ESA リスナーでインバウンド接続の暗号化用に TLS を設定する

ダウンロード オプション

  • PDF     (331.8 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (82.0 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (66.3 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2015 年 5 月 8 日
Document ID:118954

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

このドキュメントでは、Eメールセキュリティアプライアンス(ESA)のリスナーでTransport Layer Security(TLS)を有効にする方法について説明します。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、すべてのAsyncOSバージョンのESAに基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

背景説明

着信接続の暗号化を必要とするリスナーに対してTLSを有効にする必要があります。インターネットに接続するリスナー(パブリックリスナー)ではTLSを有効にし、内部システムのリスナー(プライベートリスナー)では有効にしない場合があります。または、すべてのリスナーに対して暗号化を有効にすることもできます。デフォルトでは、プライベートリスナーもパブリックリスナーもTLS接続を許可しません。リスナーのホストアクセステーブル(HAT)でTLSを有効にして、インバウンド(受信)またはアウトバウンド(送信)の電子メールのTLSを有効にする必要があります。また、プライベートリスナーとパブリックリスナーのメールフローポリシー設定では、デフォルトでTLSが「オフ」になっています。

設定

リスナーのTLSには、次の3つの異なる設定を指定できます。

設定値 意味
いいえ 着信接続ではTLSは許可されません。リスナーへの接続には、暗号化されたシンプルメール転送プロトコル(SMTP)カンバセーションは必要ありません。これは、アプライアンスで設定するすべてのリスナーのデフォルト設定です。
Preferred TLSは、メッセージ転送エージェント(MTA)からリスナーへの着信接続に使用できます。
Required MTAからリスナーへの着信接続に対してTLSが許可され、STARTTLSコマンドが受信されるまで、ESAはNo Option(NOOP)、EHLO、またはQUIT以外のすべてのコマンドにエラーメッセージで応答します。TLSが「必須」の場合、送信者がTLSによる暗号化を希望しない電子メールは、送信前にESAによって拒否され、クリアテキストの送信ができなくなります。

GUIを介したリスナーに対するHATメールフローポリシーでのTLSの有効化

次のステップを実行します。

  1. [メールフローポリシー]ページで、ポリシーを変更するリスナーを選択し、編集するポリシーの名前のリンクをクリックします。(デフォルトのポリシーパラメータを編集することもできます)。 [メールフローポリシーの編集]ページが表示されます。
  2. [Encryption and Authentication]セクションの[Use TLS:]フィールドで、リスナーに対して使用するTLSのレベルを選択します。
  3. [Submit] をクリックします。
  4. Commit Changesをクリックし、必要に応じてオプションのコメントを追加し、Commit Changesをクリックして変更を保存します。

:リスナーを作成する際に、個々のパブリックリスナーにTLS接続用の特定の証明書を割り当てることができます。

CLIを使用したリスナーに対するHATメールフローポリシーでのTLSの有効化

  1. listenerconfig > editコマンドを使用して、設定するリスナーを選択します。
  2. リスナーのデフォルトのHAT設定を編集するには、hostaccess > defaultコマンドを使用します。
  3. プロンプトが表示されたら、次のいずれかを入力してTLS設定を変更します。
    Do you want to allow encrypted TLS connections?

        1. No
        2. Preferred
        3. Required
       [1]>3

    You have chosen to enable TLS. Please use the 'certconfig' command to
     ensure that there is a valid certificate configured.

    この例では、certconfigコマンドを使用して、リスナーで使用できる有効な証明書があることを確認するように求められています。証明書を作成していない場合、リスナーはアプライアンスにプリインストールされているデモンストレーション証明書を使用します。テスト目的で、デモ証明書において TLS を有効にすることはできますが、セキュアではないため、通常の使用には推奨できません。listenerconfig > edit > certificateコマンドを使用して、リスナーに証明書を割り当てます。

    TLSを設定すると、設定はCLIのリスナーのサマリーに反映されます。

    Name: Inboundmail
    Type: Public
    Interface: PublicNet (192.168.2.1/24) TCP Port 25
    Protocol: SMTP
    Default Domain:
    Max Concurrency: 1000 (TCP Queue: 50)
    Domain map: disabled
    TLS: Required
  4. commitコマンドを入力して、変更を有効にします。

確認

このセクションでは、設定が正常に動作していることを確認します。

トラブルシュート

このセクションでは、設定のトラブルシューティングに役立つ情報を紹介します。

TLS接続を必要とするドメインにメッセージが配信されるときにTLSネゴシエーションが失敗する場合に、ESAがアラートを送信するかどうかを指定できます。アラートメッセージには、失敗したTLSネゴシエーションの宛先ドメインの名前が含まれています。ESAは、システムアラートタイプの警告の重大度レベルのアラートを受信するように設定されたすべての受信者にアラートメッセージを送信します。アラートの受信者は、GUIのSystem Administration > Alertsページ(またはCLIのalertconfigコマンド)で管理できます。

関連情報

更新履歴

改定 発行日 コメント
1.0
08-May-2015
初版
TAC Authored

シスコ エンジニア提供

  • Enrico Werner
    Cisco TAC Engineer.

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています