安全 : Cisco IronPort Email 安全设备

保证您的ESA证书可以验证

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文描述如何保证您的思科电子邮件安全工具(ESA)证书可以验证。

由思科 TAC 工程师撰稿。

步骤

当邮件处理通过思科ESA,其他域可能有时验证您的证书,当他们发送您邮件时(即。如果他们使用事类似于TLS “要求”)。当该域验证您的证书时,所有检查必须成功(在两边)。即使一检查发生故障,全部的TLS连接将发生故障。是最佳实践有可核实您的证书,即使您验证其他域(即,如果使用“要求的” TLS, “请要求验证”,或者“请首选的验证”在目的地控制)。在此条款的信息解释基本检查点包括为了知道您的证书是否可以顺利地验证。

在解释实际证书验证进程前对首先是重要了解什么能发生在连接级别:

发送的邮件服务器MX的接收的域记录的DNS查找(主机名)。发送的邮件服务器然后DNS查找其IP地址的(主机名接收的邮件服务器的主机名以最低DNS优先级)。很可能,发送的服务器逆向DNS查找看到该的IP地址是否返回在原始DNS查找返回的同样主机名。如果发送的服务器验证接收的域,并且不返回同样主机名,则发送方很可能将切连接。

验证的证书基本检查点显示此处:

  1. 如果连接成功,则接收的邮件服务器将发送标语。标语将包括接收的邮件服务器的实际主机名(220-mailhost.example.com)。发送的邮件服务器将记住此主机名为,当其时刻验证证书。发送的邮件服务器与其自己的域一起将发送EHLO命令作为参数(e.g.ehloesa.com)。接收的邮件服务器将回应其参数和提供的STARTTLS命令。

    注意: 如果进行在端口25的一手工的telnet测验到接收的邮件服务器,并且看不到STARTTLS提供,则该邮件服务器不能执行TLS。

    发送的服务器必须然后执行STARTTLS命令。接收的邮件服务器说“请去向前与TLS”。

    myesa.local> telnet mailhost.example.com 25
    Trying 1.1.1.1...
    Connected to mailhost.example.com.
    Escape character is '^]'.
    220-mailhost.example.com ESMTP
    220 Welcome to this mail server. You may proceed to communicate.
     
    ehlo esa.com
    250-mailhost.example.com
    250-8BITMIME
    250-SIZE 33554432
    250 STARTTLS
     
    starttls
    220 Go ahead with TLS
  2. 两邮件服务器首先将决定密码器优点。在此以后,发送的邮件服务器将开始验证接收的邮件服务器的证书。 
  3. 发送的服务器将看到证书的公用名称。发送的邮件服务器将检查此公用名称发现是否匹配(正确地)从连接标语(220-mailhost.example.com)的主机名。请注意:,如果有通配符作为您的公用名称在证书(即*.example.com),然后这不完全地匹配在标语的主机名(mailhost.example.com不完全地匹配*.example.com)。 如果证书的公用名称不完全地匹配在此220标语的主机名,则此检查将发生故障。所以, TLS连接将发生故障。
  4. 完成的最后基本检查验证证书适当地被串连。一些发送的邮件服务器不喜欢自签名证书。并且,一些发送的邮件服务器不喜欢由一未知Certificate Authority (CA)的证书(发送方邮件服务器不知道)的CA签了字。如果发送的服务器不喜欢您的自签名证书或不知道谁您的CA是,则TLS将发生故障。
  5. 验证的您的证书一系列另一个零件将看到您的域(公司)证书是否可以连接回到您的Certificate Authority (CA)。通常,如果采购从CA的一证书,然后您会有一公司证书、中间证书和一根(CA)证书(您也许只在某些情况下接收一证书,但是此一证书应该仍然包含全部三)。应该分开(但是仍然适当地上传这三证书到ESA在同一页位于网络>证书)。如果没有全部三证书分开上传ESA (或按适当的顺序),则发送的邮件服务器不能验证您有一适当地被串连的证书。所以, TLS将发生故障。

    如果发送的服务器验证您的证书,并且以上任何一个检查发生故障,则TLS将发生故障。

相关信息


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 118572