S/MIME 設定
セキュアな S/MIME 暗号化をオンにして、証明書を管理できます。
メールのセキュリティを強化するために、S/MIME (Secure/Multipurpose Internet Mail Extensions) を使用してメールを暗号化または復号化できます。S/MIME は、受信メールおよび送信メールで機能します。
S/MIME でエンコードされたメッセージを読み取るには、ユーザーはデジタル証明書を作成して交換する必要があります。デジタル証明書は、インターネット上でユーザーやコンピュータの所有者を検証するもので、証明機関 (CA) によって発行されます。
S/MIME を使用するには、S/MIME をオンにしてローカル証明機関 (CA) を作成します。その後、ユーザーの証明書を作成またはアップロードします。
ユーザーの証明書を作成またはアップロードしたら、それらをダウンロードして、サードパーティに送信します。通信先の組織に、セキュリティで保護されたメールから証明書を自動的に抽出するシステムがない場合、または証明書が公的に承認された機関によって署名されていない場合に、この操作が必要になることがあります。
ダウンロードしたファイルには、秘密鍵ではなく、ユーザーの証明書の公開鍵のみが含まれます。ファイルは PKCS#12 形式で暗号化されます。
S/MIME を設定後、セキュアメッセージポリシー使用して、ユーザーが S/MIME 保護を活用する方法を管理します。詳細は、セキュア メッセージ ポリシーを参照してください。
S/MIME 設定に問題がある場合は、「リセット」をクリックして、ローカル CA および追加した証明書を削除できます。その後、S/MIME を再設定できます。
警告
「リセット」をクリックすると、CA レコードとすべてのローカルおよびサードパーティ証明書が削除され、S/MIME 保護がオフになります。いずれかのポリシーで S/MIME を設定した場合、その設定は保持されます。
S/MIME の設定方法は、S/MIME メール暗号化の設定を参照してください。
S/MIME の導入
導入に関しては次の点に注意してください。
-
送信者の証明書をアップロード後、送信者が新しい証明書を取得した場合、新しい証明書で送信される最初のメッセージは拒否されます。新しい証明書の抽出および保存には成功するため、次に送信されるメッセージと以後のメッセージすべては受信されます。
拒否されるのは、新しい証明書で送信された最初のメッセージのみです。ソフォスでは、この問題を解決するために対処中です。
-
証明書をダウンロードすると、ダウンロードしたファイルには秘密鍵ではなく、ユーザーの証明書の公開鍵が含まれます。ファイルは PKCS#12 形式で暗号化されます。
- メールを送信する際、Sophos Email Security によって、証明書がメッセージに添付されます。なお、ここで添付されるのは、証明書の署名に使用された CA 証明書ではありません。
- アップロードできるのは、S/MIME Version 3 Message Specification 以降に準拠した証明書だけです。
- 脆弱な鍵のある証明書はアップロードされません。RSA/DSA 鍵の場合、最小の鍵長は 1024 ビットです。EC 鍵の場合、曲線の最小サイズは P-224 で、許可される最小のダイジェスト長は 244 ビットです。
- ソフォスでは、S/MIME 証明書の取り消しには対応していません。
- Sophos Email Security と Sophos UTM との間で送信された署名付きメッセージは、SMTP メールの
From:
フィールドと、rfc822 のFrom:
フィールドが異なる場合、検証できません。 - 送信メッセージが MIME 仕様に準拠していない場合、S/MIME によって処理されない可能性があります。