Négociation TLS de contrôle sur la livraison sur l'ESA

Options de téléchargement

  • PDF     (393.1 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (265.8 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (132.7 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:16 avril 2018
ID du document:118955

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment contrôler la négociation TLS (Transport Layer Security) lors de la livraison sur l'appliance de sécurité de la messagerie (ESA).

    Comme défini dans la RFC 3207, « TLS est une extension du service SMTP qui permet à un serveur et à un client SMTP d'utiliser la sécurité de la couche transport pour fournir une communication privée authentifiée sur Internet. TLS est un mécanisme très répandu pour améliorer les communications TCP avec confidentialité et authentification. »

    Activer TLS à la livraison

    Vous pouvez exiger STARTTLS pour la remise d'e-mails à des domaines spécifiques avec l'une des méthodes suivantes décrites dans ce document :

    • Utilisez la commande CLI destconfig.
    • Dans l'interface graphique utilisateur, sélectionnez Politiques de messagerie > Contrôles de destination.

    La page Contrôles de la destination ou la commande destconfig vous permet de spécifier cinq paramètres différents pour TLS pour un domaine donné lorsque vous incluez un domaine. En outre, vous pouvez indiquer si la validation du domaine est nécessaire.

    Définitions des paramètres TLS

    Paramètre TLS Signification
    Défaut Le paramètre TLS par défaut qui est défini lorsque vous utilisez la page Contrôles de la destination ou la sous-commande destconfig -> default utilisée pour les connexions sortantes de l'écouteur à l'agent de transfert de message (MTA) pour le domaine. La valeur « Default » est définie si vous répondez non à la question : « Voulez-vous appliquer un paramètre TLS spécifique pour ce domaine ? »
    1. Non TLS n'est pas négocié pour les connexions sortantes de l'interface vers le MTA pour le domaine.
    2. Préféré TLS est négocié de l'interface ESA vers le ou les MTA pour le domaine. Cependant, si la négociation TLS échoue (avant de recevoir une réponse 220), la transaction SMTP continue « en clair » (non chiffrée). Aucune tentative n'est faite pour vérifier si le certificat provient d'une autorité de certification approuvée. Si une erreur se produit après la réception de la réponse 220, la transaction SMTP ne revient pas en texte clair.
    3. Obligatoire TLS est négocié de l'interface ESA vers MTA(s) pour le domaine. Aucune tentative de vérification du certificat du domaine n'a été effectuée. Si la négociation échoue, aucun e-mail n'est envoyé via la connexion. Si la négociation réussit, le message est remis via une session chiffrée.
    4. Préféré (vérification) TLS est négocié de l'ESA vers le ou les MTA pour le domaine. L'appliance tente de vérifier le certificat du domaine.Trois résultats sont possibles :
    • TLS est négocié et le certificat est vérifié. Le courrier est envoyé via une session chiffrée.
    • TLS est négocié, mais le certificat n'est pas vérifié. Le courrier est envoyé via une session chiffrée.
    • Aucune connexion TLS n'est établie et, par conséquent, le certificat n'est pas vérifié. Le message électronique est envoyé en texte brut.
    5. Obligatoire (vérification) TLS est négocié de l'ESA vers le ou les MTA pour le domaine. La vérification du certificat de domaine est requise. Trois résultats sont possibles :
    • Une connexion TLS est négociée et le certificat est vérifié. Le message électronique est envoyé via une session chiffrée.
    • Une connexion TLS est négociée, mais le certificat n'est pas vérifié par une autorité de certification (CA) approuvée. Le courrier n'est pas remis.
    • Une connexion TLS n'est pas négociée. Le courrier n'est pas remis.
    6. Obligatoire - Vérifier les domaines hébergés

    La différence entre les options TLS Required - Verify et TLS Required - Verify Hosted Domain réside dans le processus de vérification d'identité. La manière dont l'identité présentée est traitée et le type d'identifiants de référence autorisés à être utilisés font une différence par rapport au résultat final.

    L'identité présentée est d'abord dérivée de l'extension subjectAltName de type dNSName. S'il n'y a aucune correspondance entre le dNSName et l'une des identités de référence acceptées (REF-ID), la vérification échoue, peu importe si CN existe dans le champ d'objet et pourrait passer une autre vérification d'identité. Le CN dérivé du champ objet est validé uniquement lorsque le certificat ne contient aucune extension subjectAltName de type dNSName.

    Consultez le processus de vérification TLS pour la sécurité de la messagerie électronique Cisco pour plus d'informations.

    Activer TLS sur l'interface utilisateur graphique

    1. Choisissez Monitor > Destination Controls.
    2. Cliquez sur Ajouter une destination.
    3. Ajoutez le domaine de destination dans le champ Destination.
    4. Sélectionnez la méthode de prise en charge TLS dans la liste déroulante Prise en charge TLS.
    5. Cliquez sur Submit afin d'envoyer les modifications.

    118955-Control-TLS-Negotiation-ESA-00-00.png

    Activer TLS sur l'interface CLI

    Cet exemple utilise la commande destconfig afin d'exiger des connexions TLS et des conversations chiffrées pour le domaine example.com. Notez que cet exemple montre que TLS est requis pour un domaine qui utilise le certificat de démonstration préinstallé sur l'appliance. Vous pouvez activer TLS avec le certificat de démonstration à des fins de test, mais il n'est pas sécurisé et n'est pas recommandé pour une utilisation générale.

    La valeur « Default » est définie si vous répondez non à la question : « Voulez-vous appliquer un paramètre TLS spécifique pour ce domaine ? » Si vous répondez yes, choisissez No, Preferred ou Required.

    ESA> destconfig

    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> new

    Enter the domain you wish to configure.
    []> example.com
    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> new

    Enter the domain you wish to configure.
    []> example.com

    Do you wish to configure a concurrency limit for example.com? [Y]> N

    Do you wish to apply a messages-per-connection limit to this domain? [N]> N

    Do you wish to apply a recipient limit to this domain? [N]> N

    Do you wish to apply a specific TLS setting for this domain? [N]> Y

    Do you want to use TLS support?
    1. No
    2. Preferred
    3. Required
    4. Preferred - Verify
    5. Required - Verify
    6. Required - Verify Hosted Domains 
    [1]> 3

    You have chosen to enable TLS. Please use the 'certconfig' command to
     ensure that there is a valid certificate configured.

    Do you wish to apply a specific bounce verification
     address tagging setting for this domain? [N]> N

    Do you wish to apply a specific bounce profile to this domain? [N]> N

    Do you wish to apply a specific IP sort preference to this domain? [N]> N

    There are currently 3 entries configured.

    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> list

                 Rate               Bounce        Bounce     IP Version  
    Domain       Limiting  TLS      Verification  Profile    Preference  
    ===========  ========  =======  ============  =========  ============
    example.com  Default   On       Default       Default    Default     
    (Default)    On        Off      Off           (Default)  Prefer IPv6

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    11-May-2015
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Jerry Orona
      Ingénieur TAC Cisco
    • Enrico Werner
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits