Explore a Cisco
Como comprar

Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Cisco RES: Como usar TLS para proteger respostas RES não criptografadas

Opções de download

  • PDF     (119.2 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (85.9 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (72.7 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:12 de Setembro de 2019
ID do documento:118539
Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve como usar TLS (Transport Layer Security) para proteger respostas do Cisco Registered Envelope Service (CRES), que permite que um usuário não precise descriptografá-las, em associação com o Cisco Email Security Appliance (ESA).

    Cisco RES: Como usar TLS para proteger respostas RES não criptografadas

    Por padrão, as respostas a um e-mail seguro são criptografadas pelo Cisco RES e enviadas para seu gateway de e-mail. Em seguida, eles passam para seus servidores de e-mail criptografados para que o usuário final abra com suas credenciais Cisco RES.

    Para evitar a necessidade de o usuário se autenticar com o Cisco RES para abrir a resposta segura, o Cisco RES fornece um formulário "não criptografado" para gateways de e-mail que suportam TLS. Na maioria dos casos, o gateway de correio é o ESA, e este artigo se aplica.

    No entanto, se houver outro gateway de e-mail na frente do ESA, como um filtro externo de spam, não haverá necessidade da configuração do fluxo de certificado/TLS/e-mail em seu ESA. Nesse caso, você pode pular as etapas de 1 a 3 na seção Solução deste documento. Para respostas não criptografadas funcionarem neste ambiente, o filtro de spam externo (gateway de correio eletrônico) é o dispositivo que precisa suportar TLS. Se eles oferecerem suporte ao TLS, o Cisco RES poderá confirmar isso e configurá-lo para respostas "não criptografadas" para proteger e-mails.

    Estrutura de política de remetente

    Para evitar falhas de verificação do Sender Policy Framework (SPF), você deve adicionar mx:res.cisco.com, mxnat1.res.cisco.com e mxnat3.res.cisco.com ao seu registro SPF.  Ou você pode 'incluir' spfc._spf.cisco.com em seu registro SPF. 

    Exemplo:

    ➜ ~ dig txt spfc._spf.cisco.com +short
    "v=spf1 mx:res.cisco.com mx:sco.cisco.com ~all"


    Onde e como você adiciona o Cisco RES ao seu registro SPF depende de como o seu DNS (Domain Name System) é implementado com a topologia de rede.  Entre em contato com o administrador do DNS para obter mais informações.

    Se o DNS não estiver configurado para incluir o Cisco RES, quando a composição segura e as respostas seguras forem geradas e entregues através dos servidores de chave hospedados, o endereço IP de saída não corresponderá aos endereços IP listados no final do destinatário, resultando em uma falha de verificação SPF.

    Nomes de host e endereços IP

    Hostname IP Address Tipo de registro
    res.cisco.com 184.94.241.74 R
    mxnat1.res.cisco.com 208.90.57.32 R
    mxnat2.res.cisco.com 208.90.57.33 R
    mxnat3.res.cisco.com 184.94.241.96 R
    mxnat4.res.cisco.com 184.94.241.97 R
    mxnat5.res.cisco.com 184.94.241.98 R
    mxnat6.res.cisco.com 184.94.241.99 R
    mxnat7.res.cisco.com 208.90.57.34 R
    mxnat8.res.cisco.com 208.90.57.35 R
    esa1.cres.iphmx.com 68.232.140.79 MX
    esa2.cres.iphmx.com 68.232.140.57 MX
    esa3.cres.iphmx.com 68.232.135.234 MX
    esa4.cres.iphmx.com 68.232.135.235 MX

    Observação: o nome do host e os endereços IP estão sujeitos a alterações com base na manutenção do serviço/rede ou no crescimento do serviço/rede.  Nem todos os nomes de host e endereços IP são usados para o serviço.  Eles são fornecidos aqui para referência.

         

         

    Solução

    1. Obtenha e instale um certificado assinado e um certificado intermediário no ESA.

      Observação: é importante que você obtenha o certificado intermediário de sua autoridade de assinatura, pois o certificado de demonstração que vem no dispositivo causa falha no processo de verificação do CRES.

    2. Criar uma nova política de fluxo de correio:
      1. Na GUI, escolha Políticas de e-mail > Políticas de fluxo de e-mail > Adicionar política....
      2. Digite um nome e deixe tudo o mais como padrão, exceto Recursos de segurança: TLS. Defina isto como Obrigatório.
    3. Criar um novo grupo de remetente:
      1. Na GUI, escolha Políticas de e-mail > Visão geral do HAT > Adicionar grupo de remetente....
      2. Insira um nome e defina o número do pedido como #1.  Você também pode inserir um comentário opcional. Escolha a política de fluxo de e-mail que você criou na etapa 2. Deixe tudo em branco.
      3. Clique em Enviar e Adicionar Remetentes >>.
    4. No campo Remetente, insira estes intervalos IP e nomes de host: 
      .res.cisco.com
      .cres.iphmx.com
      208.90.57.0/26 (current CRES IP network range)
      204.15.81.0/26 (old CRES IP network range)

    5. Envie e confirme as alterações.

    6. Depois de ter certeza de que o ESA está preparado para TLS dos servidores Cisco RES, siga as etapas em Como testar se meu domínio suporta TLS com Cisco RES? para solicitar que os servidores Cisco RES comecem a usar TLS.

    Informações Relacionadas

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Robert Sherwin
      Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco