Un destinataire ne peut pas afficher un message électronique encodé à l’aide de S/MIME
Numéro de la base de connaissances d’origine : 2621062
Symptômes
Envisagez les scénarios suivants :
Scénario 1
- Vous accédez à une boîte aux lettres hébergée sur Exchange Server 2010 Service Pack 2 (SP2).
- Vous téléchargez et installez le contrôle S/MIME (Secure/Multipurpose Internet Mail Extensions) dans Outlook Web App (OWA). Ensuite, vous effectuez l’une des opérations suivantes :
- Vous utilisez le contrôle S/MIME dans OWA pour chiffrer un e-mail.
- Vous utilisez Outlook pour chiffrer un e-mail.
- Vous envoyez le message électronique à une liste de distribution.
- Un destinataire tente d’ouvrir le message électronique dans Outlook.
Dans ce scénario, le destinataire peut recevoir ce message d’erreur :
Impossible d’ouvrir cet élément. Votre nom d’ID numérique est introuvable par le système de sécurité sous-jacent
Scénario 2
- Vous accédez à une boîte aux lettres hébergée sur Exchange Server 2010 SP2.
- Vous téléchargez et installez le contrôle S/MIME dans Outlook Web App (OWA). Ensuite, vous effectuez l’une des opérations suivantes :
- Vous utilisez le contrôle S/MIME dans OWA pour chiffrer un e-mail.
- Vous utilisez Outlook pour chiffrer un e-mail.
- Vous envoyez le message électronique à une liste de distribution.
- Un destinataire tente d’ouvrir le message électronique dans Outlook Web App (OWA).
Dans ce scénario, le destinataire peut recevoir ce message d’erreur :
Ce message ne peut pas être déchiffré, car son algorithme de chiffrement n’est pas pris en charge ou votre ID numérique est introuvable. Si vous disposez d’un ID numérique intelligent basé sur carte, insérez le carte et réessayez pour ouvrir le message.
Cause
Ce problème peut se produire si toutes ces conditions sont remplies :
- Un administrateur Exchange a défini une stratégie de carnet d’adresses.
- L’étendue de la stratégie carnet d’adresses n’inclut pas tous les membres du groupe de distribution.
Remarque
Ce comportement est inhérent au produit.
Résolution - Méthode 1
Utilisez la fonctionnalité Contacts. Pour cela, procédez comme suit :
- Utilisez Outlook pour ouvrir un message signé numériquement à partir d’un expéditeur qui ne figure pas dans votre carnet d’adresses.
- Dans la ligne De : , cliquez avec le bouton droit sur le nom de l’expéditeur, puis sélectionnez Ajouter aux contacts Outlook.
- Dans la fenêtre Contact , sélectionnez Certificats dans le groupe Afficher .
- Vérifiez le certificat de clé publique pour le contact.
- Sélectionnez Enregistrer & Fermer.
- Utilisez la fonctionnalité Contacts pour ajouter l’utilisateur à une liste de destinataires de courrier électronique qui inclut le groupe de distribution. Pour cela, procédez comme suit :
- Dans Outlook, sélectionnez Nouveau, Message électronique, puis À.
- Sous Carnet d’adresses, sélectionnez Contacts.
- Double-cliquez sur l’utilisateur que vous souhaitez ajouter.
Résolution - Méthode 2
Ne créez pas de listes de distribution qui contiennent des membres lorsque ces membres s’étendent sur plusieurs stratégies de carnet d’adresses.
Informations supplémentaires
Dans Exchange Server 2010 SP2, les administrateurs peuvent implémenter une nouvelle fonctionnalité appelée Stratégies de carnet d’adresses. Cette fonctionnalité permet aux administrateurs d’utiliser une stratégie pour définir les objets Exchange qu’un utilisateur de boîte aux lettres peut voir. Cette stratégie est ensuite évaluée par le service carnet d’adresses sur le serveur d’accès au client lorsqu’un utilisateur de boîte aux lettres effectue une requête de carnet d’adresses. Si l’objet demandé dans la requête ne correspond pas à l’étendue définie pour la stratégie, l’utilisateur de boîte aux lettres ne peut pas voir cet objet.
Pour les groupes de distribution (DG), les utilisateurs de boîtes aux lettres peuvent ne pas voir l’appartenance entière du groupe si l’étendue de leur stratégie de carnet d’adresses inclut tous les membres de ce groupe. Le service Carnet d’adresses dans Exchange Server 2010 SP2 implémente la séparation NSPI (Named Service Provider Interface). Lorsque le client de messagerie tente d’effectuer une extension DL et de rechercher les certificats publics pour tous les membres de la liste de distribution, le client de messagerie ne peut pas voir les utilisateurs qui ne correspondent pas à l’étendue de sa stratégie. Par conséquent, le client de messagerie n’essaie pas de rechercher des certificats pour les utilisateurs qu’il ne peut pas voir.
Une fois le message envoyé, le transport hub n’est pas soumis aux stratégies de carnet d’adresses. Par conséquent, le transport peut envoyer le message à l’appartenance réelle de la liste de distribution lors de l’expansion de la liste de distribution.
Lorsque vous envoyez à une liste de distribution qui contient des membres que vous ne pouvez pas voir, Outlook et Outlook Web App ne peuvent pas localiser les informations de certificat du destinataire dans services de domaine Active Directory. Par conséquent, les informations de certificat ne sont pas utilisées pour encoder la zone de verrouillage et le destinataire ne peut pas localiser le certificat et la clé privée pour déchiffrer le message.
Lorsque vous utilisez l’une des méthodes répertoriées dans la section Résolution pour chiffrer les messages électroniques, le destinataire peut déterminer comment localiser le certificat et la clé privée pour déchiffrer le message.
References
Pour plus d’informations sur les stratégies de carnet d’adresses, consultez Présentation des stratégies de carnet d’adresses.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour