TLS暗号化を使用したCRESセキュア暗号化サービスのメッセージ応答の設定

ダウンロード オプション

  • PDF     (439.9 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (79.4 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (66.0 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2019 年 9 月 12 日
Document ID:118539

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、セキュアエンベロープの添付ファイルの代わりにCRES着信セキュア応答のTLS暗号化を設定するアクションについて説明します。

    Cisco RES:TLSを使用して暗号化されていないRES応答を保護する方法

    デフォルトでは、セキュリティ保護された電子メールへの返信はCisco RESによって暗号化され、メールゲートウェイに送信されます。その後、エンドユーザがCisco RESクレデンシャルで開けるように暗号化されたメールサーバにパススルーします。

    Cisco RESのセキュアメッセージ応答を開くときにユーザ認証が不要になるように、Cisco RESは「暗号化されていない」形式で、Transport Layer Security(TLS)をサポートするメールゲートウェイに配信します。 ほとんどの場合、メールゲートウェイはCisco Eメールセキュリティアプライアンス(ESA)であり、この記事が適用されます。

    ただし、外部スパムフィルタなど、ESAの前に別のメールゲートウェイがある場合は、ESAで証明書/TLS/メールフロー設定を行う必要はありません。この場合、このドキュメントの「ソリューション」セクションのステップ1 ~ 3は省略できます。この環境で暗号化されていない応答が動作するには、TLSをサポートする必要があるアプライアンスが外部スパムフィルタ(メールゲートウェイ)になります。TLSがサポートされている場合は、Cisco RESに確認してもらい、セキュリティで保護された電子メールに対する「暗号化されていない」応答を設定できます。

    送信者ポリシーフレームワーク

    Sender Policy Framework(SPF)検証エラーを回避するには、SPFレコードに次の値を追加します。

    Cisco Registered Envelope Service(CRES)のSPFレコード値が、このテーブルのIP/ホスト名「Hostnames and IP Addresses」と一致しています。

    シスコが提供するSPFメカニズムを使用した出力は次のとおりです。

    ~ dig txt res.cisco.com +short
    "v=spf1 mx:res.cisco.com exists:%{i}.spf.res.cisco.com -all"

    既存のSPFレコードに次のメカニズムを追加します。

    include:res.cisco.com

    新しいres.cisco.comメカニズムを含むFAKE/test SPFレコードの例:

    "v=spf1 mx:sampleorg1.com ip4:1.2.3.4 include:res.cisco.com -all"


    SPFレコードにCisco RESを追加する場所と方法は、ネットワークトポロジ内でのドメインネームシステム(DNS)の実装方法によって異なります。詳細については、DNS管理者に問い合わせてください。

    DNSがCisco RESを含めるように設定されていない場合、セキュアな作成およびセキュアな応答が生成され、ホストされたキーサーバを介して配信されると、発信IPアドレスが受信者の末尾にリストされたIPアドレスと一致しないため、SPF検証が失敗します。

    ホスト名とIPアドレス

    ホスト名

    IP アドレス

    レコード タイプ

    res.cisco.com

    184.94.241.74

    A

    mxnat1.res.cisco.com

    208.90.57.32

    A

    mxnat2.res.cisco.com

    208.90.57.33

    A

    mxnat3.res.cisco.com

    184.94.241.96

    A

    mxnat4.res.cisco.com

    184.94.241.97

    A

    mxnat5.res.cisco.com

    184.94.241.98

    A

    mxnat6.res.cisco.com

    184.94.241.99

    A

    mxnat7.res.cisco.com

    208.90.57.34

    A

    mxnat8.res.cisco.com

    208.90.57.35

    A

    esa1.cres.iphmx.com

    68.232.140.79

    MX

    esa2.cres.iphmx.com

    68.232.140.57

    MX

    esa3.cres.iphmx.com

    68.232.135.234

    MX

    esa4.cres.iphmx.com

    68.232.135.235

    MX

    :ホスト名とIPアドレスは、サービス/ネットワークメンテナンスまたはサービス/ネットワークの拡張に基づいて変更されることがあります。すべてのホスト名とIPアドレスをサービスに使用するとは限らない。ここでは参考のために説明します。

    解決方法

    • ESAで署名付き証明書と中間証明書を取得してインストールします。

      :アプライアンスに付属のデモ証明書によってCRES検証プロセスが失敗するため、署名機関から中間証明書を取得する必要があります。

    • 新しいメールフローポリシーを作成します。
      1. GUIで、を選択しMail Policies > Mail Flow Policies > Add Policyます。
      2. 名前を入力し、「セキュリティ機能: TLS」以外はすべてデフォルトのままにします。これをRequiredに設定します。
        3.
    • 新しい送信者グループを作成します。
      1. GUIで、を選択しMail Policies > HAT Overview > Add Sender Groupます。
      2. 名前を入力し、注文番号を#1に設定します。オプションのコメントを入力することもできます。ステップ2で作成したメールフローポリシーを選択します。他はすべて空白のままにします。
      3. andをクリックSubmit しますAdd Senders。
        4.
    • Senderフィールドに、次のIP範囲とホスト名を入力します。 
      .res.cisco.com
      .cres.iphmx.com
      208.90.57.0/26 (current CRES IP network range)
      204.15.81.0/26 (old CRES IP network range)

    • 変更を送信し、保存します。

    • ESAがCisco RESサーバからTLS暗号化をネゴシエートする準備ができていると確信できたら、CRES管理ポータル内の手順を実行します。ドメインがCisco RESでTLSをサポートしているかどうかをテストするにはどうすればよいですか。
      •

    関連情報

    更新履歴

    改定 発行日 コメント
    1.0
    09-Oct-2014
    初版
    TAC Authored

    シスコ エンジニア提供

    • ロバート・シャーウィン
      Cisco TACエンジニア
    • クリス・アレラノ
      Cisco TACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています