Одним из стандартов делового общения по электронной почты является использование электронной цифровой подписи и/или шифрования писем. Если цифровая подпись служит как дополнительная гарантия подлинности отправителя, то шифрование электронной почты позволяет защитить переписку от перехвата третьими лицами, Для обеих операций с письмами используются сертификаты S/MIME - выдаваемые удостоверяющими центрами сертификаты, которые распознаются большинством почтовых клиентов и позволяют повысить безопасность переписки без ущерба для удобства пользования электронной почтой. В данной статье мы расскажем о том, как реализована поддержка S/MIME в Carbonio.

Для начала использования S/MIME необходимо перейти в соответствующий раздел в настройках веб-клиента.

При первом входе в него от пользователя потребуется задать сложный пароль. По умолчанию парольная политика хранилища S/MIME требует от пользователей создавать пароли не менее 8 символов длиной, которые должны содержать в себе заглавные и строчные буквы, а также цифры и спецсимволы. Заданный пользователем пароль не подлежит восстановлению в случае утраты, поэтому пользователю или администратору необходимо принять меры для его сохранения в надежном месте.

После того как пароль будет задан, он будет запрашиваться при каждом входе в соответствующий раздел настроек.

Здесь же можно сбросить пароль. При нажатии на соответствующую кнопку пользователю будет предложено ввести новый пароль и его подтверждение, однако доступ к сохраненным под старым паролем сертификатам при этом будет утерян.
После успешного ввода пароля откроется окно с формой загрузки для сертификатов - сертификаты для подписи загружаются отдельно от сертификатов для шифрования электронных писем.

Для загрузки сертификата для подписи выберите сертификат в формате .p12, сохраненный на диске, а также укажите пароль, который был получен от поставщика услуг при выпуске сертификата, после чего нажмите на кнопку “Загрузить”.
После успешной загрузки сертификата он появится в соответствующем списке с указанием порядкового номера в списке, эмитента, даты выпуска, срока действия, статуса и серийного номера

Аналогичным образом добавляются и сертификаты для шифрования писем в формате .crt или .pem.

После добавления сертификатов появится возможность их использования для подписи и шифрования электронных писем в окне их написания

Адресат, получивший подписанное S/MIME письмо может сверить подпись, нажав на кнопку “Показать детали”, которая становится активной при открытии письма. Информация о подписи содержит почтовый адрес отправителя, наименование удостоверяющего центра, а также срок действия сертификата, что позволяет гарантированно идентифицировать отправителя.

Администратор может включить и отключить поддержку S/MIME для пользователей. Делается это в командной строке при помощи команд
Для включения - carbonio config set global enableSmimeEncryption TRUE
Для отключения - carbonio config set global enableSmimeEncryption FALSE
В приведенных выше командах включения и выключения функции S/MIME применяется для всех пользователей на сервере. Опцию можно настраивать и гранулярно, например включая или отключая ее для отдельных пользователей или классов обслуживания. Для этого надо атрибут global в командах выше заменить например на account user@carbonio.loc или cos default.
Включить и отключить можно также проверку S/MIME сертификатов на стороне пользователей.
Для этого используется атрибут carbonioSMIMESignatureVerificationEnabled. Пример:
carbonio prov mcf carbonioSMIMESignatureVerificationEnabled TRUE
Настроить можно также и парольную политику для хранилища сертификатов S/MIME. Задать ее можно только глобально при помощи команды
carbonio config set global encryptionPasswordPolicyAttribute
и ряда атрибутов с соответствующими значениями.
Пример:
carbonio config set global encryptionPasswordPolicyAttribute minLength 10 maxLength 100 minUpperCase 1 minLowerCase 1 minDigits 2 requireAlphanumeric true
С помощью этой команды мы задали парольную политику, которая требует от пароля длины не менее 10 и не более 100 символов, по крайней мере одной прописной и одной строчной буквы, а также не менее двух цифр в своем составе.
Поскольку смена пароля для хранилища S/MIME сопровождается удалением всего его содержимого, указать срок действия пароля в соответствующей парольной политике нельзя.
По вопросам тестирования, приобретения, предоставления лицензии и консультаций обращаться на почту sales@svzcloud.ru к эксклюзивному партнеру Zextras
Получить информацию и обменяться информацией о Carbonio CE вы можете в группах в Telegram CarbonioMail и Carbonio CE Unofficial