Impostazioni S/MIME

È possibile attivare la crittografia sicura S/MIME e gestire i certificati.

Per aggiungere un livello di protezione aggiuntivo alle e-mail, si possono crittografare e decrittografare le e-mail con S/MIME (Secure/Multipurpose Internet Mail Extensions). S/MIME può essere utilizzata con la posta in entrata e in uscita.

Per leggere i messaggi con codifica S/MIME, gli utenti devono creare e scambiare certificati digitali. I certificati digitali verificano la proprietà di un utente o di un computer tramite Internet e vengono emessi da un'autorità di certificazione (CA).

Per utilizzare S/MIME è necessario attivarla e creare la propria autorità di certificazione (CA) locale. A questo punto si possono creare o caricare certificati per gli utenti.

Dopo aver creato o caricato certificati per gli utenti, è possibile scaricarli per inviarli a terze parti. Questa operazione potrebbe essere necessaria se un'organizzazione con cui si comunica non ha un sistema che estrae automaticamente i certificati dalle e-mail protette, oppure se i propri certificati non sono firmati da un'autorità riconosciuta pubblicamente.

Il file scaricato contiene solo la chiave pubblica per il certificato dell’utente, non la chiave privata. Il file è crittografato nel formato PKCS#12.

Dopo aver configurato S/MIME, utilizzare i criteri di Protezione dei messaggi per gestire il modo in cui si desidera che la protezione S/MIME interagisca con gli utenti. Vedere Criterio di Protezione dei messaggi.

In caso di problemi con la configurazione S/MIME, cliccare su Reimposta per rimuovere la CA locale e i certificati aggiunti. È ora possibile configurare nuovamente S/MIME.

Per informazioni su come configurare S/MIME, vedere Configurazione della cifratura S/MIME delle e-mail

Implementazione di S/MIME

Tenere presente le seguenti informazioni per l’implementazione:

• Se è stato caricato il certificato di un mittente e successivamente viene emesso un nuovo certificato per questo mittente, il primo messaggio che il mittente invierà con il nuovo certificato verrà rifiutato. Il nuovo certificato sarà quindi estratto e memorizzato, in modo che il messaggio successivo e tutti i messaggi dopo di questo vengano accettati.

  Solo il primo messaggio inviato con il nuovo certificato non sarà recapitato. Stiamo lavorando per risolvere questo problema.

• Quando si scarica un certificato, il file scaricato contiene la chiave pubblica per il certificato dell’utente, non la chiave privata. Il file è crittografato nel formato PKCS#12.

• Quando si invia un’e-mail in uscita, Sophos Email Security allega al messaggio il certificato, e non il certificato della CA utilizzato per firmare quel certificato.
• È possibile caricare solo certificati conformi alla Message Specification di S/MIME versione 3 o successiva.
• Non verranno caricati certificati con chiavi deboli. Per le chiavi RSA/DSA, la lunghezza minima è 1024 bit. Per le chiavi EC, la lunghezza minima della curva è P-224 e la lunghezza minima accettabile per il riepilogo è 244 bit.
• La revoca dei certificati S/MIME non è supportata.
• I messaggi firmati inviati tra Sophos Email e Sophos UTM non possono essere verificati se i campi SMTP From: e rfc822 From: dell’e-mail sono diversi.
• Se un messaggio in uscita non è conforme alla specifica MIME, potrebbe non essere elaborato da S/MIME.

Supporto per i certificati S/MIME

Sophos Email supporta i certificati per la protezione S/MIME, che possono essere generati con Sophos Email oppure caricati direttamente.

Algoritmo di firma

La seguente tabella indica le opzioni supportate con l’uso dell’algoritmo di firma.

Algoritmo di crittografia

La seguente tabella indica le opzioni supportate con l’uso dell’algoritmo di crittografia.