Пользователь Lotus Notes решает отправить пользователю Domino Web Access зашифрованное S/MIME-сообщение, как показано на рис. 7.22.

увеличить изображение
Рис. 7.22. Ответ при помощи зашифрованного S/MIME-сообщения

Пользователь Domino Web Access получает зашифрованное S/MIME-сообщение от пользователя Lotus Notes, как показано на рис. 7.23. Индикатором того, что сообщение зашифровано, является наличие небольшого значка – замка справа от имени отправителя.

увеличить изображение
Рис. 7.23. Получение зашифрованного S/MIME-сообщения

На этом этапе пользователь Domino Web Access может послать зашифрованное S/MIME-сообщение. Но мы здесь этого показывать не будем.

Обратите внимание, что, когда доступны как Notes- , так и S/MIME-шифрование и электронная подпись, Domino Web Access использует по умолчанию S/MIME-шифрование и электронную подпись. Это может вызывать проблемы в смешанных средах, включающих одновременно серверы Domino 7 и серверы Domino предыдущих версий. Более ранние серверы Domino не поддерживают S/MIME, поэтому сообщения, зашифрованные и подписанные при помощи S/MIME, не могут быть проверены или дешифрованы.

Мы рекомендуем использовать параметр файла NOTES.INI iNotes_wa_SecMailPreferNotes=1, если пользователи Domino Web Access 7.0 обмениваются зашифрованной почтой с пользователями Domino Web Access 6.x и для этих пользователей были выпущены сертификаты x.509. В режиме offline данный параметр не поддерживается.

7.5.4 Дополнительные моменты, связанные с безопасностью Domino Web Access

В вопросе безопасности Domino Web Access с клиентской стороны существует ряд факторов, сходных с теми, которые имеются в стандартном клиенте Notes. В дополнение к приведенному выше обсуждению выхода из системы заметим, что физическая безопасность машины является очень важным фактором (не оставляйте без присмотра браузер, подключенный к серверу; заблокируйте его замком Кенсингтона или другим сходным устройством). Шифруйте локальные (офлайновые) базы данных и создавайте документы политики offline-безопасности Domino.

Наконец, мы должны обсудить вопрос об обязанностях по соблюдению мер безопасности, связанных с использованием браузера в качестве клиента. Когда пользователи применяют браузерные технологии в качестве основного метода взаимодействия с сервером, существует повышенная опасность попасть под действие злонамеренных программ в виде скриптов JavaScript, агентов Java, элементов управления ActiveX \[ \text{\textregistered} \] и т. п. Чтобы пользователи не запускали такой код, в Domino Web Access по умолчанию применяется фильтр активного содержимого (Active Content Filter), который обрабатывает HTML-код каждого почтового сообщения и переписывает его, прежде чем он будет отображен в браузере. Это может отрицательно повлиять на производительность сервера, поэтому в файле NOTES.INI есть флаг, который можно при желании отключить.

Чтобы отключить фильтр активного содержимого, установите в файле NOTES.INI следующий параметр

iNotes_WA_DisableActCntSecurity=1

и перезапустите HTTP.

Если установить для этого параметра значение 0, поставить перед ним символ комментария или удалить строку из файла NOTES.INI, фильтр будет снова включен.

Существует ряд отличий в размещении клиентов Notes и Domino Web Access, которые следует принимать во внимание.

• Уполномоченный по восстановлению (Recovery authority). Domino Web Access не поддерживает работу с уполномоченным по восстановлению (т. е. восстановление ID-файлов), если только уполномоченный уже не указан в ID, переданном по почте пользователю.
• Импортированные Notes ID. Notes ID нельзя защищать смарт-картами.
• Сертификаты. Domino Web Access сначала ищет сертификаты в Domino Directory, а потом в контактах.
• Перекрестные сертификаты. Domino Web Access ищет перекрестные сертификаты только в Domino Directory. Если используется Domino Web Access, все необходимые перекрестные сертификаты должны создаваться в Domino Directory.
• Несколько доменов. Если администрируется несколько доменов, используйте Directory Assistance для расширенного каталога директорий (Extended Directory Catalog). Не используйте сокращенный каталог директорий (Condensed Directory Catalog, CDC) сервера.
• Офлайн. Если используется каталог директорий, в нем должна быть включена поддержка шифрованной почты.

На этом заканчивается наш обзор новых возможностей безопасности Domino Web Access. В "Контроль спама при помощи Domino 7" рассматривается тема, интересная как для пользователей Lotus Notes, так и для пользователей Domino Web Access: новая функциональность, которая поможет победить в борьбе со спамом, т. е. несанкционированными почтовыми рассылками.