安全注意事项

本文探讨 Secure Mail 的安全注意事项以及您可以启用以帮助提高数据安全性的特定设置。

Microsoft IRM 支持

Secure Mail for Android 和 Secure Mail for iOS 支持受 Microsoft 信息权限管理 (IRM) 保护的消息,并受已配置的 IRM 策略制约。

此功能允许组织使用 IRM 对消息内容应用持久保护,并允许移动设备用户创建和使用受 IRM 保护的内容。默认情况下,IRM 支持设置为。要启用 IRM 支持功能,请将“信息权限管理”策略设置为

Secure Mail 支持以下模板属性:

重要:

附件不受 IRM 支持。

属性 Secure Mail 中的标签 说明
ContentExpiryDate 不过期或过期日期 允许在过了 ContentExpiryDate 后,清除电子邮件的正文和附件。此外,Secure Mail 还能够从服务器再次提取内容。
EditAllowed 编辑内容 指定用户在转发、答复、或全部答复邮件时是否能够修改电子邮件。
ExportAllowed   指定用户是否能够删除电子邮件上的 IRM 保护。
ExtractAllowed 复制内容 指定用户是否能够从电子邮件中复制内容。
ForwardAllowed 转发 指定是否允许用户转发电子邮件。
ModifyRecipientsAllowed 修改收件人 指定用户在转发或答复电子邮件时是否能够修改收件人列表。
ProgrammaticAccessAllowed 发送到其他应用程序 指定第三方应用程序是否能够以编程方式访问电子邮件的内容。
ReplyAllAllowed 全部回复 指定用户是否能够答复原始电子邮件的所有收件人。
ReplyAllowed 回复 指定是否允许用户答复电子邮件。

用户会看到以下限制屏幕。

Secure Mail IRM 限制屏幕

一些组织可能要求严格遵守他们的 IRM 策略。具有 Secure Mail 访问权限的用户可尝试通过篡改 Secure Mail、操作系统甚至硬件平台跳过 IRM 策略。

虽然 Endpoint Management 可以检测某些攻击,但是您可能要考虑以下预防措施来提高安全性:

  • 查看设备供应商提供的安全指导。
  • 使用 Endpoint Management 功能或其他功能,相应地配置设备。
  • 为用户提供有关正确使用 IRM 功能(包括 Secure Mail)的指导。
  • 部署其他第三方安全软件,以抵抗此类型攻击。

电子邮件安全性分类

Secure Mail for iOS 和 Secure Mail for iOS Android 支持电子邮件分类标记,允许用户在发送电子邮件时指定安全性 (SEC) 标记和分发限制标记 (DLM)。SEC 标记包括“Protected”(受保护)、“Confidential”(私密)和“Secret”(机密)。DLM 包括“Sensitive”(敏感)、“Legal”(法律)或“Personal”(个人)。撰写电子邮件时,Secure Mail 用户可以选择一个标记以指示电子邮件的分类级别,如下图所示。

Secure Mail 中的安全性分类链接

Secure Mail 中的安全性分类列表

收件人可以在电子邮件主题中查看分类标记。例如:

  • Subject: Planning [SEC = PROTECTED, DLM = Sensitive]
  • Subject: Planning [DLM = Sensitive]
  • Subject: Planning [SEC = UNCLASSIFIED]

电子邮件标头包括分类标记作为 Internet 邮件标头扩展,如下例中粗显内容所示:

Date: Fri, 01 May 2015 12:34:50 +530

Subject: Planning [SEC = PROTECTED, DLM = Sensitive]

Priority: normal

X-Priority: normal X-Protective-Marking: VER-2012.3, NS=gov.au,SEC = PROTECTED, DLM = Sensitive,ORIGIN=operations@example.com

From: operations@example.com

To: Team <mylist@example.com>

MIME-Version: 1.0 Content-Type: multipart/alternative;boundary="_com.example.email_6428E5E4-9DB3-4133-9F48-155913E39A980"

Secure Mail 仅显示分类标记。该应用程序不会根据那些标记采取任何操作。

用户答复或转发带有分配标记的电子邮件时,SEC 和 DLM 值默认为原始电子邮件的值。用户可以选择其他标记。Secure Mail 不验证与原始电子邮件有关的此类更改。

可以通过以下 MDX 策略配置电子邮件分类标记。

  • 电子邮件分类: 如果设置为,Secure Mail 将支持 SEC 和 DLM 的电子邮件分类标记。分类标记在电子邮件标头中作为 X 保护标记的值显示。请务必配置相关的电子邮件分类策略。默认值为

  • 电子邮件分类命名空间: 根据所使用的分类标准指定电子邮件标头中所需的分类命名空间。例如,命名空间 gov.au 在标头中显示为 NS=gov.au。默认值为空。

  • 电子邮件分类版本: 根据所使用的分类标准指定电子邮件标头中所需的分类版本。例如,版本 2012.3 在标头中显示为 VER=2012.3。默认值为空。

  • 默认电子邮件分类: 指定用户未选择标记时,Secure Mail 对电子邮件应用的保护标记。此值必须在“电子邮件分类标记”策略的列表中。默认值为 UNOFFICIAL

