はじめに
このドキュメントでは、Eメールセキュリティアプライアンス(ESA)でのTransport Layer Security(TLS)の設定に関するよくある質問(FAQ)について説明します。
TLSとは
RFC 3207 で定義されるように、「TLS は、SMTP サーバとクライアントが transport-layer security を使用して、インターネット上でプライベートな認証通信を提供できるようにする SMTP サービスの拡張です。TLS は、TCP 通信をプライバシーな認証で強化する一般的なメカニズムです」。 ESAのSTARTTLS実装は、暗号化を通じてプライバシーを提供します。X.509証明書と秘密キーを認証局(CA)サービスからインポートしたり、自己署名証明書を使用したりできます。
ESAでTLSを有効にするには何が必要ですか。
TLSを有効にするには、次の手順を実行する必要があります。
-
証明書の取得
-
ESAへの証明書のインストール
-
システムで受信、配信、またはその両方のTLSを有効にする
注:ESAにはテスト用のデモ証明書が含まれています。デモ証明書は安全ではないため、一般的な使用には推奨されません。
詳細については、『ESA証明書インストール要件』を参照してください。
受信のためにTLSを有効にする方法
次の手順は、ESAパブリックリスナー(受信)と通信するリモートホストからのTLSを要求するために必要です。リモートホストと通信するリスナーのホストアクセステーブル(HAT)でTLSを有効にします。
- GUIに移動します:メールポリシー>メールフローポリシー
- 「メールフローポリシー」ページの「リスナー」ドロップダウンメニューから、リモートホストが接続するリスナーを選択します。
- ポリシー名をクリックし、[ポリシーの編集]ページの下部にある[TLSを使用する]チェックボックスをオンにして、1つ以上のメールフローポリシーでTLSを有効にします。
詳細については、『ESAリスナーでインバウンド接続暗号化のTLSを有効にする方法』を参照してください。
配信のためにTLSを有効にする方法
リモートドメイン内のホストに配信するためにTLSを有効にするには、次の手順を実行する必要があります。
- GUIでMail Policies > Destination Controlsの順に選択します。
- TLSを使用するドメインの新しい宛先を追加します
- 同時接続の制限、受信者の制限、およびバウンスプロファイルを設定するか、既定値を受け入れます。
- ドメインのTLS設定の適用(
No
、Preferred
、またはRequired
)
詳細は、『配信時のTLSネゴシエーションの制御方法』を参照してください。
ESAがTLSを使用しているかどうかを判断するには、どうすればよいですか。
ESAのメールログには、成功したTLS接続と失敗したTLS接続のエントリが含まれています。grepなどのコマンドラインツールを使用して、特定のログエントリを検索できます。TLS接続が失敗した場合のシステムアラートは、GUIのSystem Administration > AlertsページまたはCLIのalertconfigコマンドでも設定できます。
詳細については、「ESAが配信または受信にTLSを使用しているかどうかを判断する」を参照してください。
詳細については、『Cisco AsyncOS for Emailユーザガイド』の「他のMTAとの通信の暗号化」の章を参照してください。
関連情報