S/MIME для подписывания и шифрования сообщений в Exchange Server

Применимо к: Exchange Server 2013

S/MIME (безопасные и многоцелевые расширения электронной почты) — это широко распространенный метод (или, точнее, протокол) для отправки сообщений с цифровой подписью и шифрованием. S/MIME позволяет шифровать электронные письма и добавлять к ним цифровую подпись. При использовании S/MIME с сообщением электронной почты пользователи, получающие это сообщение, могут убедиться, что то, что они видят в папке "Входящие", является точным сообщением, которое началось с отправителя. Это также поможет людям, получающим сообщения, убедиться, что сообщение поступило от конкретного отправителя, а не от того, кто притворяется отправителем. Для этого S/MIME предоставляет службы криптографической безопасности, такие как проверка подлинности, обеспечение целостности сообщений и неотрекаемости источника (с помощью цифровых подписей). Это также помогает повысить конфиденциальность и безопасность данных (с помощью шифрования) для электронных сообщений. Полный обзор истории и архитектуры S/MIME в контексте электронной почты см. в этой статье.

Администратор Exchange может включить безопасность на основе S/MIME для почтовых ящиков в вашей организации. Чтобы настроить S/MIME, воспользуйтесь рекомендациями, приведенными здесь, вместе с командной консолью Exchange. Чтобы использовать S/MIME в поддерживаемых почтовых клиентах, пользователи в вашей организации должны иметь сертификаты, выданные для подписывания и шифрования, а также данные, опубликованные в вашей локальной доменной службе Active Directory (AD DS). Ad DS должны находиться на компьютерах в физическом расположении, которое вы контролируете, а не в удаленном объекте или облачной службе в Интернете. Дополнительные сведения о доменных службах Active Directory см. в разделе Доменные службы Active Directory.

Поддерживаемые сценарии и технические рекомендации

S/MIME можно настроить для работы со следующими конечными точками:

  • Outlook 2010 или более поздней версии;

  • Outlook Web App (OWA)

  • Exchange ActiveSync (EAS).

Действия, которые необходимо выполнить для настройки S/MIME с каждой из этих конечных точек, немного отличаются. Как правило, вам потребуется выполнить следующие действия.

  • Установите центр сертификации на основе Windows и настройте инфраструктуру открытых ключей для выдачи сертификатов S/MIME. Также поддерживаются сертификаты, выданные сторонними поставщиками сертификатов. Дополнительные сведения см. в статье Обзор служб сертификатов Active Directory.

  • Опубликуйте сертификат пользователя в локальной учетной записи AD DS в атрибутах UserSMIMECertificate и (или ) UserCertificate .

  • Настройте коллекцию виртуальных сертификатов для проверки S/MIME. Эти сведения используются OWA при проверке подписи электронной почты и обеспечении его подписи доверенным сертификатом.

  • Настройте конечную точку Outlook или EAS для использования S/MIME.

Настройка S/MIME с помощью Outlook Web App

Настройка S/MIME в OWA включает следующие ключевые шаги.

  1. Настройка параметров S/MIME в Exchange Server для Outlook Web App

  2. Настройка коллекции виртуальных сертификатов в Exchange Server для проверки S/MIME

По мере того как безопасность сообщений становится более важной, администраторы должны понимать принципы и концепции безопасного обмена сообщениями. Это понимание особенно важно из-за растущего разнообразия доступных технологий, связанных с защитой (включая S/MIME). Дополнительные сведения о S/MIME и его работе в контексте электронной почты см. в статье Общие сведения о S/MIME. Различные технологии шифрования совместно обеспечивают защиту неактивных и передаваемых сообщений. S/MIME может работать одновременно со следующими технологиями, но не зависит от них:

  • Tls шифрует туннель или маршрут между серверами электронной почты, чтобы предотвратить перехват и перехват.

  • Ssl шифрует подключение между почтовыми клиентами и серверами Microsoft 365 или Office 365.

  • BitLocker шифрует данные на жестком диске в центре обработки данных, чтобы, если кто-то получил несанкционированный доступ, он не смог прочитать их.

Сравнение S/MIME с шифрованием сообщений

Для применения S/MIME требуется сертификат и инфраструктура публикации, которая часто используется при взаимодействии с корпоративными клиентами и конечными потребителями. Пользователь управляет криптографическими ключами в S/MIME и может выбрать, будут ли они применяться для каждого отправляемого сообщения. Почтовые программы, такие как Outlook, выполняют поиск в расположении доверенного корневого центра сертификации для добавления цифровой подписи и ее проверки. Шифрование сообщений — это служба шифрования на основе политик, которая может быть настроена администратором, а не отдельным пользователем, для шифрования почты, отправляемой кому-либо в организации или за ее пределами. Это веб-служба, созданная на основе Azure Rights Management (RMS) и не используюющая инфраструктуру открытых ключей. Шифрование сообщений также предоставляет дополнительные возможности, такие как возможность настройки почты с использованием фирменной символики организации. Дополнительные сведения о шифровании сообщений см. в разделе Шифрование.

Дополнительная информация

Outlook Web App

Secure Mail (2000)