Configurar respostas de mensagens do serviço de criptografia segura CRES usando criptografia TLS

Opções de download

  • PDF     (256.9 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (88.0 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (75.9 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:12 de setembro de 2019
ID do documento:118539

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve as ações para configurar a criptografia TLS para respostas seguras de entrada do CRES em vez de um anexo de Envelope seguro.

    Cisco RES: Como usar TLS para proteger respostas RES não criptografadas

    Por padrão, as respostas a um e-mail seguro são criptografadas pelo Cisco RES e enviadas ao seu gateway de e-mail. Em seguida, eles passam pelos seus servidores de e-mail criptografados para que o usuário final abra com suas credenciais do Cisco RES.

    Para eliminar a necessidade de autenticação do usuário ao abrir uma resposta de mensagem segura do Cisco RES, o Cisco RES fornece em um formulário "não criptografado" aos gateways de e-mail que suportam o Transport Layer Security (TLS). Na maioria dos casos, o gateway de e-mail é o Cisco Email Security Appliance (ESA), e este artigo se aplica.

    No entanto, se houver outro gateway de e-mail na frente do ESA, como um filtro de spam externo, não haverá necessidade de configuração de certificado/TLS/fluxo de e-mail em seu ESA. Nesse caso, você pode ignorar as Etapas de 1 a 3 na seção Solução deste documento. Para que respostas não criptografadas funcionem nesse ambiente, o filtro de spam externo (gateway de e-mail) é o dispositivo que precisa oferecer suporte ao TLS. Se eles oferecerem suporte a TLS, você poderá solicitar que o Cisco RES confirme isso e configurar respostas "não criptografadas" para e-mails seguros.

    Estrutura de Política de Remetente

    Para evitar falhas de verificação da Sender Policy Framework (SPF), adicione esses valores ao registro SPF.

    O valor do registro SPF do Cisco Registered Envelope Service (CRES) corresponde aos nomes de host/IP desta tabela, "Nomes de host e endereços IP".

    A saída usando o mecanismo SPF fornecido pela Cisco:

    ~ dig txt res.cisco.com +short
    "v=spf1 mx:res.cisco.com exists:%{i}.spf.res.cisco.com -all"

    Adicione este mecanismo ao registro SPF existente:

    include:res.cisco.com

    Exemplo de um registro SPF FAKE/test contendo o novo mecanismo res.cisco.com:

    "v=spf1 mx:sampleorg1.com ip4:1.2.3.4 include:res.cisco.com -all"


    O local e a forma como você adiciona o Cisco RES ao registro SPF dependem de como o DNS (Domain Name System) é implementado na topologia da rede. Entre em contato com o administrador DNS para obter mais informações.

    Se o DNS não estiver configurado para incluir o Cisco RES, quando a composição segura e as respostas seguras forem geradas e entregues através dos servidores de chave hospedados, o endereço IP de saída não corresponderá aos endereços IP listados no final do destinatário, resultando em uma falha de verificação de SPF.

    Nomes de host e endereços IP

    Hostname

    IP Address

    Tipo de registro

    res.cisco.com

    184.94.241.74

    R

    mxnat1.res.cisco.com

    208.90.57.32

    R

    mxnat2.res.cisco.com

    208.90.57.33

    R

    mxnat3.res.cisco.com

    184.94.241.96

    R

    mxnat4.res.cisco.com

    184.94.241.97

    R

    mxnat5.res.cisco.com

    184.94.241.98

    R

    mxnat6.res.cisco.com

    184.94.241.99

    R

    mxnat7.res.cisco.com

    208.90.57.34

    R

    mxnat8.res.cisco.com

    208.90.57.35

    R

    esa1.cres.iphmx.com

    68.232.140.79

    MX

    esa2.cres.iphmx.com

    68.232.140.57

    MX

    esa3.cres.iphmx.com

    68.232.135.234

    MX

    esa4.cres.iphmx.com

    68.232.135.235

    MX

    Observação: o nome de host e os endereços IP estão sujeitos a alterações com base na manutenção do serviço/rede ou no crescimento do serviço/rede. Nem todos os nomes de host e endereços IP são usados para o serviço. Eles são fornecidos aqui para referência.

    Solução

    • Obter e instalar um certificado assinado e um certificado intermediário no ESA.

      Observação: você deve obter o certificado intermediário de sua autoridade de assinatura, pois o certificado de demonstração que vem no dispositivo causa falha no processo de verificação do CRES.

    • Criar uma nova política de fluxo de email:
      1. Na GUI, selecione Mail Policies > Mail Flow Policies > Add Policy.
      2. Insira um nome e deixe todo o resto como padrão, exceto 'Recursos de segurança: TLS'. Defina como Obrigatório.
        3.
    • Criar um novo grupo de remetente:
      1. Na GUI, selecione Mail Policies > HAT Overview > Add Sender Group.
      2. Insira um nome e defina o número do pedido como #1. Você também pode inserir um comentário opcional. Escolha a política de fluxo de e-mail criada na Etapa 2. Deixe todo o resto em branco.
      3. Clique em Submit andAdd Senders.
        4.
    • No campo Remetente, insira os seguintes intervalos de IP e nomes de host: 
      .res.cisco.com
      .cres.iphmx.com
      208.90.57.0/26 (current CRES IP network range)
      204.15.81.0/26 (old CRES IP network range)

    • Envie e confirme as alterações.

    • Depois de ter certeza de que o ESA está preparado para negociar a criptografia TLS dos servidores Cisco RES, siga as etapas no portal de administração do CRES Como testo se meu domínio suporta TLS com Cisco RES?
      •

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    09-Oct-2014
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Robert Sherwin
      Engenheiro do Cisco TAC
    • Chris Arellano
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco