Configuración de TLS para el cifrado de conexión entrante en un receptor ESA

Opciones de descarga

  • PDF     (121.8 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (90.9 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (76.2 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:8 de mayo de 2015
ID del documento:118954

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo habilitar Transport Layer Security (TLS) en un módulo de escucha en el dispositivo de seguridad del correo electrónico (ESA).

Prerequisites

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información en este documento se basa en el ESA con cualquier versión de AsyncOS.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

Usted debe habilitar TLS para cualquier módulo de escucha donde usted requiere el cifrado para las conexiones hacia adentro. Usted puede ser que quiera habilitar TLS en los módulos de escucha que hacen frente a Internet (módulos de escucha públicos), pero no para los módulos de escucha para los sistemas internos (módulos de escucha privados). O, usted puede ser que quiera al Enable Encryption para todos los módulos de escucha. Por abandono, ni los módulos de escucha privados ni públicos permiten las conexiones TLS. Usted debe permitir a TLS en la tabla del acceso del host de un módulo de escucha (SOMBRERO) para habilitar TLS para el correo electrónico (de envío) entrante (recibiendo) o saliente. Además, las configuraciones de la directiva del flujo de correo para los módulos de escucha privados y públicos tienen "OFF" dado vuelta TLS por abandono.

Configurar

Usted puede especificar tres diversas configuraciones para TLS en un módulo de escucha:

Configuración Significado
No TLS no se permite para las conexiones entrantes. Las conexiones al módulo de escucha no requieren las conversaciones cifradas del Simple Mail Transfer Protocol (SMTP). Ésta es la configuración predeterminada para todos los módulos de escucha que usted configura en el dispositivo.
Preferido TLS se permite para las conexiones entrantes al módulo de escucha de los Agentes de transferencia de mensajes (MTAs).
Necesario TLS se permite para las conexiones entrantes al módulo de escucha de MTAs, y hasta STARTTLS se recibe un comando, el ESA responde con un mensaje de error a cada comando con excepción de ninguna opción (NOOP), EHLO, o SALIÓ. Si “se requiere” TLS significa que ese correo electrónico que el remitente no quiere cifrado con TLS será rechazado por el ESA antes de que se envíe, del cual de tal modo lo previene se transmita en el claro.

Permiso TLS en una directiva del flujo de correo del SOMBRERO para un módulo de escucha vía el GUI

Complete estos pasos:

  1. De las directivas del flujo de correo pagine, elija a un módulo de escucha cuyas directivas usted quiera modificar y después haga clic el link para el nombre de la directiva para editar. (Usted puede también editar los parámetros de la política predeterminada.) Se visualiza la página de las directivas del flujo de correo del editar.
  2. En el “cifrado y la autenticación” sección, para el “uso TLS: el” campo, elige el nivel de TLS que usted quiere para el módulo de escucha.
  3. Haga clic en Submit (Enviar).
  4. Los cambios del cometer del tecleo, agregan un comentario opcional en caso necesario, y después hacen clic los cambios del cometer para salvar los cambios.

Note: Usted puede asignar un certificado específico para las conexiones TLS a los módulos de escucha públicos individuales cuando usted crea a un módulo de escucha.

Permiso TLS en una directiva del flujo de correo del SOMBRERO para un módulo de escucha vía el CLI

  1. Utilice el listenerconfig > editan el comando para elegir a un módulo de escucha que usted quiere configurar.
  2. Utilice los hostaccess > el comando default para editar las configuraciones predeterminadas del SOMBRERO del módulo de escucha.
  3. Ingrese una de estas opciones para cambiar la configuración TLS cuando le indican:
    Do you want to allow encrypted TLS connections?

        1. No
        2. Preferred
        3. Required
       [1]>3

    You have chosen to enable TLS. Please use the 'certconfig' command to
     ensure that there is a valid certificate configured.

    Observe que este ejemplo pide que usted utilice el comando del certconfig para asegurarse de que hay un certificado válido que se puede utilizar con el módulo de escucha. Si usted no ha creado ningunos Certificados, el módulo de escucha utiliza el certificado de la demostración que se instala previamente en el dispositivo. Usted puede habilitar TLS con el certificado de la demostración para comprobar, pero no es seguro y no se recomienda para el uso general. Utilice el listenerconfig > editan > comando certificate para asignar un certificado al módulo de escucha.

    Una vez que usted ha configurado TLS, la configuración se refleja en el resumen del módulo de escucha en el CLI:

    Name: Inboundmail
    Type: Public
    Interface: PublicNet (192.168.2.1/24) TCP Port 25
    Protocol: SMTP
    Default Domain:
    Max Concurrency: 1000 (TCP Queue: 50)
    Domain map: disabled
    TLS: Required
  4. Ingrese el comando commit para habilitar el cambio.

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Usted puede especificar si el ESA envía una alerta si la negociación de TLS falla cuando los mensajes se entregan a un dominio que requiera una conexión TLS. El mensaje de alerta contiene el nombre del dominio del destino para la negociación fallada de TLS. El ESA envía el mensaje de alerta a todos los beneficiarios fijados para recibir las alertas amonestadoras del nivel de gravedad para los tipos de la alerta del sistema. Usted puede manejar a los beneficiarios alertas vía la página de la administración del sistema > de las alertas en el GUI (o vía el comando del alertconfig en el CLI).

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
08-May-2015
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Enrico Werner
    Cisco TAC Engineer.

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos