规划电子邮件加密
更新时间: 2009年4月
应用到: Office Resource Kit
上一次修改主题: 2009-04-03
Microsoft Office Outlook 2007 支持与安全相关的功能,以帮助用户发送和接收加密电子邮件。这些功能包括加密电子邮件、安全标签和签名回执。
.gif "Note") 注意 |
|---|
| 若要在 Outlook 中获得完整的安全功能,必须以本地管理权限安装 Outlook。 |
Outlook 中的加密邮件功能
Outlook 支持加密邮件功能,用户使用这些功能可以执行以下操作:
对电子邮件进行数字签名。数字签名可以对内容进行认可和验证(邮件包含所发送的内容,且无任何更改)。
加密电子邮件。加密使预期收件人之外的任何其他人都无法读取邮件,从而有助于保护隐私。
可以配置其他功能以获得安全性增强的邮件传递。如果组织支持这些功能,则安全性增强的邮件传递使用户可以执行以下操作:
发送带回执要求的电子邮件。这有助于核实收件人正在验证用户的数字签名(用户应用于邮件的证书)。
向电子邮件添加安全标签。组织可以创建自定义的 S/MIME V3 安全策略,该策略向邮件添加标签。S/MIME V3 安全策略就是添加到 Outlook 的代码。它向邮件头添加有关邮件敏感度的信息。请参阅本主题后面的安全标签和签名回执。
Outlook 实现加密邮件的方式
Outlook 加密模型使用公钥加密来发送和接收经过签名和加密的电子邮件。Outlook 支持 S/MIME V3 安全,用户通过它可以与其他 S/MIME 电子邮件客户端在 Internet 或 Intranet 上交换安全性增强的电子邮件。只能使用关联的私钥将由用户公钥加密的电子邮件解密。这意味着,用户发送加密的电子邮件时,将邮件加密的是收件人的证书(公钥)。用户读取加密的电子邮件时,用户的私钥将其解密。
在 Outlook 中,用户必须具有安全配置文件才能使用加密功能。安全配置文件是一组设置,这些设置描述用户发送使用加密功能的邮件时所使用的证书和算法。如果在以下情况中尚未存在配置文件,则自动配置安全配置文件:
用户在其计算机上有用于加密的证书。
用户开始使用加密功能。
可以事先为用户自定义这些安全设置。可以使用注册表设置或组策略设置来自定义 Outlook,以满足组织的加密策略并配置(并使用组策略实施)安全配置文件中所需的设置。在为组织设置一致的 Outlook 2007 加密选项的表中描述了这些设置。
数字标识:公钥/私钥与证书的组合
S/MIME 功能依赖于数字标识,后者将用户的身份与公钥和私钥对相关联。证书与私钥/公钥对的组合称为数字标识。私钥可以保存在用户计算机上安全性增强的存储区(如 Microsoft Windows 证书存储区)中,也可以保存在智能卡上。Outlook 完整地支持 X.509v3 标准,此标准要求公钥和私钥由证书颁发机构(如 VeriSign, Inc.)创建。
用户可使用基于万维网的公共证书颁发机构(如 VeriSign 和 Microsoft 证书服务器)获取数字标识。有关用户如何才能获取数字标识的详细信息,请参阅 Outlook 帮助主题“获取数字标识”。如果是管理员,则可以向一组用户提供数字标识。Outlook 仍继续支持使用 Microsoft Exchange Key Management Server 以获取或提供数字标识。
数字标识的证书过期后,用户通常必须从证书颁发机构获取更新后的证书。如果组织依靠 Microsoft Exchange Key Management Server 颁发证书,则 Outlook 自动为用户管理证书更新。
安全标签和签名回执
Outlook 中支持有关安全标签和签名回执的 S/MIME V3 增强安全性服务 (ESS) 扩展。这些扩展帮助您在组织中提供安全性增强的电子邮件通信,并帮助您自定义安全性以满足您的要求。
如果组织开发和提供 S/MIME V3 安全策略以添加自定义安全标签,则安全策略中的代码可以强制将安全标签附加到电子邮件。下面是安全标签的两个示例:
可以将“仅供内部使用”标签作为一个安全标签,应用于不应发送或转发到公司外部的邮件。
如果收件人也安装了安全策略,则标签可以指定某些收件人不能转发或打印邮件。
用户还可以随邮件发送安全性增强的回执要求,以验证收件人能否识别用户的数字签名。收到和保存邮件(即使该邮件未读)且验证签名后,即向用户的收件箱返回一个回执,表示该邮件已读。如果用户的签名未经验证,则不发送回执。返回回执后,由于回执也经过签名,因此您就证实用户收到并验证了该邮件。
加密强度的等级
Microsoft 提供两个等级的加密密钥强度:高(128 位)和低(40 位)。Microsoft 在 Windows 2000 和 Windows XP(2007 Microsoft Office system 所要求的操作系统)中提供 128 位加密功能。确保用户具有支持高度加密的软件版本有助于提供高级别的安全性增强的电子邮件。
其他资源
使用 Outlook 安全标签应用程序编程接口 (API) 可以创建定义组织中邮件内容敏感度的安全标签策略模块。有关创建策略模块和代码示例的详细说明,请参阅 MSDN 文章创建安全标签策略模块。
公钥加密可以帮助您保持安全性增强的电子邮件系统。有关在 Outlook 中使用公钥加密的详细信息,请在 Microsoft 产品支持服务网站的知识库搜索页中搜索“Outlook 98 安全白皮书”。
Microsoft Exchange Key Management Server 5.5 版颁发的密钥仅用于 Microsoft Exchange Server 安全性。Microsoft Exchange Key Management Server 5.5 Service Pack 1 同时支持 Exchange 安全性和 S/MIME 安全性。有关详细信息,请参阅 Microsoft BackOffice Resource Kit, Second Edition(《Microsoft BackOffice 资源工具包(第二版)》)中的“Microsoft Exchange Server version 5.5 Resource Guide”(Microsoft Exchange Server 5.5 版资源指南)。