  • 电子邮件分类标记: 指定最终用户可用的分类标记。如果列表为空,Secure Mail 将不包括保护标记列表。标记列表中包含冒号分隔的值对。每个值对中都包含 Secure Mail 中显示的列表值以及标记值(在 Secure Mail 中附加到电子邮件主题和标头的文本)。例如,在标记对 UNOFFICIAL,SEC=UNOFFICIAL 中,列表值为 UNOFFICIAL,标记值为 SEC=UNOFFICIAL。

默认值为能够修改的分类标记列表。Secure Mail 附带以下标记。

  • UNOFFICIAL,SEC=UNOFFICIAL
  • UNCLASSIFIED,SEC=UNCLASSIFIED
  • For Official Use Only,DLM=For-Official-Use-Only
  • Sensitive,DLM=Sensitive
  • Sensitive:Legal,DLM=Sensitive:Legal
  • Sensitive:Personal,DLM=Sensitive:Personal
  • PROTECTED,SEC=PROTECTED
  • PROTECTED+Sensitive,SEC=PROTECTED
  • PROTECTED+Sensitive:Legal,SEC=PROTECTED DLM=Sensitive:Legal
  • PROTECTED+Sensitive:Personal,SEC=PROTECTED DLM=Sensitive:Personal
  • PROTECTED+Sensitive:Cabinet,SEC=PROTECTED,DLM=Sensitive:Cabinet
  • CONFIDENTIAL,SEC=CONFIDENTIAL
  • CONFIDENTIAL+Sensitive,SEC=CONFIDENTIAL,DLM=Sensitive
  • CONFIDENTIAL+Sensitive:Legal,SEC=CONFIDENTIAL DLM=Sensitive:Legal
  • CONFIDENTIAL+Sensitive:Personal,SEC=CONFIDENTIAL,DLM=Sensitive:Personal
  • CONFIDENTIAL+Sensitive:Cabinet,SEC=CONFIDENTIAL DLM=Sensitive:Cabinet
  • SECRET,SEC=SECRET
  • SECRET+Sensitive,SEC=SECRET,DLM=Sensitive
  • SECRET+Sensitive:Legal,SEC=SECRET,DLM=Sensitive:Legal
  • SECRET+Sensitive:Personal,SEC=SECRET,DLM=Sensitive:Personal
  • SECRET+Sensitive:Cabinet,SEC=SECRET,DLM=Sensitive:Cabinet
  • TOP-SECRET,SEC=TOP-SECRET
  • TOP-SECRET+Sensitive,SEC=TOP-SECRET,DLM=Sensitive
  • TOP-SECRET+Sensitive:Legal,SEC=TOP-SECRET DLM=Sensitive:Legal
  • TOP-SECRET+Sensitive:Personal,SEC=TOP-SECRET DLM=Sensitive:Personal
  • TOP-SECRET+Sensitive:Cabinet,SEC=TOP-SECRET DLM=Sensitive:Cabinet

iOS 数据保护

必须满足澳大利亚信号局 (ASD) 数据保护要求的企业可以对 Secure Mail 和 Secure Web 使用启用 iOS 数据保护策略。默认情况下,策略设置为

对于 Secure Web,启用 iOS 数据保护设置为时,Secure Web 为沙盒中的所有文件使用 A 类保护级别。有关 Secure Mail 数据保护的详细信息,请参阅澳大利亚信号局数据保护。如果启用此策略,将使用最高数据保护类,因此无需再指定最低数据保护类策略。

更改“启用 iOS 数据保护”策略

  1. 使用 Endpoint Management 控制台将 Secure Web 和 Secure Mail MDX 文件加载到 Endpoint Management:对于新应用程序,请导航到配置 > 应用程序 > 添加,然后单击 MDX。有关升级的信息,请参阅升级 MDX 或企业应用程序

  2. 对于 Secure Mail,请浏览到应用程序设置,找到启用 iOS 数据保护策略,然后将其设置为。启用此策略不会影响运行较低操作系统版本的设备。

  3. 对于 Secure Web,请浏览到应用程序设置,找到启用 iOS 数据保护策略,然后将其设置为。启用此策略不会影响运行较低操作系统版本的设备。

  4. 正常配置应用程序策略并保存设置,以将应用程序部署到 Endpoint Management 应用商店。

澳大利亚信号局 (Australian Signals Directorate) 数据保护

Secure Mail 为必须满足澳大利亚信号局 (ASD) 计算机安全要求的企业支持 ASD 数据保护。默认情况下,“启用 iOS 数据保护”策略设置为,Secure Mail 提供 C 类数据保护或使用预配文件中设置的数据保护。

如果此策略设置为,Secure Mail 在应用程序沙盒中创建和打开文件时指定保护级别。Secure Mail 为以下各项设置 A 类数据保护:

  • 发件箱项目
  • 相机或本机照片中的照片
  • 从其他应用程序粘贴的图像
  • 下载的文件附件

Secure Mail 为以下各项设置 B 类数据保护:

  • 存储的邮件
  • 日历项目
  • 通讯录
  • ActiveSync 策略文件

B 类保护使锁定设备可以同步,并在下载开始后锁定设备的情况下使下载可以完成。

启用数据保护后,设备锁定时将不发送排队的发件箱项目,因为文件无法打开。并且,如果设备在锁定时终止 Secure Mail,然后又将其重新启动,Secure Mail 在设备解锁并启动 Secure Mail 前无法进行同步。

Citrix 建议,如果启用此策略,仅在需要避免创建采用 C 类数据保护的日志文件时启用 Secure Mail 日志记录。