ESA/CESタグの後にS/MIME暗号化された電子メールがコンテンツを失う

ダウンロード オプション

  • PDF     (398.9 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (146.3 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (132.5 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2020 年 5 月 26 日
Document ID:214696

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、受信者の受信トレイで受信したセキュア/多目的インターネットメール拡張機能(S/MIME)電子メールに、電子メールセキュリティアプライアンス(ESA)またはクラウド電子メールセキュリティ(CES)を通過した後のコンテンツが含まれていない理由について説明します。

    問題:電子メールは、ESA/CESタグの後にコンテンツを失います。

    ある組織では、電子メールがS/MIME証明書によって署名または暗号化されるように設定しており、Cisco ESA/CESデバイスを介して送信された後、その電子メールが最終受信者の受信トレイに届いたときに、その内容が失われたように見えます。この動作は通常、ESA/CESが電子メールの内容を変更するように設定されている場合に発生します。ESA/CESからの一般的な変更は、免責事項のタギングです。

    電子メールがS/MIMEを使用して署名または暗号化されると、すべての本文コンテンツは整合性を保護するためにハッシュされます。メールサーバが本文を変更してコンテンツを改ざんすると、ハッシュは署名/暗号化されたハッシュと一致しなくなり、本文のコンテンツが失われます。

    さらに、S/MIMEで暗号化された電子メールや、「不透明」なS/MIME署名(つまり、p7mファイル)を使用した電子メールは、変更された場合、受信側のS/MIMEソフトウェアによって自動的に認識されない場合があります。  p7m S/MIME電子メールの場合、電子メールの内容(添付ファイルを含む)は.p7mファイルに含まれています。  ESA/CESが免責事項のスタンピングを追加する際に構造が再構成されると、この.p7mファイルは、S/MIMEを処理するMUAソフトウェアが適切に理解できる場所に存在しなくなる可能性があります。

    通常、S/MIMEによって署名または暗号化された電子メールは、一切変更しないでください。ESA/CESが電子メールに署名/暗号化するように設定されたゲートウェイである場合、これは電子メールの変更が必要になった後に行う必要があります。一般に、ESA/CESが受信者のメールサーバに送信する前に電子メールを処理する最後のホップである場合です。

    解決方法

    S/MIME暗号化されたインターネットからの着信EメールのESA/CES操作または変更を回避するには、メッセージフィルタを設定してEメールを検索し、X-Headerを追加して残りのメッセージフィルタをスキップします。次に、コンテンツフィルタを作成してこのX-Headerを検索し、本文/添付ファイルの内容を変更する可能性のある残りのコンテンツフィルタをスキップします。

    注意: skip-filters();actionまたはSkip Remaining Content Filters (Final Action)を使用する場合、フィルタの順序は非常に重要です。スキップフィルタを誤った順序で設定すると、メッセージが意図しない一部のフィルタをスキップする可能性があります。

    これには以下が含まれますが、これらに限定されません。

    • URLフィルタリングの書き換え(デフラグとセキュアなプロキシの両方の書き換え)。
    • 電子メールにタグ付けする免責事項
    • メール本文のスキャンと置換。

    :CESソリューションコマンドラインへのアクセス方法については、『CES CLIガイド』を参照してください。

    メッセージフィルタを設定するには、CLIからESA/CESにログインします。

    C680.esa.lab> filters


    Choose the operation you want to perform:
    - NEW - Create a new filter.
    - DELETE - Remove a filter.
    - IMPORT - Import a filter script from a file.
    - EXPORT - Export filters to a file
    - MOVE - Move a filter to a different position.
    - SET - Set a filter attribute.
    - LIST - List the filters.
    - DETAIL - Get detailed information on the filters.
    - LOGCONFIG - Configure log subscriptions used by filters.
    - ROLLOVERNOW - Roll over a filter log file.
    []> new

    Enter filter script. Enter '.' on its own line to end.
    encrypted_skip:
    if (encrypted)
    {
    insert-header("X-Encrypted", "true");
    skip-filters();
    }
    .
    1 filters added.

    注:Cisco Virus Outbreak FiltersがMessage Modificationを使用して設定されている場合も、S/MIME署名/暗号化ハッシュが失敗します。メールポリシーのウイルスアウトブレイクフィルタでメッセージの変更が有効にされている場合は、一致するメールポリシーでのメッセージの変更やスキップアウトブレイクフィルタを無効にすることと、skip-outbreakcheck();のメッセージフィルタアクションを使用することを推奨します。

    暗号化された電子メールにXヘッダーのタグを付けるようにメッセージフィルタを設定したら、コンテンツフィルタを作成してこのヘッダーを検索し、残りのコンテンツフィルタをスキップするアクションを適用します。

    このコンテンツフィルタを既存の受信メールポリシーに設定します。暗号化された電子メールは、残りのコンテンツフィルタをスキップします。

    関連情報

    更新履歴

    改定 発行日 コメント
    1.0
    01-Aug-2019
    初版
    TAC Authored

    シスコ エンジニア提供

    • マシュー・フイン
      Cisco TACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています