规划 Outlook 2010 中的电子邮件加密

 

适用于: Office 2010

上一次修改主题: 2016-11-29

Microsoft Outlook 2010 支持可帮助用户发送和接收加密电子邮件的安全相关功能。这些功能包括加密的电子邮件传送、安全标签和签名回执。

备注

要在 Microsoft Outlook 中获得完整的安全功能,您必须以本地管理权限安装 Outlook 2010。

本文内容:

  • 关于 Outlook 2010 中的加密邮件传送功能

  • 管理加密的数字标识

  • 安全标签和签名回执

  • 配置 Outlook 2010 的加密设置

  • 配置其他加密设置

关于 Outlook 2010 中的加密邮件传送功能

Outlook 2010 支持加密的邮件传送功能,该功能使得用户能够执行以下操作:

  • 对电子邮件进行数字签名。   数字签名提供对内容的认可和验证(确保邮件中包含发件人发送的内容,未作任何更改)。

  • 对电子邮件进行加密。   加密功能使邮件仅供目标收件人阅读,其他任何人都无法阅读,从而有助于确保隐私。

可以配置其他功能以实现安全性增强的邮件传送。如果您的组织支持这些功能,则安全性增强的邮件传送可以使用户实现以下操作:

  • 发送使用回执请求的电子邮件。   这有助于确保收件人验证用户的数字签名(用户应用于邮件的证书)。

  • 为电子邮件添加安全标签。   您的组织可能会创建自定义的 S/MIME V3 安全策略,用于向电子邮件添加标签。S/MIME V3 安全策略是您添加到 Outlook 的代码。它向邮件头添加有关邮件敏感性的信息。有关详细信息,请参阅本文后面的安全标签和签名回执。

Outlook 2010 如何实现加密的邮件传送

Outlook 2010 加密模型使用公钥加密来发送和接收经过签名和加密的电子邮件。Outlook 2010 支持 S/MIME V3 安全功能,借助于该功能,用户可以通过 Internet 和 Intranet 与其他 S/MIME 电子邮件客户端交换安全性增强的电子邮件。由用户的公钥加密的电子邮件只能使用相关联的私钥解密。也就是说,当用户发送加密的电子邮件时,收件人的证书(公钥)对该邮件进行加密。当用户阅读加密的电子邮件时,用户的私钥对该邮件进行解密。

在 Outlook 2010 中,要求用户必须具有安全配置文件才能使用加密功能。安全配置文件是描述用户发送使用加密功能的邮件时所使用的证书和算法的一组设置。在下列情况下,如果配置文件尚不存在,会自动配置安全配置文件:

  • 用户的计算机上具有用于加密的证书。

  • 用户开始使用某项加密功能。

您可以提前为用户自定义这些安全设置。可以使用注册表设置或组策略设置来自定义 Outlook 以满足您的组织的加密策略,并在安全配置文件中配置(和强制执行,使用组策略时)您需要的设置。这些设置将在本文后面的 配置 Outlook 2010 的加密设置 中介绍。

数字标识:公钥/私钥和证书的组合

S/MIME 功能依赖于数字标识(亦称数字证书)。数字标识将用户标识与一个公钥/私钥对相关联。证书与公钥/私钥对的组合称为数字标识。私钥可以保存在安全性增强的存储区中,例如 Windows 证书存储区中、用户的计算机上或智能卡上。Outlook 2010 完全支持 X.509v3 标准,这需要由证书颁发机构(例如,运行 Active Directory 证书服务的 Windows Server 2008 计算机,或者某个公共证书颁发机构,如 VeriSign)在组织中创建公钥和私钥。要了解哪种选择最适于您的组织,请参阅规划 Office 2010 的数字签名设置中的数字证书:自签名的或者由 CA 颁发的

用户可以通过基于 Web 的公共证书颁发机构(例如 VeriSign 和 Microsoft Certificate Services)获取数字标识。有关用户如何获取数字标识的详细信息,请参阅 Outlook 帮助主题获取数字标识 (http://go.microsoft.com/fwlink/?linkid=185585\&clcid=0x80)。作为管理员,您可以为一组用户提供数字标识。

数字标识的证书过期后,用户通常必须从证书颁发机构获取更新的证书。如果您的组织依赖于 Windows Server 2003 证书颁发机构 (CA) 或 Windows Server 2008 中的 Active Directory 证书服务 (AD CS) 来获取证书,则 Outlook 2010 会自动为用户管理证书的更新。

管理加密的数字标识

Outlook 2010 为用户提供了管理其数字标识(即,用户的证书与公用和私有加密密钥组的组合)的方法。数字标识允许用户交换加密的邮件,因而有助于保护用户的电子邮件的安全。管理数字标识包括以下方面:

  • 获取数字标识。有关用户如何获取数字标识的详细信息,请参阅 Outlook 帮助主题获取数字标识 (http://go.microsoft.com/fwlink/?linkid=185585\&clcid=0x80)。

  • 存储数字标识,以便您可以将该标识移动到另一台计算机或使其可供其他用户使用。

  • 向其他用户提供数字标识。

  • 将数字标识导出到文件。当用户创建备份或移动到新计算机时非常有用。

  • 将数字标识从文件导入到 Outlook。数字标识文件可能是用户的备份副本,也可能包含来自另一个用户的数字标识。

  • 续订已过期的数字标识。

在多台计算机上执行加密邮件传送的用户必须将其数字标识复制到每台计算机。

数字标识的存储位置

可以在以下三个位置中存储数字标识:

  • Microsoft Exchange 全局通讯簿   由 CA 或 AD CS 生成的证书自动发布在全局地址列表 (GAL) 中。外部生成的证书可以手动发布到全局通讯簿中。若要在 Outlook 2010 中执行此操作,请在“文件”选项卡上,单击“选项”,再单击“信任中心”。在“Microsoft Outlook 信任中心”下,单击“信任中心设置”。在“电子邮件安全性”选项卡上的“数字标识(证书)”下,单击“发布到全球通讯簿”按钮。

  • 轻型目录访问协议 (LDAP) 目录服务   外部目录服务、证书颁发机构或其他证书提供商可以通过 LADP 目录服务发布其用户的证书。Outlook 允许通过 LDAP 目录访问这些证书。

  • Microsoft Windows 文件   可以在用户计算机上存储数字标识。用户可将其数字标识从 Outlook 2010 导出到文件。为此,请在“文件”选项卡上,单击“选项”,然后单击“信任中心”。在“Microsoft Outlook 信任中心”下,单击“信任中心设置”。在“电子邮件安全性”选项卡上的“数字标识(证书)”下,单击“导入/导出”按钮。用户在创建文件时可以通过提供密码来加密该文件。

向其他用户提供数字标识。

如果用户想要与其他用户交换加密的电子邮件,他们必须具有彼此的公钥。用户可以通过证书提供对其公钥的访问权限。向其他用户提供数字标识的方法有多种,包括以下几种:

  • 使用证书对电子邮件进行数字签名   用户通过撰写电子邮件并使用证书对邮件进行数字签名,为其他用户提供其公钥。当 Outlook 用户收到签名的邮件时,他们可以右键单击“发件人”行上的用户名称,然后单击“添加到联系人”。地址信息和证书将保存到 Outlook 用户的联系人列表中。

  • 使用目录服务(如 Microsoft Exchange 全局通讯簿)提供证书。   对用户来说,另一种可选的方法是,在发送加密的电子邮件时自动从标准 LDAP 服务器上的 LDAP 目录中检索其他用户的证书。若要以该方式访问证书,用户必须在 S/MIMET 安全系统中注册其电子邮件帐户的数字标识。

    用户还可以从全局通讯簿获取证书。

导入数字标识

用户可以从文件中导入数字标识。此功能在某些情况下非常有用,例如,当用户想要从一台新计算机发送加密的电子邮件时。用户从其上发送加密电子邮件的每台计算机都必须安装用户的证书。用户可将其数字标识从 Outlook 2010 导出到文件。为此,请在“文件”选项卡上,单击“选项”,然后单击“信任中心”。在“Microsoft Outlook 信任中心”下,单击“信任中心设置”。在“电子邮件安全性”选项卡上的“数字标识(证书)”下,单击“导入/导出”按钮。

续订密钥和证书

每个证书和私钥都关联有一个时间限制。当由 CA 或 AD CS 提供的密钥到达指定时间段的末期时,Outlook 将显示一条警告消息并提议续订密钥。Outlook 提示用户,提议代表每个用户向服务器发送续订消息。

如果用户在证书过期之前没有选择续订证书,或者他们使用另一个证书颁发机构 (而不是 CA 或 AD CS 中的),那么用户必须与该证书颁发机构联系以续订证书。

安全标签和签名回执

Outlook 2010 支持与安全标签和签名回执有关的 S/MIME V3 增强型安全服务 (ESS) 扩展。这些扩展有助于您在自己的组织内部提供安全性增强的电子邮件通信,并对安全性进行自定义以使其满足您的需求。

如果您的组织开发并提供了 S/MIME V3 安全策略来添加自定义安全标签,则安全策略中的代码可以强制将安全标签附加到电子邮件中。下面是安全标签的两个示例:

  • 可以将“仅供内部使用”标签实施为一个安全标签,以应用于不应发送或转发到公司外部的电子邮件。

  • 标签可以指定特定收件人不能转发或打印邮件(如果收件人也安装了安全策略)。

用户还可以随邮件发送安全性增强的回执请求,以验证收件人是否能够识别用户的数字签名。当收到并保存邮件(即使尚未阅读邮件)且验证签名后,将向用户的收件箱返回一条表明邮件已被阅读的回执。如果用户的签名没有通过验证,则不会发送任何回执。当返回回执时,因为回执也是经过数字签名的,所以您可以确认用户已收到邮件并且验证了邮件。

配置 Outlook 2010 的加密设置

您可以使用 Outlook 2010 组策略模板 (Outlook14.adm) 控制 Outlook 2010 加密功能的许多方面,以帮助您的组织配置更安全的邮件传送和邮件加密。例如,您可以配置一个组策略设置以要求所有传出邮件上必须具有安全标签,也可以配置一个设置以禁止向全局地址列表进行发布。您还可以使用 Office 自定义工具 (OCT) 来配置默认设置,这将允许用户更改设置。另外,有一些加密配置选项只能使用注册表项设置来配置。

有关如何下载 Outlook 2010 管理模板及有关其他 Office 2010 管理模板的信息,请参阅 Office 2010 管理模板文件(ADM、ADMX、ADML)和 Office 自定义工具。有关组策略的详细信息,请参阅 Office 2010 组策略概述使用组策略在 Office 2010 中强制启用设置

有关 OCT 的详细信息,请参阅 Office Customization Tool in Office 2010

您可以锁定下表中的设置以自定义加密。在 OCT 中,在“修改用户设置”页上,这些设置位于“Microsoft Outlook 2010\安全性\加密”下。在组策略中,这些设置位于“用户配置\管理模板\Microsoft Outlook 2010\安全性\加密”下。

加密选项 说明

始终在 S/MIME 邮件中使用 TNEF 格式

始终为 S/MIME 邮件使用传输中性封装格式 (TNEF) 而不是使用用户指定的格式。

不根据正在使用的证书地址检查电子邮件地址

不使用加密或签名时所用证书的地址来验证用户的电子邮件地址。

不显示“发布到全球通讯簿” 按钮

禁用信任中心的“电子邮件安全性”页上的“发布到全球通讯簿”按钮。

在“加密”警告对话框中不提供“继续”按钮

禁用加密设置警告对话框上的“继续”按钮。用户将无法按“继续”来发送邮件。

启用加密图标

在 Outlook 用户界面 (UI) 上显示 Outlook 加密图标。

加密所有电子邮件

加密传出电子邮件。

确保所有 S/MIME 签名邮件都具有标签

要求所有 S/MIME 签名邮件都具有安全标签。在 Outlook 2010 中,用户可以向电子邮件附加标签。要执行此操作,在“选项”选项卡上,在“其他选项”组中的“安全性”下,单击“安全设置”按钮。在“安全属性”对话框中,选择“为此邮件添加数字签名”。在“策略”的“安全标签”下,选择一个标签。

Fortezza 证书策略

输入证书的策略扩展名中所允许的表示该证书是 Fortezza 证书的策略列表。列出由分号分隔的策略。

邮件格式

选择支持的邮件格式:S/MIME(默认)、Exchange、Fortezza,或者这些格式的组合。

Outlook 找不到用于为邮件解码的数字标识时显示的消息

输入要向用户显示的消息(最多 255 个字符)。

最小加密设置

设置加密的电子邮件的最小密钥长度。如果用户试图使用小于最小加密密钥设置值的加密密钥发送邮件,Outlook 将显示一条警告消息。用户仍然可以选择忽略此警告并使用最初选择的加密密钥发送邮件。

答复或转发的已签名/加密的邮件是已签名/加密的

启用此选项可以在对签名或加密邮件进行答复或转发时打开签名/加密功能,即使没有为用户配置 S/MIME 也是如此。

要求对所有 S/MIME 签名邮件提供 S/MIME 回执

对传出的签名电子邮件请求安全性增强的回执。

要求 S/MIME 操作使用 SuiteB 算法

仅对 S/MIME 操作使用 Suite-B 算法。

要求的证书颁发机构

设置要求的证书颁发机构 (CA) 的名称。设置某个值后,Outlook 不允许用户使用其他 CA 的证书对电子邮件进行签名。

以 FIPS 兼容模式运行

要求 Outlook 以 FIPS 140-1 模式运行。

SS/MIME 与外部客户端的互操作性:

指定用于处理 S/MIME 邮件的行为:内部处理外部处理可能时处理

S/MIME 回执请求行为

指定一个选项以确定如何处理 S/MIME 回执请求:

无法发送回执时打开邮件

无法发送回执时不打开邮件

发送回执前始终提示

从不发送 S/MIME 回执

以明文签署邮件方式发送所有邮件

以明文发送签名电子邮件。

对所有电子邮件进行签名

要求所有传出电子邮件上都具有数字签名。

签名警告

指定一个选项以确定何时向用户显示签名警告:

  • 让用户决定是否需要警告。此选项强制实施默认配置。

  • 始终对无效签名发出警告。

  • 从不对无效签名发出警告。

S/MIME 证书的 URL

提供用户可以从其获取 S/MIME 回执的 URL。该 URL 可以包含三个变量(%1、%2 和 %3),将分别替换为用户的姓名、电子邮件地址和语言。

当为“S/MIME 证书的 URL”指定了值时,请使用下列参数将用户的相关信息发送到注册网页。

 

参数 URL 字符串中的占位符

用户的显示名称

%1

SMTP 电子邮件名称

%2

用户界面语言 ID

%3

例如,若要将用户信息发送到 Microsoft 注册网页,请将“S/MIME 证书的 URL”项设置为以下值,包括参数:

www.microsoft.com/ie/certpage.htm?name=%1&email=%2&helplcid=%3

例如,如果用户姓名为 Jeff Smith,电子邮件地址为 someone@example.com,并且用户界面语言 ID 为 1033,那么将按如下方式解析占位符:

www.microsoft.com/ie/certpage.htm?name=Jeff%20Smith&email=someone@example.com&helplcid=1033

下表中的设置位于组策略中的“用户配置\管理模板\Microsoft Outlook 2010\安全性\加密\签名状态”对话框下。OCT 设置位于 OCT 的“修改用户设置”页上的相应位置。

加密选项 说明

附件安全临时文件夹

指定安全临时文件夹的文件夹路径。这将覆盖默认路径,我们建议不要采用。如果您必须为 Outlook 附件使用特定文件夹,我们建议您采用如下方式:

  • 使用本地目录(以实现最佳性能)。

  • 将文件夹放到 Temporary Internet Files 文件夹中(这样可以受益于该文件夹的增强安全性)。

  • 采用独特的文件夹名称,使其难以猜测。

缺少 CRL

指定当缺少证书吊销列表 (CRL) 时 Outlook 的响应:警告(默认)或显示错误。

数字证书包含一个表示对应的 CRL 所处位置的属性。CRL 包含由证书的控制认证颁发机构 (CA) 撤消的数字证书的列表,通常是因为这些证书颁发有误或者其相关私钥受到了安全威胁。如果 CRL 缺失或不可用,则 Outlook 无法确定证书是否已撤消。因此,它可能会使用颁发有误或受到安全威胁的证书来访问数据。

缺少根证书

指定当缺少根证书时 Outlook 的响应:既非错误也非警告(默认)、警告或显示错误。

将级别 2 错误升级为错误而不是警告

指定 Outlook 对级别 2 错误的响应:显示错误或警告(默认)。可能发生级别 2 错误的情况包括以下几种:

  • 未知签名算法

  • 找不到签名证书

  • 无效的属性集

  • 找不到颁发者证书

  • 找不到 CRL

  • CRL 已过期

  • 根信任问题

  • CTL 已过期

检索 CRL (证书吊销列表)

指定检索到 CRL 列表时 Outlook 的行为方式:

  • 使用系统默认设置。Outlook 依赖于为操作系统配置的 CRL 下载计划。

  • 联机时始终检索 CRL。此选项是 Outlook 中的默认配置。

  • 从不检索 CRL。

配置其他加密设置

下节提供了有关加密配置选项的其他信息。

常规加密的安全策略设置

下表显示了您可以用于自定义配置的其他 Windows 注册表设置。这些注册表设置位于 HKEY_CURRENT_USER\Software\Microsoft\Cryptography\SMIME\SecurityPolicies\Default 中。没有对应的组策略。

注册表项 类型 说明

ShowWithMultiLabels

DWORD

0、1

设置为 0 可在签名层在不同签名中具有不同标签集时尝试显示一条消息。设置为 1 可禁止显示消息。默认值为 0

CertErrorWithLabel

DWORD

0、1、2

设置为 0 会在邮件具有标签时处理其证书出错的邮件。设置为 1 会拒绝访问其证书出错的邮件。设置为 2 会忽略邮件标签并授予访问邮件的权限。(用户仍然可以看到证书错误)。默认值为 0