セキュリティ : Cisco E メール セキュリティ アプライアンス

ESA 認証が確認することができるようにして下さい

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に Cisco E メール セキュリティ アプライアンス(ESA)認証が確認することができるようにする方法を記述されています。

著者:Cisco TAC エンジニア。

手順

Cisco ESA を通って処理していてメールが時々他のドメインはメール 送信 するとき認証を確認するかもしれません(例えば。 それらが使用すれば TLS と「同じような何かは必要となりました」)。 そのドメインが認証を確認するとき、すべてのチェックは成功する必要があります(両側で)。 1 チェックが失敗しても、全 TLS 接続は失敗します。 それは他のドメインを確認しても証明できる認証を持つ最良 の 方法です(例えば」必要な TLS を「使用していれば「必須確認して下さい」、または「優先確認して下さい宛先制御で」)。 この技術情報の情報はカバーするように基本的なチェックポイントを認証が正常に確認することができるかどうか確認するために説明します。

実際の証明書確認 プロセスを説明する前にそれは起こる場合があるものが接続レベルで最初ににとって重要理解しますです:

送信 メール サーバは MX のための受信ドメインが記録する DNS lookup (ホスト名)。 送信 メール サーバはそれから DNS lookup IP アドレス(最も低い DNS 優先順位のホスト名)のための受信メール サーバのホスト名。 たぶん、送信 サーバはリバース DNS ルックアップ見ますその IP アドレス オリジナル DNS lookup で戻した同じホスト名を戻すかどうか。 受信ドメインおよび同じホスト名を戻さないことを送信 サーバが確認すれば、送信側はおそらく接続を破棄します。

認証を確認するための基本的なチェックポイントはここに示されています:

  1. 接続が成功する場合、受信メール サーバはバナーを送信 します。 バナーは受信メール サーバの実際のホスト名(220-mailhost.example.com)で構成されています。 送信 メール サーバはこのホスト名をのための時認証を確認する時間覚えています。 送信 メール サーバは引数(e.g.ehloesa.com)として自身のドメインと共に EHLO コマンドを送信 します。 受信メール サーバはパラメータおよび STARTTLS コマンドで提供していること応答します。

    : STARTTLS は提供されることが受信メール サーバにポート 25 の telnet 手動テストをすればおよびわからなければ、そのメール サーバは TLS をすることができません。

    送信 サーバはそれから STARTTLS コマンドを実行する必要があります。 受信メール サーバは「TLS と前方に」行きなさいことを言います。

    myesa.local> telnet mailhost.example.com 25
    Trying 1.1.1.1...
    Connected to mailhost.example.com.
    Escape character is '^]'.
    220-mailhost.example.com ESMTP
    220 Welcome to this mail server. You may proceed to communicate.
     
    ehlo esa.com
    250-mailhost.example.com
    250-8BITMIME
    250-SIZE 33554432
    250 STARTTLS
     
    starttls
    220 Go ahead with TLS
  2. 2 人のメール サーバは暗号強度で最初に決定します。 これの後で、送信 メール サーバは受信メール サーバの認証を確認し始めます。 
  3. 送信 サーバは認証の Common Name を見ます。 送信 メール サーバは(丁度ことを)接続バナー(220-mailhost.example.com)からのホスト名と一致するかどうかこの Common Name を確認します。 認証(例えば *.example.com)で Common Name としてワイルドカードがあれば以下の事項に注意して下さい:、そしてこれバナーのホスト名を完全に一致しません(mailhost.example.com は *.example.com を完全に一致しません)。  認証の Common Name がこの 220 バナーのホスト名を完全に一致しない場合、このチェックは失敗します。 従って、TLS 接続は失敗します。
  4. 最後の基本的なチェックはされる認証がきちんと連鎖されることを確認しています。 何人かの送信 メール サーバは自己署名証明書を好みません。 また、何人かの送信 メール サーバは未知認証局 (CA) (送信側 メール サーバが知らない)によって CA 署名した認証を好みません。 CA がだれであるか送信 サーバが自己署名証明書を好まないか、または知らなければ、TLS は失敗します。
  5. 認証のチェーンの確認へのもう一つの部品はドメイン(会社ことを)認証が認証局 (CA)に戻ってリンクすることができればかどうか見るべきです。 通常 CA からの認証を購入したら、そして会社 認証、中間認証およびルート(CA)認証(場合によっては 1 つの認証を受け取るただありますこの 1 認証はまだ 3 がすべて含まれているはずです)。 この 3 つの認証は ESA にきちんと同じページによって見つけられるネットワーク > 認証で)別々に必要があります(まだアップロードする。 ESA に別々にアップロードされる 3 つの認証がすべて(または適切な順序で)なければ、送信 メール サーバはチェーン証明書がきちんとあることを確認できません。 従って、TLS は失敗します。

    認証および上記のいずれかのチェックは失敗することを送信 サーバが確認すれば、TLS は失敗します。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118572