Безопасность : устройства безопасности электронной почты Cisco ESA

Как Cisco посылает Прибор безопасности по электронной почте, выполняют проверку свидетельства TLS?

17 октября 2015 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Вопрос

То, как Cisco посылает Прибор безопасности по электронной почте, выполняют проверку свидетельства TLS, когда "необходимый - проверяют", или "предпочтенный - проверяют", формируется?

Внесенный Зореном Петерсеном и Сиддхартом Рэджпэзэком, Cisco инженеры TAC.

Окружающая среда

Почтовый прибор безопасности (ESA) Cisco, Все версии AsyncOS

Процесс проверки включает следующие тесты на проверку:

  • Проверьте цепь свидетельства, это сделано в рукопожатии TLS. Если это потерпит неудачу, то рукопожатие будет закончено с ошибкой.
  • Если свидетельство имеет subjectAltName расширение с именами DNS, сравните эти имена с доменным именем назначения. Эта проверка поддерживает соответствие группового символа.
      Проверьте если "example.com == subjectAltName".
  • Проверьте свидетельство CN против области назначения (требует точного совпадения).
       Проверьте если "mail.example.com == CN".
  • Сделайте обратный поиск DNS на IP-адресе, с которым ESA соединяется, и если он проверяет, выдержите сравнение, это против свидетельства CN (требует точного совпадения).
       MX (example.com) == mail.example.com
       (mail.example.com) == 1.2.3.4
       PTR (1.2.3.4) == mail.example.com
       Проверьте если "mail.example.com == CN"
  • Используйте x509 групповой символ matcher для утверждения CN против имени MX.
        MX (example.com) == mail.example.com
        CN == *.example.com
        Проверьте если "mail.example.com == *.example.com"

Если какой-либо из этих тестов пройдет, то проверка TLS пройдет.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 118583