了解传输解密
**适用于:**Exchange Server 2010
**上一次修改主题:**2010-01-13
在 Microsoft Exchange Server 2010、Microsoft Outlook 2010 和 Microsoft Office Outlook Web App 中,用户可以使用信息权限管理 (IRM) 保护其邮件。可创建 Outlook 保护规则,在从 Outlook 2010 客户端中发送邮件之前自动对这些邮件应用 IRM 保护。还可创建传输保护规则,以便在与规则条件匹配的传输过程中对邮件应用 IRM 保护。传输解密允许访问受 IRM 保护的邮件内容,以强制应用邮件策略。
若要了解与管理 IRM 相关的管理任务,请参阅管理权限保护。
其他加密解决方案的局限性
如果组织对于敏感信息(包括对业务影响很大 (HBI) 的信息和个人的可识别信息 (PII))的保护至关重要,则可以考虑对电子邮件和附件进行加密。长期以来,可供使用的有 S/MIME 等电子邮件加密解决方案。不同类型的组织已经在不同程度上采用了这些加密解决方案。但是,此类解决方案存在着以下缺点:
- 无法应用邮件策略 组织还面临着需要检查邮件内容以确保其符合邮件策略的遵从性要求。但是,使用大多数基于客户端的加密解决方案(包括 S/MIME)加密的邮件会妨碍在服务器上进行的内容检查。如果不进行内容检查,组织将无法验证其用户发送或接收的所有邮件是否符合邮件策略。例如,为了符合法律条例,您已将传输规则配置为检测 PII(如社会保险号),并自动对邮件应用免责声明。如果该邮件经过了加密,则集线器传输服务器上的传输规则代理将无法访问邮件内容,因此不会应用免责声明。这将导致违反策略。
- 安全性降低 防病毒软件无法扫描加密的邮件内容,这使组织更容易受到病毒和蠕虫等恶意内容的攻击。通常认为大多数用户都信任加密邮件,因此,病毒在整个组织中传播的可能性将会增大。例如,您配置了 Outlook 保护规则,以自动将 IRM 保护应用于发送到具有公司机密权限管理服务 (RMS) 模板的“All Employees”通讯组列表的所有邮件。某个用户的工作站感染了病毒,这种病毒可以通过自动使用“全部答复”回复邮件来进行传播。如果对携带这种病毒的邮件进行了加密,则防病毒扫描程序将无法扫描该邮件。
- 影响自定义传输代理 许多组织出于不同目的开发了自定义传输代理,如满足遵从性、安全性或自定义邮件路由的额外处理需求。组织开发的用于检查或修改邮件的自定义传输代理无法处理加密邮件。如果组织开发的自定义传输代理无法访问邮件内容,则邮件加密可能会妨碍组织实现开发自定义传输代理的目标。
对加密内容使用传输解密
在 Exchange 2010 中,IRM 功能解决了这些问题。如果邮件受 IRM 保护,则传输解密允许您在传输过程中对其进行解密。受 IRM 保护的邮件可由解密代理(某个着重处理遵从性的传输代理)进行解密。
备注
在 Exchange 2010 中,解密代理是内置代理。内置代理不包含在 Get-TransportAgent cmdlet 所返回的代理列表中。有关详细信息,请参阅了解传输代理。
解密代理可解密以下类型的受 IRM 保护的邮件:
- 在 Outlook Web App 中,由用户通过 IRM 保护的邮件。
- 在 Outlook 2010 中,由用户通过 IRM 保护的邮件。
- 在 Outlook 2010 中,由 Outlook 保护规则通过 IRM 自动保护的邮件。
重要
解密代理仅解密由组织中的 AD RMS 服务器通过 IRM 保护的邮件。
备注
使用传输保护规则在传输过程中保护的邮件无须由解密代理进行解密。解密代理会触发 OnEndOfData 和 OnSubmit 传输事件。传输保护规则通过传输规则代理应用,此传输规则代理将会触发 OnRoutedMessage 事件,而 IRM 保护则通过 OnRoutedMessage 事件上的加密代理应用。有关传输代理以及可在其上注册传输代理的 SMTP 事件列表的详细信息,请参阅了解传输代理。
传输解密是在处理 Active Directory 林中邮件的第一个 Exchange 2010 集线器传输服务器上执行的。如果邮件传输到另一个 Active Directory 林中的集线器传输服务器中,则会再次对该邮件进行解密。解密之后,该服务器上的其他传输代理可处理未加密内容。例如,集线器传输服务器上的传输规则代理可检查邮件内容并应用传输规则。对未加密的邮件可执行规则中指定的任何操作,如应用免责声明或者以其他任何方式修改邮件。防病毒扫描程序等第三方传输代理可对邮件进行扫描,检查是否存在病毒和恶意软件。在其他传输代理检查了该邮件并对其进行了可能的修改之后,将使用与解密代理解密邮件之前所拥有的权限相同的用户权限再次加密此邮件。组织中的其他集线器传输服务器不会对同一邮件再次进行解密。
由解密代理解密的邮件在再次加密之前不会离开集线器传输服务器。如果在解密或加密邮件时返回暂时性错误,则集线器传输服务器将重试操作两次。在第三次失败之后,此错误将视为永久性错误。如果发生任何永久性错误(包括在重试之后将暂时性错误视为永久性错误),集线器传输服务器将进行如下处理:
- 如果在解密过程中发生永久性错误,则仅当传输解密设置为
Mandatory时才会发送未送达报告 (NDR),并将加密邮件与 NDR 一起发送。有关可用于传输解密的配置选项的详细信息,请参阅本主题后面的配置传输解密。 - 如果在重新加密过程中发生永久性错误,则发送 NDR 时始终不发送解密邮件。
重要
安装在集线器传输服务器上的任何自定义或第三方代理都拥有对解密邮件的访问权限。必须考虑此类传输代理的行为。建议您在将自定义和第三方传输代理部署到生产环境中之前对所有这些代理进行全面测试。
解密代理对邮件进行解密之后,如果传输代理执行新建邮件并嵌入(附加)原始邮件这样的操作,则仅保护新邮件。此时作为新邮件的附件存在的原始邮件将不会重新加密。收到此类邮件的收件人可绕过权限的强制实施打开附加的邮件,并执行转发或答复等操作。
配置传输解密
传输解密是通过使用 Exchange 命令行管理程序中的 Set-IRMConfiguration cmdlet 配置的。但是,在配置传输解密之前,必须为 Exchange 2010 服务器提供可对 AD RMS 服务器保护的内容进行解密的权限。通过将联盟传递邮箱添加到在组织中的 AD RMS 群集上配置的超级用户组可完成此操作。
重要
在将 AD RMS 群集部署在每个林中的跨林 AD RMS 部署中,必须将联盟传递邮箱添加到每个林中 AD RMS 群集上的超级用户组,使 Exchange 2010 集线器传输服务器可以解密针对每个 AD RMS 群集进行保护的邮件。
有关详细信息,请参阅将联盟传递邮箱添加到 AD RMS 超级用户组。
启用传输解密时,Exchange 2010 可以有两种不同的设置:
- 强制 当传输解密设置为
Mandatory时,如果在解密邮件时返回永久性错误,则解密代理将拒绝该邮件,并向发件人返回 NDR。如果组织不希望在无法成功解密邮件和应用了防病毒扫描和传输规则等操作的情况下传递邮件,则必须选择此设置。 - 可选 当传输解密设置为“可选”时,解密代理将使用最佳方法。可解密的邮件将会被解密,但解密时发生永久性错误的邮件也会被传递。如果组织要将邮件传递设置为优先于邮件策略,则必须使用此设置。
有关配置传输解密的详细信息,请参阅启用或禁用传输解密。