Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=email-encryption

Métodos de proteção de mensagens

O Sophos Email usa diferentes métodos de proteção e criptografia de mensagens. Quando não podemos usar um método, mudamos para o próximo método mais seguro. Você pode controlar a ordem em que aplicamos os métodos de segurança.

Veja aqui como cada método funciona e como eles funcionam em conjunto. Se não for possível usar um método específico, usamos um método diferente, dependendo do seu ambiente e do ambiente com o qual você se comunica.

Nota

Você deve ativar o TLS no servidor de e-mail ou no serviço de e-mail para usar um desses métodos de proteção de mensagens.

Faça isso antes de configurar seus métodos de proteção de mensagens. Caso contrário, a conexão entre a Sophos e seu servidor ou serviços de e-mails será interrompida e você não poderá enviar ou receber e-mails.

Recomendamos o TLS 1.3. A string cipher é 'TLSv1.2+FIPS:kRSA+FIPS:!eNULL:!aNULL'. Para obter mais informações, consulte Modo FIPS e TLS.

Em uma política do Secure Message, você pode escolher entre os métodos a seguir.

  • Enviar por TLS. Usa encriptação de e-mail baseada em envio "push" usando AES 256 durante o transporte de e-mail. Os usuários gerenciam seus e-mails encriptados com seus clientes de e-mail habituais.
  • Encriptação de push. Somente mensagens enviadas. Os e-mails encriptados são convertidos em arquivos PDF e os anexos são encriptados nativamente. Eles são entregues ao cliente de e-mail dos usuários.
  • Encriptação de portal. Somente mensagens enviadas. Entrega e-mails encriptados ao Sophos Secure Message. Os destinatários gerenciam os seus e-mails protegidos no Sophos Secure Message.
  • Proteger usando S/MIME. Você troca certificados e chaves com as organizações com as quais se comunica. O S/MIME assina as mensagens, elas não são necessariamente criptografadas.

Autenticação de TLS

O TLS (Transport Layer Security) impede a interceptação e a adulteração das mensagens em trânsito.

Em uma política do Secure Message, você pode escolher versões de TLS. Você também pode escolher a ação a ser tomada se o remetente ou o destinatário não tiver a versão de TLS correta ou não oferecer suporte a TLS.

  • TLS 1.3 preferido. Se o remetente não oferecer suporte a TLS 1.3, será usado TLS 1.2.
  • TLS 1.3 necessário. Se o remetente não oferecer suporte a TLS 1.3, as mensagens serão rejeitadas. As mensagens na saída podem ser enviadas usando criptografia de envio por push.
  • TLS 1.2 necessário. Se o remetente não oferecer suporte a TLS 1.2, as mensagens serão rejeitadas. As mensagens na saída podem ser enviadas usando criptografia de envio por push.

Alerta

Se você selecionar TLS 1.3 necessário ou TLS 1.2 necessário, a comunicação por e-mail será interrompida em qualquer versão de TLS diferente daquela selecionada.

Recomendamos TLS 1.3 preferido, que tenta primeiro o TLS 1.3 e depois muda para TLS 1.2 se for necessário. Isso é mais flexível e tem menos probabilidade de causar uma falha na troca de mensagens.

Você pode optar por permitir a entrega não criptografada de mensagens, caso o remetente não ofereça suporte a TLS. Nós não recomendamos fazer isso.

Você também pode optar por verificar certificados para conexões TLS de saída.

Encriptação de push

Encriptação de push converte e-mails em arquivos PDF. Os usuários devem ter a capacidade de ler arquivos PDF.

  • Arquivos do Microsoft Office, arquivos ZIP e arquivos PDF têm criptografia interna. Podemos gerar vários anexos com esses arquivos.
  • Criptografamos todos os outros arquivos; por exemplo, arquivos de texto sem formatação e HTML são criptografados como arquivos PDF. O conteúdo de e-mails é encriptado como um arquivo PDF.
  • É necessário instalar o Adobe Reader para visualizar e-mails criptografados e anexos.
  • É possível visualizar e responder mensagens em dispositivos móveis.

A primeira vez que um usuário recebe um e-mail protegido, o Sophos Secure Message lhe envia um e-mail de notificação. O e-mail de notificação contém um link para o Sophos Secure Message e solicita a configuração de uma senha para o Sophos Secure Message. O link no e-mail de notificação expira após 30 dias.

Nota

Os usuários só podem usar a senha para e-mails na região de onde o e-mail original foi originado. Se os usuários receberem um e-mail encriptado de outra região, precisarão definir outra senha.

Depois de definir a senha, o usuário recebe um e-mail protegido da Sophos, incluindo os anexos criptografados. O usuário abre o e-mail protegido e insere a senha que criou.

Os usuários respondem aos e-mails protegidos em seus clientes de e-mail. Eles clicam em Responder no arquivo PDF encriptado.

Os usuários seguem o mesmo processo para ambas as seleções, Encriptar toda a mensagem e Encriptar somente anexos.

Encriptação de portal

Você precisa de uma licença do complemento Sophos Email Portal Encryption para usar o Portal Encryption. Você também precisa criar uma nova política do Secure Message.

A licença do complemento permite que você personalize a marca em seus e-mails de criptografia e no portal Secure Message.

Se você ativar Encriptação de portal, os usuários gerenciam seus e-mails protegidos no Sophos Secure Message.

A primeira vez que um usuário recebe um e-mail encriptado, o Sophos Secure Message lhe envia um e-mail de notificação. O e-mail de notificação contém um link para o Sophos Secure Message e solicita a configuração de uma conta do Sophos Secure Message. O link no e-mail de notificação expira após 30 dias.

Nota

Os usuários só podem usar a conta para e-mails na região de onde o e-mail original protegido foi originado. Se os usuários receberem um e-mail protegido de outra região, deverão configurar outra conta.

Depois de configurar a conta, o usuário vai para o Sophos Secure Message ler e responder aos seus e-mails protegidos.

Configuração de proteção S/MIME

Você pode proteger mensagens usando S/MIME (Secure/Multipurpose Internet Mail Extensions). Ele protege as mensagens recebidas, enviadas ou ambas.

Você deve ativar e configurar a proteção S/MIME em Configurações > Configurações Secure MIME antes de usá-la em políticas. Consulte Configurações de S/MIME.

Você pode verificar as mensagens recebidas em relação aos certificados anexados aos e-mails.

O Sophos Email Security não pode verificar as mensagens recebidas assinadas pelo certificado autoassinado de um terceiro até que o certificado lhe seja enviado. Você deve carregar esses certificados em Configurações globais > Configurações Secure MIME > Certificados S/MIME externos. Consulte Certificados S/MIME externos.

Se o Sophos Email Security não tiver todos os certificados S/MIME para encriptar e assinar uma mensagem de saída, nós tentamos criptografar a mensagem usando Encriptação de push. Consulte Processamento da saída da mensagem.

Você pode decodificar mensagens recebidas e encriptar mensagens enviadas.

Você pode escolher as seguintes ações se uma mensagem falhar em uma verificação S/MIME.

  • Colocar em quarentena, deletar ou entregar e-mails recebidos com uma mensagem adicionada à linha de assunto para alertar o destinatário.
  • Deletar, colocar em quarentena, entregar ou retornar os e-mails enviados.
  • Para as mensagens enviadas, você pode selecionar Encriptar por push toda a mensagem na liberação. Consulte Processamento da saída da mensagem.

Processamento da entrada da mensagem

Para as mensagens recebidas, se você configurar apenas uma das opções S/MIME (Verificar mensagens na entrada ou Decodificar mensagens na entrada), somente a camada externa da mensagem será processada. Se a opção selecionada não corresponder ao tipo de mensagem recebida, a mensagem falhará.

Para mensagens recebidas, você pode definir a ação de falha como Entregar se as mensagens precisarem ser verificadas ou descriptografadas depois que o Sophos Email Security as tiver processado. Por exemplo, um usuário pode ter seus certificados e chaves privadas armazenados no software de e-mail.

Por exemplo, se você tiver selecionado Verificar mensagens na entrada e a mensagem não estiver assinada, a mensagem falhará. Ou, se você tiver selecionado Decodificar mensagens na entrada e a mensagem não estiver encriptada, a mensagem falhará.

A maneira como as mensagens recebidas são processadas depende de quais configurações S/MIME estão ativadas.

Se você ativar Verificar mensagens na entrada e desativar Decodificar mensagens na entrada, as mensagens serão processadas da seguinte forma.

Condição das mensagens recebidas Ações
Criptografada e depois assinada. Mensagem verificada e entregue.

Se a verificação falhar, aplicamos a ação escolhida por você. Não decodificamos a mensagem.
Assinada e depois criptografada. Nenhuma ação de S/MIME. Aplicamos a ação escolhida por você.
Assinada, não criptografada. Mensagem verificada e entregue.

Se a verificação falhar, aplicamos a ação escolhida por você.
Criptografada, não assinada. Nenhuma ação de S/MIME. Aplicamos a ação escolhida por você.
Não assinada ou criptografada. Nenhuma ação de S/MIME, mensagem entregue.

Se você desativar Verificar mensagens na entrada e ativar Decodificar mensagens na entrada, as mensagens serão processadas da seguinte forma.

Condição das mensagens recebidas Ações
Criptografada e depois assinada. Nenhuma ação de S/MIME. Aplicamos a ação escolhida por você.
Assinada e depois criptografada. Mensagem decodificada e entregue.

Se a decodificação falhar, aplicamos a ação escolhida por você.
Assinada, não criptografada. Nenhuma ação de S/MIME. Aplicamos a ação escolhida por você.
Criptografada, não assinada. Mensagem decodificada e entregue.

Se a decodificação falhar, aplicamos a ação escolhida por você.
Não assinada ou criptografada. Nenhuma ação de S/MIME, mensagem entregue.

Processamento da saída da mensagem

O Sophos Email Security pode entregar mensagens encriptadas com Encriptação de push se não for possível usar S/MIME. Por exemplo, o Sophos Email Security pode não ter todos os certificados necessários para que o S/MIME funcione.

Para ativar esse recurso, siga este procedimento:

  1. Na Falha na ação das mensagens de saída, selecione Quarentena ou Entregar.
  2. Selecione Encriptar por push toda a mensagem na liberação.

Se você selecionar Entregar e a criptografia S/MIME falhar, o Sophos Email Security usa a Encriptação de push para criptografar a mensagem e a envia imediatamente.

Se você selecionar Quarentena e a criptografia S/MIME falhar, o Sophos Email Security usa a Encriptação de push para criptografar a mensagem e a envia quando você libera a mensagem da quarentena. Para obter mais informações sobre Encriptação de push, consulte Política do Secure Message.