Configuración de TLS para el cifrado de la conexión entrante en un receptor ESA

Opciones de descarga

  • PDF     (254.4 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (88.2 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (72.9 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:8 de mayo de 2015
ID del documento:118954

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo habilitar la seguridad de la capa de transporte (TLS) en un receptor en el dispositivo de seguridad de correo electrónico (ESA).

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

La información de este documento se basa en el ESA con cualquier versión de AsyncOS.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Antecedentes

Debe habilitar TLS para los receptores en los que necesite cifrado para las conexiones entrantes. Es posible que desee habilitar TLS en los receptores que se encuentran frente a Internet (receptores públicos), pero no en los receptores de sistemas internos (receptores privados). O bien, puede que desee habilitar el cifrado para todos los receptores. De forma predeterminada, ni los receptores públicos ni privados permiten conexiones TLS. Debe habilitar TLS en la Tabla de acceso de host (HAT) de un receptor para habilitar TLS para correo electrónico entrante (receptor) o saliente (remitente). Además, la configuración de la política de flujo de correo para los receptores privados y públicos tiene TLS desactivado de forma predeterminada.

Configurar

Puede especificar tres configuraciones diferentes para TLS en un receptor:

Configuración Significado
No TLS no está permitido para conexiones entrantes. Las conexiones con el receptor no requieren conversaciones de protocolo simple de transferencia de correo (SMTP) cifradas. Esta es la configuración predeterminada para todos los receptores que configure en el dispositivo.
Recomendado TLS está permitido para conexiones entrantes al receptor desde Agentes de transferencia de mensajes (MTA).
Necesario TLS está permitido para las conexiones entrantes al receptor de MTAs y hasta que se reciba un comando STARTTLS, el ESA responde con un mensaje de error a cada comando que no sea No Option (NOOP), EHLO o QUIT. Si TLS es "obligatorio", significa que el ESA rechazará el correo electrónico que el remitente no desea cifrar con TLS antes de enviarlo, lo que impide que se transmita sin cifrar.

Habilitar TLS en una política de flujo de correo HAT para un receptor a través de la GUI

Complete estos pasos:

  1. En la página Políticas de flujo de correo, seleccione un receptor cuyas políticas desee modificar y, a continuación, haga clic en el enlace del nombre de la política que desea editar. (También puede editar los parámetros de política predeterminados.) Se muestra la página Editar políticas de flujo de correo.
  2. En la sección "Encryption and Authentication" (Cifrado y autenticación), para el campo "Use TLS:" (Usar TLS:), elija el nivel de TLS que desee para el receptor.
  3. Haga clic en Submit (Enviar).
  4. Haga clic en Registrar cambios, agregue un comentario opcional si es necesario y luego haga clic en Registrar cambios para guardar los cambios.

Nota: Puede asignar un certificado específico para las conexiones TLS a receptores públicos individuales al crear un receptor.

Habilitar TLS en una política de flujo de correo HAT para un receptor a través de CLI

  1. Utilice el comando listenerconfig > edit para elegir un receptor que desea configurar.
  2. Utilice el comando hostaccess > default para editar la configuración HAT predeterminada del receptor.
  3. Ingrese una de estas opciones para cambiar la configuración de TLS cuando se le solicite:
    Do you want to allow encrypted TLS connections?

        1. No
        2. Preferred
        3. Required
       [1]>3

    You have chosen to enable TLS. Please use the 'certconfig' command to
     ensure that there is a valid certificate configured.

    Tenga en cuenta que este ejemplo le pide que utilice el comando certconfig para asegurarse de que haya un certificado válido que se pueda utilizar con el receptor. Si no ha creado ningún certificado, el agente de escucha utiliza el certificado de demostración preinstalado en el dispositivo. Puede habilitar TLS con el certificado de demostración para realizar pruebas, pero no es seguro y no se recomienda para uso general. Utilice el comando listenerconfig > edit > certificate para asignar un certificado al receptor.

    Una vez que haya configurado TLS, la configuración se refleja en el resumen del receptor en la CLI:

    Name: Inboundmail
    Type: Public
    Interface: PublicNet (192.168.2.1/24) TCP Port 25
    Protocol: SMTP
    Default Domain:
    Max Concurrency: 1000 (TCP Queue: 50)
    Domain map: disabled
    TLS: Required
  4. Ingrese el comando commit para habilitar el cambio.

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

Troubleshoot

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Puede especificar si el ESA envía una alerta si la negociación TLS falla cuando se entregan mensajes a un dominio que requiere una conexión TLS. El mensaje de alerta contiene el nombre del dominio de destino para la negociación TLS fallida. El ESA envía el mensaje de alerta a todos los destinatarios configurados para recibir alertas de nivel de gravedad de advertencia para los tipos de alerta del sistema. Puede administrar los destinatarios de alertas mediante la página Administración del sistema > Alertas de la GUI (o mediante el comando alertconfig de la CLI).

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
08-May-2015
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Enrico Werner
    Cisco TAC Engineer.

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos