在ESA侦听程序上配置入站连接加密的TLS

下载选项

  • PDF     (353.2 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (81.5 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (64.7 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2015 年 5 月 8 日
文档 ID:118954

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍如何在邮件安全设备(ESA)的侦听程序上启用传输层安全(TLS)。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于任何AsyncOS版本的ESA。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

背景信息

对于任何需要加密入站连接的侦听程序,都必须启用TLS。您可能希望在面向Internet的侦听程序(公共侦听程序)上启用TLS,但不会为内部系统的侦听程序(专用侦听程序)启用TLS。或者,您可能希望为所有监听程序启用加密。默认情况下,私有和公共侦听程序都不允许TLS连接。必须在侦听程序的主机访问表(HAT)中启用TLS,才能为入站(接收)或出站(发送)邮件启用TLS。此外,私有和公共侦听程序的邮件流策略设置默认情况下已将TLS设置为“off”。

配置

您可以在侦听程序上为TLS指定三种不同的设置:

设置 含义
不允许对传入连接使用TLS。与侦听程序的连接不需要加密的简单邮件传输协议(SMTP)会话。这是您在设备上配置的所有侦听程序的默认设置。
Preferred(首选) 允许从邮件传输代理(MTA)到侦听程序的传入连接使用TLS。
必需 对于从MTA到侦听程序的传入连接,允许TLS,并且在收到STARTTLS命令之前,ESA会以错误消息响应除No Option (NOOP)、EHLO或QUIT之外的每个命令。如果TLS为“必需”,则意味着发件人不希望使用TLS加密的邮件在发送之前会被ESA拒绝,从而阻止其以明文形式传输。

通过GUI对侦听程序的HAT邮件流策略启用TLS

请完成以下步骤:

  1. 在“邮件流策略”(Mail Flow Policies)页面中,选择要修改其策略的侦听程序,然后点击要编辑的策略名称的链接。(也可以编辑默认策略参数。) 系统将显示“编辑邮件流策略”(Edit Mail Flow Policies)页面。
  2. 在“加密和身份验证”(Encryption and Authentication)部分的“使用TLS:”(Use TLS:)字段中,选择侦听程序所需的TLS级别。
  3. 单击“Submit”。
  4. 单击Commit Changes,根据需要添加可选注释,然后单击Commit Changes以保存更改。

注意:创建侦听程序时,可以将TLS连接的特定证书分配给各个公共侦听程序。

通过CLI对侦听程序的HAT邮件流策略启用TLS

  1. 请使用listenerconfig > edit命令选择要配置的侦听程序。
  2. 请使用hostaccess > default命令编辑侦听程序的默认HAT设置。
  3. 输入以下选项之一,以便在系统提示时更改TLS设置:
    Do you want to allow encrypted TLS connections?

        1. No
        2. Preferred
        3. Required
       [1]>3

    You have chosen to enable TLS. Please use the 'certconfig' command to
     ensure that there is a valid certificate configured.

    请注意,此示例要求您使用certconfig命令以确保有一个可用于侦听器的有效证书。如果您尚未创建任何证书,侦听程序将使用设备上预安装的演示证书。您可以使用演示证书启用TLS以进行测试,但它并不安全,不建议用于一般用途。请使用listenerconfig > edit > certificate命令为侦听程序分配证书。

    配置TLS后,设置将反映在CLI中侦听程序的摘要中:

    Name: Inboundmail
    Type: Public
    Interface: PublicNet (192.168.2.1/24) TCP Port 25
    Protocol: SMTP
    Default Domain:
    Max Concurrency: 1000 (TCP Queue: 50)
    Domain map: disabled
    TLS: Required
  4. 输入commit命令以启用更改。

验证

使用本部分可确认配置能否正常运行。

  • 使用文本邮件日志文件并查看本文档:确定ESA是使用TLS进行传送还是接收
  • 使用邮件跟踪:GUI:监控(Monitor) >邮件跟踪(Message Tracking)
  • 使用报告:GUI:监控> TLS连接
  • 使用第三方网站,例如checktls.com

故障排除

本部分提供的信息可用于对配置进行故障排除。

可以指定当邮件传送到需要TLS连接的域时,如果TLS协商失败,ESA是否发送警报。警报消息包含失败TLS协商的目标域的名称。ESA将警报消息发送到设置为接收系统警报类型的“警告”(Warning)严重性级别警报的所有收件人。您可以通过GUI中的System Administration > Alerts页面(或通过CLI中的alertconfig命令)管理警报收件人。

相关信息

修订历史记录

版本 发布日期 备注
1.0
08-May-2015
初始版本
TAC Authored

由思科工程师提供

  • Enrico Werner
    Cisco TAC Engineer.

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品