Configurar TLS para criptografia de conexão de entrada em um ouvinte de ESA
Contents
Introdução
Este documento descreve como ativar o Transport Layer Security (TLS) em um ouvinte no Email Security Appliance (ESA).
Pré-requisitos
Requisitos
Não existem requisitos específicos para este documento.
Componentes Utilizados
As informações neste documento são baseadas no ESA com qualquer versão do AsyncOS.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Informações de Apoio
Você deve habilitar o TLS para todos os ouvintes em que for necessária criptografia para conexões de entrada. Você pode habilitar o TLS em ouvintes que enfrentam a Internet (ouvintes públicos), mas não para ouvintes de sistemas internos (ouvintes privados). Ou talvez você queira habilitar a criptografia para todos os ouvintes. Por padrão, nem ouvintes públicos nem privados permitem conexões TLS. Você deve habilitar o TLS na HAT (Host Access Table, tabela de acesso de host) de um ouvinte para habilitar o TLS para emails de entrada (recebimento) ou de saída (envio). Além disso, as configurações de política de fluxo de mensagens para ouvintes públicos e privados têm o TLS desativado por padrão.
Configurar
Você pode especificar três configurações diferentes para TLS em um ouvinte:
| Configuração | Significado |
|---|---|
| No | O TLS não é permitido para conexões de entrada. As conexões com o listener não exigem conversações criptografadas do Simple Mail Transfer Protocol (SMTP). Essa é a configuração padrão para todos os ouvintes configurados no equipamento. |
| Preferencial | O TLS é permitido para conexões de entrada com o ouvinte a partir de Agentes de Transferência de Mensagens (MTAs). |
| Necessário | O TLS é permitido para conexões de entrada para o ouvinte a partir de MTAs e, até que um comando STARTTLS seja recebido, o ESA responde com uma mensagem de erro a todos os comandos diferentes de No Option (NOOP), EHLO ou QUIT. Se o TLS for 'Obrigatório', significa que o e-mail que o remetente não deseja criptografar com TLS será recusado pelo ESA antes de ser enviado, o que, portanto, impede que ele seja transmitido de forma clara. |
Habilitar TLS em uma política de fluxo de e-mail do HAT para um ouvinte através da GUI
Conclua estes passos:
- Na página Políticas de Fluxo de E-mail, escolha um listener cujas políticas você deseja modificar e clique no link do nome da política a ser editada. (Você também pode editar os Parâmetros de política padrão.) A página Editar políticas de fluxo de e-mail é exibida.
- Na seção "Criptografia e autenticação", no campo "Usar TLS:", escolha o nível de TLS desejado para o ouvinte.
- Clique em Submit.
- Clique em Commit Changes, adicione um comentário opcional, se necessário, e clique em Commit Changes para salvar as alterações.
Habilitar TLS em uma política de fluxo de e-mail do HAT para um ouvinte via CLI
- Use o comando listenerconfig > edit para escolher um listener que você deseja configurar.
- Use o comando hostaccess > default para editar as configurações HAT padrão do ouvinte.
- Insira uma destas opções para alterar a configuração de TLS quando for solicitado:
Do you want to allow encrypted TLS connections?
1. No
2. Preferred
3. Required
[1]>3
You have chosen to enable TLS. Please use the 'certconfig' command to
ensure that there is a valid certificate configured.Observe que este exemplo solicita que você use o comando certconfig para garantir que haja um certificado válido que possa ser usado com o ouvinte. Se você não tiver criado nenhum certificado, o ouvinte usará o certificado de demonstração pré-instalado no equipamento. Você pode habilitar o TLS com o certificado de demonstração para fins de teste, mas ele não é seguro e não é recomendado para uso geral. Use o comando listenerconfig > edit > certificate para atribuir um certificado ao listener.
Depois que você tiver configurado o TLS, a configuração será refletida no resumo do ouvinte na CLI:
Name: Inboundmail
Type: Public
Interface: PublicNet (192.168.2.1/24) TCP Port 25
Protocol: SMTP
Default Domain:
Max Concurrency: 1000 (TCP Queue: 50)
Domain map: disabled
TLS: Required - Insira o comando commit para habilitar a alteração.
Verificar
Use esta seção para confirmar se a sua configuração funciona corretamente.
- Use o arquivo de registro de correio de texto e consulte este documento: Determine se o ESA está usando TLS para entrega ou recebimento
- Usar Rastreamento de Mensagens: GUI: Monitorar > Rastreamento de Mensagens
- Usar relatório: GUI: Monitor > Conexões TLS
- Use um site de terceiros, como checktls.com
Troubleshooting
Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.
Você pode especificar se o ESA enviará um alerta se a negociação TLS falhar quando as mensagens forem entregues a um domínio que exija uma conexão TLS. A mensagem de alerta contém o nome do domínio de destino para a negociação TLS que falhou. O ESA envia a mensagem de alerta a todos os destinatários definidos para receber alertas de nível de gravidade de aviso para tipos de alerta do sistema. Você pode gerenciar os destinatários de alertas através da página Administração do sistema > Alertas na GUI (ou através do comando alertconfig na CLI).
Informações Relacionadas
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
08-May-2015 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)