規劃 Outlook 2010 的電子郵件訊息密碼編譯
適用版本: Office 2010
上次修改主題的時間: 2016-11-29
Microsoft Outlook 2010 支援安全性相關功能,讓使用者得以傳送及接收密碼編譯電子郵件訊息。這些功能包括密碼編譯電子郵件訊息、安全性標籤及已簽署的回條。
注意
如需使用完整的 Microsoft Outlook 安全性功能,必須使用本機管理權限安裝 Outlook 2010。
本文內容:
關於 Outlook 2010 的密碼編譯訊息功能
管理密碼編譯數位 ID
安全性標籤及已簽署的回條
設定 Outlook 2010 密碼編譯設定
設定其他密碼編譯設定
關於 Outlook 2010 的密碼編譯訊息功能
Outlook 2010 支援可讓使用者進行下列作業的密碼編譯訊息功能:
數位簽署電子郵件訊息 數位簽署為內容提供了不可否認性及驗證 (郵件中會包含人員所傳送且未經變更的內容)。
加密電子郵件訊息 加密有助於確保隱私權,方法是讓非預定收件者無法閱讀郵件。
其他可以設定用於加強傳訊安全的功能。如果您的組織支援這些功能,則其他功能訊息可讓使用者進行下列作業:
傳送設有索取回條的電子郵件訊息 這可用於確認收件者會驗證使用者的數位簽章 (即使用者套用至郵件的憑證)。
新增安全性標籤至電子郵件訊息 貴組織可以建立自訂的 S/MIME V3 安全性原則,將標籤新增至郵件。S/MIME V3 安全性原則是您新增至 Outlook 的程式碼。它會將郵件敏感度資訊新增至郵件標題。如需詳細資訊,請參閱後文所述的<安全性標籤及已簽署的回條>。
Outlook 2010 實作密碼編譯訊息的方式
Outlook 2010 密碼編譯模型使用公開金鑰加密來傳送及接收已簽署且加密的電子郵件訊息。Outlook 2010 支援 S/MIME V3 安全性,讓使用者透過網際網路或內部網路與其他 S/MIME 電子郵件用戶端交換安全性強化電子郵件訊息。以使用者公開金鑰所加密之電子郵件訊息,只可使用相關聯的私密金鑰才可予以解密。換言之,當使用者傳送加密的電子郵件訊息時,會以收件者的憑證 (公開金鑰) 進行加密。當使用者閱讀加密的電子郵件訊息時,則會使用私密金鑰予以解密。
在 Outlook 2010 中,使用者需要有安全性設定檔才能使用密碼編譯功能。安全性設定檔是描述使用者在傳送使用密碼編譯功能的郵件時,所使用之憑證與演算法的一組設定。下列情況下若無設定檔,將會自動設定安全性設定檔:
使用者的電腦具有進行密碼編譯的憑證。
使用者開始使用密碼編譯功能。
您可以事先為使用者自訂這些安全性設定。您可以根據貴組織的密碼編譯原則,使用登錄設定或「群組原則」設定自訂 Outlook,以及設定 (及使用「群組原則」執行) 安全性設定檔中所應具備的設定。這些設定會於本文後述的<設定 Outlook 2010 密碼編譯設定>加以說明。
數位 ID:公開/私密金鑰及憑證的組合
S/MIME 功能依賴數位 ID (也稱為數位憑證)。數位 ID 會建立使用者的身分識別與公開及私密金鑰組的關聯。憑證及私密/公開金鑰組的組合稱為數位 ID。私密金鑰可以儲存在安全性經過強化的存放區,如 Windows 憑證存放區、使用者電腦,或智慧卡。Outlook 2010 完全支援 X.509v3 標準,因此,組織中的憑證授權單位 (如執行 Active Directory 憑證服務的 Windows Server 2008 電腦) 或公開憑證授權單位 (如 VeriSign) 必須建立公開及私密金鑰。如需最適合貴組織之選項的相關資訊,請參閱<規劃 Office 2010 的數位簽章設定>中的<數位憑證:由 CA 自行簽署或發行>。
使用者可以使用公用 Web 憑證授權單位 (如 VeriSign 及 Microsoft 憑證服務) 來取得數位 ID。如需使用者如何取得數位 ID 的詳細資訊,請參閱 Outlook 說明主題:取得數位 ID (https://go.microsoft.com/fwlink/?linkid=185585\&clcid=0x404)。管理員可以將數位 ID 提供給一組使用者。
數位 ID 的憑證到期時,使用者通常必須向發行憑證授權單位取得更新的憑證。如果您的組織依賴 Windows Server 2003 憑證授權單位 (CA) 或 Windows Server 2008 中憑證的 Active Directory 憑證服務 (AD CS),則 Outlook 2010 會自動管理使用者的憑證更新。
管理密碼編譯數位 ID
Outlook 2010 提供了讓使用者管理其數位 ID (使用者的憑證與公開及私密加密金鑰組的組合) 的方法。藉由讓使用者交換密碼編譯郵件的方式,數位 ID 可協助保護使用者電子郵件訊息的安全。管理數位 ID 包括下列各項:
取得數位 ID。如需使用者如何取得數位 ID 的詳細資訊,請參閱 Outlook 說明主題:取得數位 ID (https://go.microsoft.com/fwlink/?linkid=185585\&clcid=0x404)。
儲存數位 ID,讓您可以將 ID 移至另一部電腦或讓其他使用者可以使用它。
提供數位 ID 給其他使用者。
將數位 ID 匯出至檔案。這在使用者建立備份或換用新電腦時十分實用。
將數位 ID 從檔案匯入至 Outlook。數位 ID 檔案可能是使用者的備份,也可能包含另一位使用者的數位 ID。
更新已到期的數位 ID。
在多部電腦上執行密碼編譯訊息的使用者,必須將其數位 ID 複製到每部電腦。
儲存數位 ID 的位置
數位 ID 可以儲存至三個位置:
Microsoft Exchange 全域通訊錄:會將 CA 或 AD CS 所產生的憑證自動發佈至全域通訊錄 (GAL)。外部產生的憑證則可以手動發佈至全域通訊錄。若要在 Outlook 2010 中執行此動作,請在 [檔案] 索引標籤上按一下 [選項],然後按一下 [信任中心]。在 [Microsoft Outlook 信任中心] 中,按一下 [信任中心設定]。在 [電子郵件安全性] 索引標籤的 [數位 ID (憑證)] 下,按一下 [發佈到 GAL] 按鈕。
輕量型目錄存取通訊協定 (LDAP) 目錄服務 外部目錄服務、憑證授權單位或其他憑證提供者可以透過 LDAP 目錄服務發佈其使用者憑證。Outlook 允許透過 LDAP 目錄存取這些憑證。
Microsoft Windows 檔案:數位 ID 可以儲存至使用者電腦。使用者會將他們的數位 ID 從 Outlook 2010 匯出至檔案。若要執行此動作,請在 [檔案] 索引標籤上按一下 [選項],然後按一下 [信任中心]。在 [Microsoft Outlook 信任中心] 中,按一下 [信任中心設定]。在 [電子郵件安全性] 索引標籤的 [數位 ID (憑證)] 下,按一下 [匯入/匯出] 按鈕。使用者可以提供密碼,在建立檔案時對其進行加密。
將數位 ID 提供給其他使用者
如果使用者想要與另一位使用者交換密碼編譯電子郵件訊息,則必須要有彼此的公開金鑰。使用者可以透過憑證來存取其公開金鑰。有數種方法可以將數位 ID 提供給其他使用者,如下所示:
使用憑證數位簽署電子郵件訊息:透過撰寫電子郵件訊息以及使用憑證來數位簽署郵件,使用者就可以將其公開金鑰提供給另一位使用者。Outlook 使用者接收到簽署的郵件時,可以在 [寄件者] 行的使用者名稱上按一下滑鼠右鍵,然後按一下 [新增至連絡人]。地址資訊及憑證儲存在 Outlook 使用者的連絡人清單中。
使用目錄服務 (如 Microsoft Exchange 全域通訊錄) 提供憑證:另一種替代方式是讓使用者在傳送加密的電子郵件訊息時,從標準 LDAP 伺服器的 LDAP 目錄自動擷取另一位使用者的憑證。若要使用此方式存取憑證,則使用者必須使用其電子郵件帳戶的數位 ID 來註冊 S/MIME 安全性。
使用者也可以從全域通訊錄取得憑證。
匯入數位 ID
使用者可以從檔案匯入數位 ID。例如,如果使用者想要從新電腦傳送密碼編譯電子郵件訊息,則這十分有用。使用者從中傳送密碼編譯電子郵件訊息的每部電腦都必須要安裝使用者的憑證。使用者會將其數位 ID 從 Outlook 2010 匯出至檔案。若要執行此動作,請在 [檔案] 索引標籤上按一下 [選項],然後按一下 [信任中心]。在 [Microsoft Outlook 信任中心] 中,按一下 [信任中心設定]。在 [電子郵件安全性] 索引標籤的 [數位 ID (憑證)] 下,按一下 [匯入/匯出] 按鈕。
更新金鑰及憑證
每項憑證及私密金鑰均設有時間限制。當 CA 或 AD CS 所提供的金鑰接近指定的期限時,Outlook 會顯示警告訊息,並提供更新的金鑰。Outlook 會提示使用者是否要代表其傳送更新訊息給伺服器。
若使用者未選擇在憑證到期之前更新憑證,或使用了 CA 或 AD CS 以外的憑證授權單位,則該使用者必須連絡憑證授權單位,才可更新憑證。
安全性標籤及已簽署的回條
Outlook 2010 支援安全性標籤及簽署回條的 S/MIME V3 Enhanced Security Services (ESS) 延伸。這些延伸可協助您提供組織內的安全性強化電子郵件通訊,以及自訂安全性以符合您的需求。
貴組織如有開發及提供可以新增自訂安全性標籤的 S/MIME V3 安全性原則,則安全性原則中的程式碼即會將安全性標籤附加至電子郵件訊息。以下是兩個安全性標籤的範例:
您可以執行「僅供內部使用」安全性標籤,將其套用至不應在公司外部傳送或轉寄的郵件上。
若收件者也有安裝安全性原則,則標籤可以指定特定收件者不可轉寄或列印郵件。
使用者也可以傳送安全性強化回條要求與郵件,確認收件者可以辨識使用者的數位簽章。如果接收並儲存郵件 (即使尚未閱讀) 而且已驗證簽章,則會將表示已閱讀郵件的回條傳回至使用者的收件匣。如果未驗證使用者的簽章,則不會傳送任何回條。傳回回條時,由於也會簽署回條,因此您可由此確認使用者已接收並驗證郵件。
設定 Outlook 2010 密碼編譯設定
您可以控制 Outlook 2010 密碼編譯功能的多個部分,使用 Outlook 2010 群組原則範本 (Outlook14.adm) 協助設定組織中較安全的訊息傳送與郵件加密。例如,您可以設定「群組原則」設定,要求所有外寄郵件皆需要安全性標籤,或設定停用對全域通訊清單的發佈功能。或者,您可以使用 Office 自訂工具 (OCT) 來設定預設設定,這可讓使用者變更設定。同時還提供只能使用登錄機碼設定進行設定的密碼編譯設定選項。
如需如何下載 Outlook 2010 系統管理範本及其他 Office 2010 系統管理範本的詳細資訊,請參閱<Office 2010 系統管理範本檔案 (ADM、ADMX、ADML) 與 Office 自訂工具>。如需群組原則的詳細資訊,請參閱<Office 2010 的群組原則概觀>及<在 Office 2010 中使用群組原則進行設定>。
如需 OCT 的詳細資訊,請參閱<Office Customization Tool in Office 2010>。
您可以鎖定下表中的設定,以自訂密碼編譯。在 OCT 的 [修改使用者設定] 頁面上,這些設定位於 [Microsoft Outlook 2010\安全性\密碼編譯] 下。在「群組原則」中,這些設定位於 [使用者設定\系統管理範本\Microsoft Outlook 2010\安全性\密碼編譯] 下。
| 密碼編譯選項 | 描述 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
在 S/MIME 郵件中永遠使用 TNEF 格式 |
針對 S/MIME 郵件永遠使用 Transport Neutral Encapsulation Format (TNEF),而不是使用者所指定的格式。 |
||||||||
不要檢查憑證使用的電子郵件地址 |
不使用加密或簽署時所用之憑證位址,驗證使用者電子郵件地址。 |
||||||||
不要顯示 [發佈到 GAL] 按鈕 |
停用 [信任中心] 的 [電子郵件安全性] 頁面上的 [發佈到 GAL] 按鈕。 |
||||||||
不要在加密警告對話方塊提供 [繼續] 按鈕 |
停用加密設定警告對話方塊上的 [繼續] 按鈕。使用者將無法按 [繼續] 傳送郵件。 |
||||||||
啟用密碼編譯圖示 |
顯示 Outlook 使用者介面 (UI) 中的 Outlook 密碼編譯圖示。 |
||||||||
加密所有電子郵件訊息 |
加密外寄電子郵件訊息。 |
||||||||
確定所有 S/MIME 簽署的郵件都有標籤 |
需要所有 S/MIME 簽署的郵件具有安全性標籤。在 Outlook 2010 中,使用者可以將標籤附加至電子郵件訊息。若要執行此動作,請在 [選項] 索引標籤的 [其他選項] 群組中,按一下 [安全性] 下的 [安全性設定] 按鈕。在 [安全性內容] 對話方塊中,選取 [在郵件加入數位簽章]。在 [原則] 的 [安全性標籤] 底下,選取標籤。 |
||||||||
Fortezza 憑證原則 |
輸入憑證 (可指出憑證為 Fortezza 憑證) 之原則延伸模組所允許的原則清單。列示原則時請以分號加以分隔。 |
||||||||
郵件格式 |
選擇支援的郵件格式:S/MIME (預設)、Exchange、Fortezza 或這些格式的組合。 |
||||||||
Outlook 找不到解碼郵件的數位 ID 時顯示訊息 |
輸入要對使用者顯示的訊息 (最長 255 個字元)。 |
||||||||
基本加密設定 |
設為已加密電子郵件訊息的金鑰長度。如果使用者嘗試使用低於基本加密金鑰值組的加密金鑰來傳送郵件,Outlook 會顯示警告訊息。使用者仍可選擇忽略警告,並使用原先選擇的加密金鑰進行傳送。 |
||||||||
已簽署/加密之郵件的回覆和轉寄項目會進行簽署/加密 |
啟用此項目可在回覆/轉寄已簽署或已加密的郵件時,開啟簽署/加密,即使使用者未設定進行 S/MIME 也是一樣。 |
||||||||
為所有 S/MIME 簽署郵件索取 S/MIME 回條 |
索取外寄簽署電子郵件訊息的安全性強化回條。 |
||||||||
對 S/MIME 作業要求 SuiteB 演算法 |
只針對 S/MIME 作業使用 Suite-B 演算法。 |
||||||||
必要的憑證授權 |
設定必要憑證授權單位 (CA) 的名稱。設定值時,Outlook 會禁止使用者使用不同 CA 的憑證來簽署電子郵件。 |
||||||||
以 FIPS 相容模式執行 |
需要 Outlook 以 FIPS 140-1 模式執行。 |
||||||||
與外部用戶端的 S/MIME 互通性: |
指定用來處理 S/MIME 郵件的行為:[內部處理]、[外部處理] 或 [可能的話處理]。 |
||||||||
S/MIME 回條索取行為 |
指定如何處理 S/MIME 回條要求的選項:
|
||||||||
將所有簽署郵件傳送為純文字簽署的郵件 |
以純文字傳送簽署的電子郵件訊息。 |
||||||||
針對所有電子郵件訊息進行簽署 |
所有外寄電子郵件訊息上都需要數位簽章。 |
||||||||
簽名警告 |
指定對使用者顯示簽章警告時的選項:
|
||||||||
S/MIME 憑證的 URL |
提供使用者可取得 S/MIME 回條的 URL。該 URL 可以包含三個變數 (%1、%2 及 %3),將分別由使用者名稱、電子郵件地址及語言所取代。 當您指定 [S/MIME 憑證的 URL] 的值時,請使用下列參數,以將使用者資訊傳送至註冊網頁。
例如,若要將使用者資訊傳送至 Microsoft 註冊網頁,請將 [S/MIME 憑證的 URL] 項目設為下列值 (包括參數):
例如,若使用者名稱為 Jeff Smith、電子郵件地址為 someone@example.com,且使用者介面語言 ID 為 1033,則預留位置解析如下:
|
下表中的設定位於 [使用者設定\系統管理範本\Microsoft Outlook 2010\安全性\密碼編譯\簽名狀態對話方塊] 底下的「群組原則」中。 OCT 設定位於 OCT 之 [修改使用者設定] 頁面上的對應位置。
| 密碼編譯選項 | 描述 |
|---|---|
附件安全暫存資料夾 |
指定「安全暫存檔案資料夾」的資料夾路徑。由於此作業會覆寫預設路徑,因此不建議施行。若必須使用特定資料夾存放 Outlook 附件,建議:
|
遺失 CRL |
指定遺失憑證撤銷清單 (CRL) 時的 Outlook 回應:警告 (預設) 或顯示錯誤。 數位憑證含有一項能顯示對應的 CRL 所在位置的屬性。CRL 包含已由所屬憑證授權單位 (CA) 撤銷的數位憑證清單,原因通常是因為憑證的發佈不當或其相關私密金鑰已洩漏。如果 CRL 遺失或不能使用,Outlook 不能判斷憑證是否已遭撤銷。因此,發行不當或已洩露的憑證可能會用以存取資料。 |
遺失根憑證 |
指定遺失根憑證時的 Outlook 回應:不是錯誤,也不是警告 (預設)、警告或顯示錯誤。 |
將層級 2 的錯誤升級為錯誤,而非警告 |
指定層級 2 錯誤的 Outlook 回應:顯示錯誤或警告 (預設)。可能的錯誤等級 2 條件如下:
|
擷取 CRL (憑證撤銷清單) |
指定 Outlook 在擷取 CRL 清單時的行為:
|
設定其他密碼編譯設定
下節提供密碼編譯設定選項的其他資訊。
一般密碼編譯的安全性原則設定
下表顯示您可以用於自訂設定的其他 Windows 登錄設定。這些登錄設定位於 HKEY_CURRENT_USER\Software\Microsoft\Cryptography\SMIME\SecurityPolicies\Default 中。沒有對應的「群組原則」。
| 登錄項目 | 類型 | 值 | 描述 |
|---|---|---|---|
ShowWithMultiLabels |
DWORD |
0、1 |
設為 0,以嘗試在簽章層在不同簽章中設定不同標籤時顯示郵件。設為 1 不顯示郵件。預設值為 0。 |
CertErrorWithLabel |
DWORD |
0、1、2 |
設為 0 可在郵件具有標籤且發生憑證錯誤時處理郵件。設為 1 可拒絕存取發生憑證錯誤的郵件。設為 2 可忽略郵件標籤,並授與郵件的存取權 (使用者仍會看到憑證錯誤)。預設值為 0。 |
See Also
Concepts
規劃 Outlook 2010 的安全性與保護
規劃 Office 2010 的安全性
規劃 Office 2010 的數位簽章設定