傳輸解密

  • 發行項

適用於:Exchange Server 2013

在 2013 Microsoft Exchange Server、Microsoft Outlook 2010 和更新版本,以及 Microsoft Office Outlook Web App,使用者可以使用資訊版權管理 (IRM) 來保護其訊息。 您可以建立 Outlook 保護規則,在訊息從 Outlook 2010 用戶端傳送郵件之前,自動將 IRM 保護套用至訊息。 您也可以建立傳輸保護規則,將 IRM 保護套用至符合規則條件的傳輸中訊息。 傳輸解密可讓您存取受 IRM 保護的傳訊內容,以強制執行傳訊原則。

如需管理 IRM 的相關管理工作,請參閱 資訊版權管理程式

其他加密解決方案的限制

如果您的組織必須保護敏感性資訊,包括 HBI) 資訊 (高業務影響,以及 PII) (個人識別資訊,請考慮加密電子郵件訊息和附件。 S/MIME 等電子郵件加密解決方案已提供很長的時間。 這些加密解決方案已在不同類型的組織中看到不同程度的採用。 不過,這類解決方案會帶來下列挑戰:

  • 無法套用傳訊原則:組織也面臨需要檢查傳訊內容的合規性需求,以確保其遵守傳訊原則。 不過,使用大部分用戶端型加密解決方案加密的訊息,包括 S/MIME,可防止伺服器上的內容檢查。 如果沒有內容檢查,組織就無法驗證其使用者傳送或接收的所有訊息是否都符合訊息原則。 例如,為了遵守法律規定,您已設定傳輸規則來偵測 PII,例如社會安全號碼,並自動將免責聲明套用至訊息。 如果訊息已加密,傳輸服務上的傳輸規則代理程式就無法存取訊息內容,因此不會套用免責聲明。 這會導致違反原則。

  • 降低安全性:防毒軟體無法掃描加密的訊息內容,進一步讓組織面臨惡意內容的風險,例如病毒和病毒。 加密的訊息通常會被大部分的使用者視為受信任,因此會增加病毒在整個組織中傳播的可能性。 例如,您已設定 Outlook 保護規則,以使用公司機密版權管理服務 (RMS) 範本,將 IRM 保護自動套用至傳送至 [所有員工] 通訊群組清單的所有訊息。 使用者的工作站會感染病毒,該病毒會自動使用 [全部回復] 回復訊息來傳播。 如果攜帶病毒的訊息已加密,防毒軟體掃描器就無法掃描訊息。

  • 對自訂傳輸代理程式的影響:許多組織會針對不同用途開發自訂傳輸代理程式,例如符合合規性、安全性或自訂訊息路由的其他處理需求。 組織為檢查或修改訊息而開發的自訂傳輸代理程式無法處理加密的訊息。 如果貴組織開發的自訂傳輸代理程式無法存取訊息內容,訊息加密可能會使您的組織無法達到開發自訂傳輸代理程式的目標。

將傳輸解密用於加密內容

在 Exchange 2013 中,IRM 功能可解決這些挑戰。 如果訊息受到 IRM 保護,傳輸解密可讓您在傳輸中將它們解密。 受 IRM 保護的訊息會由以合規性為主的傳輸代理程式解密。

注意事項

在 Exchange 2013 中,解密代理程式是內建的代理程式。 內建代理程式不包含在 Get-TransportAgent 指令程式傳回的代理程式清單中。 如需詳細資訊,請參閱 傳輸代理程式

解密代理程式將解密下列類型的 IRM 保護郵件:

  • Outlook Web App 中使用者以 IRM 保護的郵件。
  • Outlook 2010 中使用者以 IRM 保護的郵件。
  • Outlook 與 Outlook 2010中由 Exchange 2013 保護規則自動以 IRM 保護的郵件。

重要事項

只有組織中由 AD RMS Server 以 IRM 保護的郵件可由解密代理程式進行解密。

使用傳輸保護規則在傳輸中保護的訊息不需要由解密代理程式解密。 解密代理程式會在 OnEndOfDataOnSubmit 傳輸事件上引發。 傳輸保護規則是由傳輸規則代理程式套用,它會在 OnRoutedMessage 事件上引發,而 IRM 保護是由 OnRoutedMessage 事件上的加密代理程式套用。 如需傳輸代理程式的詳細資訊,以及可註冊它們的 SMTP 事件清單,請參閱 傳輸代理程式

傳輸解密是在處理 Active Directory 樹系中訊息的第一個 Exchange 2013 傳輸服務上執行。 如果訊息傳輸到另一個 Active Directory 樹系中的傳輸服務,訊息會再次解密。 解密之後,該伺服器上的其他傳輸代理程式可以使用未加密的內容。 例如,傳輸服務上的傳輸規則代理程式可以檢查訊息內容並套用傳輸規則。 規則中指定的任何動作,例如套用免責聲明或以任何其他方式修改訊息,都可以對未加密的訊息採取。 協力廠商傳輸代理程式,例如防毒軟體掃描器,可以掃描訊息中是否有病毒和惡意程式碼。 在其他傳輸代理程式已檢查訊息,並可能對其進行修改之後,系統會使用解密代理程式解密之前所擁有的相同使用者權限再次加密。 組織中其他信箱伺服器上的其他傳輸服務不會再次解密相同的郵件。

解密代理程式解密的訊息不會在未再次加密的情況下離開傳輸服務。 如果解密或加密訊息時傳回暫時性錯誤,傳輸服務會重試作業兩次。 第三次失敗之後,會將錯誤視為永久錯誤。 如果發生任何永久性錯誤,包括在重試後將暫時性錯誤視為永久錯誤時,傳輸服務會將其視為下列專案:

  • 如果在解密期間發生永久錯誤,則只有當傳輸解密設定為 Mandatory ,且加密的訊息是以 NDR 傳送時,才會傳送 NDR) 的非傳遞 (報告。 如需可用於傳輸解密之組態選項的詳細資訊,請參閱本主題稍後的設定傳輸解密。

  • 如果重新加密期間發生永久性錯誤,則一律傳送 NDR,而不會傳送解密的郵件。

重要事項

任何安裝在傳輸服務上的自訂或協力廠商代理程式都可以存取解密的訊息。 您必須考慮這類傳輸代理程式的行為。 建議您先徹底測試所有自訂和協力廠商傳輸代理程式,再將其部署在生產環境中。

解密代理程式解密訊息之後,如果傳輸代理程式建立新的訊息,並內嵌 (附加) 原始訊息到新的訊息,則只有新的訊息會受到保護。 成為新訊息附件的原始訊息不會重新加密。 接收這類郵件的收件者可以開啟附加的郵件,並採取轉寄或回復等動作,這會略過許可權強制執行。

設定傳輸解密

傳輸解密是使用 Exchange 管理命令介面中的 Set-IRMConfiguration Cmdlet 來設定。 不過,在設定傳輸解密之前,您必須提供 Exchange 2013 伺服器解密 AD RMS 伺服器所保護內容的許可權。 若要這麼做,請將 [同盟] 信箱新增至組織中 AD RMS 叢集上設定的進階使用者群組。

重要事項

在每個樹系中部署 AD RMS 叢集的跨樹系 AD RMS 部署中,您必須將 [同盟] 信箱新增至每個樹系中 AD RMS 叢集上的進階使用者群組,以允許 Exchange 2013 信箱伺服器或 Exchange 2010 中樞傳輸伺服器上的傳輸服務解密針對每個 AD RMS 叢集保護的郵件。

如需詳細資訊,請參閱至 AD RMS 超級使用者群組新增同盟信箱

Exchange 2013 允許啟用傳輸解密時使用兩個不同的設定:

  • 強制:當傳輸解密設定為 Mandatory 時,解密代理程式會拒絕訊息,並在解密訊息時傳回永久錯誤時,將 NDR 傳回給寄件者。 如果您的組織不想在訊息無法成功解密且套用防毒軟體掃描和傳輸規則等動作時傳遞訊息,您必須選擇此設定。

  • 選擇性:當傳輸解密設定為選擇性時,解密代理程式會使用最佳方法。 可解密的訊息會解密,但解密時發生永久錯誤的訊息也會傳遞。 如果您的組織將訊息傳遞優先于傳訊原則,您必須使用此設定。

如需設定傳輸解密的詳細資訊,請參閱啟用或停用傳輸解密