S/MIME加密電子郵件在ESA/CES標籤後丟失內容

簡介

本文說明為什麼在收件人收件箱中收到的Secure/Multipurpose Internet Mail Extensions(S/MIME)電子郵件在通過郵件安全裝置(ESA)或Cloud Email Security(CES)後沒有包含任何內容。

問題：電子郵件在ESA/CES標籤之後丟失其內容。

組織已將其電子郵件配置為使用S/MIME證書簽名或加密，在通過思科ESA/CES裝置傳送後，當電子郵件到達最終收件人收件箱時，其內容似乎已丟失。當ESA/CES配置為修改電子郵件的內容時，通常會發生此行為，ESA/CES的典型修改是免責宣告標籤。

使用S/MIME簽名或加密電子郵件時，將雜湊所有正文內容以保護其完整性。當任何郵件伺服器通過修改正文來篡改內容時，雜湊不再與簽名/加密的內容匹配，從而導致正文內容丟失。

此外，如果使用S/MIME加密或使用「不透明」S/MIME簽名（即p7m檔案）的電子郵件被修改，則接收端的S/MIME軟體可能無法自動識別它們。  對於p7m S/MIME電子郵件，該電子郵件的內容（包括附件）包含在.p7m檔案中。  如果在ESA/CES新增免責宣告標籤時重新組織結構，則此.p7m檔案可能不再位於處理S/MIME的MUA軟體可以正確理解的位置。

通常S/MIME簽名或加密的電子郵件根本不應更改。當ESA/CES是設定為簽署/加密電子郵件的網關時，這應在需要對電子郵件進行任何修改之後完成，而且通常當ESA/CES是在將電子郵件傳送到收件人的郵件伺服器之前處理電子郵件的最後一跳。

解決方案

為了避免ESA/CES操縱或修改來自Internet且經過S/MIME加密的傳入郵件，請配置郵件過濾器以定位郵件以新增X-Header並跳過任何剩餘郵件過濾器，然後建立內容過濾器以定位此X-Header並跳過可能更改正文/附件內容的剩餘內容過濾器。

注意：使用skip-filters()時；操作或跳過剩餘內容過濾器（最終操作）過濾器的順序非常重要。以錯誤的順序設定跳過過濾器可能會使郵件無意中跳過某些過濾器。

這包括但不限於：

• URL過濾重寫，包括防禦，以及安全代理重寫。
• 電子郵件中的免責宣告標籤。
• 電子郵件正文掃描和替換。

附註：要訪問CES Solution命令列，請參閱CES CLI指南。

要配置消息過濾器，請從CLI登入到ESA/CES:

C680.esa.lab> filters


Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new

Enter filter script. Enter '.' on its own line to end.
encrypted_skip:
if (encrypted)
{
insert-header("X-Encrypted", "true");
skip-filters();
}
.
1 filters added.

附註：使用Message Modification設定思科病毒爆發過濾器也會導致S/MIME簽名/加密雜湊失敗。如果郵件策略啟用病毒爆發過濾器並修改郵件，建議禁用匹配郵件策略上的郵件修改，或跳過爆發過濾以及郵件過濾器操作skip-outbreakcheck(); 。

將郵件過濾器配置為使用X-Header標籤加密郵件後，建立內容過濾器以定位此郵件頭並應用跳過剩餘內容過濾器操作。

將此內容過濾器配置到您現有的傳入郵件策略中，加密郵件應跳過剩餘的內容過濾器。

相關資訊

• 如何在ESA上驗證使用S/MIME傳送配置檔案傳送的郵件
• 如何驗證ESA上使用S/MIME接收的郵件
• 技術支援與文件 - Cisco Systems
• Cisco Email Security Appliance — 使用手冊