安全郵件方法
Sophos Email 使用不同的方法來保護和加密郵件。當我們無法使用某種方法時,我們會改為使用下一個最安全的方法。您可以控制我們套用安全方法的順序。
在這裡,您可以了解每種方法如何運作,以及它們如何協同運作。如果我們無法使用某種特定的方法,我們將根據您的環境以及通訊對方的環境,選擇使用其他方法。
注意
您必須在電子郵件伺服器或電子郵件服務上開啟 TLS,才能使用這些安全郵件方法。
請在設定安全郵件方法之前執行此動作。否則,Sophos 與您的電子郵件伺服器或服務之間的連線將中斷,您將無法發送或接收電子郵件。
建議使用 TLS 1.3。加密字串為 'TLSv1.2+FIPS:kRSA+FIPS:!eNULL:!aNULL'。欲了解更多資訊,請參閱 FIPS 模式和 TLS。
在 Secure Message 原則中,您可以選擇使用下列方法。
- 使用 TLS 進行保護:這會在電子郵件傳輸期間使用使用 AES 256 的推送式電子郵件加密。使用者使用一般的電子郵件用戶端來管理加密的電子郵件。
- 使用 S/MIME 進行保護:您可以與通訊對方的組織交換憑證和金鑰。S/MIME 對郵件進行簽名,但它們不一定是加密的。
- 推送加密:僅限外寄郵件。加密的電子郵件會轉換為 PDF 檔案,附件會以原生方式加密。這些內容會傳送至使用者的電子郵件用戶端。
- 入口網站加密:僅限外寄郵件。這會將加密的電子郵件傳送至 Sophos Secure Message。收件者在 Sophos Secure Message 中管理其受保護的電子郵件。
TLS 驗證
傳輸層安全性 (TLS) 可防止竊聽和竄改傳輸中的郵件。
在「安全郵件」原則中,您可以選擇 TLS 版本。您還可以選擇在寄件者或收件者沒有正確的 TLS 版本,或不支援 TLS 時採取的行動。
- 優先選擇 TLS 1.3:如果寄件者不支援 TLS 1.3,則會使用 TLS 1.2。
- 必須為 TLS 1.3:如果寄件者不支援 TLS 1.3,則郵件將被拒絕。也可以使用推送加密來傳送外寄郵件。
- 必須為 TLS 1.2:如果寄件者不支援 TLS 1.2,則郵件將被拒絕。也可以使用推送加密來傳送外寄郵件。
警告
如果您選擇 要求 TLS 1.3 或 要求 TLS 1.2,則會阻止使用這些 TLS 版本以外的任何 TLS 版本進行電子郵件通訊。
我們建議選擇 首選 TLS 1.3,該選項會嘗試使用 TLS 1.3,並在需要時切換到 TLS 1.2。這種方式更具彈性,並且較不容易導致郵件交換中斷。
如果無法透過 TLS 傳送郵件,您可以選擇 退回到推送加密整個郵件,如此郵件將以推送加密郵件發送。
如果寄件者不支援 TLS,您可以選擇允許未加密傳送郵件。我們不建議這麼做。
您也可以選擇驗證外寄 TLS 連線的憑證。如果選擇 要求 TLS 1.3 或 要求 TLS 1.2,您可以按一下 驗證憑證。TLS 憑證將會被驗證,以確保其是針對收件者網域發行的。如果檢查未通過,則不會傳送郵件。
您可以透過 郵件歷程記錄 檢視 TLS 版本詳細資料。在 郵件歷程記錄 中,您可以在 類別 中選取 安全郵件,然後在 子類別 中選取要用於篩選的 TLS 版本來篩選郵件。
若要進一步了解郵件,請按一下主旨以檢視其詳細資訊。在 郵件詳細資訊 中,將滑鼠懸停在 狀態 中的任何省略號上,您將看到該連線透過 TLS 得到保護。您也可以看到正在驗證的 TLS 版本。
注意
如果 Sophos Email 無法檢查發行 CA 的簽名,則 SMTP 文字 會指出 TLS 傳送是未受信任的。
以下影片為您介紹如何在 郵件歷程記錄 中檢查 TLS 版本。
S/MIME 保護
您可以使用安全/多用途網際網路郵件延伸標準 (S/MIME) 來保護郵件。其保護內送資訊、外寄資訊或兩者。
在 我的產品 > 一般設定 > S/MIME 設定 > 安全 MIME 設定 中啟用並設定 S/MIME 防護,然後才能在原則中使用它。請參閱 S/MIME 設定。
您可以根據附加至郵件的憑證來驗證內送郵件。
在協力廠商自行簽署憑證傳送給您之前,Sophos Email Security 無法驗證由其簽署的內送郵件。您必須在我的產品 > 一般設定 > S/MIME 設定 > 外部 S/MIME 憑證 中上傳這些憑證。請參閱 外部 S/MIME 憑證。
如果 Sophos Email Security 沒有所有用於簽署和加密發送郵件的 S/MIME 憑證,我們會嘗試改用 推送加密 (Push Encryption) 來加密郵件。請參閱 外寄郵件處理。
注意
為了確保所有收件者都能正確顯示,發送的日曆邀請會排除在 S/MIME 簽名和加密之外。
您可以解密內送郵件並加密外寄郵件。
若郵件未通過 S/MIME 檢查,您可以選擇以下要採取的操作。
- 隔離、删除或傳送輸入電子郵件,並在主旨行新增郵件以提醒收件者。
- 您可以删除、隔離、傳送或退回外寄電子郵件。
- 對於外寄郵件,您可以選取 在釋出時推送加密整個郵件。請參閱 外寄郵件處理。
內送郵件處理
對於內送郵件,如果您只配置了其中一個 S/MIME 選項 (驗證內送郵件 或 解密內送郵件),則只有郵件的外層會被處理。如果選擇的選項與內送郵件類型不符,則該郵件會失敗。
對於內送郵件,如果郵件在 Sophos Email Security 處理後需要進行驗證或解密,您可以將失敗操作設置為 傳送。例如,使用者可以將他們的憑證和私密金鑰儲存在他們的電子郵件軟體中。
例如,若您選擇 驗證內送郵件,但郵件尚未簽署,郵件就會失敗。或者,若您選擇 解密內送郵件,但該郵件未加密,則郵件失敗。
處理內送郵件的方式取決於開啟的 S/MIME 設定。
如果您將 驗證內送郵件 設為開啟,並關閉 解密內送郵件,則會依照下列方式處理郵件。
| 內送郵件條件 | 動作 |
|---|---|
| 加密,然後已簽署。 | 郵件已驗證並傳送。 如果驗證失敗,我們會採取您選擇的動作。我們不會解密郵件。 |
| 已簽署,然後加密。 | 無 S/MIME 動作。我們會採取您選擇的動作。 |
| 已簽署,未加密。 | 郵件已驗證並已傳送。 如果驗證失敗,我們會採取您選擇的動作。 |
| 已加密,未簽署。 | 無 S/MIME 動作。我們會採取您選擇的動作。 |
| 未簽署或加密。 | 沒有 S/MIME 動作,郵件已傳送。 |
如果您將 驗證內送郵件 設為關閉,並開啟 解密內送郵件,則會依照下列方式處理郵件。
| 內送郵件條件 | 動作 |
|---|---|
| 加密,然後已簽署。 | 無 S/MIME 動作。我們會採取您選擇的動作。 |
| 已簽署,然後加密。 | 郵件已解密並已傳送。 如果解密失敗,我們會採取您選擇的動作。 |
| 已簽署,未加密。 | 無 S/MIME 動作。我們會採取您選擇的動作。 |
| 已加密,未簽署。 | 郵件已解密並已傳送。 如果解密失敗,我們會採取您選擇的動作。 |
| 未簽署或加密。 | 沒有 S/MIME 動作,郵件已傳送。 |
外寄郵件處理
如果無法使用 S/MIME,Sophos Email Security 可以傳送使用 推送加密 加密的郵件。例如,Sophos Email Security 可能不具備支援 S/MIME 所需的所有憑證。
若要開啟這項功能,請依照以下步驟操作:
- 在 外寄 郵件的 失敗動作 中,選取 隔離 或 傳送。
- 選取 在釋出時推送加密整個郵件。
如果您選取 傳送 且 S/MIME 加密失敗,Sophos Email Security 會使用推送加密來加密郵件,並立即傳送。
如果您選取 隔離 且 S/MIME 加密失敗,Sophos Email Security 會使用推送加密來加密郵件,並在您從隔離中釋出郵件時傳送郵件。有關推送加密的更多資訊,請參閱 推送加密。
推送加密
推入加密 可將電子郵件轉換為受密碼保護的文件檔。使用者必須能夠讀取受密碼保護的文件檔。
- Microsoft Office 檔案、ZIP 檔案和 PDF 檔案均內建加密。我們可能會從這些檔案產生多個附件。
- 我們會將純文字和 HTML 等所有其他檔案加密為 PDF 檔案。電子郵件內容會加密為受密碼保護的文件檔。
- 您需要 Adobe Reader 等文件閱讀器來查看加密的電子郵件和附件。
- 您可以在行動裝置上檢視和回覆郵件。
使用者第一次收到安全電子郵件時,Sophos Secure Message 會向他們傳送一封通知電子郵件。通知電子郵件中包含 Sophos Secure Message 的連結,並要求他們設定 Sophos Secure Message 密碼。通知電子郵件中的連結會在 30 天後過期。
若要選擇郵件的加密方式,請在資料控制原則中新增合適的規則。如需防火牆警示類型的清單,請參閱 電子郵件標頭。
注意
使用者只能將密碼用於原始電子郵件所在地區內的電子郵件。如果使用者接收的加密電子郵件來自於另一地區,則需要再設一個密碼。
設定密碼後,使用者將從 Sophos 接收安全電子郵件,包括任何加密的附件。要打開安全電子郵件,使用者要輸入自己設定的密碼。
使用者從電子郵件用戶端回覆安全電子郵件。在加密的 PDF 檔案中按一下 回覆:。
無論選取 將整個郵件加密 還是 僅加密附件,使用者都遵循相同的過程。
使用者可以在他們的管理入口網站中查看有關推送加密郵件的文件。如需詳細資訊,請參閱 推送加密。
入口網站加密
您需要 Sophos Email Portal Encryption 附加元件授權才能使用 Portal Encryption。您還需要建立新的 Secure Message 原則。
附加元件授權允許您自訂加密電子郵件和 Secure Message 入口網站的品牌。請參閱 客製化品牌。
如果您開啟 入口網站加密,使用者將從 Sophos Secure Message 管理其安全電子郵件。
第一次傳送加密電子郵件給使用者時,Sophos Secure Message 會向他們傳送一封通知電子郵件。通知電子郵件包含 Sophos Secure Message 的連結並要求他們設定 Sophos Secure Message 帳戶。通知電子郵件中的連結會在電子郵件中指定的日期過期。
若要選擇郵件的加密方式,請在資料控制原則中新增合適的規則。如需防火牆警示類型的清單,請參閱 電子郵件標頭。
注意
使用者只能將帳戶用於原始安全電子郵件所在地區內的電子郵件。如果使用者接收來自其他地區的安全電子郵件,則必須再設一個帳戶。
設定帳戶後,使用者要移至 Sophos Secure Message 閱讀並回覆安全電子郵件。
使用者可以在其網頁入口網站中取得有關入口網站加密郵件的文件。如需詳細資訊,請參閱 入口網站。
管理入口網站
通過管理門戶,您可以管理收件人憑據並生成有關消息交換的詳細報告。
如需更多資訊,請參閱 管理入口網站。
留言撤回
在成功傳送給您的使用者之後,您可以回收加密的訊息。
如需更多資訊,請參閱 留言撤回。