المقدمة
يصف هذا المستند خطوات تكوين عامل نقل البريد الصادر لعبارة البريد الإلكتروني الآمنة (SEG) - أمان النقل المقيد (MTA-STS).
المتطلبات الأساسية
المتطلبات
معرفة عامة بالإعدادات والتكوين العامين لعبارة البريد الإلكتروني الآمن (SEG) من Cisco.
المكونات المستخدمة
يتطلب هذا الإعداد:
- Cisco Secure Email Gateway (SEG) AsyncOS 16.0 أو إصدار أحدث.
- ملفات تعريف عنصر تحكم الوجهة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
نظرة عامة
عامل نقل البريد - أمان النقل المقيد (MTA-STS) هو بروتوكول يفرض إستخدام إتصالات TLS الآمنة مع طبقة حماية آمنة إضافية. يساعد نظام MTA-STS على منع هجمات الدخيل والتنصت من خلال ضمان إرسال رسائل البريد الإلكتروني عبر قنوات آمنة ومشفرة.
يمكن ل SEG AsyncOS 16 والإصدارات الأحدث تنفيذ تسليم رسائل MTA-STS الصادرة إلى MTA-STS التي تم تكوينها لمجالات الاستلام.
عند تمكين هذا الخيار، يتحقق SEG من توصيفات التحكم في الوجهة لإعدادات MTA-STS. تبدأ SEG عملية MTA-STS لجلب السجل المحدد والنهج والتحقق من صحته وتطبيقه، مما يضمن تأمين الاتصال ب MTA المتلقي عبر TLSv1.2 أو أعلى.
يكون مالكو المجال المتلقي مسؤولين عن إنشاء سجل DNS ونهج MTA-STS ونشره وصيانته.
كيف يعمل MTA-STS ل SEG
- يحتفظ المجال المتلقي بنهج MTA-STS وسجل نص DNS الخاص ب MTA-STS.
- يجب أن يكون MTA الخاص بإرسال المجال MTA MTA-STS قادرا على حل نهج MTA-STS للمجال الوجهة والعمل عليه.
يقوم مالك مجال البريد الإلكتروني المتلقي بنشر سجل MTA-STS TXT عبر DNS كما هو موضح هنا:
- يقوم سجل TXT بتشغيل SEG للتحقق من نهج MTA-STS، المستضاف على خادم ويب ممكن HTTPS.
- يحدد النهج معلمات الاتصال بالمجال.
- يحتوي على مضيفين MX ل MTA-STS لاستقبالهم.
- الوضع يعرف على أنه إما وضع الاختبار أو وضع فرض
- يلزم توفر TLSv1.2 أو إصدار أحدث.
- يستخدم MTA-STS سجلات DNS TXT لاكتشاف النهج. يتم إحضار نهج MTA-STS من مضيف HTTPS.
- أثناء مصافحة TLS، التي تم بدؤها لجلب سياسة جديدة أو محدثة من "مضيف النهج"، يجب أن يقدم خادم HTTPS شهادة X.509 صالحة لمعرف DNS "MTA-STS".
جوانب مجال إرسال البريد الإلكتروني:
- عندما يرسل SEG (إرسال MTA) رسالة بريد إلكتروني إلى مجال MTA-STS، فإنه يتحقق أولا من نهج MTA-STS لمجال المستلم.
- في حالة تكوين النهج باستخدام "وضع فرض"، يحاول خادم البريد الإلكتروني المرسل إنشاء اتصال آمن ومشفر بخادم البريد الإلكتروني المتلقي (MTA المتلقي). إذا تعذر إنشاء اتصال آمن (على سبيل المثال، إذا كانت شهادة TLS غير صحيحة أو تم خفض الاتصال إلى بروتوكول غير آمن)، فسيفشل تسليم البريد الإلكتروني، ويتم إعلام المرسل بالفشل.
المعيار RFC8461
التكوين
يوصى بالإجراءات الأولية أثناء الإعداد:
1. تحقق من أن المجال الوجهة يحتوي على سجل DNS ل MTA-STS تم تكوينه بشكل صحيح، قبل تكوين ملف تعريف التحكم في الوجهة SEG.
- ويتم تنفيذ هذا بكفاءة عالية من خلال الوصول إلى صفحات ويب مدقق MTA-STS.
- بحث Google "التحقق من مجال MTA-STS"
- أختر موقع ويب للتحقق من نتائج البحث.
- أدخل المجال الوجهة.
- قم فقط بتكوين المجالات بمجرد اكتمال التحقق من الصحة.
2. لا تستخدم MTA-STS على النهج الافتراضي لعناصر تحكم الوجهة.
- كل ملف تعريف للتحكم في الوجهة تم تكوينه لاستخدام MTA-STS يضيف عبئا صغيرا إلى SEG. إذا كان نهج التحكم في الوجهة الافتراضي يحتوي على MTA-STS مكونة، دون التحقق من المجال، فقد يؤثر على خدمة SEG.
تكوين WebUI
- انتقل إلى نهج البريد > صفحة عناصر تحكم الوجهة.
- حدد إضافة عناصر تحكم وجهة أو تحرير ملف تعريف عنصر تحكم وجهة موجود.
- تتيح إعدادات دعم TLS وجود أي إعداد باستثناء بلا، مما يسمح باستخدام خيارات دعم TLS المختلفة.
- تتضمن خيارات دعم DANE القائمة الفرعية إلزامي أو انتهازي أو لا شيء.
- إعداد دعم MTA-STS = نعم
- حدد إرسال يتبعه التزام لتطبيق التغييرات.
ملاحظة: إذا كان MTA المتلقي يقيم في بيئة مستضافة مثل Gsuite أو O365، قم بتكوين التحكم في TLS للوجهة إلى TLS required-التحقق من المجالات المستضافة.
ملف تعريف عنصر تحكم الوجهة
تحذيرات قابلية التشغيل البيني:
يعطي دعم DANE الأولوية على MTA STS ويمكن أن يؤثر على الإجراءات المتخذة:
- في حالة نجاح DANE، يتم تخطي MTA-STS وتسليم البريد.
- في حالة فشل DANE الإلزامي، لا يتم تسليم البريد.
- إذا فشل DANE الانتهازي، وتم تخطي MTA-STS بسبب أخطاء التكوين، فإن SEG يحاول التسليم باستخدام إعداد TLS الذي تم تكوينه.
- لا يتم تطبيق MTA-STS إذا تم تكوين مسار SMTP للمجال.
تكوين واجهة سطر الأوامر (CLI)
- دستconfig
- جديد/تحرير
- أدخل الخيارات المفضلة حتى يتم تقديم عنصر قائمة خيارات TLS.
- الخيارات 2-6 ل TLS تدعم MTA-STS.
هل ترغب في تطبيق إعداد TLS محدد لهذا المجال؟ [N]> y
هل تريد إستخدام دعم TLS؟
1 - لا
2 - مفضل
3. مطلوب
4 - مفضل - التحقق
5. مطلوب - التحقق
6. مطلوب - التحقق من المجالات المستضافة
[2]>2
لقد أخترت تمكين TLS. الرجاء إستخدام الأمر certconfig لضمان وجود شهادة صالحة تم تكوينها.
هل ترغب في تكوين دعم DANE؟ [N]>
هل ترغب في تكوين دعم MTA STS؟ [N]> y
هل تريد إستخدام دعم MTA STS؟
1. إيقاف تشغيل
2. على
[1]> 2
لا يتم فرض MTA STS للمجالات التي تم تكوين مسارات SMTP لها:
- أكمل الخيارات المتبقية لإنهاء ملف تعريف عنصر تحكم الوجهة المحدد.
- تطبيق التغييرات باستخدام إرسال > الالتزام.
التحقق من الصحة
سجل_البريد على مستوى المعلومات:
Thu Sep 26 15:23:39 2024 Info: Successfully fetched MTA-STS TXT record for domain(mta-test.domain.com)
Thu Sep 26 15:23:40 2024 Info: New SMTP DCID 834833 interface 10.1.1.2 address 10.1.1.3 port 25
Thu Sep 26 15:23:41 2024 Info: DCID 834833 TLS success protocol TLSv1.3 cipher TLS_AES_256_GCM_SHA384 subjectAltName:dNSName=*.mail123.domain.com
Thu Sep 26 15:23:41 2024 Info: MTA-STS policy for the domain (domain.com) Successful.
Thu Sep 26 15:23:41 2024 Info: Delivery start DCID 834833 MID 5444 to RID [0]
Thu Sep 26 15:23:44 2024 Info: Message finished MID 5444 done
debug level mail_log:
Thu Sep 26 15:23:39 2024 Debug: DNS query: Q(_mta-sts.domain.com, 'TXT')
Thu Sep 26 15:23:39 2024 Debug: DNS query: QN(_mta-sts.domain.com, 'TXT', 'recursive_nameserver0.parent')
Thu Sep 26 15:23:39 2024 Debug: DNS query: QIP (_mta-sts.domain.com,'TXT','10.10.5.61',15)
Thu Sep 26 15:23:39 2024 Debug: DNS encache (_mta-sts.domain.com, TXT, [(131794459543073830L, 0, 'insecure', ('v=STSv1; id=12345678598Z;',))])
Thu Sep 26 15:23:39 2024 Info: Successfully fetched MTA-STS TXT record for domain(domain.com)
Thu Sep 26 15:23:39 2024 Debug: Valid cache entry found for the domain (domain.com).Thu Sep 26 15:23:39 2024 Debug: DNS query: Q(domain.com, 'MX')
Thu Sep 26 15:23:39 2024 Debug: DNS query: QIP (domain.com,'MX','10.10.5.61',15)
Thu Sep 26 15:23:39 2024 Info: Applying MTA-STS policy for the domain (domain.com)
Thu Sep 26 15:23:40 2024 Info: New SMTP DCID 834833 interface 10.1.1.2 address 10.1.1.3 port 25
Thu Sep 26 15:23:41 2024 Debug: DNS query: Q(domain.com, 'MX')
Thu Sep 26 15:23:41 2024 Info: DCID 834833 TLS success protocol TLSv1.3 cipher TLS_AES_256_GCM_SHA384 subjectAltName:dNSName=*.mail123.domain.com
Thu Sep 26 15:23:41 2024 Info: MTA-STS policy for the domain (domain.com) Successful.
Thu Sep 26 15:23:41 2024 Info: Delivery start DCID 834833 MID 5444 to RID [0]
Thu Sep 26 15:23:44 2024 Info: Message finished MID 5444 done
تلقي TLS المدعومة من SEG الإصدار 1.3:
Wed Jan 17 21:09:12 2024 Info: ICID 1020089 TLS success protocol TLSv1.3 cipher TLS_AES_256_GCM_SHA384
سلسلة نصية 24:13:52 2024 تصحيح الأخطاء: استعلام DNS: Q(_mta-sts.domain.com، 'TXT')
سلسلة نصية 24:13:52 2024 تصحيح الأخطاء: استعلام DNS: QN(_mta-sts.domain.com، 'TXT'، 'recursive_nameserver0.parent')
سلسلة نصية 24:13:52 2024 تصحيح الأخطاء: استعلام DNS: QIP (_mta-sts.domain.com،'txt'، '10.10.5.61'، 15)
سلسلة نصية 24:13:52 2024 تصحيح الأخطاء: تشفير DNS (_mta-sts.domain.com، TXT، [(131366525701580508L، 0، "غير آمن"، ('v=STSv1؛ id=12345678598z؛'،)])
معلومات Tue Sep 24 09:13:52 2024: تم بنجاح إحضار سجل TXT الخاص ب MTA-STS للمجال(domain.com)
سلسلة نصية 24:13:52 2024 تصحيح الأخطاء: إحضار نهج MTA-STS للمجال(domain.com)
سلسلة نصية 24:13:52 2024 تصحيح الأخطاء: طلب إحضار نهج MTA-STS عبر الوكيل
سلسلة نصية 24:13:52 2024 تصحيح الأخطاء: فشل طلب إحضار نهج STS بسبب انتهاء مهلة الاتصال.، للمجال domain.com
معلومات Tue Sep 24 09:13:52 2024: حدث فشل أثناء إحضار نهج MTA-STS للمجال(domain.com)
—
معلومات السنة 19 13:04:50 2024: تم بنجاح إحضار سجل TXT الخاص ب MTA-STS للمجال(domain.com)
من السنة 19 13:04:50 2024 تصحيح الأخطاء: إحضار نهج MTA-STS للمجال(domain.com)
من السنة 19 13:04:50 2024 تصحيح الأخطاء: طلب إحضار نهج MTA-STS عبر الوكيل
من السنة 19 13:04:50 2024 تصحيح الأخطاء: فشل طلب إحضار نهج STS بسبب انتهاء مهلة الاتصال.، للمجال domain.com
معلومات السنة 19 13:04:50 2024: حدث فشل أثناء إحضار نهج MTA-STS للمجال(domain.com)
معلومات السنة 19 13:04:50 2024: قائمة الانتظار للتسليم في منتصف عام 5411
استكشاف الأخطاء وإصلاحها
1. إذا فشل SEG في التسليم مع الخطأ "لا تتطابق شهادة النظير مع domain.com".
يشير هذا إلى أن الوجهة هي خدمة مستضافة مثل G Suite أو M365. قم بتغيير إعداد TLS لملف تعريف عناصر تحكم الوجهة > TLS مطلوب - تحقق من المجالات المستضافة:
Tue Sep 24 10:02:52 2024 Info: DCID 831556 TLS deferring: verify error: peer cert does not match domain domain.com
Tue Sep 24 10:02:52 2024 Info: DCID 831556 TLS was required but could not be successfully negotiated
2. يفشل الاتصال إذا لم يتم تكوين أو تلقي الشهادات بشكل صحيح أو انتهت صلاحيتها.
3. يحتاج SEG إلى التحقق من الوجهة الصحيحة الشهادات الوسيطة والجذرية في قوائم المرجع المصدق.
4. إختبارات Telnet البسيطة من SEG CLI للتحقق من سجل DNS Txt واختبار الاستجابة الأساسية لخادم ويب النهج.
- استعلام DNS من CLI > الحفر _mta-sts.domain.com txt:
;; قسم الإجابات:
_mta-sts.domain.com. 0 في txt "v=STSv1؛ id=12345678598z؛
- Telnet للتحقق من إمكانية الوصول إلى خادم الويب الأساسي من واجهة سطر الأوامر > telnet mta-sts.domain.com 443:
- أستخدم مستعرض ويب عادي لعرض نهج MTA-STS.
version: STSv1
mode: enforce
mx: *.mail123.domain.com
max_age: 604800
معلومات ذات صلة