Inleiding
Dit document beschrijft vaak gestelde vragen over de configuratie van Transport Layer Security (TLS) op de e-mail security applicatie (ESA).
Wat is TLS?
Zoals gedefinieerd in RFC 3207, "TLS is een uitbreiding van de SMTP-service die een SMTP-server en client in staat stelt om transportlaagbeveiliging te gebruiken om privé, geverifieerde communicatie via het internet te bieden. TLS is een populair mechanisme voor het verbeteren van TCP communicatie met privacy en authenticatie." De STARTTLS-implementatie op de ESA biedt privacy door middel van encryptie. Het staat u toe om een X.509 certificaat en privé sleutel van een dienst van de certificaatautoriteit in te voeren, of een zelf-ondertekend certificaat te gebruiken.
Wat is vereist om TLS op de ESA mogelijk te maken?
De volgende stappen zijn nodig om TLS in te schakelen:
-
Certificaten verkrijgen
-
Certificaten op ESE's installeren
-
TLS op het systeem inschakelen voor ontvangst, levering of beide
Noot: De ESE bevat een demonstratiecertificaat voor testdoeleinden. Het democertificaat is niet veilig en wordt niet aanbevolen voor algemeen gebruik.
Raadpleeg voor meer informatie de installatievereisten voor het ESA-certificaat.
Hoe TLS in te schakelen voor ontvangst?
De volgende stappen zijn nodig om TLS van externe hosts te vereisen die communiceren met uw ESA publieke luisteraar (Ontvangen). Schakel TLS in de Host Access Table (HAT) van de luisteraar in die communiceert met externe hosts:
- Ga naar GUI: Mail Policies > Mail Flow Policies
- Selecteer de luisteraar waarmee externe hosts verbinding zullen maken vanuit het keuzemenu van de luisteraar op de pagina Mail Flow Policies.
- Schakel TLS in op een of meer Mail Flow Policies door op de naam van het beleid te klikken en het aanvinkvakje TLS gebruiken onder op de pagina Beleid bewerken in te schakelen.
Raadpleeg voor meer informatie Hoe TLS voor inkomende verbindingsversleuteling op ESA-luisteraar inschakelen?
Hoe TLS voor levering in te schakelen?
De volgende stappen zijn nodig om TLS in staat te stellen voor levering aan hosts in externe domeinen.
- Ga naar GUI: Postbeleid > Bestemmingscontroles
- Voeg een nieuwe bestemming toe voor het domein waaraan u TLS gaat gebruiken
- Stel de samenvattingslimiet, de ontvangerlimiet en het stuitprofiel in of accepteer de standaardwaarden.
- Een TLS-instelling toepassen op het domein (
No
, Preferred
of Required
)
Voor meer informatie, zie Hoe controleer ik de onderhandeling van TLS bij levering?
Hoe kan ik bepalen of de ESA TLS gebruikt?
De e-maillogbestanden van de ESA bevatten gegevens voor succesvolle en mislukte TLS-verbindingen. U kunt de hulpmiddelen van de bevellijn zoals grep gebruiken om naar specifieke logboekingangen te zoeken. U kunt ook systeemwaarschuwingen configureren wanneer TLS-verbindingen via de GUI mislukken: systeembeheer > pagina Waarschuwingen of de opdracht CLI alertconfig.
Raadpleeg Bepalen of een ESA TLS voor levering of ontvangst gebruikt voor meer informatie
Raadpleeg het hoofdstuk Cisco AsyncOS voor e-mail met gebruikershandleiding voor communicatie met andere MTA’s.
Gerelateerde informatie