I messaggi di posta elettronica crittografati S/MIME perdono il contenuto dopo i tag ESA/CES

Opzioni per il download

  • PDF     (320.6 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (154.2 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (141.0 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:26 maggio 2020
ID documento:214696

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene illustrato il motivo per cui i messaggi di posta elettronica S/MIME (Secure/Multipurpose Internet Mail Extensions) ricevuti nella cartella Posta in arrivo dei destinatari non contengono contenuti dopo essere passati attraverso Email Security Appliance (ESA) o Cloud Email Security (CES).

    Problema: le e-mail perdono il loro contenuto dopo i tag ESA/CES.

    Un'organizzazione ha configurato i propri messaggi di posta elettronica in modo che vengano firmati o crittografati tramite certificati S/MIME e, dopo l'invio tramite un dispositivo Cisco ESA/CES, il contenuto dell'e-mail sembra essere stato perso quando arriva nella cartella Posta in arrivo dei destinatari finali. Questo comportamento si verifica in genere quando l'ESA/CES è configurato per modificare il contenuto dell'e-mail; la modifica tipica dell'ESA/CES è l'etichettatura di esclusione di responsabilità.

    Quando un messaggio e-mail viene firmato o crittografato con S/MIME, viene eseguito l'hashing di tutto il contenuto del corpo per proteggerne l'integrità. Quando i server di posta alterano il contenuto modificandone il corpo, l'hash non corrisponde più a quello firmato/crittografato e a sua volta causa la perdita del contenuto del corpo.

    Inoltre, i messaggi di posta elettronica crittografati con S/MIME o che utilizzano la firma S/MIME 'opaca' (ovvero i file p7m) potrebbero non essere riconosciuti automaticamente dal software S/MIME sul lato ricevente se vengono modificati.  Nel caso di un'e-mail p7m S/MIME, il contenuto dell'e-mail, inclusi gli allegati, è contenuto nel file .p7m.  Se la struttura viene riorganizzata quando l'ESA/CES aggiunge il timbro di esclusione di responsabilità, questo file .p7m potrebbe non trovarsi più in una posizione in cui il software MUA che gestisce l'S/MIME possa comprenderlo correttamente.

    In genere i messaggi di posta elettronica firmati o crittografati da S/MIME non devono essere modificati. Quando l'ESA/CES è il gateway configurato per firmare/criptare un'e-mail, ciò deve essere fatto dopo ogni modifica dell'e-mail è necessario, e in genere quando l'ESA/CES è l'ultimo hop che gestisce l'e-mail prima di inviarla al server di posta del destinatario.

    Soluzione

    Per evitare la manipolazione ESA/CES o la modifica dei messaggi e-mail in arrivo da Internet che sono crittografati con S/MIME, configurare un filtro messaggi per individuare l'e-mail per aggiungere un'intestazione X-Header e ignorare eventuali filtri messaggi rimanenti, quindi creare un filtro contenuti per individuare questa intestazione X-Header e ignorare i filtri contenuti rimanenti che potrebbero alterare il contenuto del corpo/dell'allegato.

    Attenzione: quando si utilizzano filtri skip(); azione o salta filtri contenuti rimanenti (azione finale), l'ordine dei filtri è molto critico. L'impostazione di un filtro di omissione in un ordine non corretto può consentire al messaggio di ignorare alcuni filtri involontariamente.

    Ciò include, a titolo esemplificativo:

    • Il filtro URL viene riscritto, sia disinnescando che riscrivendo il proxy sicuro.
    • Etichettatura dell'esclusione di responsabilità nell'e-mail.
    • Scansione e sostituzione del corpo dell'e-mail.

    Nota: per accedere alla riga di comando della soluzione CES, consultare la Guida CLI di CES.

    Per configurare un filtro messaggi, accedere a ESA/CES dalla CLI:

    C680.esa.lab> filters


    Choose the operation you want to perform:
    - NEW - Create a new filter.
    - DELETE - Remove a filter.
    - IMPORT - Import a filter script from a file.
    - EXPORT - Export filters to a file
    - MOVE - Move a filter to a different position.
    - SET - Set a filter attribute.
    - LIST - List the filters.
    - DETAIL - Get detailed information on the filters.
    - LOGCONFIG - Configure log subscriptions used by filters.
    - ROLLOVERNOW - Roll over a filter log file.
    []> new

    Enter filter script. Enter '.' on its own line to end.
    encrypted_skip:
    if (encrypted)
    {
    insert-header("X-Encrypted", "true");
    skip-filters();
    }
    .
    1 filters added.

    Nota: se i filtri epidemie di virus Cisco sono impostati con la modifica del messaggio, l'hash di firma/crittografia S/MIME non riesce. Se nel criterio di posta sono attivati i filtri epidemie di virus con la modifica del messaggio, è consigliabile disattivare la modifica del messaggio nel criterio di posta corrispondente o ignorare il filtro epidemie e un'operazione filtro messaggi di skip-outbreakcheck(); .

    Dopo aver configurato il filtro messaggi per contrassegnare i messaggi di posta elettronica crittografati con un'intestazione X, creare un filtro contenuti per individuare l'intestazione e applicare l'operazione di filtro ignora contenuto rimanente.

    Configura questo filtro contenuti nei criteri di posta in arrivo esistenti in cui i messaggi di posta elettronica crittografati devono ignorare i filtri contenuti rimanenti.

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    01-Aug-2019
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Mathew Huynh
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti