Controle over TLS-onderhandeling over levering op de ESA

Downloadopties

  • PDF     (395.1 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (266.2 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (133.2 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:16 april 2018
Document-id:118955

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u TLS-onderhandeling (Transport Layer Security) bij levering via de e-mail security applicatie (ESA) kunt controleren.

    Zoals gedefinieerd in RFC 3207, "TLS is een uitbreiding van de SMTP-service die een SMTP-server en client in staat stelt om transportlaagbeveiliging te gebruiken om privé, geverifieerde communicatie via het internet te bieden. TLS is een populair mechanisme voor het verbeteren van TCP communicatie met privacy en authenticatie."

    TLS op levering inschakelen

    U kunt STARTTLS voor e-maillevering aan specifieke domeinen met één van deze die methodes vereisen in dit document worden beschreven:

    • Gebruik het CLI-decoderingsopdracht.
    • Kies in de GUI Mail Policies > Bestemmingscontroles.

    Met de pagina Bestemmingscontroles of de opdracht destconfig kunt u vijf verschillende instellingen opgeven voor TLS voor een bepaald domein wanneer u een domein opneemt. Daarnaast kunt u bepalen of validatie van het domein noodzakelijk is.

    Definities voor TLS-instelling

    TLS-instelling Betekenis
    Standaard De standaardinstelling van TLS die wordt ingesteld wanneer u de pagina Bestemmingscontroles of de decodeconfiguratie gebruikt -> standaard subopdracht die wordt gebruikt voor uitgaande verbindingen van de luisteraar naar de Berichtoverdrachtsagent (MTA) voor het domein. De waarde "Default" wordt ingesteld als u nee antwoordt op de vraag: "Wilt u een specifieke TLS-instelling toepassen voor dit domein?"
    1. Neen TLS wordt niet onderhandeld voor uitgaande verbindingen van de interface naar MTA voor het domein.
    2. Voorkeursbehandeling TLS wordt via de ESA-interface onderhandeld met de MTA(s) voor het domein. Als de TLS-onderhandeling echter mislukt (voorafgaand aan het ontvangen van een 220-reactie), gaat de SMTP-transactie "in het duidelijke" (niet versleuteld) door. Er wordt geen poging ondernomen om te verifiëren of het certificaat afkomstig is van een vertrouwde certificeringsinstantie. Als er een fout optreedt nadat de 220-reactie is ontvangen, valt de SMTP-transactie niet terug naar de duidelijke tekst.
    3. Vereist TLS wordt via de ESA-interface onderhandeld met MTA(s) voor het domein. Er wordt geen poging gedaan om het certificaat van het domein te verifiëren. Als de onderhandeling mislukt, wordt er geen e-mail verzonden via de verbinding. Als de onderhandeling slaagt, wordt de post geleverd via een gecodeerde zitting.
    4. Voorkeurs (controleren) TLS wordt door de ESA onderhandeld aan de MTA(s) voor het domein. Het apparaat probeert het certificaat van het domein te verifiëren.Drie resultaten zijn mogelijk:
    • TLS wordt besproken en het certificaat wordt geverifieerd. De mail wordt geleverd via een versleutelde sessie.
    • TLS wordt onderhandeld, maar het certificaat wordt niet geverifieerd. De mail wordt geleverd via een versleutelde sessie.
    • Er wordt geen TLS-verbinding gemaakt en het certificaat wordt vervolgens niet geverifieerd. Het e-mailbericht wordt in onbewerkte tekst verzonden.
    5. Vereist (controleren) TLS wordt door de ESA onderhandeld aan de MTA(s) voor het domein. Het domeincertificaat moet worden geverifieerd. Drie uitkomsten zijn mogelijk:
    • Er wordt onderhandeld over een TLS-verbinding en het certificaat wordt geverifieerd. Het e-mailbericht wordt geleverd via een versleutelde sessie.
    • Er wordt onderhandeld over een TLS-verbinding, maar het certificaat wordt niet geverifieerd door een vertrouwde certificeringsinstantie (CA). De post wordt niet afgeleverd.
    • Er wordt niet onderhandeld over een TLS-verbinding. De post wordt niet afgeleverd.
    6. Vereist - Controleer gehoste domeinen

    Het verschil tussen de opties TLS Vereist - Verifieer en TLS Vereist - Verifieer Hosted Domain opties ligt in het identiteitsverificatieproces. De wijze waarop de voorgestelde identiteit wordt verwerkt en welk soort referentie-identificatoren mogen worden gebruikt, maken een verschil in het eindresultaat.

    De voorgestelde identiteit wordt eerst afgeleid van subjectAltName extensie van het type dNSName. Als er geen overeenkomst is tussen de dNSName en een van de geaccepteerde referentie-identiteiten (REF-ID), mislukt de verificatie ongeacht of GN in het onderwerpveld bestaat en kan verdere identiteitsverificatie doorstaan. De van onderwerp afgeleide GN wordt slechts gevalideerd wanneer het certificaat geen van subjectAltName uitbreiding van type dNSName bevat.

    Controleer het TLS-verificatieproces voor Cisco Email Security voor meer informatie.

    TLS op de GUI inschakelen

    1. Kies Monitor > Bestemmingscontroles.
    2. Klik op Bestemming toevoegen.
    3. Voeg het doeldomein toe in het veld Bestemming.
    4. Selecteer de TLS-ondersteuningsmethode in de vervolgkeuzelijst TLS-ondersteuning.
    5. Klik op Indienen om de wijzigingen in te dienen.

    118955-Control-TLS-Negotiation-ESA-00-00.png

    TLS op de CLI inschakelen

    Dit voorbeeld gebruikt de opdracht destconfig om TLS-verbindingen en versleutelde gesprekken voor het domein example.com te vereisen. In dit voorbeeld wordt aangegeven dat TLS vereist is voor een domein dat gebruik maakt van het demonstratiecertificaat dat vooraf op het apparaat is geïnstalleerd. U kunt TLS met het demonstratiecertificaat inschakelen voor testdoeleinden, maar het is niet veilig en wordt niet aanbevolen voor algemeen gebruik.

    De waarde "Default" wordt ingesteld als u nee antwoordt op de vraag: "Wilt u een specifieke TLS-instelling toepassen voor dit domein?" Als u ja antwoordt, kies Nee, Voorkeur, of Vereist.

    ESA> destconfig

    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> new

    Enter the domain you wish to configure.
    []> example.com
    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> new

    Enter the domain you wish to configure.
    []> example.com

    Do you wish to configure a concurrency limit for example.com? [Y]> N

    Do you wish to apply a messages-per-connection limit to this domain? [N]> N

    Do you wish to apply a recipient limit to this domain? [N]> N

    Do you wish to apply a specific TLS setting for this domain? [N]> Y

    Do you want to use TLS support?
    1. No
    2. Preferred
    3. Required
    4. Preferred - Verify
    5. Required - Verify
    6. Required - Verify Hosted Domains 
    [1]> 3

    You have chosen to enable TLS. Please use the 'certconfig' command to
     ensure that there is a valid certificate configured.

    Do you wish to apply a specific bounce verification
     address tagging setting for this domain? [N]> N

    Do you wish to apply a specific bounce profile to this domain? [N]> N

    Do you wish to apply a specific IP sort preference to this domain? [N]> N

    There are currently 3 entries configured.

    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> list

                 Rate               Bounce        Bounce     IP Version  
    Domain       Limiting  TLS      Verification  Profile    Preference  
    ===========  ========  =======  ============  =========  ============
    example.com  Default   On       Default       Default    Default     
    (Default)    On        Off      Off           (Default)  Prefer IPv6

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    11-May-2015
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Jerry Orona
      Cisco TAC Engineer
    • Enrico Werner
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten