Resumo
No melhor de meu conhecimento, não há como resolver isso , pelo menos sem quebrar a verificação de assinaturas. Outros clientes de email se comportam de maneira semelhante ao Outlook, embora eu ache que não há uma boa razão para esse comportamento .
Detalhes
Examinei as configurações do GPO, mas não encontrei nenhuma que pudesse corrigir esse problema e deixar todo o restante intacto. Há uma configuração "Promover erros de nível 2 como erros, não avisos"; sua descrição diz que habilitar a configuração degrada alguns problemas em alertas que, de outra forma, seriam erros (na minha opinião, essa descrição é o oposto do que o nome sugere). O problema de expiração não está na lista de problemas do exemplo, mas ainda pode funcionar, pois os problemas lá são muito piores (como não encontrar o certificado de assinatura). Eu não tentei isso por causa da vasta extensão desse cenário, mas pode ser uma opção se você estiver realmente desesperado; -).
O Outlook 2010 e 2013 também mostram esse comportamento, parece violar as RFCs, mas a Microsoft atualmente não trabalha com o problema: link
Posso confirmar que isso ainda é reproduzível no Outlook 2016.
Nos meus testes, o Thunderbird se comporta de maneira idêntica ao Outlook e até mesmo falsamente diz que a causa do problema era "O certificado usado para assinar a mensagem foi emitido por uma autoridade de certificação que você não confia para emitir esse tipo de certificado." Assim, isso parece ser um problema geral.
Veja também esta pergunta semelhante sobre Segurança da Informação: link
Solução alternativa
Obtenha um novo certificado de assinatura muito antes de seu antigo expirar , como 6 meses, e comece a usar somente o novo certificado. Isso tem o seguinte benefício: Quando o certificado antigo expira, os e-mails com assinaturas aparentemente inválidas têm pelo menos seis meses de idade. Seus destinatários, esperamos, raramente relêem emails com 6 meses ou mais e, portanto, são menos propensos a encontrar o problema.