Um destinatário não consegue ver uma mensagem de e-mail codificada com S/MIME

  • Artigo
  • Aplica-se a:
    Exchange Server 2010 Service Pack 2

Número original da BDC: 2621062

Sintomas

Considere estes cenários:

Cenário 1

  • Acede a uma caixa de correio alojada no Exchange Server 2010 Service Pack 2 (SP2).
  • Transfira e instale o controlo Extensões de Correio da Internet (S/MIME) Seguras/Multiusos no Outlook Web App (OWA). Em seguida, efetue um dos seguintes procedimentos:
    • Utilize o controlo S/MIME no OWA para encriptar uma mensagem de e-mail.
    • Utiliza o Outlook para encriptar uma mensagem de e-mail.
  • Envia a mensagem de e-mail para uma lista de distribuição.
  • Um destinatário tenta abrir a mensagem de e-mail no Outlook.

Neste cenário, o destinatário pode receber esta mensagem de erro:

Não é possível abrir este item. O seu nome de ID Digital não pode ser encontrado pelo sistema de segurança subjacente

Cenário 2

  • Pode aceder a uma caixa de correio alojada no Exchange Server 2010 SP2.
  • Transfira e instale o controlo S/MIME no Outlook Web App (OWA). Em seguida, efetue um dos seguintes procedimentos:
    • Utilize o controlo S/MIME no OWA para encriptar uma mensagem de e-mail.
    • Utiliza o Outlook para encriptar uma mensagem de e-mail.
  • Envia a mensagem de e-mail para uma lista de distribuição.
  • Um destinatário tenta abrir a mensagem de e-mail no Outlook Web App (OWA).

Neste cenário, o destinatário pode receber esta mensagem de erro:

Não é possível desencriptar esta mensagem porque o algoritmo de encriptação não é suportado ou o ID digital não pode ser encontrado. Se tiver um ID digital baseado em smart card, insira o cartão e tente novamente abrir a mensagem.

Causa

Este problema pode ocorrer se todas estas condições forem verdadeiras:

  • Um Administrador do Exchange definiu uma política do Livro de Endereços.
  • O âmbito da política Livro de Endereços não inclui todos os membros do grupo de distribuição.

Nota

Este comportamento é por concepção.

Resolução - Método 1

Utilize a funcionalidade Contactos. Para tal, siga estes passos:

  1. Utilize o Outlook para abrir uma mensagem assinada digitalmente a partir de um remetente que não esteja no seu Livro de Endereços.
  2. Na linha De: clique com o botão direito do rato no nome do remetente e, em seguida, selecione Adicionar aos Contactos do Outlook.
  3. Na janela Contacto , selecione Certificados no grupo Mostrar .
  4. Verifique o certificado de chave pública do contacto.
  5. Selecione Guardar & Fechar.
  6. Utilize a funcionalidade Contactos para adicionar o utilizador a uma lista de destinatários de mensagens de e-mail que inclui o grupo de distribuição. Para tal, siga estes passos:
    1. No Outlook, selecione Novo, selecione Mensagem de Correio e, em seguida, selecione Para.
    2. Em Livro de Endereços, selecione Contactos.
    3. Faça duplo clique no utilizador que pretende adicionar.

Resolução - Método 2

Não crie listas de distribuição que contenham membros quando esses membros abrangem várias políticas do Livro de Endereços.

Mais informações

No Exchange Server 2010 SP2, os administradores podem implementar uma nova funcionalidade conhecida como Políticas do Livro de Endereços. Esta funcionalidade permite que os administradores utilizem uma política para definir os objetos do Exchange que um utilizador da caixa de correio pode ver. Em seguida, esta política é avaliada pelo Serviço de Livro de Endereços no Servidor de Acesso de Cliente quando um utilizador da caixa de correio efetua uma consulta do Livro de Endereços. Se o objeto pedido na consulta não corresponder ao âmbito definido para a política, o utilizador da caixa de correio não conseguirá ver esse objeto.

Para Grupos de Distribuição (DG), os utilizadores da caixa de correio poderão não ver toda a associação do grupo se o âmbito da respetiva Política do Livro de Endereços incluir todos os membros desse grupo. O serviço Livro de Endereços no Exchange Server 2010 SP2 implementa a segregação da Interface do Fornecedor de Serviços Nomeados (NSPI). Quando o cliente de correio tenta efetuar a expansão de DL e procurar os certificados públicos de todos os membros da Lista de Distribuição, o cliente de correio não consegue ver os utilizadores que não correspondem ao âmbito da respetiva política. Por conseguinte, o cliente de correio não tenta procurar certificados para os utilizadores que não consegue ver.

Depois de a mensagem ser enviada, o Transporte do Hub não está sujeito às Políticas do Livro de Endereços. Por conseguinte, a Transport pode enviar a mensagem para a associação real da Lista de Distribuição quando a expansão da Lista de Distribuição é efetuada.

Quando envia para uma Lista de Distribuição que contém membros que não consegue ver, o Outlook e o Outlook Web App não conseguem localizar as informações do certificado do destinatário no Active Directory Domain Services. Por conseguinte, as informações do certificado não são utilizadas para codificar o sistema de bloqueio e o destinatário não consegue localizar o certificado e a chave privada para desencriptar a mensagem.

Quando utiliza um dos métodos listados na secção Resolução para encriptar mensagens de e-mail, o destinatário pode determinar como localizar o certificado e a chave privada para desencriptar a mensagem.

Referências

Para obter mais informações sobre as Políticas do Livro de Endereços, consulte Compreender as Políticas do Livro de Endereços.