S/MIME 암호화된 이메일은 ESA/CES 태그 후 콘텐츠를 잃게 됨

소개

이 문서에서는 수신인 받은 편지함에서 받은 S/MIME(Secure/Multipurpose Internet Mail Extensions) 이메일에 ESA(Email Security Appliance) 또는 CES(Cloud Email Security)를 통과한 후 내용이 포함되지 않는 이유에 대해 설명합니다.

문제/장애:이메일은 ESA/CES 태그 후에 내용이 손실됩니다.

조직에서 S/MIME 인증서로 서명 또는 암호화하도록 이메일을 구성했으며, Cisco ESA/CES 디바이스를 통해 전송된 후 최종 수신자에게 수신될 때 이메일의 콘텐츠가 손실된 것으로 보입니다.이 동작은 일반적으로 ESA/CES가 이메일 내용을 수정하도록 구성되었을 때 발생합니다. ESA/CES의 일반적인 수정 사항은 면책조항 태깅입니다.

이메일이 S/MIME으로 서명되거나 암호화되면 모든 본문 콘텐츠가 해시되어 무결성을 보호합니다.메일 서버가 본문을 수정하여 콘텐츠를 변조할 경우 해시는 더 이상 서명/암호화된 해시와 일치하지 않으며 그 결과로 본문 콘텐츠가 손실됩니다.

또한 S/MIME으로 암호화되거나 'opaque' S/MIME 서명(예: p7m 파일)을 사용하는 이메일은 수정될 경우 수신 끝의 S/MIME 소프트웨어에서 자동으로 인식하지 못할 수 있습니다.  p7m S/MIME 이메일의 경우 첨부 파일을 포함한 이메일의 내용은 .p7m 파일에 포함됩니다.  ESA/CES에서 면책조항 스탬프를 추가할 때 구조가 다시 구성된 경우 이 .p7m 파일은 더 이상 S/MIME을 처리하는 MUSA 소프트웨어가 이를 제대로 이해할 수 없는 위치에 있지 않을 수 있습니다.

일반적으로 S/MIME에 의해 서명되거나 암호화된 이메일은 전혀 변경하지 않아야 합니다.ESA/CES가 이메일 서명/암호화를 위해 구성된 게이트웨이인 경우, 이메일을 수정해야 하는 경우, 일반적으로 ESA/CES가 이메일을 수신자의 메일 서버로 전송하기 전에 해당 이메일을 처리하는 마지막 홉인 경우 이 작업을 수행해야 합니다.

솔루션

ESA/CES 조작 또는 S/MIME으로 암호화된 인터넷에서 들어오는 이메일이 수정되지 않도록 하려면 메시지 필터를 구성하여 X-Header를 추가하고 나머지 메시지 필터를 건너뛰고, 콘텐츠 필터를 생성하여 이 X-Header를 찾고 본문/첨부 파일 내용을 변경할 수 있는 나머지 콘텐츠 필터를 건너뜁니다.

주의:skip-filters(); 작업 시필터 순서가 매우 중요합니다.잘못된 순서로 건너뛰기 필터를 설정하면 메시지가 예기치 않은 일부 필터를 건너뛸 수 있습니다.

여기에는 다음이 포함되며 이에 국한되지 않습니다.

• URL 필터링 재작성, 기본 및 보안 프록시 재작성 모두
• 이메일에 면책조항 태깅.
• 이메일 본문 스캔 및 교체

참고:CES 솔루션 명령줄에 액세스하려면 CES CLI 가이드를 참조하십시오.

메시지 필터를 구성하려면 CLI에서 ESA/CES에 로그인합니다.

C680.esa.lab> filters


Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new

Enter filter script. Enter '.' on its own line to end.
encrypted_skip:
if (encrypted)
{
insert-header("X-Encrypted", "true");
skip-filters();
}
.
1 filters added.

참고:Cisco Virus Outbreak Filters를 Message Modification으로 설정하면 S/MIME 서명/암호화 해시가 실패합니다.메일 정책에 메시지 수정과 함께 Virus Outbreak Filters가 활성화된 경우, 일치하는 메일 정책에서 메시지 수정을 비활성화하거나 Outbreak Filtering을 건너뛰는 것은 물론 메시지 필터 작업을 skip-outbreakcheck();을 건너뛰는 것이 좋습니다.

메시지 필터가 X-Header로 암호화된 이메일에 태그를 지정하도록 구성된 후 이 헤더를 찾고 나머지 콘텐츠 필터 건너뛰기 작업을 적용할 콘텐츠 필터를 만듭니다.

암호화된 이메일이 남아 있는 콘텐츠 필터를 건너뛰어야 하는 기존 수신 메일 정책에 이 콘텐츠 필터를 구성합니다.

관련 정보

• ESA에서 S/MIME 전송 프로필로 전송된 메시지를 확인하는 방법
• ESA에서 S/MIME으로 받은 메시지를 확인하는 방법
• 기술 지원 및 문서 − Cisco Systems
• Cisco Email Security Appliance - 사용 설명서