瞭解傳輸解密
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2010-06-28
在 Microsoft Exchange Server 2010、Microsoft Outlook 2010 和 Microsoft Office Outlook Web App 中,使用者能夠使用資訊版權管理 (IRM) 來保護自身的郵件。您可以建立 Outlook 保護規則,在 Outlook 2010 用戶端傳送郵件前,將 IRM 保護自動套用於郵件。您也可以建立傳輸保護規則,將 IRM 保護套用於傳輸中符合規則條件的郵件。傳輸解密允許存取受 IRM 保護的郵件,以強制執行郵件原則。
要尋找與管理 IRM 相關的管理工作嗎?請參閱管理權限保護。
其他加密解決方案的限制
如果您的組織必須保護重要資訊,包括高度業務影響 (HBI) 資訊和個人識別資訊 (PII),可考慮將電子郵件和附件加密。S/MIME 之類的電子郵件加密解決方案已出現很長一段時間。這些加密解決方案在不同類型的組織中受到不同程度的採用。不過,這類解決方案具有以下缺點:
無法套用通訊原則 組織也面臨要求檢查郵件內容以確保符合通訊原則的合規要求。然而,包含 S/MIME 在內的大多數用戶端型加密解決方案加密的郵件,無法在伺服器上進行內容檢查。如果不進行內容檢查,組織便無法驗證使用者傳送或接收的所有郵件是否符合通訊原則。例如,為了符合法律規範,假設您已設定傳輸規則來偵測 PII (例如身分證號碼),並且將免責聲明自動套用於郵件。如果郵件經過加密,Hub Transport Server 上的傳輸規則代理程式便無法存取郵件內容,因此無法套用免責聲明。這會導致違反原則。
安全性降低 防毒軟體無法掃描經過加密的郵件內容,因此組織將進一步受到惡意內容的威脅,例如病毒和蠕蟲。經過加密的郵件通常被認為受到大多數使用者的信任,因此增加病毒在整個組織蔓延的可能性。例如,假設您已設定 Outlook 保護規則,以使用公司機密權限管理服務 (RMS) 範本將 IRM 保護自動套用於傳送到 [所有員工] 通訊群組清單的所有郵件。使用者的工作站受到自動使用 [全部回覆] 來回覆郵件而加以傳播的病毒所感染。如果感染病毒的郵件經過加密,則防毒掃描程式無法掃描郵件。
影響自訂傳輸代理程式 許多組織開發自訂傳輸代理程式用於不同目的,例如符合法規、安全性或自訂郵件路由的其他處理需求。組織為了檢查或修改郵件而開發的自訂傳輸代理程式,無法處理加密的郵件。如果組織開發的自訂傳輸代理程式無法存取郵件內容,則郵件加密將使得您的組織無法達成開發自訂傳輸代理程式時所設定的目標。
將傳輸解密用於加密內容
在 Exchange 2010 中,IRM 功能可因應這些難題。如果郵件經過 IRM 保護,傳輸解密可讓您在傳輸中進行解密。受 IRM 保護的郵件會由解密代理程式加以解密,這是符合法規需求的傳輸代理程式。
.gif "注意事項") 附註: |
|---|
| 在 Exchange 2010 中,解密代理程式是內建代理程式。內建代理程式不包含在 Get-TransportAgent 指令程式傳回的代理程式清單中。如需詳細資訊,請參閱瞭解傳輸代理程式。 |
解密代理程式將解密下列類型的 IRM 保護郵件:
Outlook Web App 中使用者以 IRM 保護的郵件。
Outlook 2010 中使用者以 IRM 保護的郵件。
Outlook 2010 中由 Outlook 保護規則自動以 IRM 保護的郵件。
.gif "重要事項") 重要事項: |
|---|
| 只有組織中由 AD RMS Server 以 IRM 保護的郵件可由解密代理程式進行解密。 |
| 附註: |
|---|
| 傳輸中使用傳輸保護規則保護的郵件,不需要由解密代理程式進行解密。解密代理程式會在 OnEndOfData 和 OnSubmit 傳輸事件上觸發。傳輸保護規則由傳輸規則代理程式套用 (在 OnRoutedMessage 事件上觸發),而 IRM 保護規則由加密代理程式套用於 OnRoutedMessage 事件上。如需傳輸代理程式,以及可註冊傳輸代理程式的 SMTP 事件清單的詳細資訊,請參閱瞭解傳輸代理程式。 |
傳輸解密會在 Active Directory 樹系中處理郵件的第一個 Exchange 2010 Hub Transport Server 上執行。如果郵件傳輸到其他 Active Directory 樹系中的 Hub Transport Server,則會再次解密郵件。經過解密後,未加密的內容即可供該伺服器上的其他傳輸代理程式使用。例如,Hub Transport Server 上的傳輸規則代理程式可檢查郵件內容,並套用傳輸規則。規則中指定的任何動作都可以對未加密的郵件執行,例如套用免責聲明,或以其他任何方式修改郵件。協力廠商傳輸代理程式可掃描郵件是否有病毒和惡意軟體,例如防毒掃描程式。其他傳輸代理程式檢查郵件,並且可能對郵件做出修改之後,會使用與解密代理程式解密之前相同的使用者權限,將郵件再次加密。相同的郵件不會由組織中其他的 Hub Transport Server 再次解密。
由解密代理程式解密的郵件,不會在未經再次加密的情況下離開 Hub Transport Server。解密或加密郵件時,如果傳回暫時性錯誤,Hub Transport Server 會重試第二次作業。經過第三次失敗後,錯誤會變成為永久性錯誤。如果發生任何永久性錯誤,包括經過重試後暫時性錯誤成為永久性錯誤,則 Hub Transport Server 會以下列方式處理:
如果解密期間發生永久性錯誤,則只有在將傳輸解密設為
Mandatory,而且與未傳遞回報 (NDR) 一起傳送加密的郵件時,才會傳送 NDR。如需傳輸解密可用組態選項的詳細資訊,請參閱本主題稍後介紹的設定傳輸解密。如果重新加密期間發生永久性錯誤,則一律傳送 NDR,而不會傳送解密的郵件。
| 重要事項: |
|---|
| Hub Transport Server 上安裝的任何自訂或協力廠商代理程式,都能夠存取解密的郵件。您必須考慮這類傳輸代理程式的行為。建議您先詳盡測試所有的自訂和協力廠商傳輸代理程式,再將這些代理程式部署於生產環境中。 解密代理程式將郵件解密後,如果傳輸代理程式採取的動作是建立新郵件,並且內嵌 (附加) 原始郵件,則只有新郵件會受到保護。原始郵件此時成為新郵件的附件,而不會重新加密。收到這類郵件的收件者可開啟附加的郵件,然後採取轉寄或回覆、略過權限強制執行等動作。 |
設定傳輸解密
傳輸解密是使用 Exchange 管理命令介面中的 Set-IRMConfiguration 指令程式所設定。然而,在設定傳輸解密之前,必須針對 Exchange 2010 Server 提供將 AD RMS 伺服器保護的內容予以解密的權限。將同盟傳遞信箱新增至組織的 AD RMS 叢集上設定的超級使用者群組,即可完成。
| 重要事項: |
|---|
| 在具有各樹系中所部署 AD RMS 叢集的跨樹系 AD RMS 部署中,您必須將同盟傳遞信箱新增至各樹系中 AD RMS 叢集上的超級使用者群組,以允許 Exchange 2010 Hub Transport Server 將根據各個 AD RMS 叢集保護的郵件加以解密。 |
如需詳細資訊,請參閱將同盟傳遞信箱新增至 AD RMS 超級使用者群組。
Exchange 2010 允許啟用傳輸解密時使用兩個不同的設定:
強制 將傳輸解密設為
Mandatory時,如果在解密郵件時傳回永久性錯誤,則解密代理程式會拒絕郵件,並且將 NDR 傳回給寄件者。如果您的組織不想在無法成功解密時傳遞郵件,並採取套用防毒掃描與傳輸規則等動作,則必須選擇此設定。選用 將傳輸解密設定為 [選用] 時,解密代理程式會使用最佳工作方式。可解密的郵件會被解密,但是也會傳遞解密時出現永久性錯誤的郵件。如果您的組織認為郵件傳遞的重要性高於郵件原則,則必須使用此設定。
如需設定傳輸解密的詳細資訊,請參閱啟用或停用傳輸解密。
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。