跳至內容

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=email-SMIME-setup

S/MIME 電子郵件加密設定

您可以設定 S/MIME 加密功能,透過數位簽章和加密來保護電子郵件的安全。

若要存取 S/MIME 設定,請按一下「全域設定」圖示。「全域設定」圖示。前往「產品與服務」 > 「電子郵件」,然後點選「S/MIME」。

設定 S/MIME 設定

請使用此區段來設定全域 S/MIME 設定,並啟用自動憑證處理功能。

在「安全 MIME 設定」頁面上,您可以啟用以下選項:

  • S/MIME:讓您的使用者能夠發送和接收經過 S/MIME 簽名及加密的電子郵件。

  • 啟用自動 S/MIME 憑證擷取:自動從收到的已簽署電子郵件中擷取並儲存憑證。

    此選項可讓您的使用者無需手動上傳憑證,即可透過加密訊息進行回覆。若收到的電子郵件所附的 CA 憑證是由 Sophos Email 已全球信任的 CA 簽署,或您已上傳至 S/MIME CA 清單的 CA 簽署,系統將自動驗證並送達。

在啟用 S/MIME 之前,若要進一步了解 S/MIME 在 Sophos Email 中的運作方式,請參閱 S/MIME 設定

注意

在設定 S/MIME 時,您必須建立一個本機憑證授權單位 (CA),即使您已經使用來自其他本機或外部憑證授權單位的憑證。建立此憑證授權單位後,您無需使用它。

憑證提取行為

S/MIME 憑證僅會從通過簽名驗證的傳入郵件中提取。

若在「Sophos Secure Message」原則中關閉了「驗證傳入訊息」功能,即使已啟用「自動擷取 S/MIME 憑證」功能,Sophos Email 也不會擷取憑證。

只有通過驗證的訊息才能納入憑證信任儲存庫。

此行為可防止潛在的偽造或未經驗證的憑證被儲存,並用於未來的加密作業。

如果您的組織僅需加密功能,且無需簽名驗證,則必須手動上傳寄件者的憑證。手動上傳的憑證會被默認信任。

本機 CA

請使用此區段來建立及管理貴組織的內部憑證授權單位。

建立一個本機 CA 憑證,以便使用您的自簽憑證簽署外發訊息,或讓這些憑證可供他人信任。

您可以查看組織名稱和指紋等詳細資訊,並以 PEM 格式下載您的自簽根 憑證。您也可以將此憑證分享給外部組織,以便他們能驗證並信任您的使用者所發送的訊息。

如果您已經在使用其他本地或外部 CA 所發行的憑證,您仍需在 Sophos Email 中建立一個新的 CA,但無需實際使用該機構。

使用者憑證

請使用此區段新增使用者,並管理其個別的 S/MIME 憑證。

使用者憑證可讓 Sophos Email 代表每位使用者對外發送的電子郵件進行簽名,並解密收到的加密電子郵件。

建立本地憑證授權單位 (CA) 後,即可為個別使用者產生或上傳 S/MIME 憑證。每位希望收發加密電子郵件的使用者,都必須擁有自己的憑證。我們建議您在設定 S/MIME 原則之前,先為您的使用者設定憑證。

在「使用者憑證」中,您可以執行以下操作:

  • 新增使用者:在上傳其憑證之前,請手動新增使用者記錄。
  • 匯入使用者:使用 CSV 或 TXT 檔案批量匯入使用者資料。
  • 上傳憑證:為選定的使用者上傳 S/MIME 憑證。

您必須先新增或匯入使用者,才能上傳其憑證。

手動新增使用者

若要手動新增使用者,請依照以下步驟操作:

  1. 在 Sophos Central 中,點擊「全域設定」圖示全域設定。
  2. 前往「產品與服務」 > 「電子郵件」,然後點選「S/MIME」。
  3. 選取「使用者憑證」索引標籤。
  4. 按一下新增使用者

  5. 在「電子郵件地址」欄位中,輸入一位現有 Sophos Central 使用者的電子郵件地址。

    一旦識別成功,「全名」欄位便會自動填入。

  6. 按一下 新增

該使用者已加入清單,且其 S/MIME 憑證已自動建立。

您可以下載此 CA 憑證並傳送給外部收件者,特別是當他們的系統無法從簽署過的訊息中提取憑證,或不信任您的 CA 時。

批量匯入使用者

若要批次匯入使用者,請依照以下步驟操作:

  1. 在 Sophos Central 中,點擊「全域設定」圖示全域設定。
  2. 前往「產品與服務」 > 「電子郵件」,然後點選「S/MIME」。
  3. 選取「使用者憑證」索引標籤。
  4. 點擊「匯入使用者」。
  5. 請準備一個 CSV 或 TXT 格式的檔案。每一行都必須包含一位現有 Sophos Central 使用者的有效電子郵件地址。
  6. 按一下 瀏覽,然後選取您的 檔案。
  7. 按一下 匯入

使用者已新增至清單,且其 S/MIME 憑證已自動建立。

您可以下載該 CA 憑證,並在需要時將其傳送給外部收件者,特別是當他們的系統無法從簽署過的訊息中提取憑證,或不信任您的 CA 時。

上傳證書

您可能已經為部分使用者準備了 S/MIME 憑證,並希望將其上傳。這些憑證可讓 Sophos Email 代表這些使用者對外發送的電子郵件進行簽名,並解密收到的加密電子郵件。

如果該憑證是由全球性憑證授權機構 (CA) 簽發的,請確認 Sophos 是否已識別該憑證授權機構。請參見 已識別的憑證授權單位

該憑證必須存放在副檔名為.p12.pks 的 PKCS #12 容器檔案中,並設有密碼保護。如果您的憑證是 PFX 格式,您可以在上傳前使用業界標準工具將其轉換為 PKCS #12 格式。

要上傳憑證,請依照以下步驟操作:

  1. 在 Sophos Central 中,點擊「全域設定」圖示全域設定。
  2. 前往「產品與服務」 > 「電子郵件」,然後點選「S/MIME」。
  3. 選取「使用者憑證」索引標籤。
  4. 點擊「上傳憑證」

  5. 在「電子郵件地址」欄位中,輸入一位現有 Sophos Central 使用者的電子郵件地址。

    一旦識別成功,「全名」欄位便會自動填入。該電子郵件地址必須與 Sophos Central 中的現有使用者相符。如果該欄位無效,全名將無法填入,且上傳會失敗。

  6. 請輸入 PKCS #12 憑證 檔案的密碼。

  7. 按一下 瀏覽,然後選取您的 PKCS #12 檔案。
  8. 按一下上傳

證書已上傳。現在您可以下載該檔案並傳送給外部收件者,特別是當他們的系統無法從簽署訊息中提取憑證,或不信任您的 CA 憑證時。

注意

上傳憑證將取代該用戶的現有憑證。

S/MIME CA

請使用此區段來管理用於驗證傳入簽署訊息的可信憑證授權機構。

您可以上傳 CA 憑證,以便自動信任傳入的簽署訊息。

如果已啟用「自動提取 S/MIME 憑證」功能,則含有由此清單中憑證授權機構 (CA) 簽署之憑證的電子郵件,將自動被視為可信並送達。此清單包含您在此處上傳的憑證授權機構 (CA),以及 Sophos 已視為可信的全球 S/MIME 憑證授權機構。

若要上傳來自外部 CA 憑證,請依照以下步驟操作:

  1. 在 Sophos Central 中,點擊「全域設定」圖示全域設定。
  2. 前往「產品與服務」 > 「電子郵件」,然後點選「S/MIME」。
  3. 按一下 S/MIME CA > 上傳
  4. 按一下瀏覽
  5. 在您的裝置上找到憑證 檔案,然後點擊「上傳」。

憑證將出現在清單中。

外部 S/MIME 憑證

請使用此區段上傳並管理外部收件人的憑證。

無論是電子郵件收信還是發信的安全性,都需要外部 S/MIME 憑證:

  • 這些憑證是用來驗證並解密使用第三方自簽名憑證簽署的電子郵件。
  • 它們讓您的使用者能夠透過 S/MIME 向可信的第三方發送加密電子郵件。

您可以手動上傳這些憑證,或允許系統從已簽名的收件電子郵件中自動擷取。

若要手動上傳外部 S/MIME 憑證,請依照以下步驟操作:

  1. 在 Sophos Central 中,點擊「全域設定」圖示全域設定。
  2. 前往「產品與服務」 > 「電子郵件」,然後點選「S/MIME」。
  3. 按一下外部 S/MIME 憑證 > 上載
  4. 按一下瀏覽
  5. 找到裝置上的檔案,然後按一下上載

憑證將出現在清單中。

注意

您可以開啟 啟用自動 S/MIME 憑證擷取 功能,以便從已簽名的電子郵件中擷取憑證並予以信任,無需手動上傳。

管理 S/MIME 保護

請使用此區段,將 S/MIME 加密與簽署原則套用至您的使用者。

上傳憑證後,請前往「電子郵件保護」 > 「原則」來管理 S/MIME 保護如何套用至您的使用者。請參見 安全郵件原則