Métodos de proteção de mensagens
O Sophos Email usa diferentes métodos de proteção e criptografia de mensagens. Quando não podemos usar um método, mudamos para o próximo método mais seguro. Você pode controlar a ordem em que aplicamos os métodos de segurança.
Veja aqui como cada método funciona e como eles funcionam em conjunto. Se não for possível usar um método específico, usamos um método diferente, dependendo do seu ambiente e do ambiente com o qual você se comunica.
Nota
Você deve ativar o TLS no servidor de e-mail ou no serviço de e-mail para usar um desses métodos de proteção de mensagens.
Faça isso antes de configurar seus métodos de proteção de mensagens. Caso contrário, a conexão entre a Sophos e seu servidor ou serviços de e-mails será interrompida e você não poderá enviar ou receber e-mails.
Recomendamos o TLS 1.3. A string cipher é 'TLSv1.2+FIPS:kRSA+FIPS:!eNULL:!aNULL'. Para obter mais informações, consulte Modo FIPS e TLS.
Em uma política do Secure Message, você pode escolher entre os métodos a seguir.
- Proteger usando TLS: Usa criptografia de e-mail baseada em envio "push" usando AES 256 durante o transporte de e-mail. Os usuários gerenciam seus e-mails criptografados com seus clientes de e-mail habituais.
- Proteger usando S/MIME: Você troca certificados e chaves com as organizações com as quais se comunica. O S/MIME assina as mensagens, elas não são necessariamente criptografadas.
- Criptografia de push: Somente mensagens enviadas. Os e-mails criptografados são convertidos em arquivos PDF e os anexos são criptografados nativamente. Eles são entregues ao cliente de e-mail dos usuários.
- Criptografia de portal: Somente mensagens enviadas. Entrega e-mails criptografados ao Sophos Secure Message. Os destinatários gerenciam os seus e-mails protegidos no Sophos Secure Message.
Autenticação TLS
O TLS (Transport Layer Security) impede a interceptação e a adulteração das mensagens em trânsito.
Em uma política do Secure Message, você pode escolher versões de TLS. Você também pode escolher a ação a ser tomada se o remetente ou o destinatário não tiver a versão de TLS correta ou não oferecer suporte a TLS.
- TLS 1.3 preferido: Se o remetente não oferecer suporte a TLS 1.3, será usado TLS 1.2.
- TLS 1.3 necessário: Se o remetente não oferecer suporte a TLS 1.3, as mensagens serão rejeitadas. As mensagens na saída podem ser enviadas usando criptografia de envio por push.
- TLS 1.2 necessário: Se o remetente não oferecer suporte a TLS 1.2, as mensagens serão rejeitadas. As mensagens na saída podem ser enviadas usando criptografia de envio por push.
Alerta
Se você selecionar TLS 1.3 necessário ou TLS 1.2 necessário, a comunicação por e-mail será interrompida em qualquer versão de TLS diferente daquela selecionada.
Recomendamos TLS 1.3 preferido, que tenta primeiro o TLS 1.3 e depois muda para TLS 1.2 se for necessário. Isso é mais flexível e tem menos probabilidade de causar uma falha na troca de mensagens.
Se a mensagem não puder ser entregue por TLS, você pode selecionar Fazer fallback para criptografia de push da mensagem toda para que a mensagem seja enviada como um e-mail criptografado por push.
Você pode optar por permitir a entrega não criptografada de mensagens, caso o remetente não ofereça suporte a TLS. Nós não recomendamos fazer isso.
Você também pode optar por verificar certificados para conexões TLS de saída. Se você selecionar TLS 1.3 necessário ou TLS 1.2 necessário, clique em Verificar certificado. O certificado TLS será verificado para garantir que foi emitido para o domínio do destinatário. Se a verificação falhar, a mensagem não será entregue.
Você pode exibir os detalhes da versão TLS por meio do Histórico de mensagens. No Histórico de mensagens, é possível filtrar as mensagens selecionando Mensagem segura em Categoria e selecionando uma versão TLS que você deseja usar para filtrar em Subcategoria.
Para saber mais sobre a mensagem, clique no assunto para ver seus detalhes. Em Detalhes da mensagem, passe o mouse sobre as reticências (três pontos) em Status e você verá que a conexão está protegida por TLS. Você também pode ver a versão TLS sendo autenticada.
Nota
Se o Sophos Email não conseguir verificar a assinatura da CA de emissão, o Texto SMTP mostrará que a entrega TLS não era confiável.
Configuração de proteção S/MIME
Você pode proteger mensagens usando S/MIME (Secure/Multipurpose Internet Mail Extensions). Ele protege as mensagens recebidas, enviadas ou ambas.
Você deve ativar e configurar a proteção S/MIME em Meus produtos > Configurações gerais > Configurações de S/MIME > Configurações Secure MIME antes de usá-la em políticas. Consulte Configurações de S/MIME.
Você pode verificar as mensagens recebidas em relação aos certificados anexados aos e-mails.
O Sophos Email Security não pode verificar as mensagens recebidas assinadas pelo certificado autoassinado de um terceiro até que o certificado lhe seja enviado. Você deve carregar esses certificados em Meus produtos > Configurações gerais > Configurações de S/MIME > Certificados S/MIME externos. Consulte Certificados S/MIME externos.
Se o Sophos Email Security não tiver todos os certificados S/MIME para criptografar e assinar uma mensagem de saída, nós tentamos criptografar a mensagem usando Criptografia de push. Consulte Processamento da saída da mensagem.
Você pode descriptografar mensagens recebidas e criptografar mensagens enviadas.
Você pode escolher as seguintes ações se uma mensagem falhar em uma verificação S/MIME.
- Colocar em quarentena, deletar ou entregar e-mails recebidos com uma mensagem adicionada à linha de assunto para alertar o destinatário.
- Deletar, colocar em quarentena, entregar ou retornar os e-mails enviados.
- Para as mensagens enviadas, você pode selecionar Criptografar por push toda a mensagem na liberação. Consulte Processamento da saída da mensagem.
Processamento da entrada da mensagem
Para as mensagens recebidas, se você configurar apenas uma das opções S/MIME (Verificar mensagens na entrada ou Descriptografar mensagens na entrada), somente a camada externa da mensagem será processada. Se a opção selecionada não corresponder ao tipo de mensagem recebida, a mensagem falhará.
Para mensagens recebidas, você pode definir a ação de falha como Entregar se as mensagens precisarem ser verificadas ou descriptografadas depois que o Sophos Email Security as tiver processado. Por exemplo, um usuário pode ter seus certificados e chaves privadas armazenados no software de e-mail.
Por exemplo, se você tiver selecionado Verificar mensagens na entrada e a mensagem não estiver assinada, a mensagem falhará. Ou, se você tiver selecionado Descriptografar mensagens na entrada e a mensagem não estiver criptografada, a mensagem falhará.
A maneira como as mensagens recebidas são processadas depende de quais configurações S/MIME estão ativadas.
Se você ativar Verificar mensagens na entrada e desativar Descriptografar mensagens na entrada, as mensagens serão processadas da seguinte forma.
| Condição das mensagens recebidas | Ações |
|---|---|
| Criptografada e depois assinada. | Mensagem verificada e entregue. Se a verificação falhar, aplicamos a ação escolhida por você. Não descriptografamos a mensagem. |
| Assinada e depois criptografada. | Nenhuma ação de S/MIME. Aplicamos a ação escolhida por você. |
| Assinada, não criptografada. | Mensagem verificada e entregue. Se a verificação falhar, aplicamos a ação escolhida por você. |
| Criptografada, não assinada. | Nenhuma ação de S/MIME. Aplicamos a ação escolhida por você. |
| Não assinada ou criptografada. | Nenhuma ação de S/MIME, mensagem entregue. |
Se você desativar Verificar mensagens na entrada e ativar Descriptografar mensagens na entrada, as mensagens serão processadas da seguinte forma.
| Condição das mensagens recebidas | Ações |
|---|---|
| Criptografada e depois assinada. | Nenhuma ação de S/MIME. Aplicamos a ação escolhida por você. |
| Assinada e depois criptografada. | Mensagem descriptografada e entregue. Se a descriptografia falhar, aplicamos a ação escolhida por você. |
| Assinada, não criptografada. | Nenhuma ação de S/MIME. Aplicamos a ação escolhida por você. |
| Criptografada, não assinada. | Mensagem descriptografada e entregue. Se a descriptografia falhar, aplicamos a ação escolhida por você. |
| Não assinada ou criptografada. | Nenhuma ação de S/MIME, mensagem entregue. |
Processamento da saída da mensagem
O Sophos Email Security pode entregar mensagens criptografadas com Criptografia de push se não for possível usar S/MIME. Por exemplo, o Sophos Email Security pode não ter todos os certificados necessários para que o S/MIME funcione.
Para ativar esse recurso, siga este procedimento:
- Na Falha na ação das mensagens de saída, selecione Quarentena ou Entregar.
- Selecione Criptografar por push toda a mensagem na liberação.
Se você selecionar Entregar e a criptografia S/MIME falhar, o Sophos Email Security usa a Criptografia de push para criptografar a mensagem e a envia imediatamente.
Se você selecionar Quarentena e a criptografia S/MIME falhar, o Sophos Email Security usa a Criptografia de push para criptografar a mensagem e a envia quando você libera a mensagem da quarentena. Para obter mais informações sobre Criptografia de push, consulte Criptografia de push.
Criptografia de push
Criptografia de push converte e-mails em arquivos PDF. Os usuários devem ter a capacidade de ler arquivos PDF.
- Arquivos do Microsoft Office, arquivos ZIP e arquivos PDF têm criptografia interna. Podemos gerar vários anexos com esses arquivos.
- Criptografamos todos os outros arquivos; por exemplo, arquivos de texto sem formatação e HTML são criptografados como arquivos PDF. O conteúdo de e-mails é criptografado como um arquivo PDF.
- É necessário instalar o Adobe Reader para visualizar e-mails criptografados e anexos.
- É possível visualizar e responder mensagens em dispositivos móveis.
A primeira vez que um usuário recebe um e-mail protegido, o Sophos Secure Message lhe envia um e-mail de notificação. O e-mail de notificação contém um link para o Sophos Secure Message e solicita a configuração de uma senha para o Sophos Secure Message. O link no e-mail de notificação expira após 30 dias.
Nota
Os usuários só podem usar a senha para e-mails na região de onde o e-mail original foi originado. Se os usuários receberem um e-mail criptografado de outra região, eles precisarão definir outra senha.
Depois de definir a senha, o usuário recebe um e-mail protegido da Sophos, incluindo os anexos criptografados. Para abrir o e-mail protegido, o usuário insere a senha que criou.
Os usuários respondem aos e-mails protegidos em seus clientes de e-mail. Eles clicam em Responder no arquivo PDF criptografado.
Os usuários seguem o mesmo processo para ambas as seleções, Criptografar toda a mensagem e Criptografar somente anexos.
Portal Encryption
Você precisa de uma licença do complemento Sophos Email Portal Encryption para usar o Portal Encryption. Você também precisa criar uma nova política do Secure Message.
A licença do complemento permite que você personalize a marca em seus e-mails de criptografia e no portal Secure Message.
Se você ativar Criptografia de portal, os usuários gerenciam seus e-mails protegidos no Sophos Secure Message.
A primeira vez que um usuário recebe um e-mail criptografado, o Sophos Secure Message lhe envia um e-mail de notificação. O e-mail de notificação contém um link para o Sophos Secure Message e solicita a configuração de uma conta do Sophos Secure Message. O link no e-mail de notificação expira após 30 dias.
Nota
Os usuários só podem usar a conta para e-mails na região de onde o e-mail original protegido foi originado. Se os usuários receberem um e-mail protegido de outra região, deverão configurar outra conta.
Depois de configurar a conta, o usuário vai para o Sophos Secure Message ler e responder aos seus e-mails protegidos.