已有帐户?

  •   个性化内容
  •   您的产品和支持

需要帐户?

创建帐户

控制在发运的TLS协商在ESA

下载选项

  • PDF     (360.5 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (208.1 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (128.0 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2018 年 4 月 16 日
文档 ID:118955
关于翻译

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文描述如何控制在发运的传输层安全(TLS)协商在电子邮件安全工具(ESA)上。

    如对RFC 3207定义, “TLS是扩展名对允许SMTP服务器和客户端使用传输层安全提供在互联网的专用的SMTP服务,验证的通信。TLS是提高的TCP通信一个普遍的机制与保密性和认证”。

    在发运的启用TLS

    您能为电子邮件发运需要STARTTLS到与二者之一的特定域在本文描述的这些方法之一:

    • 请使用CLI destconfig命令。
    • 从GUI请选择邮件策略>目的地控制

    目的地控制页或destconfig命令允许您为TLS指定五个不同的设置一个特定域,当您包括一个域时。另外,您能指明域的验证是否是必要的。

    TLS设置定义

    TLS设置 含义
    默认值 设的默认TLS设置,当您使用目的地控制页或destconfig - >用于从监听程序的输出连接的默认子命令到消息传输代理(MTA)域。值“默认值”,如果应答对问题,设置:“您希望应用此域的一个特定TLS设置?”
    1. TLS没有为从接口的输出连接协商到域的MTA。
    2. 更喜欢 TLS从ESA接口协商到域的MTA。然而,如果TLS协商发生故障(在接收220回应之前), SMTP处理继续“无危险” (没加密)。尝试没有被做验证认证是否起源于委托的认证机关。如果错误出现,在220回应接收后, SMTP处理不下跌回到明文。
    3. 必需 TLS从ESA接口协商到域的MTA。尝试没有被做验证域的认证。如果协商发生故障,电子邮件没有通过连接被发送。如果协商成功,邮件通过加密的会话被提供。
    4. 更喜欢(请验证) TLS从ESA协商到域的MTA。工具尝试验证域的认证。三种结果是可能的:
    • TLS协商,并且认证被验证。邮件通过加密的会话被提供。
    • TLS协商,但是认证没有被验证。邮件通过加密的会话被提供。
    • TLS联系没有被建立,并且,认证随后没有被验证。电子邮件消息在纯文本被提供。
    5. 必需(请验证) TLS从ESA协商到域的MTA。需要域认证的验证。三种结果是可能的:
    • TLS连接协商,并且认证被验证。电子邮件消息通过加密的会话被提供。
    • TLS连接协商,但是认证没有由委托的Cerfificate权限(CA)验证。没有提供邮件。
    • TLS连接没有协商。没有提供邮件。
    6. 必需-验证主机的域

    需要的TLS之间的区别-验证需要的TLS -验证主机的域选项在身份验证进程放置。方式被提交的身份如何处理和允许使用什么类型的参考标识产生关于最终结果的变化。

    被提交的身份从类型首先派生dNSName subjectAltName扩展名。如果没有在dNSName和那个的匹配被接受的参考身份之间(REF-ID),验证不发生故障问题,如果CN在Subject字段存在,并且可能通过进一步身份验证。只有当认证不包含其中任一个类型dNSName时, subjectAltName扩展名从Subject字段派生的CN被验证。

    请查看Cisco电子邮件安全的TLS验证进程欲知更多信息。

    启用在GUI的TLS

    1. 选择Montior >目的地控制
    2. 点击添加目标
    3. 在目的区域添加目的地域。
    4. 选择TLS支持方法从TLS支持下拉列表。
    5. 点击提交为了提交更改。

    启用在CLI的TLS

    此示例使用destconfig命令为了为域example.com要求TLS连接和已加密会话。注意此示例表示, TLS对于使用在工具上事先装配的演示认证的域是必需的。为了便于测试您能启用与演示认证的TLS,但是不安全并且不是推荐的为一般用途。

    值“默认值”,如果应答对问题,设置:“您希望应用此域的一个特定TLS设置?”如果应答,请选择没有更喜欢或者要求

    ESA> destconfig

    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> new

    Enter the domain you wish to configure.
    []> example.com
    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> new

    Enter the domain you wish to configure.
    []> example.com

    Do you wish to configure a concurrency limit for example.com? [Y]> N

    Do you wish to apply a messages-per-connection limit to this domain? [N]> N

    Do you wish to apply a recipient limit to this domain? [N]> N

    Do you wish to apply a specific TLS setting for this domain? [N]> Y

    Do you want to use TLS support?
    1. No
    2. Preferred
    3. Required
    4. Preferred - Verify
    5. Required - Verify
    6. Required - Verify Hosted Domains 
    [1]> 3

    You have chosen to enable TLS. Please use the 'certconfig' command to
     ensure that there is a valid certificate configured.

    Do you wish to apply a specific bounce verification
     address tagging setting for this domain? [N]> N

    Do you wish to apply a specific bounce profile to this domain? [N]> N

    Do you wish to apply a specific IP sort preference to this domain? [N]> N

    There are currently 3 entries configured.

    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> list

                 Rate               Bounce        Bounce     IP Version  
    Domain       Limiting  TLS      Verification  Profile    Preference  
    ===========  ========  =======  ============  =========  ============
    example.com  Default   On       Default       Default    Default     
    (Default)    On        Off      Off           (Default)  Prefer IPv6
    TAC Authored

    由思科工程师提供

    • Jerry Orona
      Cisco TAC工程师
    • Enrico Werner
      Cisco TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    相关的思科社区讨论

    本文档适用于以下产品