Control de la negociación TLS en la entrega en el ESA

Opciones de descarga

  • PDF     (394.4 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (265.6 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (132.4 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:16 de abril de 2018
ID del documento:118955

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo controlar la negociación de Seguridad de la capa de transporte (TLS) en la entrega en el dispositivo de seguridad de correo electrónico (ESA).

    Tal y como se define en RFC 3207, "TLS es una extensión del servicio SMTP que permite que un servidor y un cliente SMTP utilicen la seguridad de la capa de transporte para proporcionar comunicación privada autenticada a través de Internet. TLS es un mecanismo popular para mejorar las comunicaciones TCP con privacidad y autenticación".

    Habilitar TLS durante la entrega

    Puede requerir STARTTLS para la entrega de correo electrónico a dominios específicos con cualquiera de estos métodos descritos en este documento:

    • Utilice el comando CLI destconfig.
    • En la GUI, elija Políticas de correo > Controles de destino.

    La página Controles de destino o el comando destconfig le permite especificar cinco configuraciones diferentes para TLS para un dominio dado cuando incluye un dominio. Además, puede dictar si es necesaria la validación del dominio.

    Definiciones de configuración de TLS

    Configuración de TLS Significado
    Predeterminado La configuración predeterminada de TLS que se establece al utilizar la página Controles de destino o el subcomando destconfig -> default utilizado para las conexiones salientes del receptor al Agente de transferencia de mensajes (MTA) para el dominio. El valor "Predeterminado" se establece si responde no a la pregunta: "¿Desea aplicar una configuración de TLS específica para este dominio?"
    1. No TLS no se negocia para las conexiones salientes de la interfaz al MTA para el dominio.
    2. Preferible TLS se negocia desde la interfaz ESA a los MTA para el dominio. Sin embargo, si la negociación TLS falla (antes de recibir una respuesta 220), la transacción SMTP continúa "sin cifrar" (no cifrada). No se intenta comprobar si el certificado procede de una entidad emisora de certificados de confianza. Si se produce un error después de que se reciba la respuesta 220, la transacción SMTP no vuelve al texto sin cifrar.
    3. Obligatorio TLS se negocia desde la interfaz ESA a los MTA para el dominio. No se realiza ningún intento para comprobar el certificado del dominio. Si la negociación falla, no se envía ningún correo electrónico a través de la conexión. Si la negociación es exitosa, el correo se entrega a través de una sesión cifrada.
    4. Preferido (Verificar) TLS se negocia desde el ESA a los MTA para el dominio. El dispositivo intenta verificar el certificado del dominio.Existen tres resultados posibles:
    • TLS se negocia y se verifica el certificado. El correo se envía a través de una sesión cifrada.
    • TLS se negocia, pero el certificado no se verifica. El correo se envía a través de una sesión cifrada.
    • No se realiza ninguna conexión TLS y, posteriormente, el certificado no se verifica. El mensaje de correo electrónico se envía como texto sin formato.
    5. Obligatorio (verificar) TLS se negocia desde el ESA a los MTA para el dominio. Se requiere la verificación del certificado de dominio. Existen tres resultados posibles:
    • Se negocia una conexión TLS y se verifica el certificado. El mensaje de correo electrónico se envía mediante una sesión cifrada.
    • Se negocia una conexión TLS, pero el certificado no lo verifica una entidad emisora de certificados (CA) de confianza. El correo no se entrega.
    • Una conexión TLS no se negocia. El correo no se entrega.
    6. Necesario - Verificar dominios alojados

    La diferencia entre las opciones TLS requerido - Verificar y TLS requerido - Verificar dominio alojado se encuentra en el proceso de verificación de identidad. La forma en que se procesa la identidad presentada y el tipo de identificadores de referencia que se permite utilizar marcan la diferencia en cuanto al resultado final.

    La identidad presentada se deriva primero de la extensión subjectAltName de tipo dNSName. Si no hay ninguna coincidencia entre el nombre dNSN y una de las identidades de referencia aceptadas (REF-ID), la verificación no se realiza con independencia de si existe CN en el campo de asunto y podría pasar otra verificación de identidad. El CN derivado del campo de asunto se valida sólo cuando el certificado no contiene ninguna extensión subjectAltName de tipo dNSName.

    Revise el proceso de verificación de TLS para Cisco Email Security para obtener más información.

    Habilitar TLS en la GUI

    1. Elija Monitor > Destination Controls.
    2. Haga clic en Add Destination.
    3. Agregue el dominio de destino en el campo Destino.
    4. Seleccione el método de soporte de TLS en la lista desplegable Soporte de TLS.
    5. Haga clic en Submit para enviar los cambios.

    118955-Control-TLS-Negotiation-ESA-00-00.png

    Habilitar TLS en CLI

    Este ejemplo utiliza el comando destconfig para requerir conexiones TLS y conversaciones cifradas para el dominio example.com. Tenga en cuenta que este ejemplo muestra que se requiere TLS para un dominio que utiliza el certificado de demostración preinstalado en el dispositivo. Puede habilitar TLS con el certificado de demostración para realizar pruebas, pero no es seguro y no se recomienda para uso general.

    El valor "Predeterminado" se establece si responde no a la pregunta: "¿Desea aplicar una configuración de TLS específica para este dominio?" Si la respuesta es , seleccione No, Preferred o Required.

    ESA> destconfig

    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> new

    Enter the domain you wish to configure.
    []> example.com
    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> new

    Enter the domain you wish to configure.
    []> example.com

    Do you wish to configure a concurrency limit for example.com? [Y]> N

    Do you wish to apply a messages-per-connection limit to this domain? [N]> N

    Do you wish to apply a recipient limit to this domain? [N]> N

    Do you wish to apply a specific TLS setting for this domain? [N]> Y

    Do you want to use TLS support?
    1. No
    2. Preferred
    3. Required
    4. Preferred - Verify
    5. Required - Verify
    6. Required - Verify Hosted Domains 
    [1]> 3

    You have chosen to enable TLS. Please use the 'certconfig' command to
     ensure that there is a valid certificate configured.

    Do you wish to apply a specific bounce verification
     address tagging setting for this domain? [N]> N

    Do you wish to apply a specific bounce profile to this domain? [N]> N

    Do you wish to apply a specific IP sort preference to this domain? [N]> N

    There are currently 3 entries configured.

    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> list

                 Rate               Bounce        Bounce     IP Version  
    Domain       Limiting  TLS      Verification  Profile    Preference  
    ===========  ========  =======  ============  =========  ============
    example.com  Default   On       Default       Default    Default     
    (Default)    On        Off      Off           (Default)  Prefer IPv6

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    11-May-2015
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Jerry Orona
      Cisco TAC Engineer
    • Enrico Werner
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos