セキュリティ : Cisco E メール セキュリティ アプライアンス

ESA の配信の TLS ネゴシエーションを制御して下さい

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に E メール セキュリティ アプライアンス(ESA)の配信の Transport Layer Security (TLS)ネゴシエーションを制御する方法を記述されています。

RFC 3207 で定義されたように、「TLS はインターネット上の私用の Transport Layer Security を使用することを可能にする SMTP サービスへ拡張、認証されたコミュニケーションを提供するのに SMTP サーバおよびクライアントがです。 TLS はですプライバシーおよび認証を用いる TCP 通信を高めるための普及したメカニズム」。

ジェリー Orona およびエンリコ Werner によって貢献される、Cisco TAC エンジニア。

配信のイネーブル TLS

どちらかの特定のドメインに電子メール配信のためにこの資料に説明があるこれらのメソッドの 1 つ STARTTLS を必要とすることができます:

  • CLI destconfig コマンドを使用して下さい。
  • GUI からメール ポリシー > 宛先制御を選択して下さい。

ドメインが含まれているとき宛先制御ページか destconfig コマンドはある特定のドメインの TLS の 5 つの異なる設定を規定 することを可能にします。 さらに、ドメインの検証が必要であるかどうか定めることができます。

TLS 設定定義

TLS 設定意味
デフォルト ドメインのために宛先制御ページか destconfig を- > リスナーからの Message Transfer Agent (MTA)に発信接続に使用するデフォルト サブコマンド使用する場合の行われるデフォルト TLS 設定。 質問にいいえ答えない場合値「デフォルト」は設定 されます: 「このドメインの仕様 TLS 設定を加えたいですか」。
1. いいえTLS はインターフェイスからのドメインのための MTA への発信接続のためにネゴシエートされません。
2. 優先 するTLS は ESA インターフェイスからドメインのための MTA へのネゴシエートされます。 ただし、TLS ネゴシエーションが(220 応答を受け取る前に)失敗した、SMTP トランザクションは「明白に」続きます(暗号化されない)。 試みは認証が信頼された認証局から起きるかどうか確認するために試みられません。 220 応答が受け取られた後エラーが発生すれば、SMTP トランザクションはクリアテキストに戻って下りません。
3. 必要TLS は ESA インターフェイスからドメインのための MTA へのネゴシエートされます。 試みはドメインの認証を確認するために試みられません。 ネゴシエーションが失敗した場合、電子メールは接続を通して送信 されません。 ネゴシエーションが成功する場合、メールは暗号化されたセッションによって渡されます。
4. 優先 する(確認して下さい) TLS は ESA からドメインのための MTA へのネゴシエートされます。 アプライアンスはドメインの認証を確認するように試みます。3 つの結果は可能性のあるです:
  • TLS はネゴシエートされ、認証は確認されます。 メールは暗号化されたセッションによって渡されます。
  • TLS はネゴシエートされますが、認証は確認されません。 メールは暗号化されたセッションによって渡されます。
  • TLS 接続はなされないし、続いて認証は確認されません。 電子メール メッセージは平文で提供されます。
5. 必須(確認して下さい)TLS は ESA からドメインのための MTA へのネゴシエートされます。 ドメイン 認証の確認が必要となります。 3 つの結果は可能性のあるです:
  • TLS 接続はネゴシエートされ、認証は確認されます。 電子メール メッセージは暗号化されたセッションによって提供されます。
  • TLS 接続はネゴシエートされますが、認証は Cerfificate 信頼された機関(CA)によって確認されません。 メールは渡されません。
  • TLS 接続はネゴシエートされません。 メールは渡されません。

GUI のイネーブル TLS

  1. Montior > 宛先制御を選択して下さい。
  2. 宛先を『Add』 をクリック して下さい。
  3. 宛先 フィールドの宛先 ドメインを追加して下さい。
  4. TLS サポート ドロップダウン リストから TLS サポート 方式を選択して下さい。
  5. 変更を入れるために『SUBMIT』 をクリック して下さい。

CLI の TLS を有効に して下さい

この例はドメイン example.com のために TLS 接続および暗号化されたメッセージ交換を必要とするために destconfig コマンドを使用します。 TLS がアプライアンスでプレインストールされるデモ認証を使用するドメインに必要となることをこの例が示したものですことに注目して下さい。 デモ認証との TLS をテストの目的で有効に することができますがとセキュアでし、一般使用のために推奨されません。

質問にいいえ答えない場合値「デフォルト」は設定 されます: 「このドメインの仕様 TLS 設定を加えたいですか」。 はい答える場合、『No』 を選択 しますか、好むか、または必要となりました

ESA> destconfig

Choose the operation you want to perform:
- SETUP - Change global settings.
- NEW - Create a new entry.
- EDIT - Modify an entry.
- DELETE - Remove an entry.
- DEFAULT - Change the default.
- LIST - Display a summary list of all entries.
- DETAIL - Display details for one destination or all entries.
- CLEAR - Remove all entries.
- IMPORT - Import tables from a file.
- EXPORT - Export tables to a file.
[]> new

Enter the domain you wish to configure.
[]> example.com
Choose the operation you want to perform:
- SETUP - Change global settings.
- NEW - Create a new entry.
- EDIT - Modify an entry.
- DELETE - Remove an entry.
- DEFAULT - Change the default.
- LIST - Display a summary list of all entries.
- DETAIL - Display details for one destination or all entries.
- CLEAR - Remove all entries.
- IMPORT - Import tables from a file.
- EXPORT - Export tables to a file.
[]> new

Enter the domain you wish to configure.
[]> example.com

Do you wish to configure a concurrency limit for example.com? [Y]> N

Do you wish to apply a messages-per-connection limit to this domain? [N]> N

Do you wish to apply a recipient limit to this domain? [N]> N

Do you wish to apply a specific TLS setting for this domain? [N]> Y

Do you want to use TLS support?
1. No
2. Preferred
3. Required
4. Preferred - Verify
5. Required - Verify
6. Required - Verify Hosted Domains
[1]> 3

You have chosen to enable TLS. Please use the 'certconfig' command to
ensure that there is a valid certificate configured.

Do you wish to apply a specific bounce verification
address tagging setting for this domain? [N]> N

Do you wish to apply a specific bounce profile to this domain? [N]> N

Do you wish to apply a specific IP sort preference to this domain? [N]> N

There are currently 3 entries configured.

Choose the operation you want to perform:
- SETUP - Change global settings.
- NEW - Create a new entry.
- EDIT - Modify an entry.
- DELETE - Remove an entry.
- DEFAULT - Change the default.
- LIST - Display a summary list of all entries.
- DETAIL - Display details for one destination or all entries.
- CLEAR - Remove all entries.
- IMPORT - Import tables from a file.
- EXPORT - Export tables to a file.
[]> list

             Rate               Bounce        Bounce     IP Version  
Domain       Limiting  TLS      Verification  Profile    Preference  
===========  ========  =======  ============  =========  ============
example.com  Default   On       Default       Default    Default     
(Default)    On        Off      Off           (Default)  Prefer IPv6

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118955