はじめに
このドキュメントでは、受信者の受信トレイで受信したセキュア/多目的インターネットメール拡張機能(S/MIME)電子メールに、電子メールセキュリティアプライアンス(ESA)またはクラウド電子メールセキュリティ(CES)を通過した後のコンテンツが含まれていない理由について説明します。
問題:電子メールは、ESA/CESタグの後にコンテンツを失います。
ある組織では、電子メールがS/MIME証明書によって署名または暗号化されるように設定しており、Cisco ESA/CESデバイスを介して送信された後、その電子メールが最終受信者の受信トレイに届いたときに、その内容が失われたように見えます。この動作は通常、ESA/CESが電子メールの内容を変更するように設定されている場合に発生します。ESA/CESからの一般的な変更は、免責事項のタギングです。
電子メールがS/MIMEを使用して署名または暗号化されると、すべての本文コンテンツは整合性を保護するためにハッシュされます。メールサーバが本文を変更してコンテンツを改ざんすると、ハッシュは署名/暗号化されたハッシュと一致しなくなり、本文のコンテンツが失われます。
さらに、S/MIMEで暗号化された電子メールや、「不透明」なS/MIME署名(つまり、p7mファイル)を使用した電子メールは、変更された場合、受信側のS/MIMEソフトウェアによって自動的に認識されない場合があります。 p7m S/MIME電子メールの場合、電子メールの内容(添付ファイルを含む)は.p7mファイルに含まれています。 ESA/CESが免責事項のスタンピングを追加する際に構造が再構成されると、この.p7mファイルは、S/MIMEを処理するMUAソフトウェアが適切に理解できる場所に存在しなくなる可能性があります。
通常、S/MIMEによって署名または暗号化された電子メールは、一切変更しないでください。ESA/CESが電子メールに署名/暗号化するように設定されたゲートウェイである場合、これは電子メールの変更が必要になった後に行う必要があります。一般に、ESA/CESが受信者のメールサーバに送信する前に電子メールを処理する最後のホップである場合です。
解決方法
S/MIME暗号化されたインターネットからの着信EメールのESA/CES操作または変更を回避するには、メッセージフィルタを設定してEメールを検索し、X-Headerを追加して残りのメッセージフィルタをスキップします。次に、コンテンツフィルタを作成してこのX-Headerを検索し、本文/添付ファイルの内容を変更する可能性のある残りのコンテンツフィルタをスキップします。
注意: skip-filters();actionまたはSkip Remaining Content Filters (Final Action)を使用する場合、フィルタの順序は非常に重要です。スキップフィルタを誤った順序で設定すると、メッセージが意図しない一部のフィルタをスキップする可能性があります。
これには以下が含まれますが、これらに限定されません。
- URLフィルタリングの書き換え(デフラグとセキュアなプロキシの両方の書き換え)。
- 電子メールにタグ付けする免責事項
- メール本文のスキャンと置換。
注:CESソリューションコマンドラインへのアクセス方法については、『CES CLIガイド』を参照してください。
メッセージフィルタを設定するには、CLIからESA/CESにログインします。
C680.esa.lab> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script. Enter '.' on its own line to end.
encrypted_skip:
if (encrypted)
{
insert-header("X-Encrypted", "true");
skip-filters();
}
.
1 filters added.
注:Cisco Virus Outbreak FiltersがMessage Modificationを使用して設定されている場合も、S/MIME署名/暗号化ハッシュが失敗します。メールポリシーのウイルスアウトブレイクフィルタでメッセージの変更が有効にされている場合は、一致するメールポリシーでのメッセージの変更やスキップアウトブレイクフィルタを無効にすることと、skip-outbreakcheck();のメッセージフィルタアクションを使用することを推奨します。
暗号化された電子メールにXヘッダーのタグを付けるようにメッセージフィルタを設定したら、コンテンツフィルタを作成してこのヘッダーを検索し、残りのコンテンツフィルタをスキップするアクションを適用します。
このコンテンツフィルタを既存の受信メールポリシーに設定します。暗号化された電子メールは、残りのコンテンツフィルタをスキップします。
関連情報