Avez-vous un compte?
Ce document décrit comment activer le Transport Layer Security (TLS) sur un auditeur sur l'appliance de sécurité du courrier électronique (ESA).
Aucune spécification déterminée n'est requise pour ce document.
Les informations dans ce document sont basées sur l'ESA avec n'importe quelle version d'AsyncOS.
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Vous devez activer le TLS pour tous les auditeurs où vous avez besoin du cryptage pour des connexions entrantes. Vous pourriez vouloir activer le TLS sur les auditeurs qui font face à l'Internet (auditeurs publics), mais pas pour des auditeurs pour les systèmes internes (auditeurs privés). Ou, vous pourriez vouloir activer le cryptage pour tous les auditeurs. Par les auditeurs privés ni publics de par défaut, ni ne permettez les connexions de TLS. Vous devez permettre au TLS dans le Tableau de l'accès au hôte d'un auditeur (CHAPEAU) afin d'activer le TLS pour l'email (de envoi) d'arrivée (recevant) ou sortant. En outre, les paramètres de la stratégie de flux de courrier pour les auditeurs privés et publics ont "OFF" tourné par TLS par défaut.
Vous pouvez spécifier trois configurations différentes pour le TLS sur un auditeur :
Établissement | Signification |
---|---|
Non | On ne permet pas le TLS pour les connexions entrantes. Les connexions à l'auditeur n'exigent pas des conversations chiffrées de Protocole SMTP (Simple Mail Transfer Protocol). C'est la valeur par défaut pour tous les auditeurs que vous configurez sur l'appliance. |
Préféré | On permet le TLS pour les connexions entrantes à l'auditeur des messages transfer agent (MTA). |
Requis | Le TLS est permis pour les connexions entrantes à l'auditeur des MTA, et jusqu'à STARTTLS une commande est reçue, l'ESA répond avec un message d'erreur à chaque commande autre qu'aucune option (NOOP), EHLO, ou A QUITTÉ. Si le TLS « est exigé » il signifie que cet email que l'expéditeur ne veut pas chiffré avec le TLS sera refusé par l'ESA avant qu'il dont soit envoyé, l'empêche de ce fait soit transmis en clair. |
Procédez comme suit :
Do you want to allow encrypted TLS connections?
1. No
2. Preferred
3. Required
[1]>3
You have chosen to enable TLS. Please use the 'certconfig' command to
ensure that there is a valid certificate configured.
Notez que cet exemple te demande d'employer la commande de certconfig afin de s'assurer qu'il y a un certificat valide qui peut être utilisé avec l'auditeur. Si vous n'avez créé aucun Certificats, l'auditeur utilise le certificat de démonstration qui est préinstallé sur l'appliance. Vous pouvez activer le TLS avec le certificat de démonstration afin de tester, mais il n'est pas sécurisé et n'est pas recommandé pour l'usage général. Utilisez le listenerconfig > éditent > commande de certificat afin d'assigner un certificat à l'auditeur.
Une fois que vous avez configuré le TLS, la configuration est reflétée dans le résumé de l'auditeur dans le CLI :
Name: Inboundmail
Type: Public
Interface: PublicNet (192.168.2.1/24) TCP Port 25
Protocol: SMTP
Default Domain:
Max Concurrency: 1000 (TCP Queue: 50)
Domain map: disabled
TLS: Required
Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
Vous pouvez spécifier si l'ESA envoie une alerte si la négociation de TLS échoue quand des messages sont fournis à un domaine qui exige une connexion de TLS. Le message d'alerte contient le nom du domaine de destination pour la négociation défectueuse de TLS. L'ESA envoie le message d'alerte à tous les destinataires réglés pour recevoir des alertes d'avertissement de niveau d'importance pour des types d'alerte système. Vous pouvez gérer les destinataires vigilants par l'intermédiaire de la page d'administration système > d'alertes dans le GUI (ou par l'intermédiaire de la commande d'alertconfig dans le CLI).