructura cuando el ESA/CES agrega la negación que sella, este fichero de los .p7m puede no más ser en un lugar en donde el software M.U.A. que dirige el S/MIME puede entenderlo correctamente.

Los correos electrónicos que son firmados o cifrados por S/MIME no se deben alterar típicamente en absoluto. Cuando el ESA/CES es el gateway configurado para firmar/cifre un correo electrónico, esto debe ser hecha después de que cualquier modificación del correo electrónico se requiera, y generalmente cuando el ESA/CES es el último salto que maneja el correo electrónico antes de enviarlo al mail server del beneficiario.

Solución

Para evitar la manipulación ESA/CES o la modificación de los correos electrónicos entrantes de Internet que son S/MIME cifrados, configure un filtro del mensaje para localizar el correo electrónico para agregar una X-encabezado y para saltar cualquier filtro restante del mensaje, seguido creando un filtro contento para localizar esta X-encabezado y para saltar los filtros contentos restantes que pueden alterar el contenido del cuerpo/de la conexión.

Precaución: Al trabajar con el salto-filters(); los filtros contentos restantes de la acción o del salto (última acción) la pedido de los filtros son muy críticos. La determinación de un filtro del salto en una orden incorrecta puede permitir que el mensaje salte algunos filtros involuntarios.

Esto incluye pero no limitado a:

• Las reescrituras del Filtrado de URL, defang y las reescrituras seguras del proxy.
• Negación que marca con etiqueta sobre el correo electrónico.
• La exploración del cuerpo del correo electrónico y substituye.

Nota: Para conseguir el acceso a la línea de comando de la solución CES, refiera por favor a la guía CES CLI.

Para configurar un filtro del mensaje, ábrase una sesión al ESA/CES del CLI:

C680.esa.lab> filters


Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new

Enter filter script. Enter '.' on its own line to end.
encrypted_skip:
if (encrypted)
{
insert-header("X-Encrypted", "true");
skip-filters();
}
.
1 filters added.

Nota: Filtros del brote de virus de Cisco cuando el conjunto con la modificación del mensaje también causa el S/MIME que firma/el hash del cifrado para fallar. En el evento la directiva del correo tiene filtros del brote de virus activados con la modificación del mensaje, se recomienda para inhabilitar la modificación del mensaje en la directiva del correo que corresponde con o para saltar el brote que filtra también con un mensaje Filter Action (Acción de filtro) del salto-outbreakcheck();.

Después de que el filtro del mensaje se configure para marcar los correos electrónicos con etiqueta cifrados con una X-encabezado, para crear un filtro contento para localizar esta encabezado y para aplicar el contenido restante del salto Filter Action (Acción de filtro).

Configure este filtro contento en sus directivas existentes del correo entrante donde los correos electrónicos cifrados deben saltar los filtros contentos que permanecen.

Información Relacionada

• Cómo verificar los mensajes enviados con S/MIME que envía el perfil en el ESA
• Cómo verificar los mensajes recibidos con S/MIME en el ESA
• Soporte Técnico y Documentación - Cisco Systems
• Dispositivo de seguridad del correo electrónico de Cisco - Guías de usuario