安全 : Cisco IronPort Email 安全设备

控制在交付的TLS协商在ESA

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文描述如何控制在交付的传输层安全(TLS)协商在电子邮件安全工具(ESA)。

如对RFC 3207定义, “TLS是分机对允许SMTP服务器和客户端使用传输层安全提供在互联网的私有,已验证通信的SMTP服务。TLS是提高的TCP通信一普遍的机制与保密性和验证”。

贡献用杰瑞Orona和恩里科沃纳, Cisco TAC工程师。

在交付的Enable (event) TLS

您能需要电子邮件交付的STARTTLS到与二者之一的特定域在本文描述的这些方法之一:

  • 请使用CLI destconfig命令。
  • 从GUI请选择邮件策略>目的地控制

当您包括域时,目的地控制页或destconfig命令允许您指定TLS的五不同的设置一个给的域的。另外,您能指明域的验证是否是必要的。

设置定义的TLS

TLS设置含义
默认 设的默认TLS设置,当您使用目的地控制页或destconfig - >用于从监听程序的输出连接的默认子命令到消息传输代理(MTA)域。如果回答对问题,值“默认”设置:“您会希望接洽设置的特定TLS此域?”
1. TLS没有为从接口的输出连接协商到域的MTA。
2. 首选的TLS从ESA接口协商到域的MTA。然而,如果TLS协商发生故障(在接收220答复之前), SMTP处理继续“无危险” (没加密)。如果证书起源于委托认证机关,尝试没有被做验证。如果错误出现,在220答复接收后, SMTP处理不下跌回到明文。
3. 需要的TLS从ESA接口协商到域的MTA。尝试没有被做验证域的证书。如果协商发生故障,电子邮件没有通过连接被发送。如果协商成功,邮件通过加密的会话传送。
4. 首选的(请验证) TLS从ESA协商到域的MTA。设备尝试验证域的证书。三种结果是可能的:
  • TLS协商,并且证书验证。邮件通过加密的会话传送。
  • TLS协商,但是证书没有验证。邮件通过加密的会话传送。
  • TLS联系没有被建立,并且,证书随后没有验证。电子邮件消息在纯文本传送。
5. 需要的(请验证)TLS从ESA协商到域的MTA。域证书的验证要求。三种结果是可能的:
  • TLS连接协商,并且证书验证。电子邮件消息通过加密的会话传送。
  • TLS连接协商,但是证书没有由委托Cerfificate权限(CA)验证。邮件没有传送。
  • TLS连接没有协商。邮件没有传送。

在GUI的Enable (event) TLS

  1. 选择Montior >目的地控制
  2. 点击添加目标
  3. 在目的区域添加目的地域。
  4. 选择从TLS支持下拉列表的TLS支持方法。
  5. 单击提交为了提交更改。

启用在CLI的TLS

此示例使用destconfig命令为了要求TLS连接和已加密会话域的example.com。注意此示例显示TLS为使用在设备事先装配的演示证书的域要求。为了便于测试您能启用与演示证书的TLS,但是不安全和没有推荐为一般用途。

如果回答对问题,值“默认”设置:“您会希望接洽设置的特定TLS此域?”如果回答,请选择没有更喜欢或者要求

ESA> destconfig

Choose the operation you want to perform:
- SETUP - Change global settings.
- NEW - Create a new entry.
- EDIT - Modify an entry.
- DELETE - Remove an entry.
- DEFAULT - Change the default.
- LIST - Display a summary list of all entries.
- DETAIL - Display details for one destination or all entries.
- CLEAR - Remove all entries.
- IMPORT - Import tables from a file.
- EXPORT - Export tables to a file.
[]> new

Enter the domain you wish to configure.
[]> example.com
Choose the operation you want to perform:
- SETUP - Change global settings.
- NEW - Create a new entry.
- EDIT - Modify an entry.
- DELETE - Remove an entry.
- DEFAULT - Change the default.
- LIST - Display a summary list of all entries.
- DETAIL - Display details for one destination or all entries.
- CLEAR - Remove all entries.
- IMPORT - Import tables from a file.
- EXPORT - Export tables to a file.
[]> new

Enter the domain you wish to configure.
[]> example.com

Do you wish to configure a concurrency limit for example.com? [Y]> N

Do you wish to apply a messages-per-connection limit to this domain? [N]> N

Do you wish to apply a recipient limit to this domain? [N]> N

Do you wish to apply a specific TLS setting for this domain? [N]> Y

Do you want to use TLS support?
1. No
2. Preferred
3. Required
4. Preferred - Verify
5. Required - Verify
6. Required - Verify Hosted Domains
[1]> 3

You have chosen to enable TLS. Please use the 'certconfig' command to
ensure that there is a valid certificate configured.

Do you wish to apply a specific bounce verification
address tagging setting for this domain? [N]> N

Do you wish to apply a specific bounce profile to this domain? [N]> N

Do you wish to apply a specific IP sort preference to this domain? [N]> N

There are currently 3 entries configured.

Choose the operation you want to perform:
- SETUP - Change global settings.
- NEW - Create a new entry.
- EDIT - Modify an entry.
- DELETE - Remove an entry.
- DEFAULT - Change the default.
- LIST - Display a summary list of all entries.
- DETAIL - Display details for one destination or all entries.
- CLEAR - Remove all entries.
- IMPORT - Import tables from a file.
- EXPORT - Export tables to a file.
[]> list

             Rate               Bounce        Bounce     IP Version  
Domain       Limiting  TLS      Verification  Profile    Preference  
===========  ========  =======  ============  =========  ============
example.com  Default   On       Default       Default    Default     
(Default)    On        Off      Off           (Default)  Prefer IPv6


Document ID: 118955