Безопасность : устройства безопасности электронной почты Cisco ESA

Согласование TLS контроля относительно доставки на ESA

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает, как управлять согласованием Transport Layer Security (TLS) относительно доставки на Email Security Appliance (ESA).

Как определено в RFC 3207, "TLS является расширением к сервису SMTP, который позволяет серверу SMTP и клиенту использовать безопасность транспортного уровня для обеспечения частной, заверенной связи по Интернету. TLS является популярным механизмом для улучшения TCP - взаимодействий с конфиденциальностью и аутентификацией".

Внесенный Джерри Ороной и Энрико Вернером, специалистами службы технической поддержки Cisco.

Включите TLS по доставке

Можно потребовать STARTTLS для почтовой доставки к определенным доменам с любым из этих методов, описанных в этом документе:

  • Используйте CLI destconfig команда.
  • От GUI выбирают Mail Policies> Destination Controls.

Страница Destination Controls или команда destconfig позволяют вам задавать пять других параметров настройки для TLS для данного домена при включении домена. Кроме того, можно продиктовать, необходима ли проверка домена.

Определения значения TLS

Значение TLSЗначение
По умолчанию TLS по умолчанию, устанавливающий, который установлен, когда вы используете страницу Destination Controls или destconfig-> подкоманда по умолчанию, используемая для исходящих соединений от слушателя Агента передачи сообщений (MTA) для домена. Если вы отвечаете не на вопрос, значение "По умолчанию" установлено: "Вы хотите применить определенное значение TLS для этого домена?"
1. НетО TLS не выполняют согласование относительно исходящих соединений от интерфейса до MTA для домена.
2. ПредпочтительныйО TLS выполняют согласование от интерфейса ESA до MTA () для домена. Однако, если согласование TLS отказывает (до получения 220 ответов), транзакция SMTP продолжается "в ясном" (не зашифрованный). Никакая попытка не предпринята, чтобы проверить, происходит ли сертификат из доверенного центра сертификации. Если ошибка происходит после того, как 220 ответов получены, транзакция SMTP не переключается на открытый текст.
3. ТребуемыйО TLS выполняют согласование от интерфейса ESA до MTA () для домена. Никакая попытка не предпринята для подтверждения сертификата домена. Если согласование отказывает, никакое электронное письмо не послано через соединение. Если согласование успешно выполняется, почте отправляют через шифрованный сеанс.
4. Предпочтенный (Проверяют) О TLS выполняют согласование от ESA до MTA () для домена. Устройство пытается проверить сертификат домена. Три результата возможны:
  • О TLS выполняют согласование, и сертификат проверен. Почте отправляют через шифрованный сеанс.
  • О TLS выполняют согласование, но не проверен сертификат. Почте отправляют через шифрованный сеанс.
  • Никакой TLS подключение не сделан, и, впоследствии сертификат не проверен. Сообщение электронной почты отправлено в открытом тексте.
5. Требуемый (Проверяют)О TLS выполняют согласование от ESA до MTA () для домена. Проверка доменного сертификата требуется. Три результата возможны:
  • О TLS подключение выполняют согласование, и сертификат проверен. Сообщение электронной почты отправлено через шифрованный сеанс.
  • О TLS подключение выполняют согласование, но сертификат не проверен доверяемыми Полномочиями Cerfificate (CA). Почте не отправляют.
  • О TLS подключение не выполняют согласование. Почте не отправляют.

Включите TLS на GUI

  1. Выберите Montior> Destination Controls.
  2. Нажмите Add назначение.
  3. Добавьте целевой домен в Поле Назначение.
  4. Выберите метод поддержки TLS от выпадающего списка Поддержки TLS.
  5. Нажмите Submit для отправки изменений.

Включите TLS на CLI

Данный пример использует команду destconfig для требования TLS подключение и зашифрованных диалогов для домена example.com. Обратите внимание на то, что данный пример показывает, что TLS требуется для домена, который использует демонстрационный сертификат, предварительно установленный на устройстве. Можно включить TLS с демонстрационным сертификатом для тестирования, но это не безопасно и не рекомендуется для общего использования.

Если вы отвечаете не на вопрос, значение "По умолчанию" установлено: "Вы хотите применить определенное значение TLS для этого домена?" Если вы отвечаете да, выбираете No, Preferred или Required.

ESA> destconfig

Choose the operation you want to perform:
- SETUP - Change global settings.
- NEW - Create a new entry.
- EDIT - Modify an entry.
- DELETE - Remove an entry.
- DEFAULT - Change the default.
- LIST - Display a summary list of all entries.
- DETAIL - Display details for one destination or all entries.
- CLEAR - Remove all entries.
- IMPORT - Import tables from a file.
- EXPORT - Export tables to a file.
[]> new

Enter the domain you wish to configure.
[]> example.com
Choose the operation you want to perform:
- SETUP - Change global settings.
- NEW - Create a new entry.
- EDIT - Modify an entry.
- DELETE - Remove an entry.
- DEFAULT - Change the default.
- LIST - Display a summary list of all entries.
- DETAIL - Display details for one destination or all entries.
- CLEAR - Remove all entries.
- IMPORT - Import tables from a file.
- EXPORT - Export tables to a file.
[]> new

Enter the domain you wish to configure.
[]> example.com

Do you wish to configure a concurrency limit for example.com? [Y]> N

Do you wish to apply a messages-per-connection limit to this domain? [N]> N

Do you wish to apply a recipient limit to this domain? [N]> N

Do you wish to apply a specific TLS setting for this domain? [N]> Y

Do you want to use TLS support?
1. No
2. Preferred
3. Required
4. Preferred - Verify
5. Required - Verify
6. Required - Verify Hosted Domains
[1]> 3

You have chosen to enable TLS. Please use the 'certconfig' command to
ensure that there is a valid certificate configured.

Do you wish to apply a specific bounce verification
address tagging setting for this domain? [N]> N

Do you wish to apply a specific bounce profile to this domain? [N]> N

Do you wish to apply a specific IP sort preference to this domain? [N]> N

There are currently 3 entries configured.

Choose the operation you want to perform:
- SETUP - Change global settings.
- NEW - Create a new entry.
- EDIT - Modify an entry.
- DELETE - Remove an entry.
- DEFAULT - Change the default.
- LIST - Display a summary list of all entries.
- DETAIL - Display details for one destination or all entries.
- CLEAR - Remove all entries.
- IMPORT - Import tables from a file.
- EXPORT - Export tables to a file.
[]> list

            Rate              Bounce       Bounce    IP Version  
Domain      Limiting TLS     Verification Profile   Preference  
=========== ======== ======= ============ ========= ============
example.com Default  On      Default      Default   Default    
(Default)   On       Off     Off          (Default) Prefer IPv6

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.