S/MIME в Outlook — это не просто кнопка “зашифровать”. Это работа с сертификатами: у вас есть личный сертификат с закрытым ключом, у собеседника — его публичный сертификат, и Outlook использует их, чтобы подписывать и шифровать письма. Если всё настроено правильно, получатель видит доверенную подпись, а содержимое письма и вложения не читаются по пути между почтовыми серверами.
На практике настройка сводится к трём вещам: получить правильный сертификат, установить его так, чтобы Outlook его видел, и протестировать отправку/чтение зашифрованного письма. Ниже — рабочий порядок именно для Outlook.
Что именно защищает S/MIME, а что нет
S/MIME защищает само письмо: текст сообщения, подпись и вложения. Это отличается от обычного TLS, который защищает только канал между серверами. TLS — это как бронированный автомобиль между офисами, а S/MIME — как запечатанный конверт, который остаётся закрытым даже после доставки.
- S/MIME шифрует: тело письма, вложения, служебные MIME-данные.
- S/MIME подписывает: отправителя, дату и содержимое письма, чтобы получатель мог проверить, что письмо не меняли.
- S/MIME не скрывает: тему письма, адреса отправителя и получателя, дату отправки и служебные заголовки.
- S/MIME не отзывает доступ: если получатель уже расшифровал письмо и сохранил копию, забрать её обратно нельзя.
Это значит, что S/MIME хорошо подходит для конфиденциальной переписки с партнёрами, юристами, бухгалтерией, ИТ-командами и другими людьми, у которых тоже настроены сертификаты. Но если вам нужно именно ограничить пересылку, печать или отозвать доступ после отправки, это уже ближе к Microsoft Purview Message Encryption или политикам защиты информации, а не к классическому S/MIME.
Что нужно подготовить до настройки
Перед тем как открывать настройки Outlook, проверьте четыре условия. Без них настройка либо не заработает, либо будет выглядеть так, будто “всё включено, но не работает”.
- У вас есть сертификат S/MIME для нужного email-адреса.
- В сертификате есть закрытый ключ. Без него Outlook не сможет подписывать письма и расшифровывать входящие.
- Корневой сертификат удостоверяющего центра доверенный на компьютере.
- У получателя есть его публичный сертификат, а у вас — публичный сертификат получателя.
- Версия Outlook поддерживает S/MIME. Самый предсказуемый вариант — классический Outlook для Windows.
Не пересылайте файл .pfx или .p12 с закрытым ключом по обычной почте. Это фактически копия вашей подписи и ключа для расшифровки. Храните резервную копию в защищённом месте: в корпоративном хранилище паролей, на зашифрованном носителе или в другом доверенном месте.
Шаг 1. Получите сертификат S/MIME
Сертификат S/MIME должен быть выпущен на email-адрес, с которого вы отправляете письма. Если вы пишете с адреса ivan@company.com, а сертификат выпущен на ivan.personal@mail.com, Outlook и почтовые клиенты получателей могут не считать его подходящим.
Есть несколько сценариев:
| Ситуация | Откуда брать сертификат | Что проверить |
|---|---|---|
| Корпоративная почта в компании | У ИТ-отдела или через внутреннюю PKI | Адрес в сертификате, срок действия, доверенный корневой центр, наличие закрытого ключа |
| Переписка с внешними партнёрами | У публичного удостоверяющего центра или через корпоративный сертификат | Получатель должен доверять центру, который выпустил ваш сертификат |
| Тест дома или в лаборатории |