Расшифровка транспортаTransport decryption

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

В Microsoft Exchange Server 2013, Microsoft Outlook 2010 и более поздних версий и Microsoft Office Outlook Web App пользователи могут защищать сообщения с помощью управления правами на доступ к данным (IRM).In Microsoft Exchange Server 2013, Microsoft Outlook 2010 and later, and Microsoft Office Outlook Web App, users can use Information Rights Management (IRM) to protect their messages. Можно создавать правила защиты Outlook, чтобы автоматически применять защиту службы управления правами на доступ к данным к сообщениям перед их отправкой из клиента Outlook 2010.You can create Outlook protection rules to automatically apply IRM protection to messages before they're sent from an Outlook 2010 client. Кроме того, можно создать правила защиты транспорта для применения защиты с использованием управления правами на доступ к данным к сообщениям в пути, которые соответствуют условиям правила.You can also create transport protection rules to apply IRM protection to messages in transit that match the rule conditions. Расшифровка транспорта обеспечивает доступ к содержимому сообщений, защищенному службой IRM, для применения политик обмена сообщениями.Transport decryption allows access to IRM-protected messaging content to enforce messaging policies.

Задачи управления, связанные с управлением IRM, приведены в разделе процедуры управления правамина доступ к данным.For management tasks related to managing IRM, see Information Rights Management procedures.

Ограничения других решений шифрованияLimitations of other encryption solutions

Если в организации необходимо обеспечить защиту конфиденциальных сведений, в том числе сведений о важных бизнес-задачах и персональных данных, используйте функцию шифрования сообщений и вложений электронной почты. Существуют различные решения шифрования электронной почты, например S/MIME. Подобные решения шифрования применяются в большей или меньшей степени в различных типах организаций. Однако такие решения представляют следующие проблемы.If it's critical that your organization protects sensitive information, including high business impact (HBI) information and personally identifiable information (PII), consider encrypting e-mail messages and attachments. E-mail encryption solutions such as S/MIME have been available for a long time. These encryption solutions have seen varying degrees of adoption in organizations of different types. However, such solutions present the following challenges:

  • Невозможность применения политик обмена сообщениями: Организации также могут требовать проверки содержимого сообщений, чтобы обеспечить соответствие политикам обмена сообщениями.Inability to apply messaging policies: Organizations also face compliance requirements that require inspection of messaging content to make sure it adheres to messaging policies. Тем не менее, шифрование сообщений с помощью большинства клиентских решений шифрования, в том числе S/MIME, не позволяет проверять содержимое сообщений на сервере.However, messages encrypted with most client-based encryption solutions, including S/MIME, prevent content inspection on the server. Без проверки содержимого в организации невозможно будет определить соответствие всех отправленных и полученных ее пользователями сообщений политикам обмена сообщениями.Without content inspection, an organization can't validate that all messages sent or received by its users comply with messaging policies. Например, в соответствии с требованием закона настроено правило транспорта, предписывающее определение персональных данных, например номера социального страхования, и автоматическое применение заявления об отказе к сообщению.For example, to comply with a legal regulation, you've configured a transport rule to detect PII, such as a social security number, and automatically apply a disclaimer to the message. Если сообщение зашифровано, агент правил транспорта в службе транспорта не сможет получить доступ к содержимому сообщения и применить заявление об отказе.If the message is encrypted, the Transport Rules agent on the Transport service can't access message content, and therefore won't apply the disclaimer. Это приводит к нарушению политики.This results in a violation of the policy.

  • Повышенная Безопасность: антивирусное программное обеспечение не может сканировать зашифрованное содержимое сообщения, что позволяет получить доступ к Организации с помощью вредоносного содержимого, такого как вирусы и черви.Decreased security: Antivirus software is unable to scan encrypted message content, further exposing an organization to risk from malicious content such as viruses and worms. Обычно большинство пользователей доверяет содержимому зашифрованных сообщений, в результате чего повышается вероятность распространения вирусов в организации.Encrypted messages are generally considered to be trusted by most users, thereby increasing the likelihood of a virus spreading throughout your organization. Например, настроено правило защиты Outlook, предписывающее автоматическое применение защиты службы управления правами на доступ к данным ко всем сообщениям, отправляемым по списку рассылки "Все сотрудники" с шаблоном службы управления правами "Служебное, конфиденциальное".For example, you've configured an Outlook protection rule to automatically apply IRM protection to all messages sent to the All Employees distribution list with the Company Confidential rights management service (RMS) template. Рабочая станция пользователя заражена вирусом, который распространяется в результате автоматического использования параметра "Ответить всем" для ответа на сообщения.A user's workstation is infected with a virus that propagates by automatically using Reply All to reply to messages. Если сообщение, содержащее вирус, зашифровано, антивирусная программа не сможет проверить это сообщение.If the message carrying the virus is encrypted, the antivirus scanner can't scan the message.

  • Влияние на настраиваемые агенты транспорта: многие организации разрабатывают настраиваемые агенты транспорта для разных целей, например для проведения дополнительных требований к обработке соответствия требованиям, безопасности или настраиваемой маршрутизации сообщений.Impact to custom transport agents: Many organizations develop custom transport agents for different purposes, such as meeting additional processing requirements for compliance, security, or custom message routing. Пользовательские агенты транспорта, развертываемые организациями для проверки или изменения сообщений, не позволяют обрабатывать зашифрованные сообщения.Custom transport agents developed by an organization to inspect or modify messages are unable to process encrypted messages. Если развернутые в организации пользовательские агенты транспорта не позволяют получать доступ к содержимому сообщения, шифрование сообщений может препятствовать достижению организацией целей, для которых эти пользовательские агенты развернуты.If the custom transport agents developed by your organization can't access message content, message encryption may prevent your organization from meeting the goals for which the custom transport agents are developed.

Использование средства расшифровки транспорта для зашифрованного содержимогоUsing transport decryption for encrypted content

В Exchange 2013 служба управления правами на доступ к данным позволяет решить эти проблемы. Если сообщения защищены с помощью службы IRM, функция расшифровки транспорта позволяет расшифровывать их при передаче. Такие сообщения можно расшифровать с помощью агента расшифровки, который является агентом транспорта, ориентированным на проверку соответствия.In Exchange 2013, IRM features address these challenges. If messages are IRM-protected, transport decryption allows you to decrypt them in transit. IRM-protected messages are decrypted by the Decryption agent, a compliance-focused transport agent.

Примечание

Агент расшифровки встроен в Exchange 2013. Встроенные агенты не включаются в список агентов, возвращаемых командлетом Get-TransportAgent. Дополнительные сведения см. в разделе Агенты транспорта.In Exchange 2013, the Decryption agent is a built-in agent. Built-in agents aren't included in the list of agents returned by the Get-TransportAgent cmdlet. For more details, see Transport agents.

Агент расшифровки позволяет расшифровать следующие типы сообщений, защищенных с помощью службы управления правами на доступ к данным.The Decryption agent decrypts the following types of IRM-protected messages:

  • Сообщения, для которых пользователь Outlook Web App установил защиту с помощью службы управления правами на доступ к данным.Messages IRM-protected by the user in Outlook Web App.

  • Сообщения, для которых пользователь Outlook 2010 установил защиту с помощью службы управления правами на доступ к данным.Messages IRM-protected by the user in Outlook 2010.

  • Сообщения, для которых защита с помощью службы IRM автоматически установлена в Exchange 2013 и Outlook 2010 с помощью правил защиты Outlook.Messages IRM-protected automatically by Outlook protection rules in Exchange 2013 and Outlook 2010.

Важно!

Агент расшифровки расшифровывать только сообщения, защищенные службой управления правами на доступ к данным службой управления правами Active Directory в Организации.Only messages IRM-protected by the AD RMS server in your organization are decrypted by the Decryption agent.

Примечание

Агент расшифровки может сохранять сообщения, защищенные при передаче с помощью правил защиты транспорта, в зашифрованном виде. Агент расшифровки запускается для событий транспорта OnEndOfData и OnSubmit. Правила защиты транспорта применяются агентом правил транспорта, который запускается для события OnRoutedMessage, а защита с помощью службы управления правами на доступ к данным применяется агентом шифрования для события OnRoutedMessage. Дополнительные сведения об агентах транспорта и список событий SMTP, для которых они зарегистрированы, см. в разделе Агенты транспорта.Messages protected in-transit using transport protection rules aren't required to be decrypted by the Decryption agent. The Decryption agent fires on the OnEndOfData and OnSubmit transport events. Transport protection rules are applied by the Transport Rules agent, which fires on the OnRoutedMessage event, and IRM-protection is applied by the Encryption agent on the OnRoutedMessage event. For more information about transport agents and a list of SMTP events on which they can be registered, see Transport agents.

Расшифровка транспорта выполняется первой в лесу Active Directory службой транспорта Exchange 2013, обрабатывающей сообщение. Если сообщение пересылается в службу транспорта в другом лесу Active Directory, оно повторно расшифровывается. После расшифровки незашифрованное содержимое доступно другим агентам транспорта на этом сервере. Например, агент правил транспорта в службе транспорта может проверить содержимое сообщения и применить к нему правила транспорта. К незашифрованному сообщению можно применить любые действия, указанные в правиле, например применить заявление об отказе или изменить сообщение другим способом. Сторонние агенты транспорта, например антивирусные программы, могут проверять сообщение на наличие вирусов и вредоносного содержимого. После проверки сообщения другими агентами транспорта и возможного его изменения выполняется повторное шифрование этого сообщения с помощью тех прав пользователя, которые существовали до расшифровки сообщения агентом расшифровки. Это сообщение не расшифровывается повторно другими службами транспорта на серверах почтовых ящиков в организации.Transport decryption is performed on the first Exchange 2013 Transport service that handles a message in an Active Directory forest. If a message is transferred to a Transport service in another Active Directory forest, the message is decrypted again. After decryption, unencrypted content is available to other transport agents on that server. For example, the Transport Rules agent on a Transport service can inspect message content and apply transport rules. Any actions specified in the rule, such as applying a disclaimer or modifying the message in any other way, can be taken on the unencrypted message. Third-party transport agents, such as antivirus scanners, can scan the message for viruses and malware. After other transport agents have inspected the message and possibly made modifications to it, it's encrypted again with the same user rights that it had before being decrypted by the Decryption agent. The same message isn't decrypted again by other the Transport service on other Mailbox servers in the organization.

Для отправки сообщений, расшифрованных агентом расшифровки, из службы транспорта необходимо их повторное шифрование. Если при расшифровке или шифровании сообщения возвращается сообщение о временной ошибке, служба транспорта повторно выполняет операцию. После третьего сбоя ошибка будет рассматриваться как постоянная. При возникновении постоянной ошибки, а также если временная ошибка становится постоянной после нескольких повторов, служба транспорта обрабатывает сообщения следующим образом.Messages decrypted by the Decryption agent don't leave the Transport service without being encrypted again. If a transient error is returned when decrypting or encrypting the message, the Transport service retries the operation twice. After the third failure, the error is treated as a permanent error. If any permanent errors occur, including when transient errors are treated as permanent errors after retries, the Transport service treats them as follows:

  • Если при расшифровке возникает постоянная ошибка, отчет о недоставке отправляется только в том случае, если для Mandatoryрасшифровки транспорта задано значение, а зашифрованное сообщение отправляется с отчетом о недоставке.If the permanent error occurs during decryption, a non-delivery report (NDR) is sent only if transport decryption is set to Mandatory, and the encrypted message is sent with the NDR. Дополнительные сведения о параметрах конфигурации, доступных для расшифровки транспорта, см. в подразделе Configuring Transport Decryption далее в этом разделе.For more details about the configuration options available for transport decryption, see Configuring Transport Decryption later in this topic.

  • Если постоянная ошибка происходит во время повторного шифрования, отчет о недоставке всегда отправляется без расшифрованного сообщения.If the permanent error occurs during re-encryption, an NDR is always sent without the decrypted message.

Важно!

Все пользовательские или сторонние агенты, установленные в службе транспорта, получают доступ к расшифрованному сообщению. Необходимо учитывать поведение таких агентов транспорта. Рекомендуется проверить работу всех пользовательских и сторонних агентов транспорта перед их развертыванием в рабочей среде.Any custom or third-party agents installed on a Transport service have access to the decrypted message. You must consider the behavior of such transport agents. We recommend that you test all custom and third-party transport agents thoroughly before you deploy them in a production environment.
Если после расшифровки сообщения агентом расшифровки агент транспорта создает новое сообщение и добавляет (прикрепляет) к нему исходное сообщение, защита будет применяться только к новому сообщению. Исходное сообщение, которое становится вложением в новое сообщении, повторно не шифруется. Получатель такого сообщения может открыть вложенное сообщение и выполнить по отношению к нему определенное действие, например переслать или ответить, независимо от наличия прав.After a message is decrypted by the Decryption agent, if a transport agent creates a new message and embeds (attaches) the original message to the new one, only the new message is protected. The original message, which becomes an attachment to the new message, doesn't get re-encrypted. A recipient receiving such a message can open the attached message and take actions such as forwarding or replying, which would bypass rights enforcement.

Настройка расшифровки транспортаConfiguring transport decryption

Службу расшифровки транспорта можно настроить с помощью командлета Set-IRMConfiguration в командной консоли Exchange.Transport decryption is configured by using the Set-IRMConfiguration cmdlet in the Exchange Management Shell. Тем не менее, чтобы настроить расшифровку транспорта, необходимо предоставить серверам Exchange 2013 разрешение на расшифровку содержимого, защищенного сервером AD RMS организации.However, before you configure transport decryption, you must provide Exchange 2013 servers the right to decrypt content protected by your AD RMS server. Для этого необходимо добавить федеративный почтовый ящик в группу суперпользователей, настроенную в кластере AD RMS организации.This is done by adding the Federation mailbox to the super users group configured on the AD RMS cluster in your organization.

Важно!

При развертывании AD RMS в лесу, где в каждом лесу развернут кластер AD RMS, необходимо добавить почтовый ящик Федерации в группу СУПЕРПОЛЬЗОВАТЕЛЕЙ в кластере AD RMS в каждом лесу, чтобы разрешить транспортную службу на сервере Exchange 2013 Сервер почтовых ящиков или транспортный сервер-концентратор Exchange 2010 для расшифровки сообщений, защищенных каждым кластером службы управления правами Active Directory .In cross-forest AD RMS deployments where you have an AD RMS cluster deployed in each forest, you must add the Federation mailbox to the super users group on the AD RMS cluster in each forest to allow the Transport service on an Exchange 2013 Mailbox server or an Exchange 2010 Hub Transport server to decrypt the messages protected against each AD RMS cluster.

Дополнительные сведения см. в разделе Добавление федеративного почтового ящика в группу суперпользователей службы управления правами Active Directory.For details, see Add the Federation Mailbox to the AD RMS Super Users Group.

В Exchange 2013 существует два параметра включения расшифровки транспорта.Exchange 2013 allows two different settings when enabling transport decryption:

  • Обязательно: Если задано расшифровывание транспорта Mandatory, агент расшифровки отклоняет сообщение и ВОЗВРАЩАЕТ отчет о недоставке, если при расшифровке сообщения возвращается постоянная ошибка.Mandatory: When transport decryption is set to Mandatory, the Decryption agent rejects the message and returns an NDR to the sender if a permanent error is returned when decrypting a message. Если в организации запрещается доставка сообщения при невозможности его успешной расшифровки, а также выполняется проверка антивирусными программами и применяются правила транспорта, необходимо выбрать этот параметр.If your organization doesn't want a message to be delivered if it can't be successfully decrypted and actions such as antivirus scanning and transport rules are applied, you must choose this setting.

  • Необязательно: Если для расшифровки транспорта задано значение Optional, агент расшифровки использует оптимальный подход.Optional: When transport decryption is set to Optional, the Decryption agent uses a best-effort approach. Сообщения, которые можно расшифровать, расшифровываются, но сообщения, во время расшифровки которых произошла постоянная ошибка, также доставляются.Messages that can be decrypted are decrypted, but messages with a permanent error on decryption are also delivered. Если в организации приоритет в определении правил доставки сообщений имеет политика обмена сообщениями, необходимо использовать этот параметр.If your organization prioritizes message delivery over messaging policy, you must use this setting.

Дополнительные сведения о настройке расшифровки транспорта см. в разделе Включение и отключение расшифровки транспорта.For more information about configuring transport decryption, see Enable or Disable Transport Decryption.