Steuerung der TLS-Aushandlung bei Auslieferung auf der ESA

Download-Optionen

  • PDF     (397.2 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (266.8 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (134.0 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:16. April 2018
Dokument-ID:118955

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie die TLS-Aushandlung (Transport Layer Security) bei Lieferung auf der E-Mail-Security-Appliance (ESA) gesteuert wird.

    Wie in RFC 3207 definiert, ist "TLS eine Erweiterung des SMTP-Dienstes, die es einem SMTP-Server und -Client ermöglicht, die Transportschichtsicherheit zu verwenden, um eine private, authentifizierte Kommunikation über das Internet bereitzustellen. TLS ist ein beliebter Mechanismus zur Verbesserung der TCP-Kommunikation mit Datenschutz und Authentifizierung."

    TLS bei Bereitstellung aktivieren

    Sie können STARTTLS für die E-Mail-Zustellung an bestimmte Domänen mit einer der folgenden Methoden, die in diesem Dokument beschrieben werden, benötigen:

    • Verwenden Sie den Befehl CLI destconfig.
    • Wählen Sie in der GUI Mail-Policys > Zielsteuerelemente aus.

    Auf der Seite "Destination Controls" (Zielsteuerelemente) oder mit dem Befehl destconfig können Sie fünf verschiedene Einstellungen für TLS für eine bestimmte Domäne angeben, wenn Sie eine Domäne einschließen. Außerdem können Sie festlegen, ob eine Validierung der Domäne erforderlich ist.

    TLS-Einstellungsdefinitionen

    TLS-Einstellung Bedeutung
    Standard Die standardmäßige TLS-Einstellung, die festgelegt wird, wenn Sie die Seite Zielsteuerelemente oder den standardmäßigen Unterbefehl destconfig -> verwenden, der für ausgehende Verbindungen vom Listener zum Nachrichtenübertragungsagenten (MTA) für die Domäne verwendet wird. Der Wert "Default" (Standard) wird festgelegt, wenn Sie die Frage "Möchten Sie eine bestimmte TLS-Einstellung für diese Domäne anwenden?" mit Nein beantworten.
    1. Nein Für ausgehende Verbindungen von der Schnittstelle zur MTA für die Domäne wird kein TLS ausgehandelt.
    2. Bevorzugt TLS wird von der ESA-Schnittstelle an die MTA(s) für die Domäne ausgehandelt. Schlägt die TLS-Aushandlung jedoch fehl (bevor eine Antwort von 220 empfangen wird), wird die SMTP-Transaktion "unverschlüsselt" (nicht verschlüsselt) fortgesetzt. Es wird nicht überprüft, ob das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle stammt. Tritt nach dem Empfang der 220-Antwort ein Fehler auf, wird die SMTP-Transaktion nicht auf Klartext zurückgesetzt.
    3. Erforderlich TLS wird von der ESA-Schnittstelle an MTA(s) für die Domäne ausgehandelt. Es wird kein Versuch unternommen, das Zertifikat der Domäne zu verifizieren. Wenn die Verhandlung fehlschlägt, wird keine E-Mail über die Verbindung gesendet. Wenn die Verhandlung erfolgreich verläuft, wird die E-Mail über eine verschlüsselte Sitzung zugestellt.
    4. Bevorzugt (Verifizieren) TLS wird von der ESA an die MTA(s) für die Domäne ausgehandelt. Die Appliance versucht, das Zertifikat der Domäne zu überprüfen.Drei Ergebnisse sind möglich:
    • TLS wird ausgehandelt und das Zertifikat verifiziert. Die E-Mail wird über eine verschlüsselte Sitzung zugestellt.
    • TLS wurde ausgehandelt, das Zertifikat wurde jedoch nicht verifiziert. Die E-Mail wird über eine verschlüsselte Sitzung zugestellt.
    • Es wird keine TLS-Verbindung hergestellt, und anschließend wird das Zertifikat nicht verifiziert. Die E-Mail-Nachricht wird im Nur-Text-Format zugestellt.
    5. Erforderlich (Verifizieren) TLS wird von der ESA an die MTA(s) für die Domäne ausgehandelt. Das Domänenzertifikat muss überprüft werden. Drei Ergebnisse sind möglich:
    • Eine TLS-Verbindung wird ausgehandelt, und das Zertifikat wird verifiziert. Die E-Mail-Nachricht wird in einer verschlüsselten Sitzung zugestellt.
    • Eine TLS-Verbindung wird ausgehandelt, das Zertifikat wird jedoch nicht von einer vertrauenswürdigen Zertifizierungsstelle (Certificate Authority, CA) überprüft. Die Post wird nicht zugestellt.
    • Eine TLS-Verbindung wurde nicht ausgehandelt. Die Post wird nicht zugestellt.
    6. Erforderlich - Gehostete Domänen überprüfen

    Der Unterschied zwischen TLS erforderlich - Verifizieren und TLS erforderlich - Optionen für gehostete Domäne verifizieren liegt im Identitätsverifizierungsprozess. Die Art und Weise, wie die präsentierte Identität verarbeitet wird und welche Art von Referenzkennungen verwendet werden dürfen, macht einen Unterschied zu einem Endergebnis.

    Die dargestellte Identität wird zuerst von der subjectAltName-Erweiterung vom Typ dNSName abgeleitet. Wenn keine Übereinstimmung zwischen dNSName und einer akzeptierten Referenzidentität (REF-ID) besteht, schlägt die Überprüfung fehl, unabhängig davon, ob CN im Betrefffeld vorhanden ist, und kann eine weitere Identitätsüberprüfung bestehen. Die vom Betreff-Feld abgeleitete CN wird nur validiert, wenn das Zertifikat keine der SubjectAltName-Erweiterung vom Typ dNSName enthält.

    Weitere Informationen finden Sie im TLS-Verifizierungsprozess für Cisco Email Security.

    Aktivieren von TLS in der GUI

    1. Wählen Sie Überwachen > Zielsteuerelemente aus.
    2. Klicken Sie auf Ziel hinzufügen.
    3. Fügen Sie die Zieldomäne im Feld Ziel hinzu.
    4. Wählen Sie in der Dropdown-Liste "TLS Support" (TLS-Support) die TLS-Supportmethode aus.
    5. Klicken Sie auf Senden, um die Änderungen zu übermitteln.

    118955-Control-TLS-Negotiation-ESA-00-00.png

    Aktivieren von TLS in der CLI

    In diesem Beispiel wird der Befehl destconfig verwendet, um TLS-Verbindungen und verschlüsselte Gespräche für die Domäne example.com zu erfordern. Beachten Sie, dass dieses Beispiel zeigt, dass TLS für eine Domäne erforderlich ist, die das auf der Appliance vorinstallierte Demonstrationszertifikat verwendet. Sie können TLS mit dem Demonstrationszertifikat zu Testzwecken aktivieren. Das Zertifikat ist jedoch nicht sicher und wird nicht für die allgemeine Verwendung empfohlen.

    Der Wert "Default" (Standard) wird festgelegt, wenn Sie die Frage "Möchten Sie eine bestimmte TLS-Einstellung für diese Domäne anwenden?" mit Nein beantworten. Wenn Sie mit Ja antworten, wählen Sie Nein, Bevorzugt oder Erforderlich aus.

    ESA> destconfig

    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> new

    Enter the domain you wish to configure.
    []> example.com
    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> new

    Enter the domain you wish to configure.
    []> example.com

    Do you wish to configure a concurrency limit for example.com? [Y]> N

    Do you wish to apply a messages-per-connection limit to this domain? [N]> N

    Do you wish to apply a recipient limit to this domain? [N]> N

    Do you wish to apply a specific TLS setting for this domain? [N]> Y

    Do you want to use TLS support?
    1. No
    2. Preferred
    3. Required
    4. Preferred - Verify
    5. Required - Verify
    6. Required - Verify Hosted Domains 
    [1]> 3

    You have chosen to enable TLS. Please use the 'certconfig' command to
     ensure that there is a valid certificate configured.

    Do you wish to apply a specific bounce verification
     address tagging setting for this domain? [N]> N

    Do you wish to apply a specific bounce profile to this domain? [N]> N

    Do you wish to apply a specific IP sort preference to this domain? [N]> N

    There are currently 3 entries configured.

    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> list

                 Rate               Bounce        Bounce     IP Version  
    Domain       Limiting  TLS      Verification  Profile    Preference  
    ===========  ========  =======  ============  =========  ============
    example.com  Default   On       Default       Default    Default     
    (Default)    On        Off      Off           (Default)  Prefer IPv6

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    11-May-2015
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Jerry Orona
      Cisco TAC Engineer
    • Enrico Werner
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.