在ESA上控制传输时的TLS协商

下载选项

  • PDF     (479.1 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (261.8 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (127.9 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2018 年 4 月 16 日
文档 ID:118955

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何在邮件安全设备(ESA)上控制传输层安全(TLS)传输协商。

    如RFC 3207中所定义,“TLS是SMTP服务的扩展,它允许SMTP服务器和客户端使用传输层安全来通过Internet提供经过身份验证的专用通信。TLS是一种通过隐私和身份验证增强TCP通信的常用机制。”

    传送时启用TLS

    您可以要求STARTTLS使用本文档中介绍的其中一种方法将邮件传送到特定域:

    • 请使用CLI destconfig命令。
    • 从GUI中依次选择邮件策略 > 目标控制

    当您包含域时,Destination Controls页或destconfig命令允许您为给定域指定TLS的五种不同设置。此外,您可以指定是否需要验证域。

    TLS设置定义

    TLS设置 含义
    默认 使用“目标控制”页或destconfig -> default子命令时设置的默认TLS设置,该子命令用于从侦听程序到域的邮件传输代理(MTA)的传出连接。如果对问题“Do you want to apply a specific TLS setting for this domain?”回答no,则会设置值“Default”
    1. 否 对于从接口到域的MTA的传出连接,不会协商TLS。
    2. 首选 TLS从ESA接口协商至域的MTA。但是,如果TLS协商失败(在收到220响应之前),SMTP事务将“以明文形式”(未加密)继续。不会尝试验证证书是否来自受信任的证书颁发机构。如果在收到220响应后出错,SMTP事务不会回退到明文。
    3. 必需 TLS从ESA接口协商为域的MTA。没有尝试验证域的证书。如果协商失败,则不会通过连接发送电子邮件。如果协商成功,邮件将通过加密会话传送。
    4. 首选(验证) TLS从ESA协商至域的MTA。设备会尝试验证域的证书。可能会出现以下三种结果:
    • 将协商TLS并验证证书。邮件通过加密会话传送。
    • TLS是协商的,但证书未验证。邮件通过加密会话传送。
    • 未建立TLS连接,因此未验证证书。电邮以纯文本发送。
    5. 必填(验证) TLS从ESA协商至域的MTA。需要验证域证书。有三种可能的结果:
    • 将协商TLS连接并验证证书。电邮通过加密会话传送。
    • 将协商TLS连接,但证书未经受信任证书颁发机构(CA)验证。邮件未送达。
    • TLS连接未协商。邮件未送达。
    6. 必需-验证托管域

    需要TLS -验证需要TLS -验证托管域选项之间的区别存在于身份验证过程中。处理呈现标识的方式以及允许使用哪种类型的引用标识符对最终结果有影响。

    提供的标识首先从dNSName类型的subjectAltName扩展派生。如果dNSName与接受的一个引用标识(REF-ID)之间没有匹配,则验证失败,无论主题字段中是否存在CN,并且可以通过进一步的标识验证。仅当证书不包含任何dNSName类型的subjectAltName扩展名时,才会验证从subject字段派生的CN。

    有关详细信息,请参阅思科邮件安全的TLS验证过程

    在GUI上启用TLS

    1. 选择Montior > Destination Controls
    2. 单击Add Destination
    3. 在Destination字段中添加目标域。
    4. 从TLS支持(TLS Support)下拉列表中选择TLS支持方法。
    5. 单击Submit以提交更改。

    118955-Control-TLS-Negotiation-ESA-00-00.png

    在CLI上启用TLS

    此示例使用destconfig命令,以便为域example.com要求TLS连接和加密会话。请注意,此示例显示,使用设备上预安装的演示证书的域需要TLS。您可以使用演示证书启用TLS以进行测试,但它并不安全,不建议用于一般用途。

    如果对问题“Do you want to apply a specific TLS setting for this domain?”回答no,则会设置值“Default” 如果回答yes,请选择NoPreferredRequired

    ESA> destconfig

    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> new

    Enter the domain you wish to configure.
    []> example.com
    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> new

    Enter the domain you wish to configure.
    []> example.com

    Do you wish to configure a concurrency limit for example.com? [Y]> N

    Do you wish to apply a messages-per-connection limit to this domain? [N]> N

    Do you wish to apply a recipient limit to this domain? [N]> N

    Do you wish to apply a specific TLS setting for this domain? [N]> Y

    Do you want to use TLS support?
    1. No
    2. Preferred
    3. Required
    4. Preferred - Verify
    5. Required - Verify
    6. Required - Verify Hosted Domains 
    [1]> 3

    You have chosen to enable TLS. Please use the 'certconfig' command to
     ensure that there is a valid certificate configured.

    Do you wish to apply a specific bounce verification
     address tagging setting for this domain? [N]> N

    Do you wish to apply a specific bounce profile to this domain? [N]> N

    Do you wish to apply a specific IP sort preference to this domain? [N]> N

    There are currently 3 entries configured.

    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> list

                 Rate               Bounce        Bounce     IP Version  
    Domain       Limiting  TLS      Verification  Profile    Preference  
    ===========  ========  =======  ============  =========  ============
    example.com  Default   On       Default       Default    Default     
    (Default)    On        Off      Off           (Default)  Prefer IPv6

    修订历史记录

    版本 发布日期 备注
    1.0
    11-May-2015
    初始版本
    TAC Authored

    由思科工程师提供

    • 杰里·奥罗纳
      思科TAC工程师
    • 恩里科·维尔纳
      思科TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品