第6章 郵件加密¶
ShareTech 郵件伺服器提供郵件加密功能,以簡單易用、快速導入為主要的設計理念,企業無須事先建置進階加解密機制,即可利用 PDF、PDF 附加原始郵件檔與 Zip 壓縮功能對郵件內容或其附檔進行加密;確保企業用戶外寄郵件於第一時間受到加密保護,有效遏止因人為疏失或有心人士操作造成的資料外洩損失。note
進入郵件加密介面之前,以下幾點說明:• 進行加密的郵件會因為加密模式不同,需要花費的加密時間也不一樣,請耐心等候。郵件加密進度可點選前往「日誌查詢 > 郵件加密日誌」查詢。
• 郵件加密設定的優先順序:1. 寄件者透過 WebMail 寄信時的設定 2. 符合條件的 「郵件加密規則」。• 加密時密碼的來源順序如下 : 1. 收件者自訂的密碼 2. 本機寄件者透過 WebMail 寄件時設定的密碼 3. 「郵件加密規則」處理方式設定的密碼。
6-1、郵件加密規則¶
管理者可根據公司安全政策彈性制定加密目標與類型,目標可針對整封信件內容或附檔自動作加密保護,並搭配不同的加密類型,例如:所有外寄信件、郵件主旨、郵件內容、郵件容量、附檔和指定寄收件人等彈性組合。系統管理者可進行 PDF、PDF 附加原始郵件檔與 Zip 加密條件設定,而網域管理者也可再依據網域管理需求,選擇是否選用系統預設值,或另外設定加密條件。於郵件加密規則列表可查看所有已建立的郵件加密規則並於此操作調整優先權、修改、刪除、新增的動作,點選下方進入新增一筆郵件加密規則:
• 郵件加密規則基本設定
圖6-1 郵件加密規則基本設定¶
【規則名稱】: 郵件加密規則的顯示名稱。【啟用開關】: 是否啟用此郵件加密規則。【規則備註說明】: 郵件加密規則目的詳細說明。【執行時間】: 郵件加密規則的執行時間,可選擇永久執行(預設)、每周執行、指定期間執行。• 郵件加密規則以(AND)或是(OR)的邏輯來決定設定的加密規則是不是全部要符合或是只要有一項符合就有效。
圖6-2 郵件加密規則設定¶
【規則組合方式】: 選擇郵件加密規則的比對邏輯,共有 AND、OR 2 種。· 設定的規則(欄位)皆須符合(AND): 所有的規則都符合時,郵件加密規則才會生效,並將此信件依照「符合規則的處理方式」的設定方式處理。· 任何一個規則(欄位)符合即可(OR): 只需要符合任一條規則,郵件加密規則就會生效,並將此信件依照「符合規則的處理方式」的設定方式處理。【寄件者包含】: 輸入寄件者帳號,可輸入內部及外部網域的帳號。若搭配勾選 不包含 表示寄件者除了這些帳號以外其他都符合條件。也可以直接勾選 本機網域,代表所有的本機帳號。【收件者規則】: 選擇收件者規則的比對邏輯。· 停用 : 不將收件者列入郵件加密規則。· 本機網域包含 : 收件者中包含本機網域的帳號。· 網域包含 : 收件者中包含「已選取的網域」清單中的帳號。選擇此選項後會出現帳號選取區。· 收件者包含 : 收件者中包含「收件者包含」清單中的帳號。選擇此選項後會出現帳號選取區。note
· 勾選 相反結果 的情況下表示與設定內容相反,當輸入 *@test.com 原本代表只要有這個網域的收件者出現時就算符合條件,而在搭配勾選 相反結果 後,判斷為不符合條件。· 在勾選 所有收件者符合 的情況下:內容輸入 *@test.com,*@test1.com 代表只能有這兩個網域收件者其一出現時,才算符合條件。輸入 !*@test.com,*@test1.com 代表不能有 test.com 網域收件者,但要有 test1.com 網域收件者出現,才算符合。點選展開進階設定項目:
圖6-3 郵件加密規則進階設定¶
【內文寄件者包含】: 內文寄件者帳號,例如:輸入 sales* 同時選擇 不包含,代表只要帳號名稱不是 sales 都滿足條件。通聯寄件者與內文寄件者通常是一樣的,若這邊要設為相同,可直接勾選 與寄件者相同,但僅限【寄件者包含】輸入的內容,附加勾選的項目須自行勾選。【寄件者來源 IP 位址包含】: 填入 IP 位址,所有從這些 IP 位址寄的信件都符合郵件加密規則,支援 IPv4 跟 IPv6。以 IPv4 為例:「192.168.1」代表 192.168.1.0~192.168.1.255 的 IP 位址,「!192.168.2」代表不屬於 192.168.2.0~192.168.2.255 的 IP 位址。【郵件表頭包含】: 填入要執行郵件加密的郵件表頭 (mail header) 內容。【郵件主旨包含】: 填入要執行郵件加密的郵件主旨,例如「報價單」,所有外寄、內送的郵件主旨出現這 3 個字就符合加密規則,不論主旨是「新聞報價單據」或是「報價單單是一個笑話」,都會符合條件。【郵件內容包含】: 填入要執行郵件加密的郵件內容,例如「最新設計圖」字樣,如果內容有含這些文字就符合加密設定條件。郵件內容是郵件的本文,不包含郵件所夾帶的檔案,郵件夾帶檔案的內容無法用這個功能判斷,目前只能用整封信件的大小及郵件附件檔名作為判斷依據。【郵件容量介於 (K bytes)】: 郵件容量介於設定的 Kbytes,範例:5000 - 6000,代表整封郵件大於 5MBytes 且小於 6MBytes 就符合規則條件。5000 - 0,代表整封郵件大於 5MBytes 就符合規則條件。0 - 6000,代表整封郵件小於 6MBytes 就符合規則條件。【郵件附件檔名包含】: 填入要執行郵件加密的郵件附件檔名,例如「報價單」,也就是附加檔案的檔名有「報價單」,就符合郵件加密設定條件,不論是「2021最新報價單.DOC」或是「報價單據.pdf」。【郵件附件大小介於 (K bytes)】: 郵件附件大小介於設定的 Kbytes,範例:5000 - 6000,代表附件大於 5MBytes 且小於 6MBytes 就符合規則條件。5000 - 0,代表附件大於 5MBytes 就符合規則條件。0 - 6000,代表附件小於 6MBytes 就符合規則條件。【個資】: 是否啟用個資比對功能,可選擇要判斷的欄位以及比對的個資項目有哪些,並設定權重。經由比對項目的筆數 ÷ 權重值 = 項目的權重分數,如果權重總得分 ≥ 1 則代表此郵件有個資風險。【個資 自訂正規表達式規則】: 比對的個資項目有其固定格式,也可自訂規則。自訂正規表達式規則如下所示:1. 每一行為一筆,換行新增下一筆規則。2. 正規表達式需包含在兩個「/」、「!」或「{}」之間,例如:/正規表達式/ 或 {正規表達式}。3. 不建議使用起始匹配字符「^」與結束匹配字符「$」,例如:/^A000000000$/。note
加密規則欄位的設定說明1. 單一欄位中的多個條件可以用「,」逗號隔開,代表(OR)的組合。例如:在加密規則條件【寄件者包含】中設定「@yourdomain.com,sales@mydomain.com」,就代表寄件者是 yourdomain.com的任何一個帳號,或是 sales@mydomain.com,都符合【寄件者包含】這個加密規則條件。2. 項目前若有標示「*」表示此欄位可以輸入特殊定義字。3. 「!」表示「非」的意思;「null」表示「空白、無」;支援萬用字元 「? *」。例如:(1) 在加密規則條件【寄件者包含】中設定「!sales@yourdomain.com」,就代表除了 sales@yourdomain.com 不符合這個加密規則條件外,其他帳號都是符合的。(2) 在主旨輸入【null】字元,表示當信件沒有主旨文字時,也是符合加密規則條件。4. 勾選 不包含 代表跟設定值相反的意義。例如:在加密規則條件【寄件者包含】中設定「sales@yourdomain.com」,並且勾選 不包含 ,就代表除了 sales@yourdomain.com 不符合這個過濾條件外,這個網域的其他帳號都是符合的。5. 如果過濾條件未輸入任何設定,代表這項條件不列入過濾時判斷的依據。• 符合規則的處理方式
圖6-4 符合規則的處理方式¶
【加密模式】: 目前提供三種加密模式,分別為 PDF、PDF 附加原始郵件檔與 ZIP 模式。PDF:將郵件內容擷取出並轉換為 PDF 檔,加密後,再附加在一封新郵件中寄出。可勾選是否須附加信件原始檔 (eml 檔)。若郵件內容包含許多外部連結的圖片,將會下載此些圖檔至本機再附加至 PDF 中顯示。ZIP:僅將郵件附件擷取打包至 ZIP 檔中加密後,再附加在郵件中寄出。進行加密的郵件會因為加密模式的不同,所需要花費的加密時間也有所不同,請耐心等候,郵件加密進度可至【密碼設定】: 郵件加密時使用的密碼。固定密碼:需包含英文、數字、符號,且密碼長度需超過 6 個字元。隨機密碼:將依照設定包含的字元產生設定字元長度的密碼,可設定字元長度範圍:10~255。note
加密時密碼的來源順序如下:1. 收件者自訂的密碼。2. 本機寄件者透過 WebMail 寄件時設定的密碼。3. 「郵件加密規則處理方式」設定的密碼。因此若收件者經註冊通過並自行設定固定密碼後,後續收到的加密信件密碼都以收件者自訂的為主。【寄送密碼通知信】: 寄送加密郵件後,延遲多少分鐘寄出密碼通知信給該郵件寄件者或收件者。【密碼通知信主旨參數】: 可以被引用在【寄送密碼通知信】主旨的參數。【最大加密人數限制】: 若這封郵件需要加密的收件者超過此限制,此封郵件將暫時不進行加密,並依照【超過限制的處理方式】設定對此郵件進行處理,範圍:1~20。此設定僅在符合「郵件加密規則」時用於檢查此規則中需加密的收件者總數。【超過限制的處理方式】: 若這封郵件需要加密的收件者超過【最大加密人數限制】時,對該郵件的處理方式。當郵件格式屬於數位簽章、加密、 Calendar 或 RTF(未處理格式轉換),將強制以此處的設定來處理。· 不進行加密的寄送: 不進行加密直接寄送。· 退信給原寄件者: 直接退信給原來的寄件者。選擇此選項後可設定退信的主旨及內容。· 寄送通知信詢問原寄件者: 寄送通知信詢問原寄件者此封郵件該如何處理。選擇此選項後可設定通知信的主旨,並設定等待原寄件者回覆的時間,若超過此等待時間後要如何處理該郵件。【主旨 / 內容 參數】: 可以被引用在通知信主旨或內容的參數。
6-2、郵件加密進階設定¶
為了提高郵件加密的嚴謹度,眾至郵件伺服器提供郵件加密進階設定功能,可以針對使用者加密、PDF 加密內容、非本機帳號密碼強度限制、非本機帳號申請設定與匯入加密使用者帳號密碼檔做初始設定。• 郵件加密密碼強度限制郵件加密時使用的密碼。設定密碼的規則,越多規則其密碼強度越高。
圖6-5 郵件加密密碼強度限制¶
• 使用者加密進階設定
圖6-6 使用者加密進階設定¶
【最大加密人數限制】: 若這封郵件需要加密的收件者超過此限制,此封郵件將暫時不進行加密,並會發送一封通知信給原寄件者,由寄件者決定是否要發送此封郵件,設定範圍:1~20。此設定僅用於檢查「寄件者加密」中需加密的收件者總數。【通知信連結的 IP 位址】: 通知信連結使用的 IP 位址,預設值為主機名稱。一般會以郵件伺服器的外部位址為主,範例 : scan.sharetech.com.tw:888。若未點選 自訂,埠號將會自動連動 WebMail (https) 的埠號,自訂的範圍為:1~65535。【詢問原寄件者通知信的主旨】: 設定通知信的主旨。【等待原寄件者回覆時間】: 等待原寄件者回覆的時間,若超過此等待時間後要如何處理該郵件。等待時間支援單位 天 (d) / 小時 (h) / 分鐘 (m) / 秒,範例 : 1d / 2h / 3m / 4。【退信主旨】: 設定退信主旨。【退信內容】: 設定退信內容。【主旨/內容 參數】: 可以被引用在通知信主旨或內容的參數。• PDF 加密內容設定
圖6-7 PDF 內容加密設定畫面¶
【PDF 加密內容設定】: 支援自訂 PDF 加密郵件的內容樣式,點選 預覽 會開啟新視窗依設定顯示加密郵件畫面。【附加圖片方式】: Logo 與郵件加密鎖圖示的附加方式。· 內嵌本機圖片 : 將圖片內嵌到郵件。· 連結本機圖片 : 使用本機圖片連結。· 連結外部圖片 : 使用外部圖片連結。【郵件加密 Logo 圖示】: 請上傳「建議寬度 1~650 像素、高度 1~128 像素」之 GIF 或 PNG 圖檔。【郵件加密鎖圖示】: 請上傳「建議寬度 1~650 像素、高度 1~128 像素」之 GIF 或 PNG 圖檔。【聲明內容】: 加密相關聲明內容。【郵件底部的版權聲明】: 自訂郵件底部的版權聲明。• 非本機帳號密碼強度限制若啟用下面的【非本機帳號申請服務】,則非本機使用者設定登入服務的密碼會受此限制。
圖6-8 非本機帳號密碼強度限制設定¶
• 非本機帳號申請設定
圖6-9 非本機帳號申請設定¶
【非本機帳號申請服務】: 讓非本機帳號的使用者申請帳號。【通知信連結的 IP 位址】: 通知信連結使用的 IP 位址,預設值為主機名稱。一般會以郵件伺服器的外部位址為主,範例 : scan.sharetech.com.tw:888。若未點選 自訂,埠號將會自動連動 WebMail (https) 的埠號,自訂的範圍為:1~65535。【Webmail 發送或邀請】: 經由 Webmail 邀請信或寄件者加密註冊連結的申請帳號由誰審核,可以交由原寄件者審核,或是給原來審核機制的審核人員進行審核。【審核人員】: 點擊空白欄位或是按鍵後會出現帳號選取區。
當有新的申請人員時,寄一封信通知審核人員,審核通過後,帳號才會生效。【審核信主旨】: 審核信主旨,範例:郵件加密 - 非本機帳號使用者帳號申請通知。【審核通過通知信主旨】: 經過審核人員審核通過後,發出的通知信主旨。【刪除駁回帳號天數】: 刪除超過設定天數且已被駁回申請的非本機使用者帳號。【申請日誌】: 加密收件者申請的通聯日誌,點選後將前往「日誌查詢 > 加密使用者申請日誌」。note
範例:啟用【非本機帳號申請服務】後,非本機收件者收到的加密信件。附件檔案為信件內容,依據加密模式可能是 PDF 或 ZIP 檔案,下載後須輸入密碼才能打開。
圖6-10 非本機帳號註冊連結¶
點選 註冊連結 後,會開啟新視窗顯示申請畫面,設定登入密碼及收件者密碼,送出後等待審核。
圖6-11 非本機帳號註冊申請¶
在「非本機帳號申請設定」中設定的審核者會收到一封申請通知信,選擇「通過」或「駁回」申請。
圖6-12 非本機帳號註冊申請通知¶
審核通過後,申請的非本機帳號會收到審核通過的通知信,點選 查詢入口網站 登入註冊的密碼,即可查看所有透過此郵件伺服器收到的加密信件,也可以更改密碼。• 匯入加密使用者帳號密碼檔可於此匯入加密使用者的帳號密碼檔,或於「加密使用者管理」單筆新增。
圖6-15 匯入加密使用者帳號密碼檔設定¶
【上傳本機/非本機帳號密碼檔】: 限匯入副檔名為 txt, csv 且編碼為 UTF-8 的檔案(可使用「記事本」開啟此檔案 > 另存新檔 > 編碼 > UTF-8)。須以「 , 」或 Tab 分隔每個欄位,格式請參考說明欄的。
6-3、加密使用者管理¶
可進入新增帳號,分為本機帳號與非本機帳號,設定模式分別說明如下:6-3-1、新增本機帳號¶
本機帳號可透過「WebMail > 設定 > 郵件加密 > 郵件密碼查詢」查看加密郵件紀錄。
圖6-17 新增加密使用者-本機帳號¶
• 新增帳號【本機帳號】: 選擇本機帳號。【備註】: 備註說明。• 寄件者加密模式【寄件者加密模式】: 目前提供三種加密模式,分別為 PDF、PDF 附加原始郵件檔與 ZIP 模式。PDF:將郵件內容擷取出並轉換為 PDF 檔,加密後,再附加在一封新郵件中寄出。可勾選是否須附加信件原始檔 (eml 檔)。若郵件內容包含許多外部連結的圖片,將會下載此些圖檔至本機再附加至 PDF 中顯示。ZIP:僅將郵件附件擷取打包至 ZIP 檔中加密後,再附加在郵件中寄出。進行加密的郵件會因為加密模式的不同,所需要花費的加密時間也有所不同,請耐心等候,郵件加密進度可至【加密密碼設定】: 郵件加密時使用的密碼。固定密碼:需包含英文、數字、符號,且密碼長度需超過 6 個字元。隨機密碼:將依照設定包含的字元產生設定字元長度的密碼,可設定字元長度範圍:10~255。note
加密時密碼的來源順序如下:1. 收件者自訂的密碼。2. 本機寄件者透過 WebMail 寄件時設定的密碼。3. 「郵件加密規則處理方式」設定的密碼。因此若收件者經註冊通過並自行設定固定密碼後,後續收到的加密信件密碼都以收件者自訂的為主。【寄送密碼通知信】: 寄送加密郵件後,延遲多少分鐘寄出密碼通知信給該郵件寄件者或收件者。【主旨參數】: 可以被引用在【寄送密碼通知信】主旨的參數。• 收件者加密模式【加密密碼設定】: 與寄件者加密模式設定方式相同。
6-3-2、新增非本機帳號¶
由管理者新增非本機帳號,省去非本機帳號申請及審核者審核的步驟。
圖6-18 新增加密使用者-非本機帳號¶
• 新增帳號【本機帳號】: 選擇本機帳號。【備註】: 備註說明。• 收件者加密模式【加密密碼設定】: 郵件加密時使用的密碼。固定密碼:需包含英文、數字、符號,且密碼長度需超過 6 個字元。隨機密碼:將依照設定包含的字元產生設定字元長度的密碼,可設定字元長度範圍:10~255。note
加密時密碼的來源順序如下:1. 收件者自訂的密碼。2. 本機寄件者透過 WebMail 寄件時設定的密碼。3. 「郵件加密規則處理方式」設定的密碼。因此若收件者經註冊通過並自行設定固定密碼後,後續收到的加密信件密碼都以收件者自訂的為主。