Exchange 2007 имя и тип

CheckCRLOnSend (DWORD)

Exchange 2003 имя и тип

CheckCRL (DWORD)

Значения и настройки по умолчанию

1=True, 0=False (по умолчанию)

Пояснение

По умолчанию, если нельзя получить доступ к точке распространения списков отзыва сертификатов (CDP) в цепочке сертификатов отправителя во время проверки отзывов при отправлении подписанной или зашифрованной электронной почты, Outlook Web Access не выведет предупреждение, уведомляющее отправителя о том, что сертификат не может быть проверен. Вместо этого он позволит отправить электронную почту.

Если для параметра CheckCRLonSend установлено значение true, в случае, если нельзя получить доступ к точке распространения списков отзыва сертификатов в цепочке сертификатов отправителя во время проверки отзывов при отправлении подписанной или зашифрованной электронной почты, Outlook Web Access сообщит о сбое и воспрепятствует отправлению электронного сообщения.

Exchange 2007 имя и тип

DLExpansionTimeout (DWORD)

Exchange 2003 имя и тип

DLExpansionTimeout (DWORD)

Значения и настройки по умолчанию

Время ожидания расширения списка распространения представляет собой время в милисекундах, до того, как истечет время ожидания запроса на расширение списка распространения. Значение по умолчанию: 60000 (60 секунд). Минимальное значение 0. Установка для параметра DLExpansionTimeout значения 0 отключает возможность отправления зашифрованной электронной почты в списки распространения. Максимальное значение 2147483647. Когда для параметра DLExpansionTimeout установлено максимальное значение, времени ожидания для расширения списка распространения не будет и Outlook Web Access подождет, пока список распространения расширится вне зависимости от того, сколько времени займет расширение.

Пояснение

Этот атрибут устанавливает время ожидания Outlook Web Access в милисекундах для расширения списка распространения в Active Directory при отправлении зашифрованной электронной почты до того, как произойдет сбой.

При отправлении зашифрованной электронной почты в список распространения Outlook Web Access должен расширить список распространения для получения сертификата шифрования каждого получателя для использования в операции шифрования. Время, которое занимает эта операция, зависит от размера списка распространения и работы базовой инфраструктуры Active Directory. Во время расширения списка распространения отправитель не будет получать ответа от Outlook Web Access. Этот атрибут определяет, как долго Outlook Web Access должен ожидать расширения всего списка распространения. Если операция не завершилась во время, указанное этим значением, произойдет сбой и почта не будет отправлена. Отправитель вернется в форму составления сообщения, которая будет включать в себя информационную панель со следующим сообщением об ошибке:

Действие не может быть завершено. Повторите попытку. Если проблема не решена, обратитесь в службу технической поддержки вашей организации.

Exchange 2007 имя и тип

UseSecondaryProxiesWhenFindingCertificates (DWORD)

Exchange 2003 имя и тип

CertMatchingDoNotUseProxies (DWORD)

Значения и настройки по умолчанию

1=True (по умолчанию), 0=False

Пояснение

Outlook Web Access пытается найти правильный сертификат в Active Directory для получателя при отправлении зашифрованной электронной почты. Имена субъекта сертификата или дополнительного субъекта сертификата могут содержать SMTP-адрес в качестве одного из имен. Поскольку в каталоге получателя может оказаться несколько прокси-адресов SMTP, названия субъекта или дополнительного субъекта сертификата могут не совпадать с основным SMTP-адресом. Вместо этого они могут совпасть с одним из прокси-адресов.

Если параметру UseSecondaryProxiesWhenFindingCertificates присвоено значение true, Outlook Web Access будет принимать сертификаты, которые не совпадают с основным SMTP-адресом получателя как допустимые. Если параметру UseSecondaryProxiesWhenFindingCertificates присвоено значение false, Outlook Web Access будет принимать как допустимые только те сертификаты, которые совпадают с основным SMTP-адресом получателя.

Exchange 2007 имя и тип

CRLConnectionTimeout (DWORD)

Exchange 2003 имя и тип

RevocationURLRetrievalTimeout (DWORD)

Значения и настройки по умолчанию

Время ожидания соединения со списком отзывов сертификатов представляет собой время в милисекундах, до того, как истечет время ожидания запроса на соединение со списком отзывов сертификатов. Значение по умолчанию: 60000 (60 секунд). Минимальное значение: 5000 (5 секунд). Можно указать максимальное значение, равное 2147483647. Если параметру CRLConnectionTimeout присвоено максимальное значение, время ожидания соединения не будет истекать.

Пояснение

Время ожидания соединения со списком отзывов сертификатов указывает на время в милисекундах, которое будет ожидать Outlook Web Access при соединении для получения отдельного списка отзывов сертификатов (CRL) как части операции по проверке сертификатов.

Проверка сертификата требует получения списка отзывов сертификатов от центра сертификации из точки распространения CRL, указанной в сертификате. Эту операцию следует проводить для каждого сертификата во всей цепочке сертификатов.

При получении нескольких CRL следует применять этот ключ к каждому соединению. Например, если необходимо получить три CRL и время ожидания CRLConnectionTimeout установлено в 60 секунд, каждая операция по получению CRL будет иметь время ожидания, равное 60 секундам. Если CRL не получен до истечения указанного времени ожидания, произойдет сбой операции. Если значение CRLConnectionTimeout меньше 5000, будет использоваться значение по умолчанию (60000). Если параметру CRLConnectionTimeout присвоено максимальное значение, 2147483647, время ожидания соединения не будет истекать.

Exchange 2007 имя и тип

CRLRetrievalTimeout (DWORD)

Exchange 2003 имя и тип

CertURLRetrievalTimeout (DWORD)

Значения и настройки по умолчанию

Время ожидания получения CRL определяет время в милисекундах, которое Outlook Web Access будет ждать при соединении для завершения всех получений CRL для отдельного сообщения. Значение по умолчанию: 10000 (10 секунд). Минимальное значение: 0 . Максимальное значение: 2147483647.

Пояснение

Этот атрибут напоминает время ожидания соединения CRL, однако он указывает на время в милисекундах, которое Outlook Web Access будет ждать при получении всех списков отзывов сертификатов при проверке сертификата. Если все CRL не получены до истечения указанного времени ожидания, произойдет сбой операции.

Когда вы устанавливаете это значение, необходимо помнить, что в операции проверки сертификата время ожидания соединения со списком отзывов сертификатов применяется как к каждому получению CRL, так и к общей операции получения всех CRL. Например, если необходимо получить три CRL и время ожидания CRLConnectionTimeout установлено в 60 секунд, а CRLRetrievalTimeout установлено в 120 секунд, то каждая операция по получению CRL будет иметь время ожидания, равное 60 секундам, а вся операция будет иметь время ожидания, равное 120 секундам. В этом примере произойдет сбой операции, если получение какого-либо отдельного CRL занимает более 60 секунд. Также если получение всех CRL занимает более 120 секунд, произойдет сбой операции.

Exchange 2007 имя и тип

DisableCRLCheck (DWORD)

Exchange 2003 имя и тип

DisableCRLCheck (DWORD)

Значения и настройки по умолчанию

1=True, 0=False (по умолчанию)

Пояснение

Если значение установлено как true, DisableCRLCheck препятствует проверке списков отзывов сертификатов (CRLs) во время проверки сертификатов. Отключение проверки CRL может увеличить время, необходимое для проверки подписей в подписанной электронной почте. Однако при этом отозванные электронные сообщения, подписанные отозванными сертификатами, будут показаны как допустимые, вместо недопустимых.

Exchange 2007 имя и тип

AlwaysSign (DWORD)

Exchange 2003 имя и тип

AlwaysSign (DWORD)

Значения и настройки по умолчанию

1=True, 0=False (по умолчанию)

Пояснение

Когда значение установлено как true, AlwaysSign заставит пользователей подписывать свои электронные сообщения цифровой подписью, когда они используют Outlook Web Access с элементами управления S/MIME. Также страница параметров и диалоговое окно параметров сообщения покажут параметр "Отправить подписанное электронное сообщение" как выбранный.

Exchange 2007 имя и тип

AlwaysEncrypt (DWORD)

Exchange 2003 имя и тип

AlwaysEncrypt (DWORD)

Значения и настройки по умолчанию

1=True, 0=False (по умолчанию)

Пояснение

Когда значение установлено как true, AlwaysEncrypt заставит пользователей шифровать свои электронные сообщения, когда они используют Outlook Web Access с элементами управления S/MIME. Также страница параметров и диалоговое окно параметров сообщения покажут параметр "Посылать зашифрованное сообщение" как выбранный.

Exchange 2007 имя и тип

ClearSign (DWORD)

Exchange 2003 имя и тип

ClearSign (DWORD)

Значения и настройки по умолчанию

1=True (по умолчанию), 0=False

Пояснение

Когда значение установлено как true, ClearSign делает так, что любое электронное сообщение, подписанное цифровой подписью и отправляемое с Outlook Web Access, содержит открытую подпись. По умолчанию для этого атрибута используется значение true. Установка этого значения как false приведет к тому, что Outlook Web Access будет использовать непроницаемую подпись. Электронные сообщения с открытой подписью больше, чем сообщения с непроницаемой подписью, но их можно открывать и читать в большинстве клиентов электронной почты, включая те, что не поддерживают S/MIME.

Exchange 2007 имя и тип

IncludeCertificateChainWithoutRootCertificate (DWORD)

Exchange 2003 имя и тип

SecurityFlags (значение 0x001)

Значения и настройки по умолчанию

1=True, 0=False (по умолчанию)

Пояснение

По умолчанию поведение Outlook Web Access должно включать только подписанные и зашифрованные сертификаты, а не их соответствующие цепочки сертификатов при отправлении подписанных или зашифрованных электронных сообщений. Этот параметр может быть необходим при взаимодействии с другими клиентами или при использовании в средах, где невозможно получить доступ к промежуточным центрам сертификации, используя атрибут Доступ к сведениям о центрах сертификации или промежуточный центр сертификации, имеющий доверительные отношения с компьютерной учетной записью почтового сервераExchange 2007. Если параметру IncludeCertificateChainWithoutRootCertificate присвоено значение true, подписанное или зашифрованное электронное сообщение будет включать в себя полную цепочку сертификатов за исключением корневого сертификата.

Эта настройка увеличивает размер подписанных и зашифрованных сообщений.

Exchange 2007 имя и тип

IncludeCertificateChainAndRootCertificate (DWORD)

Exchange 2003 имя и тип

SecurityFlags (значение 0x002)

Значения и настройки по умолчанию

1=True, 0=False (по умолчанию)

Пояснение

Включение цепочки сертификатов и корня напоминает включение цепочки сертификатов без корневого сертификата, но при установке в значение true оно включает в себя корневой сертификат и полную цепочку сертификатов.

Если параметру IncludeCertificateChainAndRootCertificate присвоено значение true, он увеличивает размер подписанных и зашифрованных сообщений больше, чем IncludeCertificateChainWithoutRootCertificate.

Exchange 2007 имя и тип

EncryptTemporaryBuffers (DWORD)

Exchange 2003 имя и тип

SecurityFlags (значение 0x004)

Значения и настройки по умолчанию

1=True (по умолчанию), 0=False

Пояснение

По умолчанию все клиентские временные буферы, которые используются для хранения данных сообщений, зашифрованы при помощи кратковременного ключа и алгоритма 3DES. Эту настройку можно использовать для включения или отключения шифрования временных буферов. Отключение шифрования буферов может увеличить производительность клиента Outlook Web Access . Однако оно оставляет информацию в буфере локальной системы незашифрованной. Перед отключением этой функции ознакомьтесь с политикой безопасности вашей организации.

Exchange 2007 имя и тип

SignedEmailCertificateInclusion (DWORD)

Exchange 2003 имя и тип

SecurityFlags (значение 0x008)

Значения и настройки по умолчанию

1=True (по умолчанию), 0=False

Пояснение

По умолчанию Outlook Web Access с установленными элементами управления S/MIME включает подписанные и зашифрованные сертификаты с подписанными электронными сообщениями. При отключении этой настройки путем присвоения параметру SignedEmailCertificateInclusion значения false, размер сообщений, которые отправляются с Outlook Web Access с элементами управления S/MIME, будет уменьшаться. Однако получатели не будут иметь доступа к сертификату шифрования отправителя в полученном сообщении. Им придется получать сертификат другим способом, либо из каталога, либо от самого отправителя.

Exchange 2007 имя и тип

BccEncryptedEmailForking (DWORD)

Exchange 2003 имя и тип

SecurityFlags (значение 0x040, 0x080)

Значения и настройки по умолчанию

0=Одно зашифрованное сообщение на получателя скрытой копии (по умолчанию)

1=Одно зашифрованное сообщение для всех получателей скрытой копии

2=Одно зашифрованное сообщение без ветвления скрытой копии

Пояснение

По умолчанию Outlook Web Access отправит отдельное зашифрованное сообщение каждому получателю на СК линии зашифрованного сообщения. Этот параметр обеспечивает наибольшую безопасность для СК получателей зашифрованного сообщения. Изменяя значение BCCEncryptedEmailForking, вы можете настроить Outlook Web Access на создание отдельного зашифрованного сообщения для всех СК получателей или одного зашифрованного сообщения без отдельного сообщения для каждого СК получателя. 

Exchange 2007 имя и тип

IncludeSMIMECapabilitiesInMessage (DWORD)

Exchange 2003 имя и тип

SecurityFlags (значение 0x100)

Значения и настройки по умолчанию

1=True, 0=False (по умолчанию)

Пояснение

Если параметру IncludeSMIMECapabilitiesInMessage присвоено значение true, Outlook Web Access будет добавлять атрибуты к исходящим подписанным и зашифрованным сообщениям, которые будут показывать, какие алгоритмы шифрования и подписи и длина ключей поддерживаются.

Включение этого атрибута увеличит размер сообщений. Тем не менее, включение позволит некоторым клиентам электронной почты легче взаимодействовать с Outlook Web Access.

Exchange 2007 имя и тип

CopyRecipientHeaders (DWORD)

Exchange 2003 имя и тип

SecurityFlags (значение 0x200)

Значения и настройки по умолчанию

1=True, 0=False (по умолчанию)

Пояснение

При установке в значение true CopyRecipientHeaders вкладывает копии заголовкой отправителя From, To и Cc в подписанную часть сообщения. Это позволяет получателю удостовериться в том, что эти заголовки не были изменены во время пересылки сообщения. Включение этой функции увеличивает размер сообщения.

Exchange 2007 имя и тип

OnlyUseSmartCard (DWORD)

Exchange 2003 имя и тип

SmartCardOnly (DWORD)

Значения и настройки по умолчанию

1=True, 0=False (по умолчанию)

Пояснение

Когда значение установлено как true, OnlyUseSmartCard включает обязательное использование сертификатов на основе смарт-карт для подписи и дешифрования, когда вы используете Outlook Web Access с элементами управления S/MIME. Пользователи не могут использовать сертификаты не на основе смарт-карт.

Exchange 2007 имя и тип

TripleWrapSignedEncryptedMail (DWORD)

Exchange 2003 имя и тип

TripleWrap (DWORD)

Значения и настройки по умолчанию

1=True (по умолчанию), 0=False

Пояснение

Когда TripleWrapSignedEncryptedMail установлен в значение true, зашифрованные электронные сообщения с цифровой подписью трижды заворачиваются. Когда сообщение трижды завернуто, сообщение с цифровой подписью шифруется, а затем зашифрованное сообщение подписывается цифровой подписью. Когда установлено значение false, сообщение с цифровой подписью только шифруется без дополнительной цифровой подписи зашифрованного сообщения. По умолчанию этому атрибуту присвоено значение true. Трижды завернутые сообщения обеспечивают зашифрованным электронным сообщениям с цифровой подписью наибольшую безопасность по стандартам S/MIME, но они больше по размеру сообщений, не завернутых трижды.

Exchange 2007 имя и тип

UseKeyIdentifier (DWORD)

Exchange 2003 имя и тип

UseKeyIdentifier (DWORD)

Значения и настройки по умолчанию

1=True, 0=False (по умолчанию)

Пояснение

По умолчанию при шифровании электронного сообщения Outlook Web Access закодирует защищенное хранилище, где хранится ассиметрично зашифрованный маркер, необходимый для дешифрования оставшегося сообщения. Он кодирует защищенное хранилище, указывая отправителя и серийный номер сертификата каждого получателя. Затем эту функцию можно использовать для нахождения сертификата и закрытого ключа для дешифрования сообщения.

Альтернативным способом нахождения сертификата и закрытого ключа для дешифрования сообщения является использование ключевого идентификатора сертификата при установке UseKeyIdentifier в значение true. Поскольку криптографическая пара может повторно использоваться в новых сертификатах, использование ключевого идентификатора для зашифрованных электронных сообщений позволит пользователям хранить только самые последние сертификаты и соответствующие закрытые ключи вместо всех старых сертификатов, которые можно сопоставить только по отправителю и серийному номеру.

По умолчанию, поскольку некоторые клиенты электронной почты не поддерживают поиск сертификатов по ключевому идентификатору, Outlook Web Access использует отправителя и серийный номер каждого сертификата получателя. Включение этой функции облегчает использование зашифрованных сообщений, поскольку избавляет пользователей от необходимости хранить в системе старые сертификаты с истекшим сроком давности.

Exchange 2007 имя и тип

EncryptionAlgorithms (Reg-SZ)

Exchange 2003 имя и тип

EncryptionAlgorithms (Reg_SZ)

Значения и настройки по умолчанию

Этот ключ представляет собой список, разделенный точками с запятой и представляющий алгоритмы симметричного шифрования для шифрования сообщений при использовании Outlook Web Access вместе с элементами управления S/MIME.

Формат списка: {Well-known algorithm ID}[:key length to use]|[,Custom replacement algorithm OID]; {Well-known algorithm ID}[:key length to use]|[,Custom replacement algorithm OID]; …

Поддерживаемые алгоритмы и их ALG_IDs:

• DES6601
  
  
• 3DES6603
  
  
• RC26602
  
  
• AES128660E
  
  
• AES192660F
  
  
• AES2566610
  
  

Длина ключа применяется только к алгоритмам с переменной длиной ключа, когда длина ключа не кодируется в ID самого алгоритма. RC2 является единственным подобным алгоритмом в предыдущем списке.

Пользовательский алгоритм замены OID   Вы можете использовать свой собственный алгоритм, применив его с поставщиком криптографических услуг (CSP), приписав к ID пользовательского объекта и назначив ID, используя ключ EncryptionAlgorithms . OID должен быть указан вместе с ID известного алгоритма. Outlook Web Access требует ID известного алгоритма, чтобы он мог сделать логический вывод о том, как должен использоваться алгоритм. Например, для предоставления пользовательской замены алгоритму 3DES необходимо указать ALG_ID 3DES (0x6603) и пользовательский OID алгоритма замены.

Значения разделов реестра должны быть перечислены от самой большой длины ключа до самой маленькой, поскольку порядок отражает приоритет использования. Например, чтобы перечислить алгоритмы 3DES, RC2-128, RC2-64, DES, RC2-56 и RC2-40, расположите значения следующим образом:

6603;6602:128;6602:64;6601;6602:56;6602:40

При наличии ключа реестра всегда будут использоваться алгоритмы, указанные в ключе. Если ключа нет, Outlook Web Access вернется к внутреннему списку по умолчанию. Список начинается с AES256 для компьютеров, на которых установлен Windows Vista, и с 3DES для компьютеров, на которых установлен Microsoft Windows XP.

AES алгоритмы используются только в случае, если их поддерживает компьютер пользователя. AES не поддерживается в Windows XP, а сообщения, зашифрованные с использованием AES, не могут быть прочитаны на компьютерах с установленным Windows XP.

Пояснение

Outlook Web Access сделает попытку использовать самый сильный алгоритм с самым длинным ключом на компьютере пользователя. Если на компьютере пользователя нет алгоритма шифрования или минимальной длины ключа, Outlook Web Access не позволит произвести шифрование.

Exchange 2007 имя и тип

SigningAlgorithms (Reg_SZ)

Exchange 2003 имя и тип

DefaultSigningAlgorithm (reg_SZ)

Значения и настройки по умолчанию

Ключ SigningAlgorithms определяет список алгоритмов подписи для использования при подписывании сообщений на Outlook Web Access с установленными элементами управления S/MIME. Следующая таблица перечисляет алгоритмы подписи, идентификаторы алгоритмов и поддерживаемые длины ключей для каждого из них.

Формат: {Well-known algorithm ID}

идентификаторы известного алгоритма и длины ключей

• CALG_SHA_512800E
  
  
• CALG_SHA_384800D
  
  
• CALG_SHA_256800C
  
  
• SHA10x8004
  
  
• MD50x8003
  
  

При наличии раздела реестра всегда будет использоваться алгоритм, указанный в нем. Если раздела нет, Outlook Web Access вернется к внутреннему списку по умолчанию. Этот список начинается с SHA-1.

Сообщения, получившие цифровую подпись с использованием CALG_SHA_256, не могут быть проверены на компьютерах с установленным Windows XP.

Пояснение

Этот атрибут указывает, какой алгоритм цифровой подписи использовать для цифрового подписывания сообщений на Outlook Web Access с элементами контроля S/MIME.

Exchange 2007 имя и тип

ForceSMIMEClientUpgrade (DWORD)

Exchange 2003 имя и тип

Недоступно Это новая функция в Exchange 2007.

Значения и настройки по умолчанию

1=True (по умолчанию), 0=False

Пояснение

Когда ForceSMIMEClientUpgrade установлен в значение true, а версия управления клиентом на компьютере пользователя старше, чем версия на сервере, пользователь должен загрузить и установить новые элементы управления прежде, чем он сможет продолжать использовать S/MIME формы чтения и составления сообщений. Если установлено значение false, пользователь получит предупреждение в случае, если элементы управления S/MIME на его компьютере старше, чем версия на сервере. Тем не менее, он сможет использовать S/MIME без обновления элементов управления.