Configurazione delle risposte ai messaggi del servizio di crittografia sicura CRES tramite crittografia TLS

Opzioni per il download

  • PDF     (255.2 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (89.1 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (76.9 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:12 settembre 2019
ID documento:118539

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento vengono descritte le azioni da eseguire per configurare la crittografia TLS per le risposte sicure in ingresso del CRES anziché per un allegato Secure Envelope.

    Cisco RES: Come utilizzare TLS per proteggere le risposte RES non crittografate

    Per impostazione predefinita, le risposte a un'e-mail protetta vengono crittografate da Cisco RES e inviate al gateway di posta. e quindi passano ai server di posta crittografati in modo che l'utente finale possa aprirli con le credenziali Cisco RES.

    Per eliminare la necessità dell'autenticazione dell'utente all'apertura di una risposta al messaggio protetto Cisco RES, Cisco RES effettua la consegna in formato "non crittografato" ai gateway di posta che supportano Transport Layer Security (TLS). Nella maggior parte dei casi, il gateway di posta è Cisco Email Security Appliance (ESA) e questo articolo è applicabile.

    Tuttavia, se davanti all'ESA c'è un altro gateway di posta, ad esempio un filtro antispam esterno, non è necessario configurare il flusso di certificati/TLS/posta sull'ESA. In questo caso, è possibile ignorare i passaggi da 1 a 3 nella sezione Soluzione di questo documento. Affinché le risposte non crittografate funzionino in questo ambiente, il filtro antispam esterno (gateway di posta) è l'accessorio che deve supportare TLS. Se supportano TLS, è possibile chiedere a Cisco RES di confermarlo e configurare le risposte "non crittografate" per l'invio di e-mail protette.

    Framework criteri mittente

    Per evitare errori di verifica di Sender Policy Framework (SPF), aggiungere questi valori al record SPF.

    Il valore del record SPF Cisco Registered Envelope Service (CRES) corrisponde ai nomi IP/host di questa tabella, "Nomi host e indirizzi IP".

    L'output viene generato utilizzando il meccanismo SPF fornito da Cisco:

    ~ dig txt res.cisco.com +short
    "v=spf1 mx:res.cisco.com exists:%{i}.spf.res.cisco.com -all"

    Aggiungere questo meccanismo al record SPF esistente:

    include:res.cisco.com

    Esempio di record SPF di test/FALSO contenente il nuovo meccanismo res.cisco.com:

    "v=spf1 mx:sampleorg1.com ip4:1.2.3.4 include:res.cisco.com -all"


    La posizione e la modalità di aggiunta di Cisco RES al record SPF dipendono dall'implementazione del DNS (Domain Name System) nella topologia di rete. Per ulteriori informazioni, contattare l'amministratore DNS.

    Se il DNS non è configurato per includere Cisco RES, quando la composizione sicura e le risposte sicure vengono generate e recapitate tramite i server chiave ospitati, l'indirizzo IP in uscita non corrisponde agli indirizzi IP elencati alla fine del destinatario, determinando un errore di verifica SPF.

    Nomi host e indirizzi IP

    Nome host

    Indirizzo IP

    Tipo di record

    res.cisco.com

    184.94.241.74

    A

    mxnat1.res.cisco.com

    208.90.57.32

    A

    mxnat2.res.cisco.com

    208.90.57.33

    A

    mxnat3.res.cisco.com

    184.94.241.96

    A

    mxnat4.res.cisco.com

    184.94.241.97

    A

    mxnat5.res.cisco.com

    184.94.241.98

    A

    mxnat6.res.cisco.com

    184.94.241.99

    A

    mxnat7.res.cisco.com

    208.90.57.34

    A

    mxnat8.res.cisco.com

    208.90.57.35

    A

    esa1.cres.iphmx.com

    68.232.140.79

    MX

    esa2.cres.iphmx.com

    68.232.140.57

    MX

    esa3.cres.iphmx.com

    68.232.135.234

    MX

    esa4.cres.iphmx.com

    68.232.135.235

    MX

    Nota: il nome host e gli indirizzi IP sono soggetti a modifiche in base alla manutenzione del servizio/rete o alla crescita del servizio/rete. Non tutti i nomi host e gli indirizzi IP vengono utilizzati per il servizio. Sono fornite qui come riferimento.

    Soluzione

    • Ottenere e installare un certificato firmato e un certificato intermedio sull'ESA.

      Nota: è necessario ottenere il certificato intermedio dall'autorità di firma in quanto il certificato demo presente sull'accessorio impedisce il completamento del processo di verifica CRES.

    • Crea un nuovo criterio flusso di posta:
      1. Dalla GUI, selezionare Mail Policies > Mail Flow Policies > Add Policy.
      2. Immettere un nome e lasciare invariate le altre impostazioni, ad eccezione di 'Funzioni di sicurezza: TLS'. Impostare su Obbligatorio.
        3.
    • Crea un nuovo gruppo di mittenti:
      1. Dalla GUI, selezionare Mail Policies > HAT Overview > Add Sender Group.
      2. Immettere un nome e impostare il numero di ordine su #1. È inoltre possibile immettere un commento facoltativo. Scegliere il criterio del flusso di posta creato nel passaggio 2. Lasciare tutto il resto in bianco.
      3. Fare clic su Submit andAdd Senders.
        4.
    • Nel campo Sender (Mittente), immettere i seguenti intervalli IP e nomi host: 
      .res.cisco.com
      .cres.iphmx.com
      208.90.57.0/26 (current CRES IP network range)
      204.15.81.0/26 (old CRES IP network range)

    • Inviare e confermare le modifiche.

    • Dopo aver verificato che l'ESA è pronta a negoziare la crittografia TLS dai server Cisco RES, eseguire i passaggi all'interno del portale di amministrazione di CRES Come verificare se il dominio supporta TLS con Cisco RES?
      •

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    09-Oct-2014
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Robert Sherwin
      Cisco TAC Engineer
    • Chris Arellano
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci