Konfigurieren von TLS für die Verschlüsselung eingehender Verbindungen auf einem ESA-Listener

Download-Optionen

  • PDF     (256.1 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (90.6 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (75.9 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:8. Mai 2015
Dokument-ID:118954

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird beschrieben, wie Transport Layer Security (TLS) auf einem Listener der E-Mail Security Appliance (ESA) aktiviert wird.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf der ESA mit einer beliebigen AsyncOS-Version.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Hintergrundinformationen

Sie müssen TLS für alle Listener aktivieren, für die eine Verschlüsselung für eingehende Verbindungen erforderlich ist. Möglicherweise möchten Sie TLS auf Listenern aktivieren, die dem Internet gegenüberstehen (öffentliche Listener), nicht jedoch auf Listenern für interne Systeme (private Listener). Sie können auch die Verschlüsselung für alle Listener aktivieren. Standardmäßig lassen weder private noch öffentliche Listener TLS-Verbindungen zu. Sie müssen TLS in der Host Access Table (HAT) eines Listeners aktivieren, um TLS für eingehende (empfangende) oder ausgehende (sendende) E-Mails zu aktivieren. Außerdem ist TLS in den Mail Flow Policy-Einstellungen für private und öffentliche Listener standardmäßig deaktiviert.

Konfigurieren

Sie können drei verschiedene Einstellungen für TLS auf einem Listener angeben:

Einstellung Bedeutung
Nein TLS ist für eingehende Verbindungen nicht zulässig. Verbindungen mit dem Listener erfordern keine verschlüsselten SMTP-Gespräche (Simple Mail Transfer Protocol). Dies ist die Standardeinstellung für alle Listener, die Sie auf der Appliance konfigurieren.
Empfohlen TLS ist für eingehende Verbindungen von Message Transfer Agents (MTAs) zum Listener zulässig.
Erforderlich TLS ist für eingehende Verbindungen von MTAs zum Listener zulässig, und bis ein STARTTLS-Befehl empfangen wird, antwortet die ESA mit einer Fehlermeldung auf alle Befehle außer No Option (NOOP), EHLO oder QUIT. Wenn TLS "Erforderlich" ist, bedeutet dies, dass E-Mails, die der Absender nicht mit TLS verschlüsselt haben möchte, von der ESA zurückgewiesen werden, bevor sie versendet werden, wodurch verhindert wird, dass sie unverschlüsselt übertragen werden.

Aktivieren von TLS in einer HAT-Mail-Flow-Richtlinie für einen Listener über die GUI

Führen Sie diese Schritte aus:

  1. Wählen Sie auf der Seite Mail Flow Policies (Mail-Fluss-Richtlinien) einen Listener aus, dessen Richtlinien Sie ändern möchten, und klicken Sie dann auf den Link für den Namen der zu bearbeitenden Richtlinie. (Sie können auch die Standardrichtlinienparameter bearbeiten.) Die Seite "Mail Flow Policies bearbeiten" wird angezeigt.
  2. Wählen Sie im Abschnitt "Encryption and Authentication" im Feld "Use TLS:" (TLS verwenden) die gewünschte TLS-Ebene für den Listener aus.
  3. Klicken Sie auf Senden.
  4. Klicken Sie auf Änderungen bestätigen, fügen Sie ggf. einen optionalen Kommentar hinzu, und klicken Sie dann auf Änderungen bestätigen, um die Änderungen zu speichern.

Hinweis: Sie können einzelnen öffentlichen Listenern ein bestimmtes Zertifikat für TLS-Verbindungen zuweisen, wenn Sie einen Listener erstellen.

Aktivieren von TLS in einer HAT-Mail-Flow-Richtlinie für einen Listener über die CLI

  1. Verwenden Sie den Befehl listenerconfig > edit, um einen Listener auszuwählen, den Sie konfigurieren möchten.
  2. Verwenden Sie den Befehl hostaccess > default, um die Standard-HAT-Einstellungen des Listeners zu bearbeiten.
  3. Geben Sie eine der folgenden Optionen ein, um die TLS-Einstellung zu ändern, wenn Sie dazu aufgefordert werden:
    Do you want to allow encrypted TLS connections?

        1. No
        2. Preferred
        3. Required
       [1]>3

    You have chosen to enable TLS. Please use the 'certconfig' command to
     ensure that there is a valid certificate configured.

    Beachten Sie, dass Sie in diesem Beispiel aufgefordert werden, den Befehl certconfig zu verwenden, um sicherzustellen, dass ein gültiges Zertifikat vorhanden ist, das mit dem Listener verwendet werden kann. Wenn Sie keine Zertifikate erstellt haben, verwendet der Listener das Demonstrationszertifikat, das auf der Appliance vorinstalliert ist. Sie können TLS mit dem Demonstrationszertifikat zu Testzwecken aktivieren. Das Zertifikat ist jedoch nicht sicher und wird nicht für die allgemeine Verwendung empfohlen. Verwenden Sie den Befehl listenerconfig > edit > certificate, um dem Listener ein Zertifikat zuzuweisen.

    Nachdem Sie TLS konfiguriert haben, wird die Einstellung in der Zusammenfassung des Listeners in der CLI wiedergegeben:

    Name: Inboundmail
    Type: Public
    Interface: PublicNet (192.168.2.1/24) TCP Port 25
    Protocol: SMTP
    Default Domain:
    Max Concurrency: 1000 (TCP Queue: 50)
    Domain map: disabled
    TLS: Required
  4. Geben Sie den Befehl commit ein, um die Änderung zu aktivieren.

Überprüfung

Nutzen Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Fehlerbehebung

In diesem Abschnitt finden Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

Sie können angeben, ob die ESA eine Warnung sendet, wenn die TLS-Aushandlung fehlschlägt, wenn Nachrichten an eine Domäne übermittelt werden, die eine TLS-Verbindung erfordert. Die Warnmeldung enthält den Namen der Zieldomäne für die fehlgeschlagene TLS-Aushandlung. Die ESA sendet die Warnmeldung an alle Empfänger, die Warnmeldungen mit Schweregrad für Systemwarnungen empfangen sollen. Sie können Alert-Empfänger über die Seite System Administration > Alerts (Systemverwaltung > Warnungen) in der grafischen Benutzeroberfläche (GUI) (oder über den Befehl alertconfig in der CLI) verwalten.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
08-May-2015
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Enrico Werner
    Cisco TAC Engineer.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.