S/MIME Verschlüsselte E-Mails verlieren ihren Inhalt nach ESA/CES-Tags

Einleitung

In diesem Dokument wird erläutert, warum E-Mails der Secure/Multipurpose Internet Mail Extensions (S/MIME), die im Posteingang des Empfängers eingehen, nach der Weiterleitung über die Email Security Appliance (ESA) oder die Cloud Email Security (CES) keinen Inhalt enthalten.

Problem: E-Mails verlieren ihren Inhalt nach den ESA/CES-Tags.

Eine Organisation hat ihre E-Mails so konfiguriert, dass sie von S/MIME-Zertifikaten signiert oder verschlüsselt werden. Nachdem sie über ein Cisco ESA/CES-Gerät gesendet wurden, scheint die E-Mail ihren Inhalt verloren zu haben, wenn sie im Posteingang der Endempfänger eingeht. Dieses Verhalten tritt in der Regel dann auf, wenn ESA/CES so konfiguriert ist, dass der Inhalt der E-Mail geändert wird. Die typische Änderung von ESA/CES ist das Tagging von Haftungsausschlüssen.

Wenn eine E-Mail mit S/MIME signiert oder verschlüsselt wird, wird der gesamte Textkörper gehasht, um seine Integrität zu schützen. Wenn E-Mail-Server den Inhalt manipulieren, indem sie den Text ändern, stimmt der Hash nicht mehr mit dem signierten/verschlüsselten Inhalt überein und führt dazu, dass der Text-Inhalt verloren geht.

Darüber hinaus können E-Mails, die mit S/MIME verschlüsselt sind oder 'opake' S/MIME-Signaturen (d. h. p7m-Dateien) verwenden, von der S/MIME-Software auf der empfangenden Seite nicht automatisch erkannt werden, wenn sie modifiziert werden.  Im Fall einer p7m S/MIME-E-Mail ist der Inhalt der E-Mail, einschließlich der Anhänge, in der .p7m-Datei enthalten.  Wenn die Struktur neu organisiert wird, wenn die ESA/CES den Disclaimer-Stempel hinzufügt, befindet sich diese .p7m-Datei möglicherweise nicht mehr an einem Ort, an dem die MUA-Software, die das S/MIME behandelt, dies richtig verstehen kann.

In der Regel sollten E-Mails, die von S/MIME signiert oder verschlüsselt wurden, überhaupt nicht verändert werden. Wenn die ESA/CES das Gateway ist, das zum Signieren/Verschlüsseln einer E-Mail konfiguriert ist, sollte dies nach jeder Änderung der E-Mail erfolgen, und in der Regel, wenn die ESA/CES der letzte Hop ist, der die E-Mail behandelt, bevor sie an den Mail-Server des Empfängers gesendet wird.

Lösung

Um die Manipulation oder Änderung von eingehenden E-Mails aus dem Internet zu vermeiden, die S/MIME-verschlüsselt sind, konfigurieren Sie einen Nachrichtenfilter, um die E-Mail zu lokalisieren, um einen X-Header hinzuzufügen, und überspringen Sie alle verbleibenden Nachrichtenfilter. Erstellen Sie anschließend einen Content-Filter, um diesen X-Header zu lokalisieren, und überspringen Sie die übrigen Content-Filter, die den Text-/Anhang-Inhalt ändern können.

Achtung: Beim Arbeiten mit skip-filters(); action oder Skip Remaining Content Filters (Final Action) ist die Reihenfolge der Filter sehr kritisch. Wenn Sie einen Übersprungsfilter in einer falschen Reihenfolge einstellen, kann die Nachricht einige Filter unbeabsichtigt überspringen.

Dazu gehören unter anderem:

• Die URL-Filterung schreibt sowohl standardmäßige als auch sichere Proxys um.
• Haftungsausschluss-Kennzeichnung auf der E-Mail.
• Scannen und Ersetzen des E-Mail-Textkörpers

Hinweis: Informationen zum Zugriff auf die Befehlszeile der CES-Lösung finden Sie im CES CLI Guide.

Um einen Nachrichtenfilter zu konfigurieren, melden Sie sich über die CLI bei der ESA/CES an:

C680.esa.lab> filters


Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new

Enter filter script. Enter '.' on its own line to end.
encrypted_skip:
if (encrypted)
{
insert-header("X-Encrypted", "true");
skip-filters();
}
.
1 filters added.

Hinweis: Wenn Cisco Virus-Outbreak-Filter mit Nachrichtenmodifizierung festgelegt werden, schlägt auch der S/MIME-Signierungs-/Verschlüsselungs-Hash fehl. Falls in der Mail-Policy Virus-Outbreak-Filter mit Nachrichtenmodifikation aktiviert sind, wird empfohlen, die Nachrichtenmodifikation in der passenden Mail-Policy zu deaktivieren oder die Outbreak-Filterung mit einer Nachrichtenfilteraktion von skip-outbreakcheck(); zu überspringen.

Nachdem der Nachrichtenfilter so konfiguriert wurde, dass er verschlüsselte E-Mails mit einem X-Header kennzeichnet, erstellen Sie einen Content-Filter, um diesen Header zu finden, und wenden Sie die Aktion zum Überspringen des verbleibenden Content-Filters an.

Konfigurieren Sie diesen Content-Filter in Ihre vorhandenen Richtlinien für eingehende E-Mails, wobei die verbleibenden Content-Filter von den verschlüsselten E-Mails übersprungen werden sollen.

Zugehörige Informationen

• Verifizieren von Nachrichten, die mit dem S/MIME-Sendeprofil auf der ESA gesendet wurden
• Verifizieren der mit S/MIME empfangenen Meldungen auf der ESA
• Technischer Support und Dokumentation für Cisco Systeme
• Cisco Email Security Appliance - Benutzerhandbücher