Introduction
Este documento descreve como usar TLS (Transport Layer Security) para proteger respostas do Cisco Registered Envelope Service (CRES), que permite que um usuário não precise descriptografá-las, em associação com o Cisco Email Security Appliance (ESA).
Cisco RES: Como usar TLS para proteger respostas RES não criptografadas
Por padrão, as respostas a um e-mail seguro são criptografadas pelo Cisco RES e enviadas para seu gateway de e-mail. Em seguida, eles passam para seus servidores de e-mail criptografados para que o usuário final abra com suas credenciais Cisco RES.
Para evitar a necessidade de o usuário se autenticar com o Cisco RES para abrir a resposta segura, o Cisco RES fornece um formulário "não criptografado" para gateways de e-mail que suportam TLS. Na maioria dos casos, o gateway de correio é o ESA, e este artigo se aplica.
No entanto, se houver outro gateway de e-mail na frente do ESA, como um filtro externo de spam, não haverá necessidade da configuração do fluxo de certificado/TLS/e-mail em seu ESA. Nesse caso, você pode pular as etapas de 1 a 3 na seção Solução deste documento. Para respostas não criptografadas funcionarem neste ambiente, o filtro de spam externo (gateway de correio eletrônico) é o dispositivo que precisa suportar TLS. Se eles oferecerem suporte ao TLS, o Cisco RES poderá confirmar isso e configurá-lo para respostas "não criptografadas" para proteger e-mails.
Estrutura de política de remetente
Para evitar falhas de verificação do Sender Policy Framework (SPF), você deve adicionar mx:res.cisco.com, mxnat1.res.cisco.com e mxnat3.res.cisco.com ao seu registro SPF. Ou você pode 'incluir' spfc._spf.cisco.com em seu registro SPF.
Exemplo:
➜ ~ dig txt spfc._spf.cisco.com +short
"v=spf1 mx:res.cisco.com mx:sco.cisco.com ~all"
Onde e como você adiciona o Cisco RES ao seu registro SPF depende de como o seu DNS (Domain Name System) é implementado com a topologia de rede. Entre em contato com o administrador do DNS para obter mais informações.
Se o DNS não estiver configurado para incluir o Cisco RES, quando a composição segura e as respostas seguras forem geradas e entregues através dos servidores de chave hospedados, o endereço IP de saída não corresponderá aos endereços IP listados no final do destinatário, resultando em uma falha de verificação SPF.
Nomes de host e endereços IP
Hostname |
IP Address |
Tipo de registro |
res.cisco.com |
184.94.241.74 |
R |
mxnat1.res.cisco.com |
208.90.57.32 |
R |
mxnat2.res.cisco.com |
208.90.57.33 |
R |
mxnat3.res.cisco.com |
184.94.241.96 |
R |
mxnat4.res.cisco.com |
184.94.241.97 |
R |
mxnat5.res.cisco.com |
184.94.241.98 |
R |
mxnat6.res.cisco.com |
184.94.241.99 |
R |
mxnat7.res.cisco.com |
208.90.57.34 |
R |
mxnat8.res.cisco.com |
208.90.57.35 |
R |
esa1.cres.iphmx.com |
68.232.140.79 |
MX |
esa2.cres.iphmx.com |
68.232.140.57 |
MX |
esa3.cres.iphmx.com |
68.232.135.234 |
MX |
esa4.cres.iphmx.com |
68.232.135.235 |
MX |
Observação: o nome do host e os endereços IP estão sujeitos a alterações com base na manutenção do serviço/rede ou no crescimento do serviço/rede. Nem todos os nomes de host e endereços IP são usados para o serviço. Eles são fornecidos aqui para referência.
Solução
- Obtenha e instale um certificado assinado e um certificado intermediário no ESA.
Observação: é importante que você obtenha o certificado intermediário de sua autoridade de assinatura, pois o certificado de demonstração que vem no dispositivo causa falha no processo de verificação do CRES.
- Criar uma nova política de fluxo de correio:
- Na GUI, escolha Políticas de e-mail > Políticas de fluxo de e-mail > Adicionar política....
- Digite um nome e deixe tudo o mais como padrão, exceto Recursos de segurança: TLS. Defina isto como Obrigatório.
- Criar um novo grupo de remetente:
- Na GUI, escolha Políticas de e-mail > Visão geral do HAT > Adicionar grupo de remetente....
- Insira um nome e defina o número do pedido como #1. Você também pode inserir um comentário opcional. Escolha a política de fluxo de e-mail que você criou na etapa 2. Deixe tudo em branco.
- Clique em Enviar e Adicionar Remetentes >>.
- No campo Remetente, insira estes intervalos IP e nomes de host:
.res.cisco.com
.cres.iphmx.com
208.90.57.0/26 (current CRES IP network range)
204.15.81.0/26 (old CRES IP network range)
-
Envie e confirme as alterações.
- Depois de ter certeza de que o ESA está preparado para TLS dos servidores Cisco RES, siga as etapas em Como testar se meu domínio suporta TLS com Cisco RES? para solicitar que os servidores Cisco RES comecem a usar TLS.
Informações Relacionadas