TLS voor inkomende verbindingsencryptie op een ESA-luisteraar configureren

Downloadopties

  • PDF     (254.9 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (87.8 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (72.6 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:8 mei 2015
Document-id:118954

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe u Transport Layer Security (TLS) op een luisteraar in de e-mail security applicatie (ESA) kunt inschakelen.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de ESA met elke AsyncOS-versie.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Achtergrondinformatie

U moet TLS inschakelen voor alle luisteraars die versleuteling nodig hebben voor inkomende verbindingen. U zou TLS op luisteraars kunnen willen toelaten die met het Internet (openbare luisteraars) worden geconfronteerd, maar niet voor luisteraars voor interne systemen (privé luisteraars). Of, u zou encryptie voor alle luisteraars kunnen willen toelaten. Standaard staan noch particuliere noch openbare luisteraars TLS-verbindingen toe. U moet TLS in de Host Access Table (HAT) van een luisteraar inschakelen om TLS in te schakelen voor inkomende (ontvangen) of uitgaande (verzenden) e-mail. Daarnaast hebben de instellingen voor het e-mailstroombeleid voor particuliere en openbare luisteraars TLS standaard uitgeschakeld.

Configureren

U kunt drie verschillende instellingen opgeven voor TLS in een luisteraar:

Instelling Betekenis
Nee TLS is niet toegestaan voor inkomende verbindingen. Voor verbindingen met de luisteraar zijn geen versleutelde Simple Mail Transfer Protocol (SMTP)-gesprekken nodig. Dit is de standaardinstelling voor alle luisteraars die u op het apparaat configureert.
Preferred (Voorkeur) TLS is toegestaan voor inkomende verbindingen met de luisteraar via Message Transfer Agents (MTA’s).
Vereist TLS is toegestaan voor inkomende verbindingen met de luisteraar van MTA's, en totdat een STARTTLS-opdracht wordt ontvangen, reageert de ESA met een foutmelding op elk commando anders dan No Option (NOOP), EHLO of QUIT. Als TLS 'verplicht' is, betekent dit dat de e-mail die de afzender niet met TLS versleuteld wil hebben, door de ESA wordt geweigerd voordat deze wordt verzonden, wat verhindert dat de e-mail in onuitwisbare vorm wordt verzonden.

TLS op een HAT Mail Flow Policy inschakelen voor een luisteraar via de GUI

Voer de volgende stappen uit:

  1. Kies een luisteraar wiens beleid u wilt wijzigen en klik vervolgens op de link voor de naam van het beleid dat u wilt bewerken. (U kunt ook de parameters voor standaardbeleid bewerken.) De pagina Mail Flow Policies bewerken wordt weergegeven.
  2. Kies in het gedeelte "Encryptie en verificatie" voor het veld "Gebruik TLS:" het gewenste TLS-niveau voor de luisteraar.
  3. Klik op Verzenden.
  4. Klik op Veranderingen vastleggen, voeg indien nodig een optionele opmerking toe en klik vervolgens op Veranderingen vastleggen om de wijzigingen op te slaan.

Opmerking: u kunt een specifiek certificaat voor TLS-verbindingen toewijzen aan afzonderlijke openbare luisteraars wanneer u een luisteraar maakt.

TLS inschakelen op een HAT Mail Flow Policy voor een luisteraar via de CLI

  1. Gebruik de opdracht listenerconfig > edit om een luisteraar te kiezen die u wilt configureren.
  2. Gebruik de hostaccess > default opdracht om de standaard HAT-instellingen van de luisteraar te bewerken.
  3. Voer een van deze opties in om de TLS-instelling te wijzigen wanneer u wordt gevraagd:
    Do you want to allow encrypted TLS connections?

        1. No
        2. Preferred
        3. Required
       [1]>3

    You have chosen to enable TLS. Please use the 'certconfig' command to
     ensure that there is a valid certificate configured.

    Merk op dat dit voorbeeld u vraagt om de opdracht certconfig te gebruiken om er zeker van te zijn dat er een geldig certificaat is dat kan worden gebruikt met de luisteraar. Als u geen certificaten hebt aangemaakt, gebruikt de luisteraar het demonstratiecertificaat dat vooraf op het apparaat is geïnstalleerd. U kunt TLS met het demonstratiecertificaat inschakelen voor testdoeleinden, maar het is niet veilig en wordt niet aanbevolen voor algemeen gebruik. Gebruik de opdracht listenerconfig > bewerken > certificaat om een certificaat toe te wijzen aan de luisteraar.

    Zodra u TLS hebt geconfigureerd, wordt de instelling weergegeven in de samenvatting van de luisteraar in de CLI:

    Name: Inboundmail
    Type: Public
    Interface: PublicNet (192.168.2.1/24) TCP Port 25
    Protocol: SMTP
    Default Domain:
    Max Concurrency: 1000 (TCP Queue: 50)
    Domain map: disabled
    TLS: Required
  4. Voer de opdracht commit in om de wijziging in te schakelen.

Verifiëren

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

  • Gebruik het logbestand van de tekstmail en zie dit document: Bepaal of ESA TLS gebruikt voor levering of ontvangst
  • Gebruik Berichttracering: GUI: Monitor > Berichttracering
  • Gebruiksrapportage: GUI: monitor > TLS-verbindingen
  • Gebruik een website van derden, zoals checktls.com

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

U kunt specificeren of de ESA een waarschuwing verstuurt als de TLS-onderhandeling mislukt wanneer berichten worden geleverd aan een domein waarvoor een TLS-verbinding vereist is. Het waarschuwingsbericht bevat de naam van het doeldomein voor de mislukte TLS-onderhandeling. De ESA stuurt het waarschuwingsbericht naar alle ontvangers die zijn ingesteld om waarschuwingen met betrekking tot de ernst van het systeem te ontvangen. U kunt waarschuwingsontvangers beheren via de pagina Systeembeheer > Waarschuwingen in de GUI (of via de opdracht alertconfig in de CLI).

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
08-May-2015
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Enrico Werner
    Cisco TAC Engineer.

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten