简介
本文描述如何控制在发运的传输层安全(TLS)协商在电子邮件安全工具(ESA)上。
如对RFC 3207定义, “TLS是扩展名对允许SMTP服务器和客户端使用传输层安全提供在互联网的专用的SMTP服务,验证的通信。TLS是提高的TCP通信一个普遍的机制与保密性和认证”。
在发运的启用TLS
您能为电子邮件发运需要STARTTLS到与二者之一的特定域在本文描述的这些方法之一:
- 请使用CLI destconfig命令。
- 从GUI请选择邮件策略>目的地控制。
目的地控制页或destconfig命令允许您为TLS指定五个不同的设置一个特定域,当您包括一个域时。另外,您能指明域的验证是否是必要的。
TLS设置定义
TLS设置 |
含义 |
默认值 |
设的默认TLS设置,当您使用目的地控制页或destconfig - >用于从监听程序的输出连接的默认子命令到消息传输代理(MTA)域。值“默认值”,如果应答不对问题,设置:“您希望应用此域的一个特定TLS设置?” |
1. 无 |
TLS没有为从接口的输出连接协商到域的MTA。 |
2. 更喜欢 |
TLS从ESA接口协商到域的MTA。然而,如果TLS协商发生故障(在接收220回应之前), SMTP处理继续“无危险” (没加密)。尝试没有被做验证认证是否起源于委托的认证机关。如果错误出现,在220回应接收后, SMTP处理不下跌回到明文。 |
3. 必需 |
TLS从ESA接口协商到域的MTA。尝试没有被做验证域的认证。如果协商发生故障,电子邮件没有通过连接被发送。如果协商成功,邮件通过加密的会话被提供。 |
4. 更喜欢(请验证) |
TLS从ESA协商到域的MTA。工具尝试验证域的认证。三种结果是可能的:
- TLS协商,并且认证被验证。邮件通过加密的会话被提供。
- TLS协商,但是认证没有被验证。邮件通过加密的会话被提供。
- TLS联系没有被建立,并且,认证随后没有被验证。电子邮件消息在纯文本被提供。
|
5. 必需(请验证) |
TLS从ESA协商到域的MTA。需要域认证的验证。三种结果是可能的:
- TLS连接协商,并且认证被验证。电子邮件消息通过加密的会话被提供。
- TLS连接协商,但是认证没有由委托的Cerfificate权限(CA)验证。没有提供邮件。
- TLS连接没有协商。没有提供邮件。
|
6. 必需-验证主机的域 |
需要的TLS之间的区别-验证和需要的TLS -验证主机的域选项在身份验证进程放置。方式被提交的身份如何处理和允许使用什么类型的参考标识产生关于最终结果的变化。 被提交的身份从类型首先派生dNSName subjectAltName扩展名。如果没有在dNSName和那个的匹配被接受的参考身份之间(REF-ID),验证不发生故障问题,如果CN在Subject字段存在,并且可能通过进一步身份验证。只有当认证不包含其中任一个类型dNSName时, subjectAltName扩展名从Subject字段派生的CN被验证。 请查看Cisco电子邮件安全的TLS验证进程欲知更多信息。 |
启用在GUI的TLS
- 选择Montior >目的地控制。
- 点击添加目标。
- 在目的区域添加目的地域。
- 选择TLS支持方法从TLS支持下拉列表。
- 点击提交为了提交更改。

启用在CLI的TLS
此示例使用destconfig命令为了为域example.com要求TLS连接和已加密会话。注意此示例表示, TLS对于使用在工具上事先装配的演示认证的域是必需的。为了便于测试您能启用与演示认证的TLS,但是不安全并且不是推荐的为一般用途。
值“默认值”,如果应答不对问题,设置:“您希望应用此域的一个特定TLS设置?”如果是应答,请选择没有,更喜欢或者要求。
ESA> destconfig
Choose the operation you want to perform:
- SETUP - Change global settings.
- NEW - Create a new entry.
- EDIT - Modify an entry.
- DELETE - Remove an entry.
- DEFAULT - Change the default.
- LIST - Display a summary list of all entries.
- DETAIL - Display details for one destination or all entries.
- CLEAR - Remove all entries.
- IMPORT - Import tables from a file.
- EXPORT - Export tables to a file.
[]> new
Enter the domain you wish to configure.
[]> example.com
Choose the operation you want to perform:
- SETUP - Change global settings.
- NEW - Create a new entry.
- EDIT - Modify an entry.
- DELETE - Remove an entry.
- DEFAULT - Change the default.
- LIST - Display a summary list of all entries.
- DETAIL - Display details for one destination or all entries.
- CLEAR - Remove all entries.
- IMPORT - Import tables from a file.
- EXPORT - Export tables to a file.
[]> new
Enter the domain you wish to configure.
[]> example.com
Do you wish to configure a concurrency limit for example.com? [Y]> N
Do you wish to apply a messages-per-connection limit to this domain? [N]> N
Do you wish to apply a recipient limit to this domain? [N]> N
Do you wish to apply a specific TLS setting for this domain? [N]> Y
Do you want to use TLS support?
1. No
2. Preferred
3. Required
4. Preferred - Verify
5. Required - Verify
6. Required - Verify Hosted Domains
[1]> 3
You have chosen to enable TLS. Please use the 'certconfig' command to
ensure that there is a valid certificate configured.
Do you wish to apply a specific bounce verification
address tagging setting for this domain? [N]> N
Do you wish to apply a specific bounce profile to this domain? [N]> N
Do you wish to apply a specific IP sort preference to this domain? [N]> N
There are currently 3 entries configured.
Choose the operation you want to perform:
- SETUP - Change global settings.
- NEW - Create a new entry.
- EDIT - Modify an entry.
- DELETE - Remove an entry.
- DEFAULT - Change the default.
- LIST - Display a summary list of all entries.
- DETAIL - Display details for one destination or all entries.
- CLEAR - Remove all entries.
- IMPORT - Import tables from a file.
- EXPORT - Export tables to a file.
[]> list
Rate Bounce Bounce IP Version
Domain Limiting TLS Verification Profile Preference
=========== ======== ======= ============ ========= ============
example.com Default On Default Default Default
(Default) On Off Off (Default) Prefer IPv6