在ESA監聽器上設定輸入連線加密的TLS

簡介

本文檔介紹如何在郵件安全裝置(ESA)的偵聽程式上啟用傳輸層安全(TLS)。

必要條件

需求

本文件沒有特定需求。

採用元件

本文檔中的資訊基於具有任何AsyncOS版本的ESA。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

背景資訊

您必須為任何需要輸入連線加密的監聽器啟用TLS。您可能想要在面向Internet的監聽程式（公共監聽程式）上啟用TLS，但內部系統的監聽程式（專用監聽程式）不啟用TLS。或者，您可能想要為所有監聽器啟用加密。預設情況下，無論是私有監聽程式還是公共監聽程式，都不允許TLS連線。您必須在偵聽程式的主機訪問表(HAT)中啟用TLS，以便針對入站（接收）或出站（傳送）電子郵件啟用TLS。此外，私人與公共偵聽程式的郵件流程原則設定預設會將TLS設為「關閉」。

設定

您可以在監聽器上指定TLS的三個不同設定：

透過GUI為偵聽程式啟用HAT郵件流策略上的TLS

請完成以下步驟：

1. 從「郵件流策略」頁中選擇要修改其策略的監聽程式，然後按一下要編輯的策略名稱的連結。（您也可以編輯[Default Policy Parameters]。） 接著顯示[編輯郵件流程原則]頁面。
2. 在「加密和驗證」段落的「使用TLS：」欄位中，選擇您要監聽器使用的TLS層級。
3. 按一下Submit。
4. 按一下Commit Changes，根據需要增加一個可選註釋，然後按一下Commit Changes以儲存更改。

注意：您可以在建立監聽器時，將TLS連線的特定憑證指派給個別的公用監聽器。

透過CLI對偵聽程式的HAT郵件流策略啟用TLS

1. 請使用listenerconfig > edit命令選擇要配置的監聽程式。
2. 請使用hostaccess > default命令編輯監聽器的預設HAT設定。
3. 輸入以下選項之一，以便在系統提示時更改TLS設定：

   Do you want to allow encrypted TLS connections?
   
       1. No
       2. Preferred
       3. Required
      [1]>3
   
   You have chosen to enable TLS. Please use the 'certconfig' command to
    ensure that there is a valid certificate configured.

   請注意，此示例要求您使用certconfig命令以確保有一個可用於偵聽器的有效證書。如果您尚未建立任何憑證，監聽器會使用預先安裝在裝置上的示範憑證。您可以啟用具有示範憑證的TLS來進行測試，但是它並不安全，不建議用於一般用途。請使用listenerconfig > edit > certificate命令，以便將證書分配給偵聽器。

   配置TLS後，設定將反映在CLI中監聽器的摘要中：

   Name: Inboundmail
   Type: Public
   Interface: PublicNet (192.168.2.1/24) TCP Port 25
   Protocol: SMTP
   Default Domain:
   Max Concurrency: 1000 (TCP Queue: 50)
   Domain map: disabled
   TLS: Required

4. 輸入commit命令以啟用更改。

驗證

使用本節內容，確認您的組態是否正常運作。

• 使用文本郵件日誌檔案並檢視此文檔：確定ESA是否使用TLS進行傳送或接收
• 使用訊息追蹤：GUI：監控>訊息追蹤
• 使用報告：GUI：監控> TLS連線
• 使用第三方網站，例如checktls.com

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

您可以指定當消息傳送到需要TLS連線的域時，如果TLS協商失敗，ESA是否傳送警報。警報消息包含失敗的TLS協商的目標域的名稱。ESA將警報消息傳送給所有設定為接收「系統」警報型別的「警告」嚴重性級別警報的收件人。您可以透過GUI中的System Administration > Alerts頁面(或透過CLI中的alertconfig命令)管理警報收件人。

相關資訊

• AsyncOS for Email最終使用手冊
• 技術支援與文件 - Cisco Systems