跳至內容

安全郵件方法

Sophos Email 使用不同的方法來保護和加密郵件。當我們無法使用某種方法時,我們會改為使用下一個最安全的方法。您可以控制我們套用安全方法的順序。

您可以在此處瞭解每種方法的工作原理以及它們如何協同工作。如果我們無法使用特定方法,我們會根據您的環境和與您通訊的環境,使用不同的方法。

注意

您必須在電子郵件伺服器或電子郵件服務上開啟 TLS,才能使用這些安全郵件方法。

在設定安全郵件方法之前執行此動作。如果未執行,Sophos 與您的電子郵件伺服器或服務之間的連線會中斷,並且您無法傳送或接收電子郵件。

建議使用 TLS 1.3。加密字串為 'TLSv1.2+FIPS:kRSA+FIPS:!eNULL:!aNULL'。如欲瞭解更多詳情,請參閱 FIPS 模式和 TLS

在安全郵件原則中,您可以選擇使用下列方法。

  • 使用 TLS 進行保護:這會在電子郵件傳輸期間使用使用 AES 256 的推送式電子郵件加密。使用者使用一般的電子郵件用戶端來管理加密的電子郵件。
  • 使用 S/MIME 進行保護:您可以與您與之通訊的組織交換憑證和金鑰。S/MIME 對郵件進行簽名,但它們不一定是加密的。
  • 推送加密:僅限傳出郵件。加密的電子郵件會轉換為 PDF 檔案,附件會以原生方式加密。這些內容會傳送至使用者的電子郵件用戶端。
  • 入口網站加密:僅限傳出郵件。這會將加密的電子郵件傳送至 Sophos Secure Message。收件者在 Sophos Secure Message 中管理其受保護的電子郵件。

TLS 驗證

傳輸層安全性 (TLS) 可防止竊聽和篡改傳輸中的郵件。

在「安全郵件」原則中,您可以選擇 TLS 版本。您也可以選擇寄件者或收件者沒有正確的 TLS 版本,或不支援 TLS 時要採取的動作。

  • 首選 TLS 1.3:如果寄件者不支援 TLS 1.3,則會使用 TLS 1.2。
  • 必須為 TLS 1.3:如果寄件者不支援 TLS 1.3,則郵件將被拒絕。也可以使用推送加密來傳送傳出郵件。
  • 必須為 TLS 1.2:如果寄件者不支援 TLS 1.2,則郵件將被拒絕。也可以使用推送加密來傳送傳出郵件。

警告

如果選取必須為 TLS 1.3必須為 TLS 1.2,則將停止透過您選取的 TLS 版本以外的任何 TLS 版本進行電子郵件通訊。

我們建議選取首選 TLS 1.3,該選項會嘗試 TLS 1.3,然後視需要切換到 TLS 1.2。該選項更具靈活性,導致郵件交換中斷的可能性更低。

如果郵件無法透過 TLS 傳送,您可以選取遞補以推送加密整個郵件,以便郵件將作為推送加密電子郵件傳送。

如果寄件者不支援 TLS,您可以選擇允許未加密傳送郵件。我們不推薦這麼做。

您也可以選擇驗證傳出 TLS 連線的憑證。如果選取必須為 TLS 1.3必須為 TLS 1.2,則可以按一下驗證憑證。TLS 憑證將接受驗證,以確保其是為收件者網域發行的。如果檢查未通過,則不會傳送郵件。

您可以透過「郵件歷程記錄」檢視 TLS 版本詳細資料。在郵件歷程記錄中,您可以透過在類別中選取安全郵件,然後在子類別中選取要用於篩選的 TLS 版本來篩選郵件。

「郵件歷程記錄」中的 TLS。

若要進一步瞭解郵件,請按一下主旨以檢視其詳細資料。在郵件詳細資料中,將滑鼠懸停在狀態中的任何省略號(三個點)上,您將看到該連線透過 TLS 得到保護。您也可以看到正在驗證的 TLS 版本。

注意

如果 Sophos Email 無法檢查發行 CA 簽名,則 SMTP 文字將聲明 TLS 傳輸不受信任。

將滑鼠懸停在「郵件詳細資料」中顯示 TLS 的文字上。

S/MIME 保護

您可以使用安全/多用途網際網路郵件延伸標準 (S/MIME) 來保護訊息。其保護送入資訊、送出資訊或兩者。

在您按照依照政策使用之前,必須在我的產品 > 一般設定 > S/MIME 設定 > 安全 MIME 設定中開啟並設定 S/MIME 保護。請參閱S/MIME 設定

您可以根據附加至郵件的憑證來驗證內送訊息。

在協力廠商自行簽署憑證傳送給您之前,Sophos Email Security 無法驗證由其簽署的內送郵件。您必須在我的產品 > 一般設定 > S/MIME 設定 > 外部 S/MIME 憑證中上載這些憑證。請參閱外部 S/MIME 憑證

如果 Sophos Email Security 不具備加密以及簽署傳出郵件的全部 S/MIME 憑證,我們會嘗試改為使用推送加密來加密郵件。請參閱外寄郵件處理

您可以解密送入訊息並加密送出訊息。

若訊息未通過 S/MIME 檢查,您可以選擇以下要採取的操作。

  • 隔離、刪除或傳送輸入電子郵件,並在主旨行新增訊息以提醒收件者。
  • 您可以刪除、隔離、傳送或退回輸出電子郵件。
  • 對於外寄郵件,您可以選取在釋出時推送加密整個郵件。請參閱外寄郵件處理

