Einleitung
In diesem Dokument werden die Aktionen zum Konfigurieren der TLS-Verschlüsselung für eingehende sichere CRES-Antworten anstelle eines Secure Envelope-Anhangs beschrieben.
Cisco RES: Sichern unverschlüsselter RES-Antworten mit TLS
Standardmäßig werden Antworten auf eine sichere E-Mail von Cisco RES verschlüsselt und an das E-Mail-Gateway gesendet. Diese werden dann verschlüsselt an Ihre Mail-Server weitergeleitet, damit sich der Endbenutzer mit seinen Cisco RES-Anmeldeinformationen öffnen kann.
Um sicherzustellen, dass beim Öffnen einer sicheren Antwort auf eine Cisco RES-Nachricht keine Benutzerauthentifizierung erforderlich ist, stellt Cisco RES E-Mail-Gateways, die Transport Layer Security (TLS) unterstützen, in "unverschlüsselter" Form bereit. In den meisten Fällen ist das E-Mail-Gateway die Cisco E-Mail Security Appliance (ESA). Es gilt dieser Artikel.
Wenn jedoch ein anderes Mail-Gateway, z. B. ein externer Spam-Filter, der ESA vorgeschaltet ist, ist die Konfiguration des Zertifikats/TLS/Mail-Flusses auf der ESA nicht erforderlich. In diesem Fall können Sie die Schritte 1 bis 3 im Lösungsabschnitt dieses Dokuments überspringen. Damit unverschlüsselte Antworten in dieser Umgebung funktionieren, muss TLS von der Appliance über den externen Spam-Filter (Mail-Gateway) unterstützt werden. Wenn TLS unterstützt wird, können Sie dies von Cisco RES bestätigen lassen und die Einrichtung für "unverschlüsselte" Antworten auf sichere E-Mails veranlassen.
Absenderrichtlinien-Framework
Um Fehler bei der Überprüfung des Sender Policy Framework (SPF) zu vermeiden, fügen Sie diese Werte zu Ihrem SPF-Datensatz hinzu.
Der SPF-Datensatzwert des Cisco Registered Envelope Service (CRES) stimmt mit den IP-/Hostnamen in dieser Tabelle, "Hostnamen und IP-Adressen", überein.
Die Ausgabe erfolgt über den von Cisco bereitgestellten SPF-Mechanismus:
~ dig txt res.cisco.com +short
"v=spf1 mx:res.cisco.com exists:%{i}.spf.res.cisco.com -all"
Fügen Sie diesen Mechanismus zu Ihrem vorhandenen SPF-Datensatz hinzu:
include:res.cisco.com
Beispiel eines FAKE/Test-SPF-Datensatzes, der den neuen Mechanismus res.cisco.com enthält:
"v=spf1 mx:sampleorg1.com ip4:1.2.3.4 include:res.cisco.com -all"
Wo und wie Sie Cisco RES zu Ihrem SPF-Datensatz hinzufügen, hängt davon ab, wie das Domain Name System (DNS) in Ihrer Netzwerktopologie implementiert ist. Weitere Informationen erhalten Sie von Ihrem DNS-Administrator.
Wenn DNS nicht für die Einbindung von Cisco RES konfiguriert ist und sichere Antworten generiert und über die gehosteten Schlüsselserver bereitgestellt werden, stimmt die ausgehende IP-Adresse nicht mit den aufgelisteten IP-Adressen am Ende des Empfängers überein, was zu einem Fehler bei der SPF-Verifizierung führt.
Hostnamen und IP-Adressen
Hostname |
IP-Adresse |
Datensatztyp |
res.cisco.com |
184.94.241.74 |
A |
mxnat1.res.cisco.com |
208.90.57.32 |
A |
mxnat2.res.cisco.com |
208.90.57.33 |
A |
mxnat3.res.cisco.com |
184.94.241.96 |
A |
mxnat4.res.cisco.com |
184.94.241.97 |
A |
mxnat5.res.cisco.com |
184.94.241.98 |
A |
mxnat6.res.cisco.com |
184.94.241.99 |
A |
mxnat7.res.cisco.com |
208.90.57.34 |
A |
mxnat8.res.cisco.com |
208.90.57.35 |
A |
esa1.cres.iphmx.com |
68.232.140.79 |
MX |
esa2.cres.iphmx.com |
68.232.140.57 |
MX |
esa3.cres.iphmx.com |
68.232.135.234 |
MX |
esa4.cres.iphmx.com |
68.232.135.235 |
MX |
Hinweis: Hostname und IP-Adressen können sich je nach Service-/Netzwerkwartung oder Service-/Netzwerkwachstum ändern. Nicht alle Hostnamen und IP-Adressen werden für den Dienst verwendet. Sie sind hier als Referenz angegeben.
Lösung
- Beschaffen und installieren Sie ein signiertes Zertifikat und ein Zwischenzertifikat auf der ESA.
Hinweis: Sie müssen das Zwischenzertifikat von Ihrer Unterzeichnungsberechtigung beziehen, da das Demozertifikat, das auf der Appliance bereitgestellt wird, den CRES-Verifizierungsprozess fehlschlägt.
- Erstellen Sie eine neue Mail Flow-Richtlinie:
- Wählen Sie in der GUI die Option
Mail Policies > Mail Flow Policies > Add Policy.
- Geben Sie einen Namen ein, und lassen Sie alle anderen Standardeinstellungen außer "Sicherheitsfunktionen: TLS" unverändert. Legen Sie dies auf Erforderlich fest.
- Neue Absendergruppe erstellen:
- Wählen Sie in der GUI die Option
Mail Policies > HAT Overview > Add Sender Group.
- Geben Sie einen Namen ein, und legen Sie die Bestellnummer auf #1 fest. Sie können auch einen optionalen Kommentar eingeben. Wählen Sie die in Schritt 2 erstellte Mail Flow Policy aus. Lassen Sie alles andere leer.
- Klicken Sie auf
Submit undAdd Senders.
- Geben Sie im Feld Absender die folgenden IP-Bereiche und Hostnamen ein:
.res.cisco.com
.cres.iphmx.com
208.90.57.0/26 (current CRES IP network range)
204.15.81.0/26 (old CRES IP network range)
-
Senden und bestätigen Sie die Änderungen.
- Wenn Sie sicher sind, dass die ESA bereit ist, die TLS-Verschlüsselung von den Cisco RES-Servern auszuhandeln, führen Sie die Schritte im CRES-Admin-Portal aus. Wie kann ich testen, ob meine Domäne TLS mit Cisco RES unterstützt?
Zugehörige Informationen