In diesem Dokument wird beschrieben, wie Transport Layer Security (TLS) auf einem Listener der E-Mail Security Appliance (ESA) aktiviert wird.
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Die Informationen in diesem Dokument basieren auf der ESA mit einer beliebigen AsyncOS-Version.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Sie müssen TLS für alle Listener aktivieren, für die eine Verschlüsselung für eingehende Verbindungen erforderlich ist. Möglicherweise möchten Sie TLS auf Listenern aktivieren, die dem Internet gegenüberstehen (öffentliche Listener), nicht jedoch auf Listenern für interne Systeme (private Listener). Sie können auch die Verschlüsselung für alle Listener aktivieren. Standardmäßig lassen weder private noch öffentliche Listener TLS-Verbindungen zu. Sie müssen TLS in der Host Access Table (HAT) eines Listeners aktivieren, um TLS für eingehende (empfangende) oder ausgehende (sendende) E-Mails zu aktivieren. Außerdem ist TLS in den Mail Flow Policy-Einstellungen für private und öffentliche Listener standardmäßig deaktiviert.
Sie können drei verschiedene Einstellungen für TLS auf einem Listener angeben:
Einstellung | Bedeutung |
---|---|
Nein | TLS ist für eingehende Verbindungen nicht zulässig. Verbindungen mit dem Listener erfordern keine verschlüsselten SMTP-Gespräche (Simple Mail Transfer Protocol). Dies ist die Standardeinstellung für alle Listener, die Sie auf der Appliance konfigurieren. |
Empfohlen | TLS ist für eingehende Verbindungen von Message Transfer Agents (MTAs) zum Listener zulässig. |
Erforderlich | TLS ist für eingehende Verbindungen von MTAs zum Listener zulässig, und bis ein STARTTLS-Befehl empfangen wird, antwortet die ESA mit einer Fehlermeldung auf alle Befehle außer No Option (NOOP), EHLO oder QUIT. Wenn TLS "Erforderlich" ist, bedeutet dies, dass E-Mails, die der Absender nicht mit TLS verschlüsselt haben möchte, von der ESA zurückgewiesen werden, bevor sie versendet werden, wodurch verhindert wird, dass sie unverschlüsselt übertragen werden. |
Führen Sie diese Schritte aus:
Do you want to allow encrypted TLS connections?
1. No
2. Preferred
3. Required
[1]>3
You have chosen to enable TLS. Please use the 'certconfig' command to
ensure that there is a valid certificate configured.
Beachten Sie, dass Sie in diesem Beispiel aufgefordert werden, den Befehl certconfig zu verwenden, um sicherzustellen, dass ein gültiges Zertifikat vorhanden ist, das mit dem Listener verwendet werden kann. Wenn Sie keine Zertifikate erstellt haben, verwendet der Listener das Demonstrationszertifikat, das auf der Appliance vorinstalliert ist. Sie können TLS mit dem Demonstrationszertifikat zu Testzwecken aktivieren. Das Zertifikat ist jedoch nicht sicher und wird nicht für die allgemeine Verwendung empfohlen. Verwenden Sie den Befehl listenerconfig > edit > certificate, um dem Listener ein Zertifikat zuzuweisen.
Nachdem Sie TLS konfiguriert haben, wird die Einstellung in der Zusammenfassung des Listeners in der CLI wiedergegeben:
Name: Inboundmail
Type: Public
Interface: PublicNet (192.168.2.1/24) TCP Port 25
Protocol: SMTP
Default Domain:
Max Concurrency: 1000 (TCP Queue: 50)
Domain map: disabled
TLS: Required
Nutzen Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.
In diesem Abschnitt finden Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.
Sie können angeben, ob die ESA eine Warnung sendet, wenn die TLS-Aushandlung fehlschlägt, wenn Nachrichten an eine Domäne übermittelt werden, die eine TLS-Verbindung erfordert. Die Warnmeldung enthält den Namen der Zieldomäne für die fehlgeschlagene TLS-Aushandlung. Die ESA sendet die Warnmeldung an alle Empfänger, die Warnmeldungen mit Schweregrad für Systemwarnungen empfangen sollen. Sie können Alert-Empfänger über die Seite System Administration > Alerts (Systemverwaltung > Warnungen) in der grafischen Benutzeroberfläche (GUI) (oder über den Befehl alertconfig in der CLI) verwalten.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
08-May-2015 |
Erstveröffentlichung |