傳入郵件處理

對於送入訊息,若只配置 S/MIME 選項之一(驗證送入訊息解密送入訊息),則只會處理外部訊息。若選定的選項與送入訊息類型不匹配,則訊息失敗。

對於內送郵件,如果要在 Sophos Email Security 處理後對其進行驗證或解密,則可以將失敗動作設爲傳遞。例如,使用者可以將憑證和私鑰儲存在他們的電子郵件軟體中。

例如,若您選擇驗證送入訊息,但郵件尚未簽署,郵件就會失敗。或者,若您選擇了解送入訊息,但該訊息未加密,則訊息失敗。

處理內送訊息的方式取決於開啟的 S/MIME 設定。

如果您將驗證內送訊息設為開啟,並關閉解密內送訊息,則會依照下列方式處理訊息。

內送訊息條件 動作
加密,然後簽署。

郵件已驗證並傳遞。

如果驗證失敗,我們會採取您選擇的動作。我們不會解密訊息。

已簽署,然後加密。 無 S/MIME 動作。我們會採取您選擇的動作。
已簽署,未加密。

訊息已驗證並已傳送。

如果驗證失敗,我們會採取您選擇的動作。

已加密,未簽署。 無 S/MIME 動作。我們會採取您選擇的動作。
未簽署或加密。 沒有 S/MIME 動作,訊息已傳送。

如果您將驗證內送訊息設為關閉,並開啟解密內送訊息,則會依照下列方式處理訊息。

內送訊息條件 動作
加密,然後簽署。 無 S/MIME 動作。我們會採取您選擇的動作。
已簽署,然後加密。

訊息已解密並已傳送。

如果解密失敗,我們會採取您選擇的動作。

已簽署,未加密。 無 S/MIME 動作。我們會採取您選擇的動作。
已加密,未簽署。

訊息已解密並已傳送。

如果解密失敗,我們會採取您選擇的動作。

未簽署或加密。 沒有 S/MIME 動作,訊息已傳送。

外寄郵件處理

如果無法使用 S/MIME,Sophos Email Security 可以傳遞使用推送加密加密的郵件。例如,Sophos Email Security 可能不具備支援 S/MIME 工作所需的所有憑證。

若要開啟這項功能,請依照以下步驟操作:

  1. 外寄郵件的失敗動作中,選取隔離傳遞
  2. 選取在釋出時推送加密整個郵件

如果您選取傳遞且 S/MIME 加密失敗,Sophos Email Security 會使用推送加密來加密郵件,並立即傳送。

如果您選取隔離且 S/MIME 加密失敗,Sophos Email Security 會使用推送加密來加密郵件,並在您從隔離中釋出郵件時傳送郵件。有關推送加密的更多資訊,請參閱 推送加密

推送加密

推送加密 將電子郵件轉換爲 PDF 檔案。使用者必須能夠讀取 PDF 檔案。

  • Microsoft Office 檔案、ZIP 檔案和 PDF 檔案均內建加密。我們可能會從這些檔案產生多個附件。
  • 我們會將純文字和 HTML 等所有其他檔案加密為 PDF 檔案。電子郵件內容將作為 PDF 檔案進行加密。
  • 您需要安裝 Adobe Reader 以檢視加密的電子郵件和附件。
  • 您可以在行動裝置上檢視和回覆訊息。

使用者第一次收到安全電子郵件時,Sophos Secure Message 會向他們傳送一封通知電子郵件。通知電子郵件包含 Sophos Secure Message 的連結,並要求他們設定 Sophos Secure Message 密碼。通知電子郵件中的連結會在 30 天後過期。

注意

使用者只能將密碼用於原始電子郵件所在地區內的電子郵件。如果使用者接收的加密電子郵件來自於另一地區,則需要再設一個密碼。

設定密碼後,使用者將從 Sophos 接收安全電子郵件,包括任何加密的附件。要打開安全電子郵件,使用者要輸入自己設定的密碼。

使用者從其電子郵件用戶端回覆安全電子郵件。在加密的 PDF 檔案中按一下 回覆:

無論選取 將整個郵件加密 還是 僅加密附件,使用者都遵循相同的過程。

入口網站加密

您需要 Sophos Email Portal Encryption Add-on 授權才能使用 Portal Encryption。您還需要建立新的 Secure Message 原則。

附加元件授權允許您自訂加密電子郵件和 Secure Message 入口網站的品牌。

如果您開啟 Portal Encryption,使用者將從 Sophos Secure Message 管理其安全電子郵件。

第一次傳送加密電子郵件給使用者時,Sophos Secure Message 會向他們傳送一封通知電子郵件。通知電子郵件包含 Sophos Secure Message 的連結並要求他們設定 Sophos Secure Message 帳戶。通知電子郵件中的連結會在 30 天後過期。

注意

使用者只能將帳戶用於原始安全電子郵件所在地區內的電子郵件。如果使用者接收來自其他地區的安全電子郵件,則必須再設一個帳戶。

設定帳戶後,使用者要移至 Sophos Secure Message 閱讀並回覆安全電子郵件。