Pular para o conteúdo

Configurações de S/MIME

Quando o modo EMS está ativado, não é possível configurar esta definição.

Você pode ativar a criptografia S/MIME segura e gerenciar certificados.

Para deixar os e-mails mais seguros, você pode encriptar e descriptografar e-mails com S/MIME (Secure/Multipurpose Internet Mail Extensions). S/MIME funciona com e-mails recebidos e enviados.

Para ler mensagens codificadas S/MIME, os usuários devem criar e trocar certificados digitais. Os certificados digitais verificam a propriedade de um usuário ou computador pela Internet e são emitidos por uma autoridade de certificação (CA).

Para usar o S/MIME, você deve ativá-lo e criar sua autoridade de certificado local (CA). Depois, você cria ou carrega os certificados para os seus usuários.

Depois de criar ou carregar os certificados para os seus usuários, você pode baixá-los para enviá-los a terceiros. Você pode ter que fazer isso se uma organização com a qual você está se comunicando não tiver um sistema que extraia automaticamente certificados de e-mails seguros ou se os seus certificados não forem assinados por uma autoridade reconhecida publicamente.

O arquivo baixado contém apenas a chave pública do certificado do usuário, não a chave privada. O arquivo é encriptado no formato PKCS#12.

Depois de configurar o S/MIME, use políticas do Secure Message para gerenciar como a proteção S/MIME interage com os seus usuários. Consulte Política do Secure Message.

Se tiver problemas com a configuração do S/MIME, clique em Redefinir para remover sua CA local e os certificados que você adicionou. Em seguida, você pode configurar o S/MIME novamente.

Alerta

Se clicar em Redefinir, você deletará o registro da sua CA e todos os seus certificados locais e desativará a proteção S/MIME. Se você tiver definido as configurações S/MIME em alguma política, as configurações serão mantidas.

Para saber como configurar S/MIME, consulte Configuração da criptografia de e-mail S/MIME.

Implementação S/MIME

Esteja ciente dos seguintes detalhes de implementação:

  • Se você tiver carregado o certificado de um remetente e ele receber um novo certificado mais tarde, a primeira mensagem enviada com o novo certificado é rejeitada. O novo certificado é extraído e armazenado com êxito, portanto, a sua próxima mensagem e todas as mensagens subsequentes são aceitas.

    Somente a primeira mensagem enviada com o novo certificado não funciona. Estamos trabalhando para resolver isso.

  • Quando você baixa um certificado, o arquivo contém a chave pública do certificado do usuário, não a chave privada. O arquivo é encriptado no formato PKCS#12.

  • Quando você envia um e-mail de saída, o Sophos Email Security anexa o certificado com a mensagem, não o certificado de CA usado para assinar o certificado.
  • Você só pode carregar certificados que estejam em conformidade com S/MIME Version 3 Message Specification ou versão posterior.
  • Não carregamos certificados com chaves fracas. Para chaves RSA/DSA, o comprimento mínimo é de 1024 bits. Para chaves EC, o comprimento mínimo da curva é P-224, e o comprimento mínimo permitido do digest é de 244 bits.
  • Não damos suporte à revogação de certificados S/MIME.
  • As mensagens assinadas enviadas entre Sophos Email Security e Sophos UTM não podem ser verificadas se os campos From: da mensagem SMTP e From: de rfc822 forem diferentes.
  • Se uma mensagem enviada não estiver de acordo com a especificação MIME, ela poderá não ser processada pelo S/MIME.

Suporte a certificado S/MIME

O Sophos Email oferece suporte a certificados para proteção S/MIME que você pode gerar com o Sophos Email ou carregar diretamente.

Algoritmo de assinatura

A tabela a seguir captura o que é suportado usando o algoritmo de assinatura.

Componente Certificados gerados pelo Sophos Email O cliente carregou os certificados
Algoritmo de hash SHA-256 SHA-256
Algoritmo de assinatura RSA (2048 bits) Como no certificado (RSA/DSA/EC)
Comprimento da Chave 2048 bits Como no certificado

Algoritmo de criptografia

A tabela a seguir captura o que é suportado usando o algoritmo de criptografia.

Componente Certificados gerados pelo Sophos Email O cliente carregou os certificados
Criptografia de conteúdo AES-256 CBC AES-256 CBC
Criptografia de chave RSA (2048 bits) Como no certificado (RSA/DSA/EC)
Comprimento da Chave 2048 bits Como no certificado