Compartir a través de

Un destinatario no puede ver un mensaje de correo electrónico codificado mediante S/MIME

  • Se aplica a: Exchange Server 2010 Service Pack 2

Número de KB original: 2621062

Síntomas

Tenga en cuenta estos escenarios:

Escenario 1

  • Tiene acceso a un buzón hospedado en Exchange Server 2010 Service Pack 2 (SP2).
  • Descargue e instale el control Extensiones de correo de Internet seguras o multipropósito (S/MIME) en Outlook Web App (OWA). A continuación, realice una de las siguientes acciones:
    • El control S/MIME se usa en OWA para cifrar un mensaje de correo electrónico.
    • Use Outlook para cifrar un mensaje de correo electrónico.
  • El mensaje de correo electrónico se envía a una lista de distribución.
  • Un destinatario intenta abrir el mensaje de correo electrónico en Outlook.

En este escenario, el destinatario puede recibir este mensaje de error:

No se puede abrir este elemento. El sistema de seguridad subyacente no encuentra el nombre del identificador digital.

Escenario 2

  • Tiene acceso a un buzón hospedado en Exchange Server 2010 SP2.
  • Descargue e instale el control S/MIME en Outlook Web App (OWA). A continuación, realice una de las siguientes acciones:
    • El control S/MIME se usa en OWA para cifrar un mensaje de correo electrónico.
    • Use Outlook para cifrar un mensaje de correo electrónico.
  • El mensaje de correo electrónico se envía a una lista de distribución.
  • Un destinatario intenta abrir el mensaje de correo electrónico en Outlook Web App (OWA).

En este escenario, el destinatario puede recibir este mensaje de error:

Este mensaje no se puede descifrar porque no se admite su algoritmo de cifrado o no se encuentra el identificador digital. Si tiene un identificador digital basado en tarjeta inteligente, inserte la tarjeta e inténtelo de nuevo para abrir el mensaje.

Causa

Este problema puede producirse si se cumplen todas estas condiciones:

  • Un administrador de Exchange ha definido una directiva de libreta de direcciones.
  • El ámbito de la directiva de libreta de direcciones no incluye todos los miembros del grupo de distribución.

Nota:

Este comportamiento es una característica del diseño de la aplicación.

Resolución: método 1

Use la característica Contactos. Para ello, siga estos pasos:

  1. Use Outlook para abrir un mensaje firmado digitalmente desde un remitente que no esté en la libreta de direcciones.
  2. En la línea Desde: , haga clic con el botón derecho en el nombre del remitente y, a continuación, seleccione Agregar a contactos de Outlook.
  3. En la ventana Contacto , seleccione Certificados en el grupo Mostrar .
  4. Compruebe el certificado de clave pública para el contacto.
  5. Seleccione Guardar & Cerrar.
  6. Use la característica Contactos para agregar el usuario a una lista de destinatarios de mensajes de correo electrónico que incluya el grupo de distribución. Para ello, siga estos pasos:
    1. En Outlook, seleccione Nuevo, Mensaje de correo y, a continuación, Seleccione Para.
    2. En Libreta de direcciones, seleccione Contactos.
    3. Haga doble clic en el usuario al que desea agregar.

Resolución: método 2

No cree listas de distribución que contengan miembros cuando esos miembros abarquen varias directivas de libreta de direcciones.

Más información

En Exchange Server 2010 SP2, los administradores pueden implementar una nueva característica conocida como directivas de libreta de direcciones. Esta característica permite a los administradores usar una directiva para definir qué objetos de Exchange puede ver un usuario de buzón de correo. A continuación, el servicio de libreta de direcciones del servidor de acceso de cliente evalúa esta directiva cuando un usuario de buzón realiza una consulta de libreta de direcciones. Si el objeto solicitado en la consulta no coincide con el ámbito definido para la directiva, el usuario del buzón no puede ver ese objeto.

En el caso de los grupos de distribución (DG), es posible que los usuarios del buzón no vean toda la pertenencia del grupo si el ámbito de su directiva de libreta de direcciones incluye a todos los miembros de ese grupo. El servicio libreta de direcciones de Exchange Server 2010 SP2 implementa la segregación de la interfaz de proveedor de servicios con nombre (NSPI). Cuando el cliente de correo intenta realizar la expansión de DL y busca los certificados públicos de todos los miembros de la lista de distribución, el cliente de correo no puede ver usuarios que no coincidan con el ámbito de su directiva. Por lo tanto, el cliente de correo no intenta buscar certificados para los usuarios que no puede ver.

Una vez enviado el mensaje, el transporte del concentrador no está sujeto a directivas de libreta de direcciones. Por lo tanto, Transporte puede enviar el mensaje a la pertenencia real de la lista de distribución cuando se realiza la expansión de la lista de distribución.

Cuando se envía a una lista de distribución que contiene miembros que no puede ver, Outlook y Outlook Web App no pueden encontrar la información del certificado del destinatario en Servicios de dominio de Active Directory. Por lo tanto, la información del certificado no se usa para codificar la caja de seguridad y el destinatario no puede encontrar el certificado y la clave privada para descifrar el mensaje.

Cuando se usa cualquiera de los métodos que se enumeran en la sección Resolución para cifrar los mensajes de correo electrónico, el destinatario puede determinar cómo buscar el certificado y la clave privada para descifrar el mensaje.

Referencias

Para obtener más información sobre las directivas de libreta de direcciones, consulte Descripción de las directivas de libreta de direcciones.