Controlar a negociação TLS sobre entrega no ESA

Opções de download

  • PDF     (395.0 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (265.4 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (132.0 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:16 de abril de 2018
ID do documento:118955

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como controlar a negociação do Transport Layer Security (TLS) na entrega no Email Security Appliance (ESA).

    Conforme definido no RFC 3207, "TLS é uma extensão do serviço SMTP que permite que um servidor e um cliente SMTP usem a segurança da camada de transporte para fornecer comunicação privada e autenticada pela Internet. O TLS é um mecanismo popular para aprimorar as comunicações TCP com privacidade e autenticação."

    Habilitar TLS na entrega

    Você pode exigir STARTTLS para a entrega de e-mail a domínios específicos com um dos métodos descritos neste documento:

    • Use o comando CLI destconfig.
    • Na GUI, escolha Políticas de e-mail > Controles de destino.

    A página Controles de destino ou o comando destconfig permite especificar cinco configurações diferentes para TLS de um determinado domínio ao incluir um domínio. Além disso, você pode determinar se a validação do domínio é necessária.

    Definições de configuração TLS

    Configuração TLS Significado
    Padrão A configuração TLS padrão que é definida quando você usa a página Controles de destino ou o subcomando destconfig -> default usado para conexões de saída do ouvinte para o Agente de Transferência de Mensagens (MTA) do domínio. O valor "Padrão" será definido se você responder não à pergunta: "Deseja aplicar uma configuração TLS específica para este domínio?"
    1. Não O TLS não é negociado para conexões de saída da interface para o MTA do domínio.
    2. Preferido O TLS é negociado a partir da interface ESA para o(s) MTA(s) do domínio. No entanto, se a negociação TLS falhar (antes de receber uma resposta 220), a transação SMTP continuará "sem criptografia" (não criptografada). Não é feita nenhuma tentativa de verificar se o certificado é proveniente de uma autoridade de certificação confiável. Se ocorrer um erro após o recebimento da resposta 220, a transação SMTP não retornará ao texto não criptografado.
    3. Obrigatório O TLS é negociado da interface ESA para o(s) MTA(s) do domínio. Não é feita nenhuma tentativa de verificar o certificado do domínio. Se a negociação falhar, nenhum e-mail será enviado por meio da conexão. Se a negociação for bem-sucedida, o e-mail será entregue por meio de uma sessão criptografada.
    4. Preferencial (Verificar) O TLS é negociado do ESA para o(s) MTA(s) do domínio. O equipamento tenta verificar o certificado do domínio.Três resultados são possíveis:
    • O TLS é negociado e o certificado é verificado. O e-mail é entregue por meio de uma sessão criptografada.
    • O TLS é negociado, mas o certificado não é verificado. O e-mail é entregue por meio de uma sessão criptografada.
    • Nenhuma conexão TLS é feita e, subsequentemente, o certificado não é verificado. A mensagem de e-mail é entregue em texto simples.
    5. Obrigatório (Verificar) O TLS é negociado do ESA para o(s) MTA(s) do domínio. A verificação do certificado de domínio é necessária. Três resultados são possíveis:
    • Uma conexão TLS é negociada e o certificado é verificado. A mensagem de e-mail é entregue por meio de uma sessão criptografada.
    • Uma conexão TLS é negociada, mas o certificado não é verificado por uma CA (Autoridade de Certificação) confiável. O e-mail não foi entregue.
    • Uma conexão TLS não é negociada. O e-mail não foi entregue.
    6. Obrigatório - Verificar Domínios Hospedados

    A diferença entre as opções TLS Obrigatório - Verificar e TLS Obrigatório - Verificar Domínio Hospedado está no processo de verificação de identidade. A forma como a identidade apresentada é processada e que tipo de identificadores de referência podem ser usados faz uma diferença sobre um resultado final.

    A identidade apresentada é derivada primeiro da extensão subjectAltName do tipo dNSName. Se não houver correspondência entre o dNSName e uma das identidades de referência aceitas (REF-ID), a verificação falhará, independentemente de CN existir no campo assunto e poderá passar por uma verificação de identidade adicional. O CN derivado do campo de assunto é validado somente quando o certificado não contém nenhuma extensão subjectAltName do tipo dNSName.

    Revise o Processo de verificação TLS para o Cisco Email Security para obter mais informações.

    Habilitar TLS na GUI

    1. Escolha Monitor > Controles de destino.
    2. Clique em Add Destination.
    3. Adicione o domínio de destino no campo Destino.
    4. Selecione o método de suporte TLS na lista suspensa Suporte TLS.
    5. Clique em Submit para enviar as alterações.

    118955-Control-TLS-Negotiation-ESA-00-00.png

    Habilitar TLS na CLI

    Este exemplo usa o comando destconfig para exigir conexões TLS e conversações criptografadas para o domínio example.com. Observe que este exemplo mostra que o TLS é necessário para um domínio que usa o certificado de demonstração pré-instalado no equipamento. Você pode habilitar o TLS com o certificado de demonstração para fins de teste, mas ele não é seguro e não é recomendado para uso geral.

    O valor "Padrão" será definido se você responder não à pergunta: "Deseja aplicar uma configuração TLS específica para este domínio?" Se você responder yes, escolha No, Preferred ou Required.

    ESA> destconfig

    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> new

    Enter the domain you wish to configure.
    []> example.com
    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> new

    Enter the domain you wish to configure.
    []> example.com

    Do you wish to configure a concurrency limit for example.com? [Y]> N

    Do you wish to apply a messages-per-connection limit to this domain? [N]> N

    Do you wish to apply a recipient limit to this domain? [N]> N

    Do you wish to apply a specific TLS setting for this domain? [N]> Y

    Do you want to use TLS support?
    1. No
    2. Preferred
    3. Required
    4. Preferred - Verify
    5. Required - Verify
    6. Required - Verify Hosted Domains 
    [1]> 3

    You have chosen to enable TLS. Please use the 'certconfig' command to
     ensure that there is a valid certificate configured.

    Do you wish to apply a specific bounce verification
     address tagging setting for this domain? [N]> N

    Do you wish to apply a specific bounce profile to this domain? [N]> N

    Do you wish to apply a specific IP sort preference to this domain? [N]> N

    There are currently 3 entries configured.

    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> list

                 Rate               Bounce        Bounce     IP Version  
    Domain       Limiting  TLS      Verification  Profile    Preference  
    ===========  ========  =======  ============  =========  ============
    example.com  Default   On       Default       Default    Default     
    (Default)    On        Off      Off           (Default)  Prefer IPv6

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    11-May-2015
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Jerry Orona
      Engenheiro do Cisco TAC
    • Enrico Werner
